06 10月 2021 · 0 min read

複合的な契約のバグは、修正が実行される前に何度も発生します。

Source: Adobe/Сергей Шиманович

分散型金融(DeFi)プロトコルのCompound Financeは、日曜日に、バグに悩まされたコントラクトに約6,500万米ドル相当のCOMPが垂れ流され、週末にさらなるトラブルに直面しました。

Etherscanによると、10月3日、6467万米ドル相当のCOMP 202,472.5がCompound Reservoirコントラクトから同プロトコルに転送されました。

これが意味するのは、注入されたばかりの資金も悪用される危険性があるということです。昨日、あるアドレスでは約480万円、別のアドレスでは約1200万円の送金が確認されました。

漏洩した契約に資金を追加するこの機能は、以前から知られていましたが、どうやら秘密にしておくことにしたようです。

yearn.finance(YFI)のコア・コントリビューターである「banteg」は、"これは数日前から知られていたが、可能な緩和策はないので、1週間は黙っていて誰にも発見されないようにする計画だった "と主張している。

化合物ラボの10月2日のツイートでは、原因となった提案によって「導入されたバグを修正」し、「大多数のユーザーに対するCOMPの配布を再開する」という新しい提案が発表されました。このプロトコルを開発したチームは、不具合を起こした提案に続く2つの提案が10月7日に実装されるまで、誰もこの能力を使わないことを望んでいたようです。

これに対し、Compound Labsの創設者であるRobert Leshner氏は、Reservoirコントラクトはユーザーのために確保されたCOMPの大部分を保持しており、プロトコルに0.50COMP/ブロックを垂れ流していると述べています。"この数週間、誰もこの関数を呼び出しておらず、コミュニティの開発者たちは、(ガバナンスにおける)第63案または第64案が呼び出される前に発効することを期待していました。"

つまり、創設者によると、日曜日の朝に誰かがこの「ドリップ機能」を呼び出したときに、バックログのCOMP 202,472.5(前回機能が呼び出されてから約2ヶ月分のCOMP)がすべてプロトコルに送られ、ユーザーに配布されたということです。

そして、投稿時までに約COMP 117,000(3,728万米ドル)が返却されていますが、合計で約COMP 490,000(1億5,612万米ドル)が脆弱であると報告されています。

報告されているように、Compound Financeは先週、提案を可決・実行しましたが、スマートコントラクトのバグにより、ユーザーが数百万のCOMP報酬を請求できたことがすぐに判明し、当時約8200万米ドルの影響を受けていました。

その数日後、Leshner氏は、請求されたCOMPを返還しない人をdoxするという脅しと、自分の行動のまずさが大きく受け止められた内容をツイートしましたが、激しい反発を受けて謝罪しました。

10:42 UTCの時点で、COMPは318米ドルで取引されています。1日で6%、1週間で9%の下落となっています。
____
もっと詳しく: 
-DeFiは新しい概念ではなく、分散型と誤称されている-SEC議長
-DeFiが必ずしも思ったような分散型ではない理由 
- 暗号の非中央集権化は測定困難な理想である