ความเสี่ยง 160 ล้านดอลลาร์เนื่องจากข้อบกพร่องใน DeFi Lending Protocol Compound

หมายเหตุบรรณาธิการ: บทความนี้ได้รับการอัปเดตพร้อมความคิดเห็นจาก Robert Leshner และ Banteg

สัปดาห์ที่แล้ว Robert Leshner ผู้ก่อตั้ง Compound เรียกข้อบกพร่องในสัญญาอัจฉริยะของโปรโตคอลการให้กู้ยืมว่า "ภาวะที่กลืนไม่เข้าคายไม่ออกทางศีลธรรม" บางทีสำหรับบางคน แต่สำหรับคนอื่นๆ ทุกวันนี้ สัญญาอัจฉริยะกลายเป็นตู้ขายของอัตโนมัติที่เต็มไปด้วยเงินสดฟรี

วันนี้ มีผู้ใช้ประโยชน์จากจุดบกพร่องในสัญญา Compound's Controller ซึ่งเป็นส่วนหนึ่งของโปรโตคอลที่แจกจ่ายรางวัลการทำฟาร์มให้ผลผลิตแก่ผู้ใช้ โดย เรียกฟังก์ชัน drip() ของ Compoundพวกเขาโอน 68 ล้านดอลลาร์หรือ 202,472 COMP จากอ่างเก็บน้ำของ Compound ไปยังผู้ควบคุมบัญชี 

เนื่องจาก Banteg ผู้พัฒนาหลักของ Yearn.Finance ได้ทวีตเกี่ยวกับการใช้ประโยชน์เมื่อช่วงบ่ายของวันนี้ ธุรกรรมหลัก 64,997 รายการได้ระบายกลุ่มผู้ควบคุมบัญชีที่ 21.4 COMP หรือ 37,504 ล้านดอลลาร์ หนึ่งในธุรกรรมเหล่านั้นถอนเงินออก 12.3 COMP หรือ 45 ล้านดอลลาร์ Banteg กล่าวว่ามีเพียง “ที่อยู่ที่มีรถบั๊กกี้เท่านั้นที่สามารถระบายได้” และมีที่อยู่อีกห้าแห่งที่สามารถเรียกร้องเงิน XNUMX ล้านดอลลาร์ “ทำให้ผู้ควบคุมว่างเปล่า”

สัปดาห์ที่แล้ว หลังจากการอัปเดตชื่อข้อเสนอ 062 กลุ่มผู้ควบคุมเริ่มแจกจ่าย 280,000 COMP ให้กับคนผิด  Leshner ขอให้ผู้ใช้คืนเงินและขอบคุณทุกคนที่ให้เงินคืน

แต่เนื่องจากวิธีโครงสร้างการกำกับดูแลของ Compound จึงต้องใช้เวลาเจ็ดวันในการแก้ไขข้อผิดพลาด 

ใครๆ ก็สามารถเพิ่ม COMP ลงในกลุ่ม Comptroller ได้โดยการเรียก drip() ซึ่งเป็นฟังก์ชันสาธารณะ แต่ไม่มีใครโทรมาภายในไม่กี่สัปดาห์ 

“เมื่อมีการเรียกใช้ฟังก์ชันหยด() เมื่อเช้านี้ จะส่ง Backlog (202,472.5 หรือประมาณสองเดือนของ COMP นับตั้งแต่ครั้งสุดท้ายที่เรียกใช้ฟังก์ชัน) เข้าสู่โปรโตคอลเพื่อแจกจ่ายให้กับผู้ใช้” Leshner ทวีตในวันนี้

“ปัญหาหยดได้รับทราบแล้วสำหรับ Compound และนักวิจัยด้านความปลอดภัยมาสองสามวันแล้ว” Banteg กล่าว ถอดรหัส“แต่เนื่องจากไม่มีการบรรเทาผลกระทบ จึงมีการตัดสินใจที่จะเก็บมันไว้เป็นความลับโดยหวังว่าจะไม่มีใครสังเกตเห็นจนกว่าแพตช์จะออก”

นักพัฒนาชุมชนหวังว่าแพตช์จะใช้งานได้ก่อนที่จะมีการเรียก drip() Leshner ทวีตในวันนี้ Banteg เรียกการเอารัดเอาเปรียบว่า "ความลับที่ดีที่สุดใน DeFi"

Leshner กล่าวว่ายอดรวมของ COMP ที่มีความเสี่ยงขณะนี้อยู่ที่ประมาณ 490,000 หรือ 160 ล้านดอลลาร์ “ซึ่ง 136 รายการยังคงอยู่ในผู้ควบคุมบัญชี และ 117 รายการถูกส่งกลับไปยังชุมชนแล้ว”

Christopher Mooney เทรดเดอร์คริปโตแสดงความคิดเห็นในโพสต์ของ Banteg ว่า “ฉันรู้สึกประทับใจจริงๆ ที่มันใช้เวลานานขนาดนี้กับจำนวนคนที่รู้” ฟื้นฟูศรัทธาของฉันในมนุษยชาติเล็กน้อย แต่ในที่สุดคุณก็เลือกเป็นกลางที่วุ่นวาย”

Leshner ทวีตว่า “ในอนาคตข้างหน้า ฉันมองโลกในแง่ดีว่าแพตช์กำลังดำเนินการผ่านกระบวนการกำกับดูแล ซึ่งแก้ไขการแจกจ่าย และสมาชิกในชุมชนที่ทำงานเพื่อจัดการข้อบกพร่องนี้” COMP ลดลง 4.6% ใน 24 ชั่วโมงที่ผ่านมา

ที่มา: https://decrypt.co/82499/compound-exploit-drains-21m-from-lending-protocol