컴파운드 (Compound) - REKT
생각했던 것보다 더 안 좋은 상황입니다.
저번 주에 업데이트된 컴파운드 Comptroller 볼트에 취약점이 발견되어, 약 8000만 달러 상당의 COMP가 과잉 배분되었습니다.
컴파운드팀은 인지했던 피해를 최소화하기 위해 노력했지만, 오히려 더 나빠질 줄은 몰랐을 것입니다.
이번에는 취약한 볼트로 또 다른 6880만 달러 상당이 전송되어, 더 많은 COMP가 배분되었습니다.
컴파운드는 무엇이 이렇게 잘못됐던 것일까요?
컴파운드는 초기 손실이 심하지 않다는 듯, 계속되는 공격을 멈출 수 없었습니다.
어떤 사용자든 컴파운드의 Requisor 볼트에 drip() 을 호출하여 Comptroller를 다시 채우고, 더 잘못된 COMP 배분을 허용할 수 있었습니다.
리져버는 블록당 0.5COMP를 누적합니다. 첫 번째 사건이 일어났을 때, 약 2개월 동안 배분되지 않은 상태였습니다.
리져버에 20만개(약 6800만 달러 상당)가 넘는 COMP를 보유한 컴파운드팀은, 피해가 끝나려면 멀었다는 사실을 아무도 모르리라는 희망을 가질 수밖에 없었습니다.
기존의 오류를 수정한 Proposal 64가 통과되기를 기다리는 동안 Robert Leshner와 팀은 긴박한 한 주를 보냈습니다.
그러나 첫 행사 후 불과 3일 반 만에 Comptroller가 다시 채워졌고, 또 다른 6880만 달러어치가 또다시 취약한 볼트로 보내졌다는 비밀이 공개되었습니다.
Banteg님은 다음과 같이 트윗했습니다.
최초의 8000만 달러, 유출 이후 클레임 된 2200만 달러, 그리고 현재 위험에 처한 4500만 달러 등을 합하면, 이 오류는 총 1억4700만 달러어치가 됩니다.
이번 사건은 악용이라기보다는 "은행 오류"에 가까웠지만, 컴파운드가 저희 리더보드에 한 자리를 차지하고 있다는 사실을 고려해보면, 전혀 전례가 없는 것은 아님을 알 수 있습니다.
실패한 알케믹스(Alchemix) 실험의 경우 프로토콜 자체의 실수로 약 650만 달러의 손실이 발생했었습니다.
Leshner와 마찬가지로 알케믹스는 사용자에게 자금을 돌려달라고 호소했고, 이는 컴파운드보다 더 성공적이었습니다.
알케믹스 자금은 55%가 반환되었는데, 이는 현재 컴파운드가 도달할 수 없는 수준으로 보입니다.
사용자들에게 자금을 돌려달라고 위협하기보다는 "친절하게" 부탁하는 것이 사용자들이 '올바른 일' 을 할 가능성이 더 크다는 것은 놀랄만한 일은 아닙니다.
커브 전쟁에서 우리는 Robert Leshner님이 다음과 같이 말씀하신 것을 기억합니다;
법원에 호소하는 것은 DeFi의 기초가 된 "코드는 법이다"라는 원칙을 크게 훼손합니다.
법원과 정치인이 당신을 보호하고 통제하기를 바란다면 "금융"이 있고, 탄력성, 자립성, 개방성, 그리고 업그레이드가 가능한 시스템을 원한다면 DeFi가 있습니다.
이제 이 말들을 그의 공격적인 트윗과 비교해봅시다;
컴파운드 프로토콜의 오류로 인해 잘못된 양의 COMP를 배분받았을 경우:
컴파운드 타임락(0x6d903f6003cca6255D85CcA4D3B5E5146dC33925)으로 COMP를 반환해 주세요. 10%는 화이트햇 보상으로 가지셔도 됩니다.
그렇지 않으면 국세청에 소득으로 신고되고, 대부분 신상이 털리게 될 것입니다.
협박인가요? 아니면 제안인가요? '도난당한' 돈을 돌려주고 10%를 합법적으로 유지하거나, 국세청에 40%를 내고 60%를 합법적으로 유지하라는 것 말입니다...
이러한 터무니없는 위협은 수백만 달러의 손실보다 컴파운드의 평판에 더 큰 타격을 입혔을 수 있습니다.
Leshner는 그의 발언에 대해 사과하고 있습니다만, 과연 그의 평판은 회복될 수 있을까요?
현재 존재하는 법률 및 금융 시스템이 탈중앙화 금융이라는 새로운 개념에 어떻게 대처할지는 아직 확실하지 않지만, 현재로서는...
DeFi를 진정으로 원한다면 그에 따른 책임을 받아들여야 합니다.
REKT는 익명 작성자들에 의한 공공 플랫폼이며, REKT에 작성된 관점이나 내용에 대해서 그 어떤 책임도 지지 않습니다.
기부 (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C
disclaimer:
REKT는 당사 웹 사이트의 익명의 작성자 또는 REKT에 의해 게시되거나 관련된 서비스에서 게시되는 콘텐츠에 대해 어떠한 책임도 지지 않습니다. 당사는 익명 작성자들의 행동 및 게시물에 대한 규칙을 제공하지만, 익명의 작성자가 웹 사이트 또는 서비스에 게시, 전송 혹은 공유한 내용을 통제하거나 책임지지 않으며, 귀하가 웹 사이트 또는 서비스에서 직면할 수 있는 불쾌함, 부적절함, 음란함, 불법 또는 기타 해로운 콘텐츠에 대해서도 책임을 지지 않습니다. REKT는 당사 웹 사이트 또는 서비스 사용자의 온라인 또는 오프라인 행위에 대한 책임을 지지 않습니다.
추천 기사들......
과잉보상
컴파운드 거버넌스 프로포절에 버그가 있어 8000만 달러 상당의 COMP 보상이 추가로 배분되었습니다. 실수는 이미 벌어졌고, 과연 누가 손해를 봤을까요?
포트리스 프로토콜(Fortress Protocol) - REKT
포트리스(요새)가 오라클 조작과 악의적인 거버넌스 법안으로 300만 달러를 도난당한 이후 폐허가 되었습니다. UI는 멈췄으나, 컨트랙트는 여전히 살아있습니다. 포트리스 생태계가 자금을 잃어버린 사용자들을 구제할까요?
MM 파이낸스(MM Finance) - REKT
매드 미어캣 파이낸스(미어캣 파이낸스와 다릅니다)가 DNS공격으로 200만 달러를 잃어버렸습니다. 백엔드 공격, 프론트엔드 공격, 대체 공격의 끝은 언제일까요?