$ 160M Rủi ro do lỗi trong Hợp chất giao thức cho vay DeFi

Ghi chú của biên tập viên: Bài viết này đã được cập nhật với các nhận xét từ Robert Leshner và Banteg.

Một tuần trước, người sáng lập Compound Robert Leshner đã gọi một lỗi trong hợp đồng thông minh của giao thức cho vay của mình là một “tình huống tiến thoái lưỡng nan về đạo đức”. Có lẽ đối với một số người, nhưng đối với những người khác, ngày nay các hợp đồng thông minh đã trở thành một cỗ máy bán hàng tự động chứa đầy tiền mặt miễn phí.

Hôm nay, ai đó đã khai thác một lỗi trong hợp đồng Bộ điều khiển của Compound, đây là một phần của giao thức phân phối phần thưởng canh tác năng suất cho người dùng. Qua gọi hàm drip () của Compound, họ đã chuyển 68 triệu đô la, hay 202,472 COMP, từ hồ chứa của Compound sang Comptroller của nó. 

Kể từ khi Banteg, một nhà phát triển cốt lõi tại Yearn.Finance, đã tweet về việc khai thác vào đầu giờ chiều nay, bốn giao dịch lớn đã tiêu tốn 64,997 COMP, tương đương 21.4 triệu USD. Một trong những giao dịch đó đã rút 37,504 COMP, tương đương 12.3 triệu USD. Banteg nói rằng chỉ “những địa chỉ có trạng thái lỗi mới có thể cạn kiệt” và có năm địa chỉ khác có thể yêu cầu 45 triệu đô la, “làm trống Comptroller”.

Tuần trước, sau một bản cập nhật có tên là Đề xuất 062, nhóm Người kiểm soát đã bắt đầu phân phối 280,000 COMP cho những người không phù hợp.  Leshner yêu cầu người dùng trả lại tiền và cảm ơn bất kỳ ai đã làm.

Nhưng do cách cấu trúc quản trị của Hợp chất nên phải mất bảy ngày để sửa lỗi. 

Bất kỳ ai cũng có thể thêm nhiều COMP hơn vào nhóm Trình điều khiển bằng cách gọi hàm nhỏ giọt (), một hàm công khai, nhưng không ai gọi trong nhiều tuần. 

Leshner hôm nay đã tweet: “Khi hàm Drip() được gọi vào sáng nay, nó đã gửi dữ liệu tồn đọng (202,472.5, khoảng hai tháng của COMP kể từ lần cuối cùng hàm này được gọi) vào giao thức để phân phối cho người dùng”.

Banteg nói: “Vấn đề nhỏ giọt đã được Hợp chất và các nhà nghiên cứu bảo mật biết đến vài ngày nay”. Giải mã, "nhưng vì không có biện pháp giảm nhẹ nên chúng tôi quyết định giữ bí mật với hy vọng không ai nhận ra cho đến khi có bản vá."

Leshner đã tweet hôm nay rằng các nhà phát triển cộng đồng hy vọng rằng các bản vá sẽ được phát hành trực tuyến trước khi phương pháp nhỏ giọt() được gọi. Banteg gọi việc khai thác là “bí mật được giữ kín nhất trong DeFi.”

Leshner cho biết tổng số lượng COMP gặp rủi ro hiện là khoảng 490,000, tương đương 160 triệu USD, “trong đó 136 nghìn vẫn nằm trong Comptroller và 117 nghìn đã được trả lại cho cộng đồng cho đến nay”.

Bình luận về bài đăng của Banteg, nhà giao dịch tiền điện tử Christopher Mooney cho biết: “Tôi thực sự ấn tượng với số lượng người biết đến lâu như vậy. Khôi phục niềm tin của tôi vào nhân loại một chút, nhưng cuối cùng một trong số các bạn đã chọn sự trung lập hỗn loạn.”

Leshner đã tweet: “Trong tương lai, tôi lạc quan về các bản vá đang được thực hiện trong quá trình quản trị, giúp sửa lỗi phân phối và các thành viên cộng đồng đang nỗ lực quản lý lỗi này”. COMP đã giảm 4.6% trong 24 giờ qua.

Nguồn: https://decrypt.co/82499/compound-exploit-drains-21m-from-lending-protocol