US $ 160 milhões em risco devido a bug no composto do protocolo de empréstimo DeFi
O exploit é o segundo em apenas alguns dias.
Uma semana atrás, o fundador da Compound, Robert Leshner, chamou um bug em seu contrato inteligente de protocolo de empréstimo de “dilema moral“. Talvez para alguns, mas para outros hoje os contratos inteligentes tornaram-se uma máquina de venda automática cheia de dinheiro grátis.
Hoje, alguém explorou um bug no contrato do Compound’s Controller, que é a parte do protocolo que distribui recompensas de produção agrícola aos usuários. Ao chamar a função drip () de Compound , eles transferiram US$ 68 milhões, ou 202.472 COMP, do reservatório de Compound para seu controlador.
Desde que Banteg, um desenvolvedor central da Yearn.Finance, tuitou sobre o exploit no início desta tarde, quatro transações principais drenaram o pool da Controladoria de 64.997 COMP, ou US $ 21,4 milhões. Uma dessas transações retirou 37.504 COMP, ou US $ 12,3 milhões.
Banteg disse que apenas “endereços com erros podem ser drenados” e que há outros cinco endereços que podem reivindicar US $ 45 milhões, “esvaziando a Controladoria”.
https://twitter.com/bantg/status/1444678789204742145?s=20
Na semana passada, após uma atualização chamada Proposta 062, o pool de Controladoria começou a distribuir 280.000 COMP para as pessoas erradas. Leshner pediu aos usuários que devolvessem os fundos e agradeceu a todos que o fizeram.
https://twitter.com/rleshner/status/1444043076176056324?s=20
Mas, devido à forma como a governança da Compound é estruturada, leva sete dias para corrigir o erro.
Qualquer um pode adicionar mais COMP ao pool do Controlador chamando drip (), uma função pública, mas ninguém ligou nas últimas semanas.
“Quando a função drip () foi chamada esta manhã, ela enviou o backlog (202.472,5, cerca de dois meses de COMP desde a última vez que a função foi chamada) para o protocolo para distribuição aos usuários”, twittou Leshner hoje.
“O problema do gotejamento é conhecido por Compound e pelos pesquisadores de segurança há alguns dias”.
Disse Banteg à Decrypt.
“Mas como não houve mitigação, foi decidido mantê-lo em segredo, esperando que ninguém notasse até que um patch fosse lançado. “
- Veja também: Usuários chineses da exchange KuCoin são forçados a encerrar suas contas até o final de 2021
Os desenvolvedores da comunidade esperavam que os patches fossem lançados antes que drip () fosse chamado, Leshner tweetou hoje. Banteg chamou a façanha de “o segredo mais bem guardado do DeFi“.
https://twitter.com/rleshner/status/1444691282455142400?s=20
Leshner disse que o valor total do COMP em risco é agora de aproximadamente 490.000, ou US$ 160 milhões, “dos quais 136k ainda estão na Controladoria e 117k foram devolvidos à comunidade até agora.”
Comentando a postagem de Banteg, o trader de cripto Christopher Mooney disse:
“Estou honestamente impressionado que demorou tanto com o número de pessoas que sabiam. Restaura um pouco minha fé na humanidade, mas no final um de vocês escolheu o neutro caótico. ”
Leshner twittou:
“Daqui para frente, estou otimista com os patches que estão avançando no processo de governança, que corrigem a distribuição e os membros da comunidade que estão trabalhando para gerenciar esse bug.”
O COMP caiu 4,6% nas últimas 24 horas.
Fonte: DeCrypt
O autor: Neidson Soares
Conheceu esse universo dos criptoativos em 2016 e desde 2017 vem intensificando a busca por conhecimentos na área. Hoje trabalha juntamente com sua esposa no criptomercado de forma profissional. Bacharelando em Blockchain, Criptomoedas e Finanças na Era Digital.