Ошибка в обновлении протокола может стоить проекту Compound более $82 млн
Разработчики лендингового протокола Compound сообщили об ошибке в процессе распределения токенов управления COMP, возникшей после активации RFP-062. По оценке основателя проекта Роберта Лешнера, в худшем случае ущерб превысит $82 млн.
В протоколе Compound предусмотрен процесс майнинга ликвидности - участники получают токены COMP за размещение активов в его пулах. Темп майнинга составляет 0,5 COMP/блок (~2312 COMP/в день).
RFP-06, вступивший в силу 30 сентября, изменил прежнюю модель распределения токенов управления (50/50). Теперь поставщики ликвидности и заемщики получают COMP на основе специальных коэффициентов.
Обновление также было призвано исправить мелкие баги, однако само по себе содержало серьезную уязвимость - пользователям выплачиваются токены сверх установленной правилами суммы.
Одним из первых на проблему обратил внимание участник сообщества napgener. Он указал на несколько подозрительных транзакций, согласно которым протокол выплатил пользователям $15 млн в COMP за заимствование и поставку незначительного количества USDC, ETH и DAI.
Ошибкой могли воспользоваться уже несколько пользователей. В блокчейне зарегистрирована транзакция, в ходе которой адрес получил 91 000 COMP (~$26,8 млн) за предоставление нулевой ликвидности. Чтобы получить токены, его владелец заплатил $157,77 за газ.
Впоследствии тот же адрес использовал децентрализованную биржу Uniswap для обмена части COMP (~$140 000) на стейблкоины USDC.
По словам Лешнера, активы пользователей находятся в безопасности. Адрес контракта Comptroller содержит ограниченное количество токенов, поэтому "в худшем случае последствия ограничены 280 000 COMP" (~82,6 млн на момент написания).
На момент написания на адресе Comptroller осталось всего 3 721 COMP (~$1,1 млн).
"Нет никаких средств административного контроля или инструментов сообщества для отключения распространения COMP. Любые изменения в протоколе требуют семидневного процесса рассмотрения перед внедрением", - написал Лешнер.
На фоне инцидента цена COMP снизилась более чем на 10%, согласно CoinGecko. На момент написания токен торгуется вблизи $296.
