Из содержащего баг DeFi-проекта Compound нашли способ вывести еще $22 млн

необоснованно выплаченным пользователям на прошлой неделе. Остающиеся активы также находятся в зоне риска. Внимание на проблему обратил разработчик проекта yearn.finance под ником banteg. По его словам, о возможности зачисления новых токенов в проблемный контракт было известно на протяжении нескольких дней, однако разработчики надеялись устранить баги, прежде чем эта информация станет общедоступной: «Раскрыт главный секрет DeFi. Кто-то вызвал функцию drip() в контракте Compound Reservoir, таким образом отправив еще $68,8 млн в COMP в контракт Compound Comptroller. Я тут посчитал, и похоже, что четверть этой суммы можно вывести».Нажмите, чтобы раскрыть… Впоследствии обнаружились новые адреса, владельцы которых могут получить многомиллионные награды, из-за чего увеличилась и общая сумма потенциального ущерба. Так, вчера один из пользователей Compound получил 37 504 COMP стоимостью $12 млн, а другой забрал 14 995 токенов на $4,9 млн. Некоторые, тем временем, намеренно вызывают функцию для перевода в контракт новых средств. «Контракт Reservoir содержит большую часть COMP, зарезервированных для пользователей, и выделяет по 0,5 COMP с каждого блока, — объяснил создатель Compound Роберт Лешнер. – Никто не обращался к этой функции на протяжении нескольких недель, и разработчики надеялись провести предложения 63 и 64, прежде чем она будет вызвана снова. Когда сегодня утром кто-то вызвал функцию drip(), 202 472,5 COMP, накопившиеся за два последних месяца, пока не обращались к функции, были переведены в протокол для распределения среди пользователей». Нажмите, чтобы раскрыть… Compound, в отличие от некоторых других DeFi-проектов, не использует мультиподпись, которая позволила бы разработчикам провести немедленное вмешательство. Вместо этого любые изменения в протоколе должны осуществляться при помощи голосования – весь процесс занимает 7 дней. Лешнер призвал пользователей вернуть необоснованное вознаграждение: «Если вы получили крупную, неправильную сумму в COMP из-за ошибки протокола Compound, пожалуйста, верните ее в контракт Compound Timelock, оставив себе 10%. В противном случае об этом будет сообщено в Налоговое управление как о доходе, и личности большинства из вас раскроют. Это не то событие, которое могло бы подвергнуть сомнению безопасность DeFi. Это звоночек для децентрализованных и управляемых сообществом протоколов, чтобы они улучшили процессы внесения изменений. Децентрализованные протоколы с открытым кодом еще только проходят становление, их сложно развивать, но каждая трудность ведет к более антихрупкой системе».Нажмите, чтобы раскрыть…