US $ 160 milhões em risco devido a bug no composto do protocolo de empréstimo DeFi

O exploit é o segundo em apenas alguns dias.

Uma semana atrás, o fundador da Compound, Robert Leshner, chamou um bug em seu contrato inteligente de protocolo de empréstimo de “dilema moral“. Talvez para alguns, mas para outros hoje os contratos inteligentes tornaram-se uma máquina de venda automática cheia de dinheiro grátis.

Hoje, alguém explorou um bug no contrato do Compound’s Controller, que é a parte do protocolo que distribui recompensas de produção agrícola aos usuários. Ao chamar a função drip () de Compound , eles transferiram US$ 68 milhões, ou 202.472 COMP, do reservatório de Compound para seu controlador.

Desde que Banteg, um desenvolvedor central da Yearn.Finance, tuitou sobre o exploit no início desta tarde, quatro transações principais drenaram o pool da Controladoria de 64.997 COMP, ou US $ 21,4 milhões. Uma dessas transações retirou 37.504 COMP, ou US $ 12,3 milhões.

Banteg disse que apenas “endereços com erros podem ser drenados” e que há outros cinco endereços que podem reivindicar US $ 45 milhões, “esvaziando a Controladoria”.

Na semana passada, após uma atualização chamada Proposta 062, o pool de Controladoria começou a distribuir 280.000 COMP para as pessoas erradas.  Leshner pediu aos usuários que devolvessem os fundos e agradeceu a todos que o fizeram.

Mas, devido à forma como a governança da Compound é estruturada, leva sete dias para corrigir o erro.

Qualquer um pode adicionar mais COMP ao pool do Controlador chamando drip (), uma função pública, mas ninguém ligou nas últimas semanas.

“Quando a função drip () foi chamada esta manhã, ela enviou o backlog (202.472,5, cerca de dois meses de COMP desde a última vez que a função foi chamada) para o protocolo para distribuição aos usuários”, twittou Leshner hoje.

“O problema do gotejamento é conhecido por Compound e pelos pesquisadores de segurança há alguns dias”.

Disse Banteg à Decrypt.

“Mas como não houve mitigação, foi decidido mantê-lo em segredo, esperando que ninguém notasse até que um patch fosse lançado. “

Os desenvolvedores da comunidade esperavam que os patches fossem lançados antes que drip () fosse chamado, Leshner tweetou hoje. Banteg chamou a façanha de “o segredo mais bem guardado do DeFi“.

Leshner disse que o valor total do COMP em risco é agora de aproximadamente 490.000, ou US$ 160 milhões, “dos quais 136k ainda estão na Controladoria e 117k foram devolvidos à comunidade até agora.”

Comentando a postagem de Banteg, o trader de cripto Christopher Mooney disse:

“Estou honestamente impressionado que demorou tanto com o número de pessoas que sabiam. Restaura um pouco minha fé na humanidade, mas no final um de vocês escolheu o neutro caótico. ”

Leshner twittou:

“Daqui para frente, estou otimista com os patches que estão avançando no processo de governança, que corrigem a distribuição e os membros da comunidade que estão trabalhando para gerenciar esse bug.”

O COMP caiu 4,6% nas últimas 24 horas.

 

Fonte: DeCrypt

Foto de Neidson Soares
Foto de Neidson Soares O autor:

Conheceu esse universo dos criptoativos em 2016 e desde 2017 vem intensificando a busca por conhecimentos na área. Hoje trabalha juntamente com sua esposa no criptomercado de forma profissional. Bacharelando em Blockchain, Criptomoedas e Finanças na Era Digital.

neidson8