$ 160 млн под угрозой из-за ошибки в соединении протокола кредитования DeFi

Примечание редактора: эта статья дополнена комментариями Роберта Лешнера и Бантега.

Неделю назад основатель Compound Роберт Лешнер назвал ошибку в смарт-контракте своего кредитного протокола «моральной дилеммой». Возможно, для некоторых, но для других сегодня смарт-контракты превратились в торговый автомат, полный свободных денег.

Сегодня кто-то воспользовался ошибкой в ​​контракте Compound's Controller, который является частью протокола, который распределяет вознаграждение за получение урожая среди пользователей. К вызов функции Compound drip (), они перевели 68 миллионов долларов, или 202,472 XNUMX комп., из резервуара Compound его контролеру. 

С тех пор как Бантег, основной разработчик Yearn.Finance, ранее сегодня днем ​​написал в Твиттере об эксплойте, четыре крупных транзакции истощили пул Comptroller в размере 64,997 21.4 COMP, или 37,504 миллиона долларов. В результате одной из этих транзакций было снято 12.3 45 COMP, или XNUMX миллиона долларов. Бантег сказал, что только «адреса с ошибочным состоянием могут быть слиты» и что есть еще пять адресов, которые могут требовать XNUMX миллионов долларов, «опустошая Контролера».

На прошлой неделе, после обновления под названием «Предложение 062», пул контролеров начал распределять 280,000 XNUMX COMP не тем людям.  Лешнер попросил пользователей вернуть средства и поблагодарил всех, кто это сделал.

Но из-за структуры управления Compound на исправление ошибки уходит семь дней. 

Любой может добавить больше COMP в пул Comptroller, вызвав общедоступную функцию drip (), но никто не звонил в течение нескольких недель. 

«Когда сегодня утром была вызвана функция drop(), она отправила невыполненную работу (202,472.5 XNUMX, около двух месяцев COMP с момента последнего вызова функции) в протокол для распространения среди пользователей», — написал сегодня Лешнер в Твиттере.

«Проблема с каплями известна Compound и исследователям безопасности уже несколько дней», — сказал Бантег. Decrypt, «но поскольку никаких мер по смягчению последствий не было, было решено держать это в секрете, надеясь, что никто не заметит, пока не выйдет патч».

Разработчики сообщества надеялись, что исправления появятся до того, как будет вызвана drip (), написал сегодня Лешнер в Твиттере. Бантег назвал эксплойт «самым тщательно охраняемым секретом DeFi».

Лешнер сказал, что общая сумма COMP, находящаяся под угрозой, в настоящее время составляет примерно 490,000 160, или 136 миллионов долларов, «из которых 117 тысяч все еще находятся в Контролере, а XNUMX тысяч на данный момент возвращены сообществу».

Комментируя сообщение Бантега, криптотрейдер Кристофер Муни сказал: «Честно говоря, я впечатлен тем, что количество людей, которые знали, заняло так много времени. Немного восстанавливает мою веру в человечество, но в конце концов один из вас выбрал хаотично-нейтральный.

Лешнер написал в Твиттере: «В будущем я с оптимизмом смотрю на патчи, проходящие через процесс управления, которые исправляют дистрибутив, и на членов сообщества, которые работают над устранением этой ошибки». COMP упал на 4.6% за последние 24 часа.

Источник: https://decrypt.co/82499/compound-exploit-drains-21m-from-lending-protocol.