Compound vyplácí poskytovatelům likvidity milionové částky. Může za to chyba v kódu

Compound, zápůjčný DeFi protokol, se od konce září potýká s problémem chybného vyplácení odměn za liquidity mining. Součástí nové aktualizace smart kontraktů protokolu v Návrhu 062 byla chyba v kódu. Ta umožnila adresám kompetentním pro výběr odměn za poskytování likvidity vybírat velmi vysoké částky. Přesněji řečeno se jedná o Compound Comptroller kontrakt. Vývojáři Compoundu chybu ihned oznámili veřejnosti.

🚨 Unusual activity has been reported regarding the distribution of COMP following the execution of Proposal 062.

No supplied/borrowed funds are at risk — Compound Labs and members of the community are investigating discrepancies in the COMP distribution.

— Compound Labs (@compoundfinance) September 29, 2021

Chyba se naštěstí vztahuje pouze na jeden smart kontrakt. Žádné prostředky uživatelů určené pro prodej nebo půjčování ohroženy nebyly, problémy se týkají pouze COMP tokenů určených pro odměny.

Co nového měla aktualizace přinést?

Smyslem Návrhu 062 byla aktualizace přerozdělování COMP tokenů ve formě odměn z původního podílu 50/50 (50 % šlo půjčovatelům, 50 % dlužníkům) na podíly určené podle míry governance.

A few hours ago, Proposal 62 went into effect, updating the Comptroller contract, which distributes COMP to users of the protocol.

The new Comptroller contract contains a bug, causing some users to receive far too much COMP. https://t.co/Fy6nLgDqKy

— Robert Leshner (@rleshner) September 30, 2021

V aktualizaci bylo chyb více, většinou se však jednalo o malé a v zásadě “neškodné” bugy – bohužel se mezi nimi objevila i výše zmíněná chyba. V důsledku špatných výpočtů governance poměru bylo umožněno některým uživatelům na odměnách vybrat najednou až 91 000 COMP tokenů v hodnotě necelých 29 000 000 USD.

Robert Leshner, zakladatel Compoundu, ve svých dalších tweetech uvedl maximální možnou ztrátu 280 000 COMP mincí, cenově se zde pohybujeme okolo 80 000 000 USD. Více COMP mincí k odměnám alokováno nebylo.

The Comptroller contract (0x3d9819210A31b4961b30EF54bE2aeD79B9c9Cd3B) contains a limited quantity of COMP; the majority sits in the Reservoir contract (0x2775b1c75658Be0F640272CCb8c72ac986009e38) which releases 0.50 COMP/block.

The impact is bounded; at worst, 280k COMP tokens.

— Robert Leshner (@rleshner) September 30, 2021

Compound zde dojel na mínusy DAO

Leshner dále uvedl, že hlavním autorem kódu aktualizace byl nejmenovaný člen komunity. Compound jako DAO je už z podstaty open-source, codebase je tedy veřejně dostupná a kdokoliv se může podílet na její tvorbě. Samozřejmostí je nutná důkladná kontrola kódu, jež zde selhala.

Při provádění oprav je bohužel další překážkou jedna z přirozených vlastností DAO – každá další změna se musí opět odhlasovat. Provizorním řešením je zablokování vyplácení odměn v Návrhu 063 – pokud projde návrh hlasováním, bude aktivní až za týden od jeho vznesení.

Proposal 063 by @Arr00c @tylerether and other community members disables the ability to claim COMP, until the correct distribution logic is restored.

Review lasts 2 days, voting 3 days, and Timelock 2 days.

Discussion: https://t.co/xgMp2fB3pb
Proposal: https://t.co/wTEa2nJKsn

— Compound Labs (@compoundfinance) September 30, 2021

Co s “neoprávněnými” odměnami? Měli by je uživatelé vrátit?

Ke konci článku si dovolím menší úvahu. Měli by uživatelé vyplacené COMP tokeny vrátit? Na momentální situaci se můžeme dívat ze dvou pohledů:

1. Ačkoliv se v zásadě jedná o omyl způsobený vývojářem, pro DAO je alfa-omega napsaný kód -a ten i zde udělal přesně to, co udělat měl (čistě z technického pohledu). Uživatelé nic neukradli a podle struktury kódu mají na mince plné právo.
2. Všichni moc dobře víme, že záměrem vývojářů bylo něco úplně jiného, než vyhození 80 000 000 USD z okna. Z morálního hlediska se jeví jako jedinou možností peníze vrátit.

“Komunita Compoundu se víceméně dělí na dva tábory lidí – skupinu, které záleží na smyslu ekosystému, ti upřednostní veřejné blaho – a na skupinu upřednostňující vlastní zisk,” uvedl Leshner pro server Coindesk.

Leshner dále požádal všechny příjemce chybného vyplacení o navrácení částky zpět. Svou žádost opodstatnil hrozbou nahlášení na finanční úřad. Jednalo se však pouze o jeho osobní stanovisko a za tweet se následně omluvil.

Poznámka

V jedné transakci bylo dokonce vybráno necelých 29 000 000 USD. Uživatel si je může nechat – nikdo mu v tom nezabrání. U stejné adresy byl později evidován prodej COMP na UniSwapu za zhruba 140 000 USD.

Zdroj: etherscan.io

Netrvalo dlouho a začaly se objevovat první dobré duše. Podle posledních informacích bylo vráceno více než 130 000 COMP mincí, za některé velké částky Leshner osobně poděkoval.

Thank you 0x2e4a for returning COMP to the community 🙏

— Robert Leshner (@rleshner) October 1, 2021

V době psaní článku již probíhá hlasování o přijetí Návrhu 63, v drtivé většině je však hlasováno o jeho zamítnutí kvůli dalším problémům v kódu. V návaznosti na to vznikl nový návrh – Návrh 64 opravující přímo příčinu bez nutného zablokování vyplácení odměn.

Vytvoření dalšího návrhu prodloužilo dobu opravy o další dva dny, nyní tedy na 9 dní od vzniku komplikací. Kód smart kontraktů do teď upraven nebyl, odměny mohou být stále odeslány. Nezbývá než doufat v rozumné chování komunity, neboť situaci může skutečně vyřešit až nová aktualizace.