Из-за глупой ошибки программиста криптоплатформа раздала пользователем $192 млн и с угрозами требует деньги назад

0
29

Перебор с вознаграждением

Криптоплатформа Compound по ошибке выплатила своим пользователям в общей сложности около $162 млн. Ошибку вызвал банальный баг, затесавшийся в коде смарт-контракта платформы. Основатель платформы практически сразу обратился к пользователям с просьбой вернуть средства, пригрозив жалобой в налоговую.

Compound является децентрализованной платформой на базе блокчейна Ethereum, которая выдает займы и позволяет зарабатывать процент с вложенных в «общий котел» средств. Все операции, включая выплату вознаграждения, осуществляются в виде токенов COMP. Расчет размера вознаграждения и его выдача производятся автоматически при помощи смарт-контракта.

Как сообщил в своем Twitter основатель платформы Compound Роберт Лешнер (Robert Leshner), в среду, 29 сентября 2021 г., в процессе обновления платформы произошла техническая ошибка, которая привела к начислению вкладчикам неоправданно высокого вознаграждения.

В четверг, 30 сентября 2021 г., Лешнер написал, что баг привел к автоматическому распределению лишних 280 тыс. токенов COMP среди пользователей платформы. Учитывая цену токена на уровне $330, общая сумма ошибочно выплаченных средств в тот день составила $92,6 млн в долларовом эквиваленте.

Конец? Нет, начало

Поскольку пул вознаграждений содержит конечное число токенов, ожидалось, что система на сможет раздать свыше лимита в 280 тыс. штук. Однако, как сообщил в разговоре с CNBC Мудит Гупта (Mudit Gupta), разработчик криптообменника SushiSwap, в действительности фонд вознаграждений непрерывно растет, увеличиваясь на 0,5 токена каждые 15 секунд.

Для того, чтобы добавить новую порцию средств в общий пул вознаграждений, в системе, которая управляет выплатами, необходимо вызвать специальную функцию drip(), что и произошло в воскресенье, 3 октября 2021 г. В результате к распределению было предложено еще примерно 202,5 тыс. токенов. Таким образом, Compound столкнулась с риском утраты 490 тыс. токенов на общую сумму в $162 млн.

Стоит отметить, что происшествие напрямую не затронуло средства пользователей, предоставленные активы и заемные активы. «Пользователи могут не беспокоиться о своих средствах; единственный риск заключается в том, что вы (или другой пользователь) могли получить неоправданно большое количество токенов COMP», – поспешил успокоить участников платформы Лешнер.

Просьба, похожая на угрозу

Основатель финплатформы обратился к получившим выплаты с просьбой вернуть лишние средства. В качестве награды за порядочность Лешнер предложил пользователям оставить себе 10% от приобретенных токенов. Тем, кто не согласится вернуть токены на таких условиях, он пригрозил проблемами с Налоговой службой США (IRS), которой в случае неподчинения будут переданы данные недобросовестных пользователей Compound. Это значит, что им в последствии придется задекларировать вознаграждение как доход и оплатить соответствующие налоги, но уже не в криптоактивах, а в фиатном долларе.

Из-за глупой ошибки программиста криптоплатформа раздала пользователем $192 млн и с угрозами требует деньги назад

Роберт Лешнер через Twitter потребовал вернуть лишнее

Подобная постановка вопроса в целом вызвала негативную реакцию пользователей. Некоторые из них сочли просьбу плохо завуалированной угрозой. Тем не менее, по словам Лешнера, к 3 октября пользователями платформы было возвращено около 117 тыс. токенов или $38,7 млн.

От DevOps к TestOps: как ускорить процессы тестирования новых приложений и ПО Интеграция

Из-за глупой ошибки программиста криптоплатформа раздала пользователем $192 млн и с угрозами требует деньги назад

Примечательно, что согласно обсуждению в Discord-чате платформы, ошибочно выданные токены не появляются в учетной записи каждого пользователя автоматически. Для того, чтобы их забрать, нужно выполнить определенные операции вручную. Как отмечает издание The Register, некоторые участники платформы сделали это – по состоянию на 30 сентября в блокчейне Compound присутствовала транзакция на сумму в примерно $29 млн.

Баг длиной в один символ

По словам Мудита Гупты, «аттракцион неслыханной щедрости» с раздачей лишних токенов стал возможным из-за допущенной программистами Compound ошибки в коде смарт-контракта, который распределяет фонд вознаграждения между участниками платформы.

В одной из функций смарт-контракта, которая вычисляет размер вознаграждения, разработчик использовал оператор сравнения «больше» (>) вместо необходимого в данной ситуации оператора «больше или равно» (>=).

Из-за глупой ошибки программиста криптоплатформа раздала пользователем $192 млн и с угрозами требует деньги назад

Мудит Гупта демонстрирует фрагмент кода, содержащий ошибку (строка 1217)

Примечательно, что разработчики не могут обратить процесс вспять и откатить раздачу лишних токенов. Управлением Compound занимается его сообщество, внесение изменений в протокол требует голосования его участников. Причем любая инициатива рассматривается не менее недели.

Таким образом, Лешнеру и коллегам остается только ожидать и надеяться на то, что участники децентрализованной финансовой платформы проявят порядочность и вернут большую часть средств, тем самым сгладив негативные последствия ошибки длиной в один символ, которая могла обойтись Compound в $162 млн.

В июле 2021 г. CNews писал об ошибке программистов Google, из-за которой множество владельцев хромбуков лишилось возможности войти под своей учетной записью в Chrome OS. Причиной, по всей видимости, тогда стала опечатка в функции расшифровки содержимого учетной записи Google, а именно в записи условного выражения if-else: вместо оператора «логического И» программист использовал оператор «побитового И».

В августе 2021 г. взломавший криптоплатформу Poly Network киберпреступник выкрал у ее клиентов более $610 млн, но затем добровольно вернул все деньги. За свою порядочность таинственный хакер получил награду в размере $500 тыс. и приглашение на работу в ограбленную им компанию.

ОСТАВЬТЕ ОТВЕТ

Пожалуйста, введите ваш комментарий!
пожалуйста, введите ваше имя здесь