资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
智能合约漏洞引发的"道德困境"
一周前,Compound创始人Robert Leshner将其借贷协议智能合约中的一个漏洞称为"道德困境"。对某些人来说或许如此,但对另一些人而言,今天的智能合约却变成了一台装满免费现金的自动取款机。
漏洞利用事件始末
今天,有人利用Compound的Controller合约中的一个漏洞,通过调用Compound的drip()函数,从Compound的储备金库向Comptroller转移了6800万美元,即202,472个COMP代币。该合约是协议中用于向用户分配流动性挖矿奖励的部分。
自Yearn.Finance核心开发者Banteg在下午早些时候发布有关该漏洞的推文以来,已有四笔大额交易从Comptroller池中提取了64,997个COMP,价值2140万美元。其中一笔交易提取了37,504个COMP,价值1230万美元。Banteg表示,只有"存在漏洞状态的地址可以提取",还有另外五个地址可以提取4500万美元,"清空Comptroller"。
事件背景与应对措施
上周,在名为Proposal 062的更新之后,Comptroller池开始向错误的人分发280,000个COMP。Leshner要求用户归还资金,并对归还者表示感谢。但由于Compound治理结构的设计,纠正这一错误需要七天时间。
"今天早上调用drip()函数时,它将积压的202,472.5个COMP(自上次调用该函数以来约两个月的COMP)发送到协议中以分发给用户,"Leshner今天在推文中表示。
"Compound和安全研究人员几天前就已经知道drip问题,"Banteg告诉Decrypt,"但由于没有缓解措施,决定保密,希望在补丁发布之前没有人会注意到。"
事件影响与未来展望
Leshner表示,目前面临风险的COMP总额约为49万个,价值1.6亿美元,"其中136,000个仍在Comptroller中,到目前为止已有117,000个返还给社区。"
在评论Banteg的帖子时,加密货币交易员Christopher Mooney表示:"说实话,我很惊讶在这么多人知道的情况下,这件事花了这么长时间才发生。这稍微恢复了我对人性的信心,但最终你们中有人选择了混乱中立。"
Leshner在推文中表示:"展望未来,我对通过治理流程的补丁修复分配问题感到乐观,也对正在努力管理这个漏洞的社区成员感到乐观。"在过去24小时内,COMP价格下跌了4.6%。
