US$ 160 milhões em risco devido a bug no composto do protocolo de empréstimo defi

Nota do editor: Este artigo foi atualizado com comentários de Robert Leshner e Banteg.

Há uma semana, o fundador da Compound, Robert Leshner, chamou um bug no contrato inteligente de seu protocolo de empréstimos de “dilema moral”. Talvez para alguns, mas para outros hoje os contratos inteligentes se tornaram uma máquina de venda automática cheia de dinheiro grátis.

Hoje, alguém explorou um bug no contrato do Controlador da Compound, que é a parte do protocolo que distribui recompensas de produção para os usuários. Por chamando a função de gotejamento do Compound(), eles transferiram US$ 68 milhões, ou 202.472 COMP, do reservatório da Compound para sua Controladoria.

Desde que banteg, um desenvolvedor principal da Ann.Finance, tuitou sobre a exploração no início desta tarde, quatro grandes transações drenaram o pool da Controladoria de 64.997 COMP, ou US$ 21,4 milhões. Uma dessas transações retirou 37.504 COMP, ou US$ 12,3 milhões. Banteg disse que apenas “endereços com o estado do buggy podem drenar” e que há outros cinco endereços que poderiam reivindicar US$ 45 milhões, “esvaziando a Controladoria”.

Na semana passada, após uma atualização chamada Proposta 062, a Controladoria começou a distribuir 280.000 COMP para as pessoas erradas. Leshner pediu aos usuários que devolvessem os fundos e agradeceu a todos que o fizeram.

Mas devido à forma como a governança do Compound está estruturada, leva sete dias para corrigir o erro.

Qualquer um pode adicionar mais COMP à casa da Controladoria chamando gotejamento(), uma função pública, mas ninguém tinha chamado em semanas.

“Quando a função drip() foi chamada esta manhã, ela enviou o backlog (202.472,5, cerca de dois meses de COMP desde a última vez que a função foi chamada) para o protocolo de distribuição aos usuários”, tuitou Leshner hoje.

“A questão do gotejamento é conhecida pelo Composto e pelos pesquisadores de segurança há alguns dias”, disse Banteg Desencriptar, “mas como não houve atenuação, decidiu-se mantê-lo em segredo esperando que ninguém notasse até que um patch fosse eliminado.”

Os desenvolvedores da comunidade esperavam que os patches fossem ao vivo antes do gotejamento ser chamado, tuitou Leshner hoje. Banteg chamou a exploração de “o segredo mais bem guardado em DeFi”.

Leshner disse que o montante total de COMP em risco agora é de aproximadamente 490.000, ou 160 milhões de dólares, “dos quais 136 mil ainda estão na Controladoria, e 117 mil foram devolvidos à comunidade até agora”.

Comentando o post de Banteg, o trader de criptomoedas Christopher Mooney disse: “Estou honestamente impressionado que demorou tanto tempo com o número de pessoas que sabiam.  Restaura um pouco a minha fé na humanidade, mas no final um de vocês escolheu um neutro caótico.”

Leshner tuitou: “Daqui para frente, estou otimista com os patches que passam pelo processo de governança, que consertam a distribuição, e os membros da comunidade que estão trabalhando para gerenciar esse bug.”. O COMP caiu 4,6% nas últimas 24 horas.





Fonte: decrypt.co

Comments (No)

Leave a Reply