Разработчики Compound убедили сообщество, что атака прекратиться после истощения кошелька Comptroller, баланс которого на тот момент составлял примерно $82 млн, но хакеры знали про еще одну проблему кода.
Код DeFi-платформы работает таким образом, что «пострадавший» смарт-контракт постоянно пополняется токенами. Будущие вознаграждения фермеров накапливаются в Comptroller со скоростью 0,5 COMP за 15 секунд.
Вызов функции drip () запускает ускоренное пополнение баланса смарт-контракта. Разработчики Compound давно знали про этот баг, но не спешили исправлять, ведь хакеры не получили бы профит от эксплуатации этой уязвимости.
После проблем с обновлением REP-062, функция drip позволила злоумышленникам пополнить истощенный баланс Comptroller еще на 202 472 COMP или $66,8 млн и продолжить внеплановый аирдроп. По оценкам аналитиков, платформа может потерять еще $162 млн, пока не выпустит «заплатку».
На фоне общей капитализации токенов в $1,7 млрд, потери Compound не кажутся существенными. Вопрос в том, что эти средства будут недополучены пользователями. Разработчики постоянно твердят о том, что пострадал лишь фонд выплат, а средства кредиторов в безопасности, но хакеры использовали механизм децентрализации, чтобы провести баг.
Код REP-062 предлагался сообществом, проходил аудит и процесс голосования, на который основатели Compound не могли повлиять. Возможно, злоумышленники заранее готовили атаку, соединяющую две уязвимости в удачную комбинацию атаки на фонд вознаграждения пользователей.
Добавить комментарий