Après la mise à jour de l’un de ses « smart contracts », le protocole Compound a versé indûment plusieurs dizaines de millions de dollars en récompenses de liquidité. 27 millions de dollars ont notamment été obtenus de manière abusive à travers une seule transaction.
Le marché de prêt décentralisé Compound a versé plusieurs dizaines millions de dollars de tokens COMP à des utilisateurs malveillants profitant d’une faille de son « smart contract ».
C’est l’internaute « napgener » qui a pointé le premier ce problème sur Twitter. Il a révélé trois transactions Ethereum, montrant que des utilisateurs sont parvenus à obtenir plus de 15 millions de dollars de COMP, alors qu’ils n’avaient prêté que de petites quantités de tokens – notamment de l’USDC, de l’ETH et du DAI.
Some funky business happening on $COMP
possible rug in the @compoundfinance comptroller. ⚠️@rleshner https://t.co/IRTJIQnBEx— napgener 0xbullmarket.eth (@napgener) September 29, 2021
Compound est une plateforme qui récompense les prêteurs de tokens en leur permettant de percevoir des intérêts. Les sommes versées hier montrent qu’une faille s’est glissée dans le contrat de prêt qui fixe le niveau des récompenses en COMP – une faille liée à une mise à jour récente.
Compound : près de 10 milliards de dollars de « TVL »
Comme le montrent les chiffres de Defi Llama, Compound est l’un des premiers protocoles de finance décentralisée, revendiquant une « Total Value Locked » (valeur totale placée) de près de 10 milliards de dollars :
Sur leur compte Twitter, les équipes de la plateforme ont reconnu l’existence d’une « activité inhabituelle », faisant suite à une récente mise à jour. Elles précisent toutefois que « les fonds prêtés ou empruntés ne sont pas à risque », assurant qu’elles « enquêtent sur les anomalies liées à la distribution de COMP » :
🚨 Unusual activity has been reported regarding the distribution of COMP following the execution of Proposal 062.
No supplied/borrowed funds are at risk – Compound Labs and members of the community are investigating discrepancies in the COMP distribution.
— Compound Labs (@compoundfinance) September 29, 2021
Robert Leshner, le fondateur du protocole, a également évoqué cette faille, expliquant que 280 000 tokens COMP (soit environ 82 millions de dollars) étaient, « au pire, » encore à risque d’être obtenus de manière abusive.
« Aucun moyen de contrôle de la part des administrateurs ou d’outils au sein de la communauté ne permettent de désactiver la distribution de COMP », a‑t-il précisé.
« Chaque modification apportée au protocole doit passer par un processus de gouvernance de 7 jours avant de pouvoir être effective ».
A few hours ago, Proposal 62 went into effect, updating the Comptroller contract, which distributes COMP to users of the protocol.
The new Comptroller contract contains a bug, causing some users to receive far too much COMP. https://t.co/Fy6nLgDqKy
— Robert Leshner (@rleshner) September 30, 2021
26,6 millions de dollars supplémentaires détournés cette nuit
Dans la nuit de mercredi à jeudi, peu de temps après son tweet, 91 000 tokens COMP (26,6 millions de dollars) ont été détournés à travers une seule transaction. L’utilisateur concerné n’a placé aucun crypto-actif sur la plateforme, se contentant de régler des frais de transaction de 157,26 dollars.
Le même portefeuille a ensuite échangé près de 140 000 dollars de COMP contre des USDC, en passant par la plateforme décentralisée Uniswap.
Lors de la rédaction de cet article, le token COMP avait perdu 11,82% de sa valeur sur les dernières 24 heures, s’échangeant à 293,69 dollars.