На прошлой неделе смарт-контракт криптовалюты Compound [COMP] из-за бага выплатил не тем пользователям больше $90 млн. Вчера было потеряно еще $22 млн. пользователей. Разработчики и сообщество не могут закрыть уязвимость из-за особенностей сети Compound. Под угрозой находятся еще $162 млн., а пользователи продолжают вкладывать деньги в контракт с багом.
Compound почти неделю теряет деньги пользователей своей DeFi-платформы
29 сентября 2021 года разработчики Compound [COMP] загрузили обновление под номером 062. В нем оказался баг, который позволяет нечестное распределение токенов внутри одного из финансовых протоколов на базе Compound. По иронии, целью обновления было «улучшение распределения COMP и исправление багов». В результате протокол потерял 280 тыс. токенов COMP, которые на тот момент стоили $92,6 млн.
Но пользователи, которые не знают об ошибке, продолжают вкладывать деньги в протокол с уязвимостью. Учитывая недавно вложенные деньги, общая сумма потерь может составить $162 млн.
Сегодня еще $22 млн. оказались украденными с использованием той же уязвимости. Возможно, в ближайшие дни злоумышленники продолжат выводить деньги пользователей с протокола.
Некоторые участники криптовалютного сообщества назвали происходящее с Compound крупнейшей потерей денег за всю историю блокчейна. Но есть пользователи, которые считают, что эти потери никак не скажутся на индустрии криптовалют и децентрализованных финансах. В этом уверен Мудит Гупта (Mudit Gupta) из PancakeSwap:
Это может быть и крупнейшей потерей денег за все время, но это ничего не меняет. У децентрализованных финансов прекрасное будущее. Но эта территория еще не изучена, и нам предстоит многому научиться.
Проекты сферы децентрализованных финансов продолжают страдать от проблем с защитой. Ранее атакам подвергались Avalanche [AVAX], SushiSwap [SUSHI], Cream Finance, xToken и другие сети.
Особенности Compound мешают исправить ситуацию
Разработчики уже представили обновление, которое исправит баг, но сеть не может его загрузить. В Compound предусмотрена модель управления, которая требует провести 7-дневное рассмотрение и голосование перед загрузкой любого обновления. Возможность экстренной загрузки, которая помогла бы в такой ситуации, отсутствует.
У проекта нет возможности узнать, кто именно получил деньги. Сеть работает на протоколе IPFS, дающем полную анонимность пользователям. Пользователь Compound @DagenSpartan предположил, что некоторые из них могут даже не быть взломщиками. Пользователи могли случайно получить токены COMP из-за ошибки в протоколе.
Разработчики просят тех, кто заполучил токены пользователей, вернуть их. Глава проекта Роберт Лешнер (Robert Leshner) сказал, что у него есть идеи, как вернуть монеты обратно. Но все они строятся вокруг доброй воли тех, у кого несправедливо оказались COMP. Он рассказал о «моральной дилемме» децентрализованных финансов:
В сообществе есть люди, которые работают над тем, чтобы от протоколов выигрывала вся экосистема. А есть те, кому до этого нет дела. Хороший разработчики думает о том, как добавить ценности проекту. А трейдер думает только о деньгах. На такой дилемме построена наша индустрия.
Источник: ruscoins.info