Investeren in DeFi (decentralized finance) kan grote rendementen opleveren. Soms zelfs te veel rendement. Een bug in Compound (COMP) zorgde ervoor dat er te hoge beloningen aan gebruikers werden uitgekeerd. De Compound bug in het contract van het protocol zorgde ervoor dat meer dan 90 miljoen dollar in COMP ten onrechte aan gebruikers van Compound Finance werd overgemaakt.
Inhoudsopgave
Compound bug ontdekt
Een paar dagen geleden ontdekte het Decentralized Finance (DeFi) project Compound (COMP) een bug. Deze bug zorgde ervoor dat sommige gebruikers te veel COMPs als beloning kregen. Dit gebeurde nadat de software update van het project misging. In totaal zou er voor US$ 90 miljoen aan COMP zijn overgemaakt. De bug zat in de code van Proposal 062. Deze verbetering werd aangebracht in het contract dat de verdeling van COMP beheert. Maar dit ging niet zoals gepland:
“Een paar uur geleden ging Proposal 62 in werking en werd het contract van de Comptroller bijgewerkt. Hierdoor wordt COMP gedistribueerd aan gebruikers van het protocol. Het nieuwe contract van de Comptroller bevatte een bug waardoor sommige gebruikers te veel COMP ontvingen.” Compound oprichter Robert Leshner (Robert Leshner) zei in een tweet dat het project momenteel machteloos staat. “Wijzigingen in het contract moeten een zevendaags governance proces doorlopen voordat ze kunnen worden toegepast,” zei Leshner. Het voorstel is ingediend. Het zal pas volgende week van kracht worden.
Kort nadat de Compound bug op Twitter werd onthuld, uitte Leshner zijn frustratie. Zo vroeg hij ontvangers van miljoenen COMP tokens om de cryptocurrency terug te geven. Hij voegde er ook een wat ongemakkelijk dreigement aan toe: “Als je een groot aantal onjuiste COMP ontvangt van een samengestelde protocolfout, stuur het dan terug naar de samengestelde tijdsperiode (0x6d903f6003cca6255D85CcA4D3B5E5146dC33925).
Leshner bood als een soort beloning aan dat gebruikers 10% van de te veel betaalde COMP mochten houden. Als ze het hele bedrag houden, zal COMP hun inkomen aan de Amerikaanse belastingdienst melden en dat ze “gedoxxd” zou worden. Dit betekent dat persoonlijke gegevens openbaar gemaakt zouden worden. Het is niet duidelijk wat Leshner met het laatste dreigement bedoelde.
Compound bug veroorzaakt veel kostbare schade
Helaas richtte deze Compound bug veel schade aan. Volgens berichten van CNBC beweerde een gebruiker voor US$29 miljoen aan COMP-tokens te hebben ontvangen, terwijl een andere gebruiker 70 miljoen COMP tokens ontving ter waarde van US$ 21 miljoen. In totaal is het verlies al minstens US$90 miljoen. Het is waarschijnlijk dat dit bedrag de komende dagen nog verder zal oplopen.
De Compound bug is het gevolg van het oproepen van de “drip functie”, waarbij criminelen deze kwetsbaarheid konden gebruiken om duizenden COMP tokens weg te sluizen. Het Compound protocol voegde COMP toe aan het Reservoir contract met een snelheid van 0,50 COMP per blok, maar door een bug konden duizenden tokens tegelijk verstuurd worden.
Volgens Compound oprichter Robert Leshner (Robert Leshner) is de drip functie al enkele weken niet meer opgeroepen en hadden de ontwikkelaars gehoopt dat de volgende oproep zou volgen op protocolwijzigingen die bedoeld zijn om dergelijke exploits in de toekomst te voorkomen. Volgens een update die Leshner op 3 oktober op Twitter plaatste, kwamen er nadat de drip functie was aangeroepen meer dan 202.000 COMP vrij. In totaal zijn er 490.000 COMP in gevaar.
Door de manier waarop met dergelijke codewijzigingen wordt omgegaan, kan het project het probleem niet zo snel verhelpen. Het duurt minstens 7 dagen om de verbetering daadwerkelijk door te voeren. We moeten nu dus waarnemen dat bugs steeds meer COMP verspreiden.
Schade Compound bug waarschijnlijk nog groter
Nu, een paar dagen later, is het probleem met het Decentralized Finance (DeFi) platform Compound (COMP) nog steeds niet opgelost. Het lijkt er nu op dat door een bug in de recente update nog eens miljoenen dollars aan COMP tokens aan gebruikers zullen worden uitgedeeld.
Gelukkig reageerden Compound gebruikers hier en daar op de oprichter. Volgens Leshner zijn intussen 117.000 COMP teruggegeven, maar er zijn nog steeds 136.000 tokens beschikbaar om door gewiekste gebruikers opgeëist te worden.
Ontwikkelaar Banteg van Yearn Finance schat dat het totale verlies kan uitkomen op iets minder dan US$ 150 miljoen. “Als je de aanvankelijke US$ 80 miljoen optelt, de US$ 22 miljoen die na Drip functie geclaimd is en de US$ 45 miljoen die nu op de tocht staat, komt deze bug uit op US$ 147 miljoen,” zei hij op Twitter. Het grootste geldverlies in smart contract incident.
Na het Compound bug nieuws daalde de prijs van COMP in de afgelopen 24 uur met 5%. De huidige prijs staat rond US$ 320. Dit weekend handelde COMP/USD nog tot een prijs van US$ 367.
https://www.youtube.com/watch?v=QmgBn266dp4
