原文(英)複合ファイナンストークン配布の更新で見つかったバグによる「不一致」
2021-10-01 09:30:37
過去1年間に数十億ドルがDeFiスペースに投入されたとしても、業界は定期的なエクスプロイトやハッキングに悩まされ続けています。 ごく最近、DeFiの最大の貸付および借入プロトコルの1つであるCompound Financeが、会社に数百万ドルの費用がかかる可能性のあるバグの犠牲になりました。
金利プロトコルは最近、未稼得の報酬で「一部のユーザーがあまりにも多くのCOMPを受け取る」トークンをもたらす更新を導入しました。 複合プロトコルの背後にあるチームであるCompoundLabsは、 ツイート 以前の事件について、次のように述べています。
「提案062の実行後のCOMPの配布に関して、異常な活動が報告されています。供給/借り入れた資金はリスクにさらされていません。CompoundLabsとコミュニティのメンバーは、COMP配布の不一致を調査しています。」
その後、プロトコルの創設者であるロバート・レシュナーは、 ツイート プロトコルのユーザーにCOMPを配布することを任務とする、会計監査役契約を更新した新しく導入された提案62には、この問題の原因となったバグが含まれていることを説明しました。
このアップデートの目的は、マイナーなバグを修正するとともに、以前に使用された50/50モデルではなく、ガバナンス設定比率に基づいて、COMPの分配を借り手と流動性サプライヤーに分割することでした。 ただし、アップグレードされた契約にはバグが含まれていたため、一部のユーザーはすでに約168,000のCOMPトークンを要求できました。これは、プレス時に約5,000万ドルの価値がありました。
Leshnerはさらに、「影響は、最悪の場合、280,000 COMPトークンに制限されている」ことを明らかにしました。これは、執筆時点で約8000万ドルの価値がありました。 監査役にはまだ何千ものトークンが残っていますが、プロトコルの分散型の性質により、ガバナンスの相互作用なしに配布契約を変更することはできません。 彼は言った、
「COMP配布を無効にするための管理コントロールやコミュニティツールはありません。 プロトコルを変更する場合は、本番環境に移行するために7日間のガバナンスプロセスが必要です。 ラボとコミュニティのメンバーは、COMPディストリビューションにパッチを適用するための潜在的な手順を評価しています。」
この問題を深く掘り下げたDeFiLlama開発者「0xngmi」は、 報告 Twitterで、誤った報酬のほとんどは借り手側にあり、1人のユーザーがCOMPで1,000万を受け取り、ステーブルコインのためにOKEXとHuobiにダンプしたと述べています。
彼はまた、バグは以前にプロトコルから借りた人々だけがこれらの報酬を請求することを許可したが、これらの報酬を獲得するために今借りようとするのに十分貪欲な人々は成功しないだろうと述べた。
これを書いている時点で、COMPは過去1日間で評価額の11%以上を失い、おそらくバグによる恐怖の広がりのために300ドルで販売されていました。
DeFiプロトコルは、ハッカーがコードベースの小さなバグでも活用できるため、バグに対して脆弱です。 先月、ホワイトハットハッカーがPoly Networkから6億ドル以上を盗んだときに、最大のDeFiハッキングの1つが発生しました。 このプロトコルは幸運にも資金を返還することができましたが、pNetworkは先週、277ビットコインを費やしたエクスプロイトで1270万ドルを失いました。