Hace una semana, el fundador de Compound, Robert Leshner, calificó un error en el contrato inteligente de su protocolo de préstamos como un “dilema moral”. Tal vez para algunos, pero para otros hoy los contratos inteligentes se convirtieron en una máquina expendedora llena de efectivo gratis.

Hoy, alguien explotó un error en el contrato de controlador de Compound, que es la parte del protocolo que distribuye las recompensas de la agricultura de rendimiento a los usuarios. Al llamar a la función drip() de Compound, transfirieron $68 millones, o 202,472 COMP, del depósito de Compound a su Contralor.

Desde que Banteg, un desarrollador principal de Yearn.Finance, tuiteó sobre el exploit a principios de esta tarde, cuatro transacciones importantes han drenado el grupo de Contralor de 64,997 COMP, o $21.4 millones. Una de esas transacciones retiró 37,504 COMP, o $12.3 millones. Banteg dijo que solo “las direcciones con el estado buggy pueden drenar” y que hay otras cinco direcciones que podrían reclamar $45 millones, “vaciando al Contralor”.

It appears my estimate was low because of stale data in accruedComp. Four users managed to claim $21.5m so far, so maybe there are more funds at risk. I don't know of a quick way to check all addresses. pic.twitter.com/IOHRby8nni

— banteg (@bantg) October 3, 2021

La semana pasada, siguiendo una actualización llamada Propuesta 062, el grupo de Contralores comenzó a distribuir 280,000 COMP a las personas equivocadas. Leshner pidió a los usuarios que devolvieran los fondos y agradeció a cualquiera que lo hiciera.

Anyone who returns COMP to the community is an alien giga-chad; and if a squad of alien giga-chads ever summon me, I will appear https://t.co/EZLb7g91Ew

— Robert Leshner (@rleshner) October 1, 2021

Pero debido a la forma en que está estructurada la gobernanza de Compound, se necesitan siete días para corregir el error.

Cualquiera puede agregar más COMP al grupo de contralores llamando a drip(), una función pública, pero nadie había llamado en semanas.

“Cuando se llamó a la función drip() esta mañana, envió el backlog (202,472.5, aproximadamente dos meses de COMP desde la última vez que se llamó a la función) al protocolo para su distribución a los usuarios”, tuiteó Leshner hoy.

“El problema del goteo ha sido conocido por Compound y los investigadores de seguridad desde hace unos días”, dijo Banteg a Decrypt,”pero como no hubo mitigación, se decidió mantenerlo en secreto con la esperanza de que nadie se diera cuenta hasta que se eliminara un parche”.

Los desarrolladores de la comunidad esperaban que los parches se activarían antes de que se llamara a drip(), tuiteó Leshner hoy. Banteg llamó al exploit “el secreto mejor guardado en DeFi”.

This brings the total COMP at risk to approximately 490k, of which 136k is still in the Comptroller, and 117k has been returned to the community so far (THANK YOU 🙏).

— Robert Leshner (@rleshner) October 3, 2021

Leshner dijo que la cantidad total de COMP en riesgo es ahora de aproximadamente 490,000, o $160 millones, “de los cuales 136k todavía están en el Contralor, y 117k han sido devueltos a la comunidad hasta ahora”.

Al comentar sobre la publicación de Banteg, el comerciante de criptomonedas Christopher Mooney dijo: “Honestamente, estoy impresionado de que haya tomado tanto tiempo con la cantidad de personas que lo sabían. Restaura un poco mi fe en la humanidad, pero al final uno de ustedes eligió la neutralidad caótica”.

Leshner tuiteó: “En el futuro, soy optimista sobre los parches que se están abrió camino a través del proceso de gobernanza, que corrigen la distribución, y los miembros de la comunidad que están trabajando para administrar este error”. COMP ha caído un 4.6% en las últimas 24 horas.

Pagina Original:

$160M At Risk Due to Bug in DeFi Lending Protocol Compound