Uma semana atrás, o fundador do Compound, Robert Leshner, chamou um bug encontrado em um contrato inteligente do seu popular protocolo de empréstimo de “dilema moral”. Talvez para alguns, mas para outros hoje os contratos inteligentes tornaram-se uma máquina de venda automática cheia de dinheiro grátis.
No domingo (3), alguém explorou um bug no contrato Controller do Compound, a parte do protocolo que distribui as recompensas de yield farming aos usuários. Ao chamar a função drip () do Compound, os invasores transferiram US$ 68 milhões, ou 202.472 COMP, do reservatório para a Controladoria do Compound.
Desde que o desenvolvedor core da Yearn.Finance, Banteg, tuitou sobre a exploração no início da tarde, outras quatro grandes transações esgotaram os 64.997 COMP que estavam armazenados no pool da Controladoria, cerca de US$ 21,4 milhões.
Uma dessas transações retirou 37.504 COMP, ou US$ 12,3 milhões. Banteg disse que apenas “endereços com o bug podem ser drenados” e que ainda há outros cinco endereços que podem reivindicar mais US$ 45 milhões, o que acabaria “esvaziando a Controladoria”.
Na semana passada, após uma atualização chamada Proposta 062, o pool de Controladoria começou a distribuir 280.000 COMP para as pessoas erradas. O desenvolvedor líder do projeto, Robert Leshner, pediu aos usuários que devolvessem os fundos e agradeceu a todos que o fizeram.
Embora tenham identificado o erro, pode levar sete dias para corrigi-lo devido à forma como a governança da Compound é estruturada.
Problema escondido
Qualquer um pode adicionar mais criptomoedas COMP ao pool da Controladoria chamando a função pública drip (), mas ninguém a utilizou nas últimas semanas.
Leia Também
“Quando a função drip () foi chamada esta manhã, ela enviou o backlog (202.472,5, cerca de dois meses de COMP desde a última vez que a função foi chamada) para o protocolo para distribuição aos usuários”, twittou Leshner no final de semana.
“O problema da função drip é conhecido pela equipe do Compound e os pesquisadores de segurança há alguns dias”, disse Banteg ao Decrypt, “mas como não houve mitigação do problema, foi decidido mantê-lo em segredo na esperança de que ninguém o notasse até que um patch fosse lançado”.
Leshner confirmou em um tweet que os desenvolvedores da comunidade esperavam que os patches fossem lançados antes que o drip () fosse chamado no protocolo. Banteg chamou a exploração de “o segredo mais bem guardado do DeFi”.
Leshner disse que o valor total de COMP em risco é agora de aproximadamente 490.000, ou US$ 160 milhões, “dos quais 136 mil ainda estão na Controladoria e 117 mil foram devolvidos à comunidade até agora”.
Comentando sobre a postagem de Banteg, o trader de criptomoedas Christopher Mooney disse estar “honestamente impressionado que demorou tanto com o número de pessoas que sabiam. Restaura um pouco minha fé na humanidade, mas no final um de vocês escolheu o neutro caótico”.
Leshner twittou: “Daqui para frente, estou otimista com as atualizações que estão avançando no processo de governança, que corrigem a distribuição e os membros da comunidade que estão trabalhando para gerenciar esse bug.”
O COMP está valendo US$ 317 na manhã desta segunda-feira (4), em queda de 6,3% no dia, segundo o CoinMarketCap.
*Traduzido e editado com autorização da Decrypt.co
