Zoals wij eerder meldden, heeft het bekende protocol voor gedecentraliseerde finance (DeFi) Compound Finance afgelopen weekend te maken gehad met flinke problemen. Zo is er op zondag bijna $65 miljoen aan COMP uit het contract ‘gedruppeld’ dat werd geplaagd door een bug.
Per Etherscan werd op 3 oktober COMP 202.472,5, ter waarde van $64,67 miljoen, overgedragen van het Compound Reservoir-contract naar het protocol. Wat dit betekent is dat de vers geïnfundeerde fondsen ook het risico lopen te worden uitgebuit. Gisteren toonde een adres een overdracht van zo’n $4,8 miljoen, en een ander adres van bijna $12 miljoen.
Het blijkt dat deze mogelijkheid om geld toe te voegen aan het gecompromitteerde contract bekend was, maar blijkbaar werd besloten het geheim te houden. Zo beweerde de kernbijdrager van yearn.finance (YFI), bekend als Banteg, dat “dit al een paar dagen bekend was”.
De tweet van Compound Labs op 2 oktober kondigde een nieuw voorstel aan dat de bug zou herstellen en “de COMP-distributie voor de meerderheid van de gebruikers zou hervatten”. Het lijkt erop dat het team achter het protocol hoopte dat niemand deze bug zou gebruiken totdat de twee voorstellen op 7 oktober zouden worden geïmplementeerd.
In reactie hierop zei Robert Leshner, oprichter van Compound Labs, dat het Reservoir-contract het grootste deel van COMP gereserveerd heeft voor gebruikers, en dat het 0,50 COMP/blok in het protocol druppelt. “Niemand had de functie in weken opgemerkt en community-ontwikkelaars hoopten dat Voorstel 63 of 64 (in governance) van kracht zou kunnen worden voordat het werd aangeroepen.”
Dus wat er volgens de oprichter was gebeurd, is dat toen iemand op zondagochtend om deze “druppelfunctie” vroeg, het de volledige achterstand van COMP 202.472.5 – of ongeveer twee maanden COMP sinds de laatste keer dat de functie werd aangeroepen – verstuurde naar het protocol voor distributie naar gebruikers.
En terwijl er 117.000 COMP (~$37 miljoen) is geretourneerd op het moment van schrijven, werd er in totaal ongeveer 490.000 COMP ($156 miljoen) als kwetsbaar gerapporteerd.
Zoals gemeld, heeft Compound Finance vorige week een voorstel aangenomen en uitgevoerd, maar kwam er al snel achter dat gebruikers door een bug in een smart contract miljoenen aan COMP-beloningen konden claimen, met een impact van ongeveer $82 tot 92 miljoen op dat moment.
Een paar dagen later tweette Leshner een dreigement waarin hij aangaf dat hij degenen die de geclaimde COMP niet teruggaven zou doxxen, die hij opvolgde met een verontschuldiging na het ontvangen van veel commentaar vanuit de community.