Ошибка в обновлении протокола может стоить проекту Compound более $82 млн

Ошибка в обновлении протокола может стоить проекту Compound более $82 млн

Разработчики лендингового протокола Compound сообщили об ошибке в процессе распределения токенов управления COMP, возникшей после активации RFP-062. По оценке основателя проекта Роберта Лешнера, в худшем случае ущерб превысит $82 млн.

A few hours ago, Proposal 62 went into effect, updating the Comptroller contract, which distributes COMP to users of the protocol.The new Comptroller contract contains a bug, causing some users to receive far too much COMP. https://t.co/Fy6nLgDqKy— Robert Leshner (@rleshner) September 30, 2021

В протоколе Compound предусмотрен процесс майнинга ликвидности — участники получают токены COMP за размещение активов в его пулах. Темп майнинга составляет 0,5 COMP/блок (~2312 COMP/в день).

RFP-06, вступивший в силу 30 сентября, изменил прежнюю модель распределения токенов управления (50/50). Теперь поставщики ликвидности и заемщики получают COMP на основе специальных коэффициентов.

Обновление также было призвано исправить мелкие баги, однако само по себе содержало серьезную уязвимость — пользователям выплачиваются токены сверх установленной правилами суммы.

Одним из первых на проблему обратил внимание участник сообщества napgener. Он указал на несколько подозрительных транзакций, согласно которым протокол выплатил пользователям $15 млн в COMP за заимствование и поставку незначительного количества USDC, ETH и DAI.

Some funky business happening on $COMPpossible rug in the @compoundfinance comptroller. ⚠️@rleshner https://t.co/IRTJIQnBEx— napgener 0xbullmarket.eth (@napgener) September 29, 2021

Ошибкой могли воспользоваться уже несколько пользователей. В блокчейне зарегистрирована транзакция, в ходе которой адрес получил 91 000 COMP (~$26,8 млн) за предоставление нулевой ликвидности. Чтобы получить токены, его владелец заплатил $157,77 за газ.

Впоследствии тот же адрес использовал децентрализованную биржу Uniswap для обмена части COMP (~$140 000) на стейблкоины USDC.

По словам Лешнера, активы пользователей находятся в безопасности. Адрес контракта Comptroller содержит ограниченное количество токенов, поэтому «в худшем случае последствия ограничены 280 000 COMP» (~82,6 млн на момент написания).

The Comptroller contract (0x3d9819210A31b4961b30EF54bE2aeD79B9c9Cd3B) contains a limited quantity of COMP; the majority sits in the Reservoir contract (0x2775b1c75658Be0F640272CCb8c72ac986009e38) which releases 0.50 COMP/block.The impact is bounded; at worst, 280k COMP tokens.— Robert Leshner (@rleshner) September 30, 2021

На момент написания на адресе Comptroller осталось всего 3 721 COMP (~$1,1 млн).

«Нет никаких средств административного контроля или инструментов сообщества для отключения распространения COMP. Любые изменения в протоколе требуют семидневного процесса рассмотрения перед внедрением», — написал Лешнер.

На фоне инцидента цена COMP снизилась более чем на 10%, согласно CoinGecko. На момент написания токен торгуется вблизи $296.

Напомним, в июне Compound Labs открыла дочернюю структуру Compound Treasury. Она представляет необанкам и прочим финучреждениям доступ к экосистеме DeFi.

Source