Sau nâng cấp, Compound (COMP) đang gặp lỗi trả thưởng khi đang chi hơn 57 triệu USD cho các nhà cung cấp thanh khoản chỉ trong một buổi sáng.
*Bài viết đã được cập nhật thêm vào ngày 01/10/2021.
Nền tảng market maker Compound (COMP) đang trở thành tâm điểm chú ý của cộng đồng DeFi khi có vẻ đang gặp lỗi trả thưởng sau khi nâng cấp, với thiệt hại có thể lên đến đến 80 triệu USD.
Vào sáng sớm ngày 30/09, Compound đã triển khai Đề xuất 062, vốn sẽ áp đặt các mức tỷ lệ thưởng COMP khác nhau cho bên cung cấp thanh khoản và bên vay thay vì sử dụng mô hình chia 50/50 như trước đây, tránh trường hợp xảy ra lãi suất âm. Đề xuất 062 lần đầu được công bố vào ngày 24/09, và sau quãng thời gian bỏ phiếu 7 ngày đã được cộng đồng Compound thông qua với tỷ lệ áp đảo.
Proposal 062 passed, and will be executed after a 2 day waiting period:
729,781 COMP ✅
0 COMP ⛔️This change should have no immediate impact on users.
— Compound Labs (@compoundfinance) September 29, 2021
Song, chỉ ít lâu sau khi triển khai, một số người dùng DeFi đã phát hiện vấn đề với đề xuất trên, khi có người tuy không vay hay cung cấp thanh khoản gì trên giao thức nhưng vẫn có thể nhận thưởng đến 29.665 COMP (trị giá khoảng 8,8 triệu USD).
Some funky business happening on $COMP
possible rug in the @compoundfinance comptroller. ⚠️@rleshner https://t.co/IRTJIQnBEx— napgener 0xbullmarket.eth (@napgener) September 29, 2021
Tiếp đó, người ta còn ghi nhận thêm các giao dịch rút tiền thưởng khác từ Compound với giá trị khác nhau, từ 1-2 triệu USD cho đến 8,9 triệu USD và 27,2 triệu USD.
https://t.co/IJEJxuKxw6 27m this time oof
— Spreek (@spreekaway) September 30, 2021
Compound sau đó đã thừa nhận vấn đề, khẳng định tiền vẫn người dùng vẫn an toàn và sự cố có vẻ như chỉ liên quan đến hợp đồng Comptroller của dự án.
? Unusual activity has been reported regarding the distribution of COMP following the execution of Proposal 062.
No supplied/borrowed funds are at risk — Compound Labs and members of the community are investigating discrepancies in the COMP distribution.
— Compound Labs (@compoundfinance) September 29, 2021
Nhà sáng lập Compound Robert Leshner cho biết Đề xuất 062 đã tạo một lỗ hổng trong hợp đồng Comptroller, cho phép người không cung cấp thanh khoản vẫn có thể rút một lượng lớn tiền thưởng từ hợp đồng. Tuy nhiên, các chức năng và quỹ tiền khác trên Compound sẽ không bị ảnh hưởng. Do đó, thiệt hại lớn nhất mà lỗ hổng này có thể gây ra là lượng 280.000 COMP có trong hợp đồng Comptroller, trị giá hơn 80 triệu USD.
A few hours ago, Proposal 62 went into effect, updating the Comptroller contract, which distributes COMP to users of the protocol.
The new Comptroller contract contains a bug, causing some users to receive far too much COMP. https://t.co/Fy6nLgDqKy
— Robert Leshner (@rleshner) September 30, 2021
The Comptroller contract (0x3d9819210A31b4961b30EF54bE2aeD79B9c9Cd3B) contains a limited quantity of COMP; the majority sits in the Reservoir contract (0x2775b1c75658Be0F640272CCb8c72ac986009e38) which releases 0.50 COMP/block.
The impact is bounded; at worst, 280k COMP tokens.
— Robert Leshner (@rleshner) September 30, 2021
Tuy nhiên, tính đến thời điểm viết bài, hợp đồng Comptroller chỉ còn 110.533 COMP, đồng nghĩa với việc hơn 57 triệu USD đã bị người dùng bòn rút.
