Из содержащего баг DeFi-проекта Compound нашли способ вывести еще $22 млн

Из содержащего баг DeFi-проекта Compound нашли способ вывести еще $22 млн

04.10.2021
0
Максим Николаев

Содержащий баг контракт DeFi-проекта Compound Finance был пополнен еще на $66 млн, которые сдали доступны для распределения в качестве наград. По крайней мере $22 млн уже было выведено вдобавок к $80 млн, необоснованно выплаченным пользователям на прошлой неделе. Остающиеся активы также находятся в зоне риска.

Внимание на проблему обратил разработчик проекта yearn.finance под ником banteg. По его словам, о возможности зачисления новых токенов в проблемный контракт было известно на протяжении нескольких дней, однако разработчики надеялись устранить баги, прежде чем эта информация станет общедоступной:

«Раскрыт главный секрет DeFi. Кто-то вызвал функцию drip() в контракте Compound Reservoir, таким образом отправив еще $68,8 млн в COMP в контракт Compound Comptroller. Я тут посчитал, и похоже, что четверть этой суммы можно вывести».

Впоследствии обнаружились новые адреса, владельцы которых могут получить многомиллионные награды, из-за чего увеличилась и общая сумма потенциального ущерба. Так, вчера один из пользователей Compound получил 37 504 COMP стоимостью $12 млн, а другой забрал 14 995 токенов на $4,9 млн. Некоторые, тем временем, намеренно вызывают функцию для перевода в контракт новых средств.

«Контракт Reservoir содержит большую часть COMP, зарезервированных для пользователей, и выделяет по 0,5 COMP с каждого блока, — объяснил создатель Compound Роберт Лешнер. – Никто не обращался к этой функции на протяжении нескольких недель, и разработчики надеялись провести предложения 63 и 64, прежде чем она будет вызвана снова. Когда сегодня утром кто-то вызвал функцию drip(), 202 472,5 COMP, накопившиеся за два последних месяца, пока не обращались к функции, были переведены в протокол для распределения среди пользователей».

Compound, в отличие от некоторых других DeFi-проектов, не использует мультиподпись, которая позволила бы разработчикам провести немедленное вмешательство. Вместо этого любые изменения в протоколе должны осуществляться при помощи голосования – весь процесс занимает 7 дней.

Лешнер призвал пользователей вернуть необоснованное вознаграждение:

«Если вы получили крупную, неправильную сумму в COMP из-за ошибки протокола Compound, пожалуйста, верните ее в контракт Compound Timelock, оставив себе 10%. В противном случае об этом будет сообщено в Налоговое управление как о доходе, и личности большинства из вас раскроют. Это не то событие, которое могло бы подвергнуть сомнению безопасность DeFi. Это звоночек для децентрализованных и управляемых сообществом протоколов, чтобы они улучшили процессы внесения изменений. Децентрализованные протоколы с открытым кодом еще только проходят становление, их сложно развивать, но каждая трудность ведет к более антихрупкой системе».

Подписаться
Уведомить о
0 Комментарий
Межтекстовые Отзывы
Посмотреть все комментарии
0
Оставьте комментарий! Напишите, что думаете по поводу статьи.x