Compound - REKT
Une vulnérabilité a été détectée la semaine passée dans le vault Comptroller de Compound, récemment mis à jour,et près de 80 millions de dollars de COMP excédentaires ont été distribués à tort.
L'équipe de Compound a essayé de minimiser les dommages occasionnés, mais elle savait pertinemment que la situation ne pouvait qu'empirer.
C'est ainsi qu'aujourd'hui près de 68,8 millions de dollars supplémentaires ont été envoyés dans le vault vulnérable, et que davantage de COMP a encore été distribué.
Comment les choses ont-elles pu si mal tourner pour Compound ?
Comme si la perte initiale n'était pas assez grave, Compound n’était pas en mesure d’arrêter une attaque continue.
N'importe quel utilisateur pouvait call drip() sur le vault Reservoir de Compound, avait pour conséquence de recharger le Comptroller et permettait une distribution de COMP encore plus incorrecte.
Le Reservoir accumule 0,5 COMP par bloc. Au moment du premier incident, cela faisait environ 2 mois qu'il n'avait pas été vidé.
Avec plus de 200k COMP (~68M$) dans le Reservoir, l'équipe de Compound ne pouvait que ronger son frein en espérant que personne ne découvre que les problèmes étaient loin d'être résolus.
Tandis qu'ils attendaient l'adoption de la proposition 64, qui contenait un correctif pour le bug original, Robert Leshner et toute l'équipe devaient s'attendre à une semaine tendue.
Mais, seulement trois jours et demi après l'événement initial, le pot aux roses était découvert : le Comptroller avait été rechargé, et 68,8 millions de dollars supplémentaires avaient été envoyés dans le vault vulnérable.
Comme l'a écrit Banteg :
Si l'on inclut les 80 millions de dollars initiaux, les 22 millions de dollars déjà réclamés après le versement et les 45 millions de dollars actuellement en danger, le bug atteint 147 millions de dollars.
Bien qu'il s'agisse plus d'une "erreur bancaire" que d'un exploit, il est légitime que Compound figure dans notre classement, où nous pouvons constater que ce cas n'est pas sans précédent.
Nous avions vu l'échec de l'expérience d'Alchemix, le protocole ayant subi une perte de 6,5 millions de dollars à cause de sa propre erreur.
Et, comme Leshner, Alchemix avait exhorté ses utilisateurs à restituer les fonds, avec toutefois plus de succès.
En effet, 55% des fonds d'Alchemix ont été restitués, un montant qui semble actuellement inatteignable pour Compound.
Il n'est pas surprenant que les utilisateurs soient plus enclins à faire “ce qu'il faut” lorsqu'on leur “demande gentiment”, plutôt que lorsqu'on les menace de faire appel aux autorités.
Nous nous sommes souvenus de ce que Robert Leshner avait déclaré dans Curve Wars :
Aller pleurer auprès des tribunaux du "monde réel" sape complètement les principes lié à l'adage "le code fait loi" sur lequel la DeFi a été fondée.
Si vous voulez des tribunaux et des politiciens pour vous protéger et vous contrôler, il y a la "finance". Si vous voulez un système qui est résilient, autosuffisant, ouvert et évolutif, il y a la DeFi.
Comparons à présent ces mots à son impétueux appel :
Si vous avez reçu une importante et incorrecte quantité de COMP du protocole Compound par erreur :
Veuillez la retourner au Compound Timelock (0x6d903f6003cca6255D85CcA4D3B5E5146dC33925). Gardez 10% pour ce comportement de white-hat.
Cela sera sinon déclaré comme revenu à l'IRS, et la plupart d'entre vous sont doxxés.
Était-ce une menace ou une offre ? Rendre l'argent "volé" et garder 10 % d'argent propre, ou payer 40 % à l'IRS et garder un joli 60 % de propre...
Ces menaces absurdes ont peut-être fait plus de tort à la réputation de Compound que la perte de plusieurs millions de dollars.
Si Leshner a depuis présenté ses excuses pour ses propos, sa réputation pourra-t-elle être réparée ?
On ne sait toujours pas comment (ou si) les systèmes juridiques et financiers existants s'adapteront à ce nouveau concept qu'est la finance décentralisée, mais en attendant…
Si la DeFi est vraiment ce à quoi vous aspirez, vous devez alors assumer la responsabilité qui en découle.
REKT sert de plateforme publique pour des auteurs anonymes, nous déclinons toute responsabilité quant aux opinions ou contenus hébergés sur REKT.
faites un don (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C
avertissement:
REKT n'est responsable en aucune manière du contenu publié sur notre site Web ou en lien avec nos Services, qu'il soit publié ou occasionné par l'Auteur Anon de notre site Web, ou par REKT. Bien que nous fournissions des règles pour la conduite et les publications de l'Auteur Anon, nous ne contrôlons pas et ne sommes pas responsables de ce que l'Auteur Anon publie, transmet ou partage sur notre site Web ou nos Services, et ne sommes pas responsables de tout contenu offensant, inapproprié, obscène, illégal ou autrement répréhensible que vous pourriez rencontrer sur notre site Web ou nos Services. REKT ne saurait être tenu responsable de la conduite, en ligne ou hors ligne, de tout utilisateur de notre site Web ou de nos services.
vous pourriez aussi aimer...
Surcompensé
Une proposition portée par la communauté comportait un bug ayant permis la distribution d’environ 80 millions de dollars de récompenses COMP excédentaires. Mais qui est perdant ?
Fortress Protocol - REKT
La forteresse est un champ de ruines après que 3M$ aient été volés suite à une manipulation d'oracle et un acte de gouvernance malveillant. L'interface utilisateur est mise en pause, mais les contrats restent actifs. L'écosystème de Fortress renflouera-t-il les utilisateurs pour les fonds perdus ?
MM Finance - REKT
Mad Meerkat Finance (à ne pas confondre avec Meerkat Finance normal) a perdu 2 million de dollars à cause d'un exploit de DNS. Attaques front-end, attaques back-end, quand cela cessera-t-il donc ?