Un bug composé ouvre des jetons COMP de 162 millions de dollars à saisir
La première règle de programmation est la suivante : « Si ça marche, n’ose pas y toucher.
Alors que les améliorations sont bonnes pour éviter l’obsolescence ou l’ennui du système, les changements peuvent, quelle qu’en soit l’intention, être mauvais pour l’entreprise s’ils sont mal exécutés sans une diligence approfondie.
Prenez, par exemple, les événements récents dans Compound.
Bug composé / Exploit
Compound est l’un des plus grands protocoles DeFi au monde de TVL. C’est aussi l’un des plus anciens, introduisant l’idée d’agriculture de rendement et d’incitations, qui a inauguré l’ère des excès DeFi.
Cependant, cela a été déchirant ces derniers jours. Suite à l’introduction d’une nouvelle fonctionnalité de taux d’intérêt dans le cadre de la proposition 062, le protocole a saigné l’évaluation et, littéralement, les jetons COMP car, apparemment, la nouvelle mise à niveau avait un bogue.
La proposition 62 et le nouveau contrat ont été rédigés par un membre de la communauté, avec l’examen de plusieurs autres membres de la communauté.
C’est la plus grande opportunité et le plus grand risque pour un protocole décentralisé – qu’un processus de développement ouvert permette à un bogue d’entrer en production.
/blockquote>
Le bogue déchire le dApp et paie au hasard d’autres utilisateurs car la faille affecte directement la distribution des récompenses. Bien qu’il ait offert aux utilisateurs un nombre extraordinaire de récompenses, il y a eu des pertes (de réputation), en particulier pour le développeur, Compound Labs.
La proposition 062 visait à répartir dynamiquement la distribution du COMP entre les fournisseurs de liquidités (prêteurs) et les emprunteurs sur la base de ratios de gouvernance en chaîne. Ainsi, on s’éloigne du 50/50 du modèle d’action précédent.
Après tout, DeFi est dynamique et non la pourriture de la stase.
Mais il y avait un problème
Après la mise à niveau, une faille dans le contrat du contrôleur a permis à certains utilisateurs de réclamer des quantités disproportionnées de COMP. Bien que le contrat contienne 490 000 COMP – 0,5 COMP ajouté toutes les 15 secondes, selon le développeur – un « soulagement » qui pourrait gérer les dégâts –, Compound Labs travaillerait plus dur pour convaincre sa communauté dans les mois à venir.
Selon Robert Leshner, fondateur de Compound Labs, il n’y a « pas de contrôles d’administration ni d’outils communautaires pour désactiver la distribution COMP ». Tout changement de gouvernance nécessite une attente de sept jours avant de passer en production et en exécution.
À l’avenir, je suis optimiste quant aux correctifs qui feront leur chemin dans le processus de gouvernance, qui corrige la distribution, et aux membres de la communauté qui travaillent pour gérer ce bogue.
/blockquote>
Rendez-le ou faites-vous doxer
Les agents peuvent toujours choisir de retourner le COMP attribué à tort. Cependant, dans l’état actuel des choses, le contrat de contrôleur peut tout aussi bien être vidé par ceux qui n’ont pas la boussole morale. Il y a quatre adresses qui peuvent, à leur gré, réclamer plus de 490 000, vidant ainsi le contrat du contrôleur.
À l’avenir, je suis optimiste quant aux correctifs qui feront leur chemin dans le processus de gouvernance, qui corrige la distribution, et aux membres de la communauté qui travaillent pour gérer ce bogue.
/blockquote>
Pendant ce temps, pour sauver la face, Compound Labs travaille sur un patch pour boucher le trou plutôt douloureux – espérons-le d’ici le week-end – car ils exhortent le mauvais destinataire à renvoyer COMP de peur d’être «doxé» par l’IRS.
