160 mln USD zagrożone z powodu błędu w protokole kredytowym DeFi

Nota wydawcy: Ten artykuł został zaktualizowany o komentarze Roberta Leshnera i Banteg.

Tydzień temu założyciel związku, Robert Leshner, nazwał błąd w inteligentnym kontrakcie swojego protokołu kredytowego „moralnym dylematem”. Być może dla niektórych, ale dla innych inteligentne kontrakty stały się dziś automatem z darmową gotówką.

Dzisiaj ktoś wykorzystał błąd w kontrakcie Compound's Controller, który jest częścią protokołu, który rozdziela użytkownikom nagrody za uprawę plonów. Za pomocą wywołanie funkcji drip() Compound, przenieśli 68 milionów dolarów, czyli 202,472 XNUMX COMP, ze zbiornika Compound do jego kontrolera. 

Odkąd Banteg, główny programista w Yearn.Finance, napisał na Twitterze o exploitie dziś po południu, cztery duże transakcje wyczerpały pulę kontrolerów w wysokości 64,997 21.4 COMP, czyli 37,504 miliona dolarów. W ramach jednej z tych transakcji wycofano 12.3 45 COMP, czyli XNUMX miliona dolarów. Banteg powiedział, że tylko „adresy z błędnym stanem mogą wyczerpać zasoby” i że istnieje kolejnych pięć adresów, które mogą zażądać XNUMX milionów dolarów, „opróżniając kontrolera”.

W zeszłym tygodniu, w następstwie aktualizacji o nazwie Propozycja 062, grupa Kontrolerów zaczęła dystrybuować 280,000 XNUMX COMP wśród niewłaściwych osób.  Leshner poprosił użytkowników o zwrot środków i podziękował każdemu, kto to zrobił.

Jednak ze względu na strukturę zarządzania Compound naprawienie błędu zajmuje siedem dni. 

Każdy może dodać więcej COMP do puli Kontrolera, wywołując funkcję publiczną drip(), ale nikt nie dzwonił od tygodni. 

„Kiedy dziś rano wywołano funkcję drip(), przesłano zaległości (202,472.5 XNUMX, około dwóch miesięcy COMP od ostatniego wywołania tej funkcji) do protokołu w celu dystrybucji wśród użytkowników” – napisał dziś na Twitterze Leshner.

„Problem kropli jest znany firmie Compound i badaczom bezpieczeństwa od kilku dni” – powiedział Banteg Odszyfruj„ale ponieważ nie było żadnych środków zaradczych, postanowiono zachować to w tajemnicy, mając nadzieję, że nikt nie zauważy, dopóki nie zostanie wydana łatka”.

Twórcy społeczności mieli nadzieję, że poprawki zostaną opublikowane przed wywołaniem funkcji drip(), napisał dziś Leshner na Twitterze. Banteg nazwał exploit „najpilniej strzeżoną tajemnicą w DeFi”.

Leshner powiedział, że łączna kwota zagrożona COMP wynosi obecnie około 490,000 160, czyli 136 milionów dolarów, „z czego 117 tys. nadal znajduje się w rękach kontrolera, a XNUMX tys. zwrócono dotychczas społeczności”.

Komentując post Bantega, handlarz kryptowalutami Christopher Mooney powiedział: „Jestem naprawdę pod wrażeniem, że zajęło to tak dużo czasu, biorąc pod uwagę liczbę osób, które wiedziały. Przywraca mi trochę wiarę w ludzkość, ale ostatecznie jeden z was wybrał chaotyczną neutralność.

Leshner napisał na Twitterze: „Idąc dalej, jestem optymistą co do tego, że łatki przejdą proces zarządzania, który naprawia dystrybucję, oraz członków społeczności pracujących nad naprawieniem tego błędu”. W ciągu ostatnich 4.6 godzin wskaźnik COMP spadł o 24%.

Źródło: https://decrypt.co/82499/compound-exploit-drains-21m-from-lending-protocol