Nota do editor: Este artigo foi atualizado com comentários de Robert Leshner e Banteg.
Há uma semana, o fundador da Compound, Robert Leshner, chamou um bug no contrato inteligente de seu protocolo de empréstimo de “dilema moral”. Talvez para alguns, mas para outros hoje os contratos inteligentes tornaram-se uma máquina de venda automática cheia de dinheiro grátis.
Hoje, alguém explorou um bug no contrato do Controlador da Compound, que é a parte do protocolo que distribui recompensas de produção agrícola aos usuários. Por chamando a função gotejamento() do Compound, eles transferiram US$ 68 milhões, ou 202,472 COMP, do reservatório de Compound para seu Controlador.
Desde que Banteg, um desenvolvedor principal da Yearn.Finance, tuitou sobre a exploração no início desta tarde, quatro grandes transações drenaram o pool da Controladoria de 64,997 COMP, ou US$ 21.4 milhões. Uma dessas transações retirou 37,504 COMP, ou US$ 12.3 milhões. Banteg disse que apenas “endereços com estado de bug podem drenar” e que há outros cinco endereços que poderiam reivindicar US$ 45 milhões, “esvaziando a Controladoria”.
Na semana passada, após uma atualização chamada Proposta 062, a Controladoria começou a distribuir 280,000 mil COMP para as pessoas erradas. Leshner pediu aos usuários que devolvessem os fundos e agradeceu a todos que o fizeram.
Mas devido à forma como a governança da Compound está estruturada, são necessários sete dias para corrigir o erro.
Qualquer um pode adicionar mais COMP ao pool do Controlador chamando o gotejamento(), uma função pública, mas ninguém ligava há semanas.
“Quando a função gotejamento() foi chamada esta manhã, ela enviou o backlog (202,472.5, cerca de dois meses de COMP desde a última vez que a função foi chamada) para o protocolo para distribuição aos usuários”, tuitou Leshner hoje.
“O problema do gotejamento é conhecido da Compound e dos pesquisadores de segurança há alguns dias”, disse Banteg Descifrar, “mas como não houve mitigação, foi decidido mantê-lo em segredo, esperando que ninguém notasse até que um patch fosse lançado”.
Os desenvolvedores da comunidade esperavam que os patches fossem lançados antes que o gotejamento() fosse chamado, Leshner tuitou hoje. Banteg chamou a exploração de “o segredo mais bem guardado do DeFi”.
Leshner disse que o valor total de COMP em risco é agora de aproximadamente 490,000, ou US$ 160 milhões, “dos quais 136 mil ainda estão na Controladoria e 117 mil foram devolvidos à comunidade até agora”.
Comentando a postagem de Banteg, o comerciante de criptografia Christopher Mooney disse: “Estou honestamente impressionado por ter demorado tanto com o número de pessoas que sabiam. Restaura um pouco minha fé na humanidade, mas no final um de vocês escolheu o caótico neutro.”
Leshner twittou: “No futuro, estou otimista com os patches que estão passando pelo processo de governança, que corrigem a distribuição, e com os membros da comunidade que estão trabalhando para gerenciar esse bug”. COMP caiu 4.6% nas últimas 24 horas.
Fonte: https://decrypt.co/82499/compound-exploit-drains-21m-from-lending-protocol
- "
- 000
- 7
- 9
- estrangeiro
- Todos os Produtos
- artigo
- Bug
- dinheiro
- comentários
- comunidade
- Compound
- contract
- contratos
- controlador
- cripto
- dados,
- DeFi
- Developer
- desenvolvedores
- DID
- Explorar
- agricultura
- financiar
- Fixar
- para a frente
- fundador
- Gratuito
- cheio
- função
- fundos
- governo
- esperando
- HTTPS
- Humanidade
- IT
- empréstimo
- longo
- principal
- Fazendo
- Membros
- milhão
- mês
- Remendo
- Patches
- Pessoas
- piscina
- proposta
- protocolo
- público
- Retorna
- Recompensas
- Risco
- ROBERT
- segurança
- smart
- smart contract
- Smart Contracts
- So
- começado
- Estado
- tempo
- trader
- Transações
- Atualizar
- usuários
- semana
- QUEM
- Produção