Compound hat fälschlicherweise Millionenbeträge an Belohnungen für Liquidity-Mining ausgezahlt. Der Fehler folgte auf ein Update eines seiner Smart Contracts. In diesem „intelligenten Vertrag“ wurden in der Nacht zum Mittwoch 27 Millionen US-Dollar Compound Coin (COMP) durch einen möglichen Exploit eingefordert.
Infolge dieses Exploits zahlte wohl die dezentrale Plattform Compound Millionen von Dollar in Compound Coin aus. Sie waren eigentlich als Belohnungen für Liquidity-Mining gedacht.
Der Twitter-Nutzer napgener wies als erster auf das Problem hin. Er bemerkte Ethereum-Transaktionen, bei denen Nutzer insgesamt 15 Millionen Dollar in COMP-Tokens erhalten hatten. Im Austausch dafür leihten sie winzige Beträge an verschiedenen Token, einschließlich USDC, ETH und DAI.
Liquidity Mining von Compound
Compound hat ein Liquidity-Mining-Programm, das seine Einleger und Ausleiher belohnt. Die Belohnungen liegen oft im einstelligen Prozentbereich. Die verpfuschte Auszahlung, die aufgetreten ist, deutet auf Fehler im Compound-Vertrag hin. Mit diesem Smart Contract zahlt das System Belohnungen für das Leihen im Rahmen des Programms aus. Möglicherweise hängt der Fehler mit einem kürzlichen Upgrade zusammen.
Beobachter haben festgestellt, dass der Compound-Vertrag derzeit nicht von einer vom Unternehmen kontrollierten Multi-Sig verwaltet wird. Für die Behebung der Sicherheitslücke ist möglicherweise eine Abstimmung unter den COMP-Inhabern erforderlich.
Compound ist das fünftgrößte dezentralisierte Finanzprotokoll der Welt mit einem Gesamtwert von 10,2 Milliarden Dollar. Das Compound-Team bestätigte die Sicherheitslücke auf dem offiziellen Twitter-Handle und versicherte den Nutzern, dass ihr Geld nicht in Gefahr ist.
Der Gründer von Compound, Robert Leshner, bestätigte die Sicherheitslücke in einem weiteren Tweet. Darin erklärte er, dass „schlimmstenfalls“ nur 280.000 COMP-Token fälschlicherweise in Anspruch genommen werden könnten. Der Gründer merkte auch Folgendes an:
Es gibt keine Admin-Kontrollen oder Community-Tools, um die COMP-Distribution zu deaktivieren. alle Änderungen am Protokoll erfordern einen 7-tägigen Governance-Prozess, um in die Produktion zu gelangen. Die Labors und die Mitglieder der Community prüfen mögliche Schritte, um die COMP-Distribution zu patchen.
Hacker nutzen die Schwachstelle weiter?
Kurz nachdem Leshner den Tweet gepostet hatte, wurden rund 91.000 COMP-Token in einer einzigen Transaktion eingefordert. Die Token waren 27 Millionen Dollar wert. Der Nutzer, der die Token beansprucht hat, scheint der Plattform gar nichts an Krypto-Vermögenswerten zur Verfügung gestellt zu haben. Er zahlte jedoch 154,77 $ an Gebühren, um die Token zu erhalten.
Dieselbe Wallet, die die Beute erhielt, tauschte dann 140.000 $ in COMP gegen USDC über Uniswap.
Seit dem Bekanntwerden der möglichen Ausbeutung ist der COMP-Kurs von einem 24-Stunden-Hoch von 334 $ auf 290 $ gefallen. Compound Labs hat sich noch nicht zu der aktuellen Situation geäußert.
Mitwirkende
