Децентралізована фінансова платформа Compound переплатила $ 192 млн. в токенах своїм клієнтам через помилку програміста довжиною в один символ. Засновник платформи вимагає повернути необгрунтовано високу винагороду під загрозою здати недобросовісних користувачів американським податківцям.
Криптоплатформа Compound помилково виплатила своїм користувачам в цілому близько $ 162 млн. Помилку викликав банальний баг, що затесався в коді смарт-контракту платформи. Засновник платформи практично відразу звернувся до користувачів з проханням повернути кошти, пригрозивши скаргою до податкової.
Compound є децентралізованою платформою на базі блокчейна Ethereum, яка видає позики і дозволяє заробляти відсоток з вкладених в загальну казну коштів. Всі операції, включаючи виплату винагороди, здійснюються у вигляді токенів COMP. Розрахунок розміру винагороди та його видача здійснюються автоматично за допомогою смарт-контракту.
Як повідомив у своєму Twitter засновник платформи Compound Роберт Лешнер (Robert Leshner), в середу, 29 вересня 2021 р в процесі оновлення платформи сталася технічна помилка, яка призвела до нарахування вкладникам невиправдано високих винагород.
У четвер, 30 вересня 2021 р Лешнер написав, що баг привів до автоматичного розподілу зайвих 280 тис. токенів COMP серед користувачів платформи. З огляду на ціну токена на рівні $ 330, загальна сума помилково виплачених коштів в той день склала $ 92,6 млн в доларовому еквіваленті.
Оскільки пул винагород містить кінцеве число токенів, очікувалося, що система на зможе роздати понад ліміту в 280 тис. штук. Однак, як повідомив в розмові з CNBC Мудіт Гупта (Mudit Gupta), розробник криптообмінника SushiSwap, в дійсності фонд винагород безперервно зростає, збільшуючись на 0,5 токена кожні 15 секунд.
Для того, щоб додати нову порцію коштів до загального пулу винагород, в системі, яка управляє виплатами, необхідно викликати спеціальну функцію drip, що і сталося в неділю. 3 жовтня 2021 р результаті до розподілу було запропоновано ще приблизно 202,5 тис. токенів. Таким чином, в Compound зіткнулися з ризиком втрати 490 тис. токенів на загальну суму в $ 162 млн.
Варто відзначити, що подія безпосередньо не торкнулося коштів користувачів, наданих активів і позикових активів. “Користувачі можуть не турбуватися про своїх кошти; єдиний ризик полягає в тому, що ви (або інший користувач) могли отримати невиправдано велику кількість токенів COMP”, – поспішив заспокоїти учасників платформи Лешнер.
Засновник фінплатформи звернувся до людей, що отримали виплати з проханням повернути зайві кошти. В якості нагороди за порядність Лешнер запропонував користувачам залишити собі 10% від придбаних токенів. Тим, хто не погодиться повернути токени на таких умовах, він пригрозив проблемами з Податковою службою США (IRS), якій в разі непокори будуть передані дані недобросовісних користувачів Compound. Це означає, що їм надалі доведеться задекларувати винагороду як дохід і сплатити відповідні податки, але вже не в криптоактивах, а в доларі.
Роберт Лешнер через Twitter зажадав повернути зайве
Подібна постановка питання в цілому викликала негативну реакцію користувачів. Деякі з них визнали прохання погано завуальованою загрозою. Проте, за словами Лешнера, вже 3 жовтня користувачами платформи було повернуто близько 117 тис. токенів або $ 38,7 млн.
Примітно, що згідно обговоренню в Discord-чаті платформи, помилково видані токени не з’являються в облікового запису кожного користувача автоматично. Для того, щоб їх забрати, потрібно виконати певні операції вручну. Як зазначає видання The Register, деякі учасники платформи зробили це – за станом на 30 вересня в блокчейні Compound була присутня транзакція на суму в приблизно $ 29 млн.
За словами Мудіта Гупти, “атракціон нечуваної щедрості” з роздачею зайвих токенов став можливим через допущену програмістами Compound помилку в коді смарт-контракту, який розподіляє фонд винагороди між учасниками платформи.
В одній з функцій смарт-контракту, яка обчислює розмір винагороди, розробник використав оператор порівняння «більше» (>) замість необхідного в даній ситуації оператора «більше або дорівнює» (> =).
Мудіт Гупта демонструє фрагмент коду, що містить помилку (рядок 1217)
Примітно, що розробники не можуть звернути процес назад і відкотити роздачу зайвих токенів. Управлінням Compound займається його спільнота, внесення змін до протоколу вимагає голосування його учасників. Причому будь-яка ініціатива розглядається не менше тижня.
Таким чином, Лешнеру і колегам залишається тільки чекати і сподіватися на те, що учасники децентралізованої фінансової платформи проявлять порядність і повернуть велику частину коштів, тим самим згладивши негативні наслідки помилки довжиною в один символ, яка могла обійтися Compound в $ 162 млн.
У липні 2021 р ми вже писали про помилку програмістів Google, через яку безліч власників хромбуків позбулися можливості увійти під своїм обліковим записом в Chrome OS. Причиною, як видно, тоді стала помилка в функції розшифровки вмісту облікового запису Google, а саме в запису умовного виразу if-else: замість оператора «логічного І» програміст використовував оператор «побітового І».
У серпні 2021 р кіберзлочинець зламав криптоплатформу Poly Network викрав у її клієнтів більше $ 610 млн, але потім добровільно повернув всі гроші. За свою порядність таємничий хакер отримав нагороду в розмірі $ 500 тис. І запрошення на роботу в пограбовану ним компанію.
Рассказываем, что изменится для части украинцев уже меньше чем через две недели. Один из видов…
Розповідаємо, що зміниться для частини українців вже менше ніж за два тижні. Один з видів…
Представьте, вы подключили к смартфону зарядное устройство, но гаджет не заряжается. Что будете делать в…
Уявіть, ви підключили до смартфона зарядний пристрій, але гаджет не заряджається. Що робитимете в першу…
Украинцам объяснили, почему не стоит встраивать микроволновую печь в шкаф. Популярное дизайнерское решение может создать…
Українцям пояснили, чому не варто вбудовувати мікрохвильову піч в шафу. Популярне дизайнерське рішення може створити…