US$ 160 milhões em fundos no Compound estão em risco por conta de bug

Hoje, alguém explorou um bug no contrato inteligente no protocolo do Compound’s Controller, que distribui recompensas de farm aos usuários. Ao explorar uma falha no Compound, eles transferiram US$ 68 milhões, ou 202.472 COMP, da pool para seu controlador. 

Desde que o Banteg, um desenvolvedor central da Yearn.Finance, tuitou sobre o exploit no início desta tarde, quatro transações principais drenaram o pool de 64.997 COMP, ou US$ 21,4 milhões. Banteg disse que apenas “endereços com erros podem ser drenados” e que há outros cinco endereços que podem reivindicar US$ 45 milhões, “esvaziando a Controladoria”.

Leia mais

The best-kept secret in DeFi is out, someone called drip() on Compound's Reservoir, which sent another $68.8m of COMP to Comptroller.

I've run the numbers and it seems about 1/4 of that could be drained.https://t.co/I4mGeNX6uT

— banteg (@bantg) October 3, 2021

“O segredo mais bem guardado do DeFi é revelado, alguém chamou [a função] drip () no Reservatório de Compound, que enviou outros US$ 68,8 milhões de COMP para a Controladoria. Eu verifiquei os números e parece que cerca de 1/4 disso pode ser drenado.”

Na semana passada, após uma atualização chamada Proposta 062, o pool de Controladoria começou a distribuir 280.000 COMP para as pessoas erradas.  Foi pedido aos usuários que devolvessem os fundos. Mas, devido à forma como a governança da Compound é estruturada, leva sete dias para corrigir o erro. 

“Quando a função drip () foi chamada esta manhã, ela enviou o backlog (202.472,5, cerca de dois meses de COMP desde a última vez que a função foi chamada) para o protocolo para distribuição aos usuários”, twittou Leshner hoje.

“O problema do gotejamento é conhecido pelo Compound e pelos pesquisadores de segurança há alguns dias, mas como não houve mitigação, foi decidido mantê-lo em segredo, esperando que ninguém notasse até que um patch fosse lançado. “

Os desenvolvedores da comunidade esperavam que os patches fossem lançados antes que o bug fosse explorado. Banteg chamou a façanha de “o segredo mais bem guardado do DeFi”.

Leshner disse que o valor total do COMP em risco é agora de aproximadamente 490.000, ou US$ 160 milhões, “dos quais 136k ainda estão na Controladoria e 117k foram devolvidos à comunidade até agora.”

Comentando a postagem de Banteg, o investidor Christopher Mooney disse: “Estou honestamente impressionado que demorou tanto com o número de pessoas que sabiam. Restaura um pouco minha fé na humanidade […] ”

Qual sua opinião sobre os diversos problemas no setor DeFi? Deixe na seção de comentários abaixo.

Leia mais: A maior quebra da história dos mercados está chegando, afirma autor de Pai rico, pai pobre