Ông Leshner tiết lộ rằng Đề xuất 062 và hợp đồng Comptroller đã được viết bởi một thành viên trong cộng đồng Compound, và đã trải qua quá trình đánh giá thẩm định từ nhiều thành viên khác của dự án. Chưa hết, vì hợp đồng Comptroller không được bất kỳ bên nào quản lý để vô hiệu hóa nó, do vậy cộng đồng Compound cần 7 ngày để đưa ra đề xuất khắc phục nó, tương tự như quãng thời gian thông qua Đề xuất 062.
There are no admin controls or community tools to disable the COMP distribution; any changes to the protocol require a 7-day governance process to make their way into production.
Labs, and members of the community, are evaluating potential steps to patch the COMP distribution.
— Robert Leshner (@rleshner) September 30, 2021
Hãng nghiên cứu bảo mật PeckShield cho biết lỗi xuất phát từ lập trình của hợp đồng Comptroller, nơi một lệnh đáng lý phải có logic là “>=” thì lại được viết thành “>”.
If confirmed, it is indeed a very elusive boundary case! @rleshner https://t.co/z0Cj3R2wEt pic.twitter.com/aAl5YTNmP0
— PeckShield Inc. (@peckshield) September 30, 2021
Có thể thấy cơ chế phân quyền của Compound, tuy rất tốt cho cộng đồng, song đã dẫn đến một lỗ hổng ngoài mong muốn.
Theo DeFi Llama, Compound đang là giao thức DeFi có giá trị khóa lại (TVL) lớn thứ 5 thế giới, đạt hơn 10,4 tỷ USD.
Giá COMP đã phản ứng vô cùng tiêu cực trước thông tin trên, giảm 12,5% từ mức 320 USD về chỉ còn 279 USD, trước khi tạm phục hồi lên 298 USD ở thời điểm viết bài.
Cập nhật ngày 01/10/2021:
Tính đến 08:00 AM ngày 01/10, toàn bộ số tiền 280.000 COMP có trong hợp đồng Comptroller đã bị rút đi hết.
Nhà sáng lập Compound Robert Leshner kêu gọi cộng đồng hãy tự nguyện hoàn trả số tiền đã lấy được vì lỗi trên, song được phép giữ lại 10% với tư cách là thưởng phát hiện lỗ hổng. Tuy nhiên, ông Leshner đe đọa những ai không tuân thủ điều này sẽ bị báo cáo lên Sở Thuế vụ Mỹ (IRS).
If you received a large, incorrect amount of COMP from the Compound protocol error:
Please return it to the Compound Timelock (0x6d903f6003cca6255D85CcA4D3B5E5146dC33925). Keep 10% as a white-hat.
Otherwise, it’s being reported as income to the IRS, and most of you are doxxed.
— Robert Leshner (@rleshner) October 1, 2021
Nước đi này của Compound có thể là “bắt chước” Sushi, dự án mà cũng đã dọa trình báo hacker lên FBI sau vụ tấn công MISO, và đã thành công khi hacker đã chấp nhận trả lại tiền.
Nhiều thành viên trong cộng đồng tiền mã hóa thì lại cảm thấy bất bình trước tuyên bố trình cáo lên IRS của ông Leshner, vì theo họ, thu nhập từ tiền mã hóa vẫn chưa được quy phạm thành luật, cũng như việc Compound đưa thông tin lên IRS sẽ đe dọa đến các nguyên tắc bảo mật và phi tập trung của DeFi.
Tính đến 07:45 PM ngày 01/10, chỉ mới có 0,1 COMP / 280.000 COMP được hoàn trả vào địa chỉ mà nhà sáng lập Compound Robert Leshner yêu cầu.
Only 0.1 $COMP returned to Compound’s timelock since Leshner’s tweet 12 hours ago.$ALCX received half of their ETH back during $alETH mishap by humbling asking community to return + incentivizing + NFT.
Compound’s address: https://t.co/0fFwcONdJN pic.twitter.com/2KTbFnR4st
— DEGΞNOMICS (@degenomix) October 1, 2021
Coin68 tổng hợp
Có thể bạn quan tâm:
