Роберт Лешнер, основатель децентрализованного финансового бизнеса Compound Labs, попросил вернуть токены COMP на сумму примерно 90 миллионов долларов после того, как ошибка смарт-контракта распространила больше криптовалюты, чем следовало бы.
Жетоны COMP ежедневно распределяются среди пользователей протокола Compound. Они предоставляют держателям право голоса в коллективном управлении протоколом, который используется для финансовых транзакций, таких как заимствования и кредитование с помощью криптовалют.
Децентрализованное финансирование полагается на смарт-контракты, которые не обязательно соответствуют своему названию для обработки транзакций. То есть код, управляющий этими смарт-контрактами, часто содержит глупые ошибки.
“Несколько часов назад Предложение 62 вступили в силу, обновив контракт Контроллера, который распределяет COMP среди пользователей протокола “, – сказал Лешнер в среду. через Twitter. «Новый контракт Comptroller содержит ошибку, из-за которой некоторые пользователи получают слишком много COMP».
По словам Лешнера, ошибочно было распределено не более 280 000 токенов. При текущей стоимости токена COMP около 322 долларов, это более 90 миллионов долларов США.
В четверг Лешнер умолял вернуть жетоны, предлагая разрешить Добрым самаритянам оставить себе 10 процентов и намекая на последствия для тех, кто не подчиняется.
Он написал:
Те, кто обсуждает инцидент в чате Discord Compound, отмечают, что получателям ошибочных средств необходимо использовать claimComp функция вручную, чтобы получить токены COMP – токены не будут автоматически отображаться в учетной записи. Некоторые люди уже сделали это – вот транзакция на сумму около 29 миллионов долларов.
Участники чата Discord также, похоже, не слишком довольны угрозой доксинга. «Здесь появляется полный клоун», – пожаловался один человек. «Ошибка протокола и невиновные люди угрожали расправой».
Несмотря на обязательство Лешнера сообщать о получателях непредвиденных доходов в налоговые органы США – как его компания предположительно обязана делать в соответствии с налоговым законодательством США – некоторые участники сообщества Compound имели уже вернулся их случайное комп-богатство. Другие предлагали оставить деньги себе и уплатить любые налоги, причитающиеся с непредвиденных доходов COMP, по-прежнему были бы довольно прибыльными.
Между тем, сложное предложение 63 пересматривается, и голосование по нему запланировано через несколько дней. Он «отключает возможность требовать COMP до тех пор, пока не будет восстановлена правильная логика распределения». Тем не менее, у получателей неправильно направленных средств остается время для обналичивания.
В ошибка, по словам исследователя безопасности блокчейнов Мудита Гупта, состоит из одного символа: обновление составного кода использовало > оператор, где он должен был использовать >=.
Анализ сложного инцидента:
Compound обновили свой контракт с контролером до https://t.co/mgLGKCywxf, в котором была ошибка с одной буквой на L1217.
Это привело к обратной потере ковра, когда Контроллер раздает больше вознаграждений (прошлым) Поставщикам, чем ожидалось. 🧵👇 pic.twitter.com/BskHIibsUJ
– Мудит Гупта (@Mudit__Gupta) 30 сентября 2021 г.
«Ошибка возникает, когда кто-то поставляет токены для рынка с нулевым вознаграждением, например cSUSHI и cTUSD до инициализации или миграции рынка», – сказал Гупта. через Twitter. “supplyIndex для таких жетонов остается равным compInitialIndex что означает, что if блокировать [Line 1217] не срабатывает “.
Используя > оператор, а не >= оператор, if кодовый блок не вызывается и supplierIndex переменная остается на 0, пока supplyIndex это 1e36. Дельта, или разница между двумя значениями, становится равной 1e36, и протокол Compound затем выплачивает вознаграждение за 1e36 индексов вместо нуля.
На форуме Compound разработчики, обсуждающие инцидент, считают, что было бы неплохо провести тщательное тестирование и аудит до внесения серьезных изменений в код. ®
