Compound : plusieurs dizaines de millions de dollars de tokens COMP dérobés suite à l’exploitation d’une faille

Après la mise à jour de l’un de ses « smart contracts », le pro­to­cole Com­pound a ver­sé indû­ment plu­sieurs dizaines de mil­lions de dol­lars en récom­penses de liqui­di­té. 27 mil­lions de dol­lars ont notam­ment été obte­nus de manière abu­sive à tra­vers une seule transaction.

Le mar­ché de prêt décen­tra­li­sé Com­pound a ver­sé plu­sieurs dizaines mil­lions de dol­lars de tokens COMP à des uti­li­sa­teurs mal­veillants pro­fi­tant d’une faille de son « smart contract ».

C’est l’in­ter­naute « nap­ge­ner » qui a poin­té le pre­mier ce pro­blème sur Twit­ter. Il a révé­lé trois tran­sac­tions Ethe­reum, mon­trant que des uti­li­sa­teurs sont par­ve­nus à obte­nir plus de 15 mil­lions de dol­lars de COMP, alors qu’ils n’a­vaient prê­té que de petites quan­ti­tés de tokens – notam­ment de l’USDC, de l’ETH et du DAI.

Com­pound est une pla­te­forme qui récom­pense les prê­teurs de tokens en leur per­met­tant de per­ce­voir des inté­rêts. Les sommes ver­sées hier montrent qu’une faille s’est glis­sée dans le contrat de prêt qui fixe le niveau des récom­penses en COMP – une faille liée à une mise à jour récente.

Compound : près de 10 milliards de dollars de « TVL »

Comme le montrent les chiffres de Defi Lla­ma, Com­pound est l’un des pre­miers pro­to­coles de finance décen­tra­li­sée, reven­di­quant une « Total Value Locked » (valeur totale pla­cée) de près de 10 mil­liards de dollars :

Sur leur compte Twit­ter, les équipes de la pla­te­forme ont recon­nu l’exis­tence d’une « acti­vi­té inha­bi­tuelle », fai­sant suite à une récente mise à jour. Elles pré­cisent tou­te­fois que « les fonds prê­tés ou emprun­tés ne sont pas à risque », assu­rant qu’elles « enquêtent sur les ano­ma­lies liées à la dis­tri­bu­tion de COMP » :

Robert Lesh­ner, le fon­da­teur du pro­to­cole, a éga­le­ment évo­qué cette faille, expli­quant que 280 000 tokens COMP (soit envi­ron 82 mil­lions de dol­lars) étaient, « au pire, » encore à risque d’être obte­nus de manière abusive.

« Aucun moyen de contrôle de la part des admi­nis­tra­teurs ou d’ou­tils au sein de la com­mu­nau­té ne per­mettent de désac­ti­ver la dis­tri­bu­tion de COMP », a‑t-il précisé.

« Chaque modi­fi­ca­tion appor­tée au pro­to­cole doit pas­ser par un pro­ces­sus de gou­ver­nance de 7 jours avant de pou­voir être effective ».

26,6 millions de dollars supplémentaires détournés cette nuit

Dans la nuit de mer­cre­di à jeu­di, peu de temps après son tweet, 91 000 tokens COMP (26,6 mil­lions de dol­lars) ont été détour­nés à tra­vers une seule tran­sac­tion. L’utilisateur concer­né n’a pla­cé aucun cryp­to-actif sur la pla­te­forme, se conten­tant de régler des frais de tran­sac­tion de 157,26 dollars.

Le même por­te­feuille a ensuite échan­gé près de 140 000 dol­lars de COMP contre des USDC, en pas­sant par la pla­te­forme décen­tra­li­sée Uniswap.

Lors de la rédac­tion de cet article, le token COMP avait per­du 11,82% de sa valeur sur les der­nières 24 heures, s’é­chan­geant à 293,69 dol­lars.