US $ 160 milhões em risco devido a bug no composto de protocolo de empréstimo DeFi

Nota do editor: Este artigo foi atualizado com comentários de Robert Leshner e Banteg.

Há uma semana, o fundador da Compound, Robert Leshner, chamou um bug no contrato inteligente de seu protocolo de empréstimo de “dilema moral”. Talvez para alguns, mas para outros hoje os contratos inteligentes tornaram-se uma máquina de venda automática cheia de dinheiro grátis.

Hoje, alguém explorou um bug no contrato do Controlador da Compound, que é a parte do protocolo que distribui recompensas de produção agrícola aos usuários. Por chamando a função gotejamento() do Compound, eles transferiram US$ 68 milhões, ou 202,472 COMP, do reservatório de Compound para seu Controlador. 

Desde que Banteg, um desenvolvedor principal da Yearn.Finance, tuitou sobre a exploração no início desta tarde, quatro grandes transações drenaram o pool da Controladoria de 64,997 COMP, ou US$ 21.4 milhões. Uma dessas transações retirou 37,504 COMP, ou US$ 12.3 milhões. Banteg disse que apenas “endereços com estado de bug podem drenar” e que há outros cinco endereços que poderiam reivindicar US$ 45 milhões, “esvaziando a Controladoria”.

Na semana passada, após uma atualização chamada Proposta 062, a Controladoria começou a distribuir 280,000 mil COMP para as pessoas erradas.  Leshner pediu aos usuários que devolvessem os fundos e agradeceu a todos que o fizeram.

Mas devido à forma como a governança da Compound está estruturada, são necessários sete dias para corrigir o erro. 

Qualquer um pode adicionar mais COMP ao pool do Controlador chamando o gotejamento(), uma função pública, mas ninguém ligava há semanas. 

“Quando a função gotejamento() foi chamada esta manhã, ela enviou o backlog (202,472.5, cerca de dois meses de COMP desde a última vez que a função foi chamada) para o protocolo para distribuição aos usuários”, tuitou Leshner hoje.

“O problema do gotejamento é conhecido da Compound e dos pesquisadores de segurança há alguns dias”, disse Banteg Descifrar, “mas como não houve mitigação, foi decidido mantê-lo em segredo, esperando que ninguém notasse até que um patch fosse lançado”.

Os desenvolvedores da comunidade esperavam que os patches fossem lançados antes que o gotejamento() fosse chamado, Leshner tuitou hoje. Banteg chamou a exploração de “o segredo mais bem guardado do DeFi”.

Leshner disse que o valor total de COMP em risco é agora de aproximadamente 490,000, ou US$ 160 milhões, “dos quais 136 mil ainda estão na Controladoria e 117 mil foram devolvidos à comunidade até agora”.

Comentando a postagem de Banteg, o comerciante de criptografia Christopher Mooney disse: “Estou honestamente impressionado por ter demorado tanto com o número de pessoas que sabiam. Restaura um pouco minha fé na humanidade, mas no final um de vocês escolheu o caótico neutro.”

Leshner twittou: “No futuro, estou otimista com os patches que estão passando pelo processo de governança, que corrigem a distribuição, e com os membros da comunidade que estão trabalhando para gerenciar esse bug”. COMP caiu 4.6% nas últimas 24 horas.

Fonte: https://decrypt.co/82499/compound-exploit-drains-21m-from-lending-protocol