Протокол Compound - REKT
Дела обстоят хуже, чем мы думали.
На прошлой неделе была обнаружена уязвимость в обновленном хранилище Compound Comptroller, в результате которой было ошибочно распределено на ~$80M COMP больше, чем предполагалось.
Команда проекта Compound попыталась свести к минимуму предполагаемые убытки, но они знали, что может стать только хуже.
И вот новые ~$68.8M были переведены в уязвимое хранилище, откуда идет раздача еще большего количества COMP.
Как так получилось, что у Compound возникли такие большие проблемы?
Compound не смог остановить атаку, которая продолжала наносить ущерб. Как будто бы первой потери было недостаточно.
Любой пользователь мог вызвать drip() в хранилище Reservoir протокола Compound, что повлекло бы за собой новое наполнение хранилища Comptroller и позволило бы ошибочное распределение еще большего количества СОМР.
Reservoir накапливает 0.5 СОМР за один блок. На момент первого инцидента его не опустошали уже примерно 2 месяца.
При том, что в Reservoir находилось свыше 200k COMP (~$68M), команда Compound могла лишь ждать и надеяться, что никто не поймет, что это было только начало всех проблем.
Так как они ждали, когда пройдет Предложение 64, в котором содержалось исправление первой ошибки, то Роберта Леснера и его команду ждала тяжелая неделя.
Однако, всего три с половиной дня спустя после первого происшествия секрет был раскрыт, хранилище Comptroller было заново наполнено, и еще одна порция из $68.8 миллионов была послана в уязвимое хранилище.
Как написал Banteg:
Если считать первые $80 миллионов, $22 миллиона, которые уже вывели после утечки, и $45 миллионов, которым сейчас угрожает опасность, то баг обошелся в $147 миллионов.
Несмотря на то, что это скорее "ошибка банка", чем эксплоит, Compound вполне справедливо занимает место в нашем рейтинге. А это говорит о том, что этот случай не беспрецедентный.
В случае с неудачным экспериментом Alchemix мы стали свидетелями того, как протокол потерял ~$6.5M из-за своей собственной ошибки.
Как и Леснер, Alchemix призвал своих пользователей вернуть фонды, и им это удалось лучше.
55% фондов Alchemix вернули. Для Compound эта сумма кажется недостижимой.
Неудивительно, что пользователи с большей вероятностью “поступят правильно”, если их “хорошо попросить”, чем если угрожать им властями.
В Войнах за Curve, мы вспомнили слова Роберта Леснера:
Грозиться судами из реального мира глубоко подрывает принципы философии "код есть закон", на которых основывались DeFi.
Если вы хотите, чтобы вас защищали суды и полиция, то для этого есть "финансы". Если вы хотите получить устойчивую, самодостаточную систему, открытую и обновляемую, то для этого есть DeFi.
А теперь сравним эти слова с его агрессивным призывом:
Если вы получили большую, но выданную вам по ошибке сумму СОМР после бага в протоколе Compound:
Пожалуйста, верните ее в Compound Timelock (0x6d903f6003cca6255D85CcA4D3B5E5146dC33925). Оставьте себе 10% в качестве награды белого хакера.
В противном случае данные о ней будут переданы в IRS, и большинство из вас подвергнется доксингу.
Это была угроза или предложение? Верни "украденные" деньги и оставь себе 10% чистыми, или заплати 40% в IRS и оставь себе 60% чистыми...
Эти бессмысленные угрозы, возможно, нанесли репутации Compound больший ущерб, чем многомиллионная потеря.
Леснер уже извинился за свои слова, но поможет ли это восстановить его репутацию?
До сих пор еще не ясно, как (и будет ли вообще) существующая законодательная и финансовая система регулировать новую концепцию, которую предлагают децентрализованные финансы, но пока...
Если вам действительно нужны DeFi, то вам придется принять груз ответственности, который их сопровождает.
REKT представляет собой общественную площадку для анонимных авторов. Мы не несём ответственность за выражаемые точки зрения или контент на этом веб-сайте.
Пожертвование (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C
Дисклеймер:
REKT не несет никакой ответственности за любое содержание, размещенное на нашем Веб-сайте или имеющее какое-либо отношение к оказываемым нами Услугам, независимо от того, было ли оно опубликовано или создано Анонимным Автором нашего Веб-сайта или REKT. Не смотря на то, что мы устанавливаем правила поведения и нормы публикаций для Анонимных Авторов, мы не контролируем и не несем ответственность за содержание публикаций Анонимных Авторов, а также за то, чем делятся и что передают Авторы с помощью нашего Сайта и наших Сервисов, и не несем ответственность за любое оскорбительное, неуместное, непристойное, незаконное или спорное содержание, с которым вы можете столкнуться на нашем Веб-сайте и на наших Сервисах. REKT не несет ответственность за поведение, будь то онлайн или офлайн, любого пользователя нашего Веб-сайта или наших Сервисов.
Вам также понравится...
Комплексные ошибки протокола Compound
Управление протокола Compound дало сбой, и уже не в первый раз. Обновление одного из оракулов заблокировало торговлю cEther на целую неделю. В Compound говорят, что "Фондам непосредственно ничего не угрожает, но эта ситуация постоянно меняется..."
Сверхкомпенсация
Управленческое предложение в протоколе Compound содержало в себе баг, позволявший распределение вознаграждений в COMP на ~$80M больше предусмотренного. Были допущены ошибки, но кто же понес потери?
Протокол Raydium - REKT
В пятницу АММ-протокол Raydium на базе Solana потерял в общей сложности $4.4 миллиона в виде комиссий из пулов ликвидности. Будущее Solana пост-FTX кажется неопределенным...