US $ 160 milhões em risco devido a bug no composto do protocolo de empréstimo DeFi
O exploit é o segundo em apenas alguns dias.
Uma semana atrás, o fundador da Compound, Robert Leshner, chamou um bug em seu contrato inteligente de protocolo de empréstimo de “dilema moral“. Talvez para alguns, mas para outros hoje os contratos inteligentes tornaram-se uma máquina de venda automática cheia de dinheiro grátis.
Hoje, alguém explorou um bug no contrato do Compound’s Controller, que é a parte do protocolo que distribui recompensas de produção agrícola aos usuários. Ao chamar a função drip () de Compound , eles transferiram US$ 68 milhões, ou 202.472 COMP, do reservatório de Compound para seu controlador.
Desde que Banteg, um desenvolvedor central da Yearn.Finance, tuitou sobre o exploit no início desta tarde, quatro transações principais drenaram o pool da Controladoria de 64.997 COMP, ou US $ 21,4 milhões. Uma dessas transações retirou 37.504 COMP, ou US $ 12,3 milhões.
Banteg disse que apenas “endereços com erros podem ser drenados” e que há outros cinco endereços que podem reivindicar US $ 45 milhões, “esvaziando a Controladoria”.
It appears my estimate was low because of stale data in accruedComp. Four users managed to claim $21.5m so far, so maybe there are more funds at risk. I don't know of a quick way to check all addresses. pic.twitter.com/IOHRby8nni
— banteg (@bantg) October 3, 2021
Na semana passada, após uma atualização chamada Proposta 062, o pool de Controladoria começou a distribuir 280.000 COMP para as pessoas erradas. Leshner pediu aos usuários que devolvessem os fundos e agradeceu a todos que o fizeram.
Anyone who returns COMP to the community is an alien giga-chad; and if a squad of alien giga-chads ever summon me, I will appear https://t.co/EZLb7g91Ew
— Robert Leshner (@rleshner) October 1, 2021
Mas, devido à forma como a governança da Compound é estruturada, leva sete dias para corrigir o erro.
Qualquer um pode adicionar mais COMP ao pool do Controlador chamando drip (), uma função pública, mas ninguém ligou nas últimas semanas.
“Quando a função drip () foi chamada esta manhã, ela enviou o backlog (202.472,5, cerca de dois meses de COMP desde a última vez que a função foi chamada) para o protocolo para distribuição aos usuários”, twittou Leshner hoje.
“O problema do gotejamento é conhecido por Compound e pelos pesquisadores de segurança há alguns dias”.
Disse Banteg à Decrypt.
“Mas como não houve mitigação, foi decidido mantê-lo em segredo, esperando que ninguém notasse até que um patch fosse lançado. “
- Veja também: Usuários chineses da exchange KuCoin são forçados a encerrar suas contas até o final de 2021
Os desenvolvedores da comunidade esperavam que os patches fossem lançados antes que drip () fosse chamado, Leshner tweetou hoje. Banteg chamou a façanha de “o segredo mais bem guardado do DeFi“.
This brings the total COMP at risk to approximately 490k, of which 136k is still in the Comptroller, and 117k has been returned to the community so far (THANK YOU 🙏).
— Robert Leshner (@rleshner) October 3, 2021
Leshner disse que o valor total do COMP em risco é agora de aproximadamente 490.000, ou US$ 160 milhões, “dos quais 136k ainda estão na Controladoria e 117k foram devolvidos à comunidade até agora.”
Comentando a postagem de Banteg, o trader de cripto Christopher Mooney disse:
“Estou honestamente impressionado que demorou tanto com o número de pessoas que sabiam. Restaura um pouco minha fé na humanidade, mas no final um de vocês escolheu o neutro caótico. ”
Leshner twittou:
“Daqui para frente, estou otimista com os patches que estão avançando no processo de governança, que corrigem a distribuição e os membros da comunidade que estão trabalhando para gerenciar esse bug.”
O COMP caiu 4,6% nas últimas 24 horas.
Fonte: DeCrypt
O autor: Neidson Soares Conheceu esse universo dos criptoativos em 2016 e desde 2017 vem intensificando a busca por conhecimentos na área. Hoje trabalha juntamente com sua esposa no criptomercado de forma profissional. Bacharelando em Blockchain, Criptomoedas e Finanças na Era Digital.