Compound может потерять более $160 млн из-за бага в смарт-контракте Comptroller, который уже стоил лендинговому протоколу $82 млн.
Comptroller отвечает за распределение COMP в процессе майнинга ликвидности. После активации REP-062 на этой неделе в протоколе возник баг, позволяющий получать токены сверх установленной правилами суммы. Таким образом из Compound вывели $82 млн.
Вызвав функцию drip (), неизвестные перевели на проблемный адрес 202 472 токенов управления COMP (~$66,8 млн на момент написания) из смарт-контракта Reservoir, сообщил ведущий разработчик yEarn.Finance под ником banteg.
It appears my estimate was low because of stale data in accruedComp. Four users managed to claim $21.5m so far, so maybe there are more funds at risk. I don't know of a quick way to check all addresses. pic.twitter.com/IOHRby8nni
— banteg (@bantg) October 3, 2021
По его данным, после инициации функции drip () четыре крупные транзакции опустошили адрес Comptroller на 64 997 COMP (~$21,5 млн). По словам banteg, только «адреса с базовым состоянием могут слить средства». Разработчик подчеркнул, что есть еще как минимум пять адресов, которые в совокупности могут затребовать токены на $45 млн.
«Проблема с drip была известна [Compound Labs] и исследователям безопасности уже несколько дней. Было решено держать ее в секрете, надеясь, что никто не заметит проблемы, пока не выйдет патч», — заявил banteg в интервью Decrypt.
Основатель проекта Роберт Лешнер рассказал, что под угрозой оказались 490 000 COMP (~$161,7 млн). Из них «136 000 [токенов] все еще находятся в Comptroller, а 117 000 — возвращены сообществу».
This brings the total COMP at risk to approximately 490k, of which 136k is still in the Comptroller, and 117k has been returned to the community so far (THANK YOU ??).
— Robert Leshner (@rleshner) October 3, 2021
Ранее в разговоре с CoinDesk Лешнер назвал ситуацию «моральной дилеммой». Он призвал участников сообщества вернуть несправедливо полученную криптовалюту и пригрозил сообщить о случившемся в IRS. Однако далеко не все откликнулись на эту просьбу.
If you received a large, incorrect amount of COMP from the Compound protocol error:
Please return it to the Compound Timelock (0x6d903f6003cca6255D85CcA4D3B5E5146dC33925). Keep 10% as a white-hat.
Otherwise, it's being reported as income to the IRS, and most of you are doxxed.
— Robert Leshner (@rleshner) October 1, 2021
Напомним, в июне Compound Labs открыла дочернюю структуру Compound Treasury. Она представляет необанкам и прочим финучреждениям доступ к экосистеме DeFi.
