SOBRECOMPENSADO



Se cometieron errores pero, ¿quién perdió?

Una propuesta manejada por la comunidad (pero revisada por los profesionales) contenía un bug que permitió la distribución de ~$80M en excesivas recompensas COMP.

Empezando desde las ~22:20 UTC el 29 de septiembre, algunos usuarios pudieron reclamar recompensas que no habían ganado.

Como un “infinite mint”, pero sin ser tan letal, el daño fue indirecto.

Las únicas víctimas fueron los holders del token COMP, quienes temporalmente sufrieron una dilución más rápida que lo esperado.

Incluso con la dilución adicional, es difícil llamar a esto un crash.

Los grandes como Compound han ganado la confianza de la comunidad, lo que hace a este percance de $80 millones parecer una gota en el océano.

El equipo Compound hizo lo que pudo para quitarle importancia a la situación, mientras Robert Leshner fue rápido en distanciarse del incidente.

Aun así, Compound Labs no puede negar su involucramiento ya que aparece claramente en los créditos al haber revisado el código defectuoso antes de su lanzamiento.

Compound: Comptroller contract

El bug se encontraba en los cálculos del comptrollerImplementation para los usuarios de larga duración quienes habían depositado o tomado prestado antes de que el compInitialIndex fuera establecido.

Kurt Barry identificó la raíz del exploit en Twitter;

Los smart contracts ni perdonan los más pequeños errores… el bug de COMP es un caso trágico de “>” en lugar de “>=” (en dos locaciones del código).

Para un análisis completo, lee el hilo de Mudit Gupta.

Los que interactuaron pronto fueron capaces de retirar recompensas enormemente infladas, pero conforme se agotaban los fondos del Comptroller, los que llegaron tarde sólo pudieron recoger las migajas.

Una propuesta adicional desde la comunidad fue lanzada, con el propósito de desactivar las recompensas de COMP y minimizar las pérdidas, pero con tan solo $250K restantes en el contrato Comptroller, parece que ya era demasiado tarde.

Si comparamos el impacto negativo en los holders de COMP frente a la felicidad de los usuarios que “ganaron” la lotería, esto no parece ser un desastre. No obstante, repetir este asunto no sería sostenible.

El resto de las consecuencias aún quedan por verse, como remarco 0xngmi en Twitter, tal vez aquellos usuarios que lograron reclamar sus recompensas erróneas no están acostumbrados a cubrir sus huellas.

Una de las personas que explotó @compoundfinance tomó sus 10M en COMP y los vendió en OKEX y Hubo por stables, y luego empezó a hacerles farming en curve.

[su cuenta] Debe de ser KYC porque retiró millones de estos CEXs.

Hombre, te tengo malas noticias

Esta es la historia del fallo de un sistema en la que no se puede culpar a ninguna de las partes por sí misma.

Muchos individuos estuvieron involucrados en un proyecto complejo y colaborativo, pero el final se reduce a:

Dos carácteres, decenas de millones de valor perdido.


compartir artículo

REKT sirve como plataforma pública para autores anónimos, nos deslindamos de la responsabilidad por las opiniones y contenidos alojados en REKT.

dona (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

aviso legal:

REKT no es responsable ni culpable de ninguna manera por cualquier Contenido publicado en nuestro Sitio Web o en conexión con nuestros Servicios, sin importar si fueron publicados o causados por Autores ANÓN de nuestro Sitio Web, o por REKT. Aunque determinamos reglas para la conducta y publicaciones de los Autores ANÓN, no controlamos y no somos responsables por cualquier contenido ofensivo, inapropiado, obsceno, ilegal o de cualquier forma objetable, que se pudiera encontrar en nuestro Sitio Web o Servicios. REKT no es responsable por la conducta, en línea o fuera de línea, de cualquier usuario de nuestro Sitio Web o Servicios.