Протокол DeFi Compound Finance опять пострадал из-за ошибки в контракте Comptroller, распределяющем пользователям вознаграждения за майнинг ликвидности. Из протокола выведено $22 млн.
Смарт-контракт Comptroller в протоколе Compound Finance отвечает за распределение токенов COMP в процессе майнинга ликвидности. После активации обновления на прошлой неделе в протоколе возникла ошибка, позволяющая некоторым пользователям получать чрезмерные награды. Тогда из протокола были выведены токены на $80 млн.
Согласно заявлению разработчика yEarn.Finance под псевдонимом banteg, вчера злоумышленники вызвали функцию drip() и перевели на адрес Comptroller 202 472 COMP стоимостью $68.8 млн. Пользователям удалось получить токены на $21.5 млн.
Владелец одного адреса получил 37 504 COMP ($12 млн), а другого – 14 995 COMP ($4.9 млн). Деньги были востребованы по контрактам с MakerDAO DSProxy и теперь находятся на двух отдельных адресах. Владельцы других адресов получили 9 499, 1 699 і 2 999 COMP – общая стоимость выведенных из протокола токенов достигла примерно $22 млн.
По словам основателя Compound Роберта Лешнера (Robert Leshner), разработчики MakerDAO активно помогают в поиске решения для устранения этой ошибки. Как отмечает Лешнер, всего под угрозой оказалось до 490 000 COMP, из них 136 000 все еще находятся в Comptroller, а 117 000 уже возвращены сообществу.
По словам разработчика banteg, возможность пополнения ошибочного контракта была «известна в течение нескольких дней», но план сообщества «был молчать и надеяться, что никто об этом не узнает».
Контракты Compound не поддерживают схему мультиподисей, которая обеспечивает более быструю активацию обновления – изменения могут быть внесены только после окончания семидневного процесса одобрения. Эта архитектура безопасности теперь служит препятствием для исправления ошибочного кода.
В сообществе ведутся споры о том, что пользователи должны делать с полученными деньгами. Лешнер разделил участников дискуссии на две категории: «строители» DeFi, которые рассматривают протоколы вроде Compound как общественное благо и возвращают токены сообществу, и «максималисты прибыли», которые оставляют деньги себе и считают ошибку проблемой разработчиков.
Перевод токенов в контракт все еще продолжается. Пользователи вызывают функцию для добавления денег в контракт Comptroller из Compound Reservoir, потенциально подвергая токены риску. Разработчик banteg сказал, что изначальная оценка денег, находящихся в опасности, в $68 млн может быть неверной. Было обнаружено больше адресов, которые могут потребовать токены и опустошить контракт.
По данным CoinMarketCap, цена токена COMP за прошедшие сутки снизилась на 7% до $316.