编者注:本文已根据 Robert Leshner 和 Banteg 的评论进行了更新。
一周前,Compound 创始人 Robert Leshner 称其借贷协议智能合约中的一个错误是“道德困境”。也许对某些人来说,但对另一些人来说,今天的智能合约变成了一台装满免费现金的自动售货机。
今天,有人利用了Compound控制器合约中的一个错误,该合约是向用户分配流动性挖矿奖励的协议的一部分。经过 调用Compound的drip()函数,他们将 68 万美元(即 202,472 COMP)从Compound 的储库转移到其主计长。
自 Yearn.Finance 的核心开发人员 Banteg 今天下午早些时候在推特上发布有关该漏洞的推文以来,四笔主要交易已耗尽 Comptroller 池中的 64,997 COMP(21.4 万美元)。其中一笔交易撤回了 37,504 COMP,即 12.3 万美元。 Banteg 表示,只有“有问题的地址才能耗尽”,另外 45 个地址可能会索赔 XNUMX 万美元,“清空审计员”。
上周,在名为 062 提案的更新之后,Comptroller 池开始将 280,000 COMP 分发给错误的人。 莱什纳要求用户退还资金,并对所有退还资金的人表示感谢。
但由于Compound 的治理结构,需要 7 天的时间来纠正错误。
任何人都可以通过调用公共函数 Drop() 来向 Comptroller 池中添加更多 COMP,但几周内没有人调用过。
Leshner 今天在推特上写道:“今天早上调用 Drop() 函数时,它将积压的工作(202,472.5,自上次调用该函数以来大约两个月的 COMP)发送到协议中以分发给用户。”
Banteg 表示:“Compound 和安全研究人员已经知道滴水问题几天了。” 解码,“但由于没有缓解措施,因此决定将其保密,希望在补丁发布之前没有人会注意到。”
Leshner 今天在推特上表示,社区开发者希望补丁能够在调用 Drop() 之前上线。 Banteg 称该漏洞是“DeFi 中保守得最好的秘密”。
Leshner 表示,目前面临风险的 COMP 总量约为 490,000 枚,即 160 亿美元,“其中 136 枚仍留在 Comptroller 中,到目前为止,117 枚已返还给社区。”
加密货币交易员克里斯托弗·穆尼 (Christopher Mooney) 在评论 Banteg 的帖子时表示:“说实话,花了这么长时间才知道这么多人,这给我留下了深刻的印象。稍微恢复了我对人性的信心,但最终你们中的一个人选择了混乱中立。”
莱什纳在推特上写道:“展望未来,我对通过治理流程修复发行版的补丁以及致力于管理此错误的社区成员持乐观态度。” COMP在过去4.6小时内下跌了24%。
来源:https://decrypt.co/82499/compound-exploit-drains-21m-from-lending-protocol
