Bug en Compound Pone en Riesgo $160 Millones en Fondos de Usuarios

Por Robert Stevens

Hace una semana, el fundador de Compound, Robert Leshner, calificó de "dilema moral" un fallo en el contrato inteligente de su protocolo de préstamos. Quizás para algunos, pero para otros hoy los contratos inteligentes se convirtieron en una máquina expendedora llena de dinero gratis.

Hoy, alguien ha explotado un fallo en el contrato del controlador de Compound, que es la parte del protocolo que distribuye las recompensas de la agricultura de rendimiento a los usuarios. Al invocar la función drip() de Compound, transfirieron 68 millones de dólares, o 202.472 COMP, del depósito de Compound a su Contralor.

Desde que Banteg, un desarrollador del núcleo de Yearn.Finance, tuiteó sobre el exploit a primera hora de la tarde, cuatro transacciones importantes han vaciado la reserva del Contralor de 64.997 COMP, o 21,4 millones de dólares. Una de esas transacciones retiró 37.504 COMP, es decir, 12,3 millones de dólares. Banteg dijo que sólo "las direcciones con el estado defectuoso pueden drenar" y que hay otras cinco direcciones que podrían reclamar 45 millones de dólares, "vaciando la Contraloría".

La semana pasada, a raíz de una actualización denominada Propuesta 062, el fondo de la Contraloría empezó a distribuir 280.000 COMP a personas equivocadas. Leshner pidió a los usuarios que devolvieran los fondos y agradeció a los que lo hicieron.

Pero debido a la forma en que está estructurada la gobernanza de COMP, se necesitan siete días para corregir el error.

Cualquiera puede añadir más COMP a la reserva de Compound llamando a drip(), una función pública, pero nadie había llamado en semanas.

"Cuando se llamó a la función drip() esta mañana, se envió la reserva (202.472,5, unos dos meses de COMP desde la última vez que se llamó a la función) al protocolo para su distribución a los usuarios", tuiteó hoy Leshner.

"El problema del drip ha sido conocido por Compound y los investigadores de seguridad desde hace unos días", dijo Banteg a Decrypt, "pero como no había ninguna mitigación, se decidió mantenerlo en secreto esperando que nadie se diera cuenta hasta que saliera un parche."

Los desarrolladores de la comunidad esperaban que los parches salieran a la luz antes de que se llamara a drip(), según tuiteó hoy Leshner. Banteg calificó el exploit como "el secreto mejor guardado del mundo DeFi".

Leshner dijo que la cantidad total de COMP en riesgo es ahora de aproximadamente 490.000, o 160 millones de dólares, "de los cuales 136k están todavía en el Contralor, y 117k han sido devueltos a la comunidad hasta ahora."

Comentando el post de Banteg, el trader de criptomonedas Christopher Mooney dijo: "Estoy honestamente impresionado de que haya tomado tanto tiempo con el número de personas que lo sabían. Restaura mi fe en la humanidad un poco, pero al final uno de ustedes eligió la neutralidad caótica."

Leshner tuiteó: "De cara al futuro, soy optimista sobre los parches que se abren paso a través del proceso de gobernanza, que arreglan la distribución, y los miembros de la comunidad que están trabajando para gestionar este fallo." COMP ha caído un 4,6% en las últimas 24 horas.

Noticias recomendados