Imagem da matéria: Projeto DeFi corre risco de perder US$ 160 milhões por grave bug no protocolo
Foto: Shutterstock

Uma semana atrás, o fundador do Compound, Robert Leshner, chamou um bug encontrado em um contrato inteligente do seu popular protocolo de empréstimo de “dilema moral”. Talvez para alguns, mas para outros hoje os contratos inteligentes tornaram-se uma máquina de venda automática cheia de dinheiro grátis.

No domingo (3), alguém explorou um bug no contrato Controller do Compound, a parte do protocolo que distribui as recompensas de yield farming aos usuários. Ao chamar a função drip () do Compound, os invasores transferiram US$ 68 milhões, ou 202.472 COMP, do reservatório para a Controladoria do Compound.

Publicidade

Desde que o desenvolvedor core da Yearn.Finance, Banteg, tuitou sobre a exploração no início da tarde, outras quatro grandes transações esgotaram os 64.997 COMP que estavam armazenados no pool da Controladoria, cerca de US$ 21,4 milhões. 

Uma dessas transações retirou 37.504 COMP, ou US$ 12,3 milhões. Banteg disse que apenas “endereços com o bug podem ser drenados” e que ainda há outros cinco endereços que podem reivindicar mais US$ 45 milhões, o que acabaria “esvaziando a Controladoria”.

Na semana passada, após uma atualização chamada Proposta 062, o pool de Controladoria começou a distribuir 280.000 COMP para as pessoas erradas. O desenvolvedor líder do projeto, Robert Leshner, pediu aos usuários que devolvessem os fundos e agradeceu a todos que o fizeram.

Embora tenham identificado o erro, pode levar sete dias para corrigi-lo devido à forma como a governança da Compound é estruturada.

Publicidade

Problema escondido

Qualquer um pode adicionar mais criptomoedas COMP ao pool da Controladoria chamando a função pública drip (), mas ninguém a utilizou nas últimas semanas.

“Quando a função drip () foi chamada esta manhã, ela enviou o backlog (202.472,5, cerca de dois meses de COMP desde a última vez que a função foi chamada) para o protocolo para distribuição aos usuários”, twittou Leshner no final de semana.

“O problema da função drip é conhecido pela equipe do Compound e os pesquisadores de segurança há alguns dias”, disse Banteg ao Decrypt, “mas como não houve mitigação do problema, foi decidido mantê-lo em segredo na esperança de que ninguém o notasse até que um patch fosse lançado”.

Leshner confirmou em um tweet que os desenvolvedores da comunidade esperavam que os patches fossem lançados antes que o drip () fosse chamado no protocolo. Banteg chamou a exploração de “o segredo mais bem guardado do DeFi”.

Publicidade

Leshner disse que o valor total de COMP em risco é agora de aproximadamente 490.000, ou US$ 160 milhões, “dos quais 136 mil ainda estão na Controladoria e 117 mil foram devolvidos à comunidade até agora”.

Comentando sobre a postagem de Banteg, o trader de criptomoedas Christopher Mooney disse estar “honestamente impressionado que demorou tanto com o número de pessoas que sabiam. Restaura um pouco minha fé na humanidade, mas no final um de vocês escolheu o neutro caótico”.

Leshner twittou: “Daqui para frente, estou otimista com as atualizações que estão avançando no processo de governança, que corrigem a distribuição e os membros da comunidade que estão trabalhando para gerenciar esse bug.”

O COMP está valendo US$ 317 na manhã desta segunda-feira (4), em queda de 6,3% no dia, segundo o CoinMarketCap.

*Traduzido e editado com autorização da Decrypt.co
VOCÊ PODE GOSTAR
Imagem da matéria: Liqi entra para 2ª fase do DREX em consórcio com Itaú, Banco do Brasil e Bradesco

Liqi entra para 2ª fase do DREX em consórcio com Itaú, Banco do Brasil e Bradesco

Os testes do consórcio, que agora conta com a participação da Liqi, será focado em operação de crédito colateralizado via CDB
Imagem da matéria: Bitso, Foxbit, MB e Cainvest se unem para lançar stablecoin pareada em real

Bitso, Foxbit, MB e Cainvest se unem para lançar stablecoin pareada em real

Chamada de BRL1, a stablecoin promete facilitar transações entre exchanges e abrir novas oportunidades de uso no mercado global
Celular com logotipo da BInance

Binance vai interromper serviços antes do airdrop do Hamster Kombat; veja data e hora

Na semana do airdrop do token HMSTR, alguns serviços como login, transferências, saques e depósitos ficarão algumas horas sem funcionar com “atualização programada”
Deputado republicano Rich McCormick posa para foto

Deputado culpa apatia dos EUA com cripto pela lenta reação à prisão de executivo da Binance

Rich McCormick afirma que o tratamento dado ao caso de Tigran Gambaryan, detido na Nigéria, é marcado por hipocrisia em comparação a outros casos de destaque