Новости Из-за глупой ошибки программиста криптоплатформа раздала пользователем $192 млн и с угрозами требует деньги назад

Специальный корреспондент
Собака

Собака

Пресс-служба
Команда форума
Private Club
Регистрация
13/10/15
Сообщения
55.044
Репутация
62.840
Реакции
277.292
RUB
0
Децентрализованная финансовая платформа Compound переплатила $192 млн в токенах своим клиентам из-за ошибки программиста длиной в один символ. Основатель платформы требует вернуть необоснованно высокое вознаграждение под угрозой сдать недобросовестных пользователей американским налоговикам.






Перебор с вознаграждением​


Криптоплатформа Compound по ошибке выплатила своим пользователям в общей сложности около $162 млн. Ошибку вызвал банальный баг, затесавшийся в коде смарт-контракта платформы. Основатель платформы практически сразу обратился к пользователям с просьбой вернуть средства, пригрозив жалобой в налоговую.


Compound является децентрализованной платформой на базе блокчейна Ethereum, которая выдает займы и позволяет зарабатывать процент с вложенных в «общий котел» средств. Все операции, включая выплату вознаграждения, осуществляются в виде токенов COMP. Расчет размера вознаграждения и его выдача производятся автоматически при помощи смарт-контракта.


Как сообщил в своем Twitter основатель платформы Compound Роберт Лешнер (Robert Leshner), в среду, 29 сентября 2021 г., в процессе обновления платформы произошла техническая ошибка, которая привела к начислению вкладчикам неоправданно высокого вознаграждения.


В четверг, 30 сентября 2021 г., Лешнер написал, что баг привел к автоматическому распределению лишних 280 тыс. токенов COMP среди пользователей платформы. Учитывая цену токена на уровне $330, общая сумма ошибочно выплаченных средств в тот день составила $92,6 млн в долларовом эквиваленте.


Конец? Нет, начало​


Поскольку пул вознаграждений содержит конечное число токенов, ожидалось, что система на сможет раздать свыше лимита в 280 тыс. штук. Однако, как сообщил в разговоре с CNBC Мудит Гупта (Mudit Gupta), разработчик криптообменника SushiSwap, в действительности фонд вознаграждений непрерывно растет, увеличиваясь на 0,5 токена каждые 15 секунд.


Для того, чтобы добавить новую порцию средств в общий пул вознаграждений, в системе, которая управляет выплатами, необходимо вызвать специальную функцию drip(), что и произошло в воскресенье, 3 октября 2021 г. В результате к распределению было предложено еще примерно 202,5 тыс. токенов. Таким образом, Compound столкнулась с риском утраты 490 тыс. токенов на общую сумму в $162 млн.


Стоит отметить, что происшествие напрямую не затронуло средства пользователей, предоставленные активы и заемные активы. «Пользователи могут не беспокоиться о своих средствах; единственный риск заключается в том, что вы (или другой пользователь) могли получить неоправданно большое количество токенов COMP», – поспешил успокоить участников платформы Лешнер.


Просьба, похожая на угрозу​


Основатель финплатформы обратился к получившим выплаты с просьбой вернуть лишние средства. В качестве награды за порядочность Лешнер предложил пользователям оставить себе 10% от приобретенных токенов. Тем, кто не согласится вернуть токены на таких условиях, он пригрозил проблемами с Налоговой службой США (IRS), которой в случае неподчинения будут переданы данные недобросовестных пользователей Compound. Это значит, что им в последствии придется задекларировать вознаграждение как доход и оплатить соответствующие налоги, но уже не в криптоактивах, а в фиатном долларе.



Роберт Лешнер через Twitter потребовал вернуть лишнее

Подобная постановка вопроса в целом вызвала негативную реакцию пользователей. Некоторые из них сочли просьбу плохо завуалированной угрозой. Тем не менее, по словам Лешнера, к 3 октября пользователями платформы было возвращено около 117 тыс. токенов или $38,7 млн.


Примечательно, что согласно обсуждению в Discord-чате платформы, ошибочно выданные токены не появляются в учетной записи каждого пользователя автоматически. Для того, чтобы их забрать, нужно выполнить определенные операции вручную. Как отмечает издание The Register, некоторые участники платформы сделали это – по состоянию на 30 сентября в блокчейне Compound присутствовала транзакция на сумму в примерно $29 млн.


Баг длиной в один символ​


По словам Мудита Гупты, «аттракцион неслыханной щедрости» с раздачей лишних токенов стал возможным из-за допущенной программистами Compound ошибки в коде смарт-контракта, который распределяет фонд вознаграждения между участниками платформы.


В одной из функций смарт-контракта, которая вычисляет размер вознаграждения, разработчик использовал оператор сравнения «больше» (>) вместо необходимого в данной ситуации оператора «больше или равно» (>=).



Мудит Гупта демонстрирует фрагмент кода, содержащий ошибку (строка 1217)

Примечательно, что разработчики не могут обратить процесс вспять и откатить раздачу лишних токенов. Управлением Compound занимается его сообщество, внесение изменений в протокол требует голосования его участников. Причем любая инициатива рассматривается не менее недели.


Таким образом, Лешнеру и коллегам остается только ожидать и надеяться на то, что участники децентрализованной финансовой платформы проявят порядочность и вернут большую часть средств, тем самым сгладив негативные последствия ошибки длиной в один символ, которая могла обойтись Compound в $162 млн.


В июле 2021 г. CNews об ошибке программистов Google, из-за которой множество владельцев хромбуков лишилось возможности войти под своей учетной записью в Chrome OS. Причиной, по всей видимости, тогда стала опечатка в функции расшифровки содержимого учетной записи Google, а именно в записи условного выражения if-else: вместо оператора «логического И» программист использовал оператор «побитового И».


В августе 2021 г. взломавший криптоплатформу Poly Network киберпреступник выкрал у ее клиентов более $610 млн, но затем добровольно вернул все деньги. За свою порядочность таинственный хакер награду в размере $500 тыс. и приглашение на работу в ограбленную им компанию.




 
Сверху Снизу