Redaktørens merknad: Denne artikkelen har blitt oppdatert med kommentarer fra Robert Leshner og Banteg.
For en uke siden kalte Compound -grunnlegger Robert Leshner en feil i sin låneprotokolls smarte kontrakt for et "moralsk dilemma." Kanskje for noen, men for andre i dag ble de smarte kontraktene en salgsautomat full av gratis kontanter.
I dag utnyttet noen en feil i Compounds Controller -kontrakt, som er delen av protokollen som distribuerer avkastningsoppdrett til brukerne. Av ringer Compounds drip () -funksjon, de overførte 68 millioner dollar, eller 202,472 XNUMX COMP, fra Compounds reservoar til kontrolløren.
Siden Banteg, en kjerneutvikler hos Yearn.Finance, twitret om utnyttelsen tidligere i ettermiddag, har fire store transaksjoner tappet Comptroller-poolen på 64,997 21.4 COMP, eller 37,504 millioner dollar. En av disse transaksjonene trakk 12.3 45 COMP, eller XNUMX millioner dollar. Banteg sa at bare "adresser med buggy-tilstand kan tømmes" og at det er ytterligere fem adresser som kan kreve $XNUMX millioner, "tømmer kontrolløren."
I forrige uke, etter en oppdatering kalt Proposal 062, begynte Comptroller-poolen å distribuere 280,000 XNUMX COMP til feil personer. Leshner ba brukerne om å gi pengene tilbake og takket alle som gjorde det.
Men på grunn av måten Compounds styring er strukturert på, tar det syv dager å rette feilen.
Hvem som helst kan legge til mer COMP til Comptroller-poolen ved å kalle drip(), en offentlig funksjon, men ingen hadde ringt på flere uker.
"Da drip()-funksjonen ble kalt i morges, sendte den etterslepet (202,472.5 XNUMX, omtrent to måneder med COMP siden forrige gang funksjonen ble kalt) inn i protokollen for distribusjon til brukere," twitret Leshner i dag.
"Dryppproblemet har vært kjent for Compound og sikkerhetsforskerne i noen dager nå," fortalte Banteg dekryptere, "men siden det ikke var noen formilding, ble det besluttet å holde det skjult i håp om at ingen ville legge merke til det før en lapp er ute."
Fellesskapsutviklere håpet at patcher ville gå live før drip() ble kalt, tvitret Leshner i dag. Banteg kalte utnyttelsen "den best bevarte hemmeligheten i DeFi."
Leshner sa at den totale mengden COMP i fare nå er omtrent 490,000 160, eller 136 millioner dollar, "hvorav 117 XNUMX fortsatt er i kontrolløren, og XNUMX XNUMX har blitt returnert til samfunnet så langt."
I en kommentar til Bantegs innlegg sa kryptohandler Christopher Mooney: "Jeg er ærlig talt imponert over at det tok så lang tid med antall personer som visste det. Gjenoppretter min tro på menneskeheten litt, men til slutt valgte en av dere kaotisk nøytral."
Leshner tvitret: "Fremover er jeg optimistisk med tanke på oppdateringene som tar veien gjennom styringsprosessen, som fikser distribusjonen, og fellesskapsmedlemmene som jobber med å håndtere denne feilen." COMP har falt med 4.6 % det siste døgnet.
Kilde: https://decrypt.co/82499/compound-exploit-drains-21m-from-lending-protocol
- "
- 000
- 7
- 9
- alien
- Alle
- Artikkel
- Bug
- Kontanter
- kommentarer
- samfunnet
- Compound
- kontrakt
- kontrakter
- controller
- krypto
- dato
- Defi
- Utvikler
- utviklere
- gJORDE
- Exploit
- oppdrett
- finansiere
- Fix
- Forward
- Grunnleggeren
- Gratis
- fullt
- funksjon
- midler
- styresett
- håper
- HTTPS
- Menneskeheten
- IT
- utlån
- Lang
- større
- Making
- medlemmer
- millioner
- måneder
- patch
- Patches
- Ansatte
- basseng
- forslag
- protokollen
- offentlig
- avkastning
- Belønninger
- Risiko
- ROBERT
- sikkerhet
- Smart
- smart kontrakt
- Smarte kontrakter
- So
- startet
- Tilstand
- tid
- trader
- Transaksjoner
- Oppdater
- Brukere
- uke
- HVEM
- Utbytte
