修正が実装される前に複合契約のバグが蔓延し続ける
分散型金融 ( DeFi ) プロトコル Compound Financeは週末にかけてさらに多くの問題に直面し、日曜日にはバグに悩まされていた約 6,500 万米ドル相当の COMP がコントラクトに投入されました。
Etherscan によると、10 月 3 日、6,467 万米ドル相当の COMP 202,472.5 が Compound Reservoir コントラクトからプロトコルに転送されました。
これが意味することは、新たに注入された資金も同様に悪用されるリスクがあるということです。昨日、アドレスは約 480 万ドルの送金を示し、別のアドレスは1200 万ドル近くの送金を示しました。
侵害された契約に資金を追加するこの機能は知られていることが判明しましたが、秘密にしておくことが決定されたようです。
yearn.finance ( YFI ) の中心的な寄稿者である ‘banteg’は、”これは数日前から知られていましたが、軽減する方法はないため、黙って 1 週間は誰にも発見されないことを祈る計画でした”と主張しています。
Compound Lab の 10 月 2 日のツイートは、その原因となった提案によって”導入されたバグにパッチを当てる”新しい提案を発表し、”大多数のユーザーに対して COMP 配布を再開する”ものでした。プロトコルの背後にあるチームは、10 月 7 日に欠陥のある提案に続く 2 つの提案が実装されるまで、誰もこの機能を使用しないことを望んでいたようです。
それに応じて、Compound Labs の創設者である Robert Leshner は、Reservoir コントラクトがユーザー用に予約された COMP の大部分を保持し、0.50 COMP/ブロックをプロトコルに滴下すると述べました。”何週間も誰も機能を呼び出していませんでした。コミュニティの開発者は、提案 63 または 64 (ガバナンス) が呼び出される前に発効することを期待していました。”と付け加えました。
創業者によると、何が起こったのかというと、日曜日の朝に誰かがこの”ドリップ関数”を呼び出したとき、COMP 202,472.5 のバックログ全体、つまり関数が最後に呼び出されてから約 2 か月分の COMP がプロトコルに送信され、ユーザーに配布されました。
そして、c。COMP 117,000 (USD 37.28m) が投稿時までに返還され、合計で COMP 490,000 (156.12m) が脆弱であると報告されました。
これにより、COMP の合計は約 490,000 になり、そのうち 136,000 はまだ Comptroller にあり、これまでに 117,000 がコミュニティに返還されました (ありがとうございます?)。
— ロバート・レシュナー (@rleshner) 2021 年 10 月 3 日
報告されているよう に、Compound Finance は先週提案を可決し、実行しましたが、すぐに、スマート コントラクトのバグにより、ユーザーが数百万ドルの COMP 報酬を請求でき、当時 8,200 万米ドルが影響を受けたことがわかりました。
数日後、レシュナー氏は、要求された COMP を返還しない人を晒すという脅迫と主に認識されているツイートをツイートしました。
10:42 UTC で、COMP は USD 318 で取引されています。1 日で 6%、1 週間で 9% 下落しています。
____
詳細: