05 Out 2021 · 2 min read

Bug de contrato na Compound continua se proliferando antes que correção possa ser implementada

O protocolo de finanças descentralizadas (DeFi) Compound Finance enfrentou mais problemas no fim de semana, quando no domingo, cerca de US$ 65 milhões de COMP foram inseridos no contrato afetado por um bug.

De acordo com Etherscan, em 3 de outubro, COMP 202.472,5 no valor de US$ 64,67 milhões foi transferido do contrato do Reservatório Compound para o protocolo.

Isso significa que os fundos recém-injetados também correm o risco de serem explorados. Ontem, um endereço mostrava uma transferência de cerca de 4,8 milhões e outro de cerca de 12 milhões de dólares.

Acontece que essa capacidade de adicionar fundos ao contrato comprometido é conhecida, mas aparentemente foi decidido mantê-la em segredo.

O principal contribuidor da yearn.finance (YFI) 'banteg' alegou que "isso era conhecido há alguns dias, mas não há mitigação possível, então o plano era manter silêncio e esperar que ninguém descobrisse por uma semana."

O tweet de 2 de outubro do Compound Labs anunciou uma nova proposta que “corrige o bug introduzido” pela proposta que o causou e “retoma a distribuição do COMP para a maioria dos usuários”. Parece que a equipe por trás do protocolo esperava que ninguém usasse essa possibilidade até que as duas propostas que seguiram a defeituosa tivessem sido implementadas em 7 de outubro.

Em resposta, Robert Leshner, fundador da Compound Labs, disse que o contrato do Reservoir detém a maioria de COMP reservada para usuários, e que goteja 0,50 COMP/bloco no protocolo. “Ninguém ligava para a função há semanas, e os desenvolvedores da comunidade estavam esperançosos de que a Proposta 63 ou 64 (em governança) pudesse entrar em vigor antes de ser chamada.”

Então o que aconteceu, de acordo com o fundador, é que quando alguém chamou esta "função de gotejamento" na manhã de domingo, ele enviou todo o backlog de 202.472,5 COMP - ou cerca de dois meses de COMP desde a última vez que a função foi chamada - para o protocolo de distribuição aos usuários.

E enquanto 117.000 COMP (US$ 37,28 milhões) foram devolvidos até o momento da postagem, no total cerca de 490.000 COMP (US$ 156,12 milhões) foram relatados como vulneráveis.

Conforme relatado, a Compound Finance aprovou e executou uma proposta na semana passada, mas logo descobriu que, devido a um bug em um contrato inteligente, os usuários puderam reivindicar milhões em recompensas COMP, com cerca de US$ 82 milhões impactados na época.

Alguns dias depois, Leshner tuitou o que foi amplamente percebido como uma ameaça de doxing para aqueles que não devolveram o COMP reivindicado, bem como uma jogada ruim de sua parte, que ele seguiu com um pedido de desculpas depois de receber uma forte reação negativa.

Às 10:42 UTC, a COMP está sendo negociada a US$ 318. Caiu 6% em um dia e 9% em uma semana.