Compound - REKT



Es peor de lo que pensábamos.

La semana pasada, una vulnerabilidad fue encontrada en la bóveda Compound Comptroller recién-actualizada y ~$80M en COMP fueron distribuidos erróneamente.

El equipo de Compound intentó minimizar el daño percibido pero sabían que solo iba a empeorar.

Ahora otros ~$68.8M han sido enviados a la bóveda vulnerable, e incluso más COMP está siendo regalado.

¿Cómo le salió todo tan mal a Compound?

Como si la pérdida inicial no fuera lo suficientemente mala, Compound no fue capaz de detener una continuación del ataque.

Cualquier usuario podía llamar la función drip() en la bóveda Reservoir, lo que rellenaba la Comptroller, permitiendo la distribución errónea de aún más COMP.

La Reservoir acumula 0.5 COMP por bloque. Al momento del primer incidente, no había sido vaciada en aproximadamente 2 meses.

Con más de 200k COMP (~$68M) dentro de la Reservoir, el equipo Compound solo podía esperar, con la esperanza de que nadie descubriera que había más por venir.

Mientras aguardaban que se aprobara Propuesta 64, la cual contiene un arreglo para el bug original, a Robert Leshner y al equipo les esperaba una semana tensa por delante.

Sin embargo, tres días y medio después del evento original, el secreto había salido, el Comptroller había sido rellenado, y otros $68.8M habían sido enviados a la bóveda vulnerable.

Como escribió Banteg;

Si sumas los $80m iniciales, los $22m ya reclamados después de la drip y los $45m actualmente en riesgo, el bug da un total de $147m.

Aunque esto fue más parecido a un “error de banco” que a un exploit, lo justo es que Compound tome un lugar en nuestro leaderboard, en donde podemos ver que este no es un caso sin precedentes.

En el caso de Alchemix, vimos al protocolo sufrir una pérdida de ~6.5M debido a un error propio.

Como Leshner, Alchemix pidió a sus usuarios que devolvieran los fondos, pero tuvo más éxito en la respuesta.

55% de los fondos fueron devueltos a Alchemix, una cantidad que actualmente parece difícil de lograr para Compound.

No es ninguna sorpresa que los usuarios estén más dispuestos a hacer lo correcto si se les “pide bien”, en lugar de amenazarlos con las autoridades.

En Curve Wars, recordamos cuando Robert Leshner dijo;

Llorar en los tribunales meatspace socava profundamente el principio de “código es ley” encima del cual DeFi fue fundado.

Si quieres que te protejan y controlen los tribunales y los políticos, existen “las finanzas”. Si quieres un sistema resiliente, autosuficiente, abierto y actualizable, existe DeFi.

Ahora comparemos esas palabras con su agresiva solicitud;

Si recibiste una cantidad grande e incorrecta de COMP por el error del protocolo Compound:

Favor de devolverlo al Timelock de Compound (0x6d903f6003cca6255D85CcA4D3B5E5146dC33925). Guarda 10% como white-hat.

Si no, va a ser reportado como ingreso al IRS, y la mayoría de ustedes son doxxed.

¿Fue esto una amenaza o una oferta? Devolver el dinero ‘robado’ y guardar un 10% limpio, o pagar 40% al IRS y guardar un 60% limpio…

Estas amenazas sin sentido pueden haber hecho más daño a la reputación de Compound que su pérdida de millones de dólares.

Desde entonces, Leshner se ha disculpado por sus palabras, pero ¿su reputación es reparable?

Todavía no queda claro cómo (o si) los sistemas existentes legales y financieros lidiaran con el novedoso concepto que son las finanzas descentralizadas, pero por ahora…

Si realmente quieres DeFi, tienes que aceptar la responsabilidad que trae consigo.


compartir artículo

REKT sirve como plataforma pública para autores anónimos, nos deslindamos de la responsabilidad por las opiniones y contenidos alojados en REKT.

dona (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

aviso legal:

REKT no es responsable ni culpable de ninguna manera por cualquier Contenido publicado en nuestro Sitio Web o en conexión con nuestros Servicios, sin importar si fueron publicados o causados por Autores ANÓN de nuestro Sitio Web, o por REKT. Aunque determinamos reglas para la conducta y publicaciones de los Autores ANÓN, no controlamos y no somos responsables por cualquier contenido ofensivo, inapropiado, obsceno, ilegal o de cualquier forma objetable, que se pudiera encontrar en nuestro Sitio Web o Servicios. REKT no es responsable por la conducta, en línea o fuera de línea, de cualquier usuario de nuestro Sitio Web o Servicios.