Вы здесь

Затянувшийся баг – платформа Compound продолжает «внеплановый аирдроп»

Принятое сообществом DeFi-платформы Compound обновление REP-062, содержало баг, сломавший систему распределения токенов в смарт-контракте Comptroller. Вместо справедливого стимулирования пользователей DeFi-проекта, миллионы долларов вознаграждения стали получать фермеры, поставившие нулевую ликвидность или взявшие минимальный кредит.

Разработчики Compound убедили сообщество, что атака прекратиться после истощения кошелька Comptroller, баланс которого на тот момент составлял примерно $82 млн, но хакеры знали про еще одну проблему кода.

Код DeFi-платформы работает таким образом, что «пострадавший» смарт-контракт постоянно пополняется токенами. Будущие вознаграждения фермеров накапливаются в Comptroller со скоростью 0,5 COMP за 15 секунд.

Вызов функции drip () запускает ускоренное пополнение баланса смарт-контракта. Разработчики Compound давно знали про этот баг, но не спешили исправлять, ведь хакеры не получили бы профит от эксплуатации этой уязвимости.

После проблем с обновлением REP-062, функция drip позволила злоумышленникам пополнить истощенный баланс Comptroller еще на 202 472 COMP или $66,8 млн и продолжить внеплановый аирдроп. По оценкам аналитиков, платформа может потерять еще $162 млн, пока не выпустит «заплатку».

На фоне общей капитализации токенов в $1,7 млрд, потери Compound не кажутся существенными. Вопрос в том, что эти средства будут недополучены пользователями. Разработчики постоянно твердят о том, что пострадал лишь фонд выплат, а средства кредиторов в безопасности, но хакеры использовали механизм децентрализации, чтобы провести баг.

Код REP-062 предлагался сообществом, проходил аудит и процесс голосования, на который основатели Compound не могли повлиять. Возможно, злоумышленники заранее готовили атаку, соединяющую две уязвимости в удачную комбинацию атаки на фонд вознаграждения пользователей.

236 / 0
Аватар пользователя Иван Петров
Публикацию добавил: Иван Петров
Дата публикации: пн, 10/04/2021 - 04:51

Добавить комментарий