Et si vous pouviez récupérer gratuitement 65 millions de $ de cryptomonnaies, en un clic ? Le cauchemar de Compound (COMP) loin d’être terminé

Un bug qui persiste toujours – La semaine dernière, un bug a été décelé dans le code du protocole Compound. Celui-ci a entraîné la distribution incontrôlable de plusieurs dizaines de millions de dollars en jetons COMP. Malheureusement, il semblerait que les développeurs ne puissent pas faire grand chose pour résoudre le problème.

Compound (COMP) face à un bug de taille

Le jeudi 30 septembre, le protocole Compound avait averti ses utilisateurs qu’un bug avait été décelé dans un de ces contrats. En réalité, quelques heures après le déploiement de la proposition 062, des internautes ont identifié un bug affectant la distribution des récompenses en jeton COMP aux utilisateurs du protocole.

Bilan des courses, environ 80 millions de dollars en jetons COMP ont été distribués à tort aux fournisseurs de liquidités et emprunteurs sur Compound. À titre de comparaison, le protocole distribue en temps normal à peine plus de 2 000 COMP par jour

Le bug a été introduit dans le code par l’un des contributeurs du protocole. Malheureusement, celui-ci n’a pas été identifié avant la publication de la mise à jour, malgré une relecture approfondie du code par de nombreux pairs.

>> Jusqu’à 100 euros offerts en cryptomonnaies pour bien préparer le prochain bull run, ça vous tente ? <<

490 000 COMP à haut-risque

Ce n’est qu’un bug… il suffit de le corriger, vous diriez-vous peut-être ? Certes, mais Compound est doté d’un mécanisme de protection appliquant une période de 7 jours avant qu’une nouvelle proposition puisse être ajoutée au protocole. Ainsi, bien que le bug ait été identifié et corrigé, il faudra attendre le jeudi 7 octobre pour que la correction soit déployée.

Au moment de l’annonce du bug, 280 000 dollars en jeton COMP étaient à risque. Malheureusement, le contract Comptroller présentant le bug a été renfloué de 202 472 COMP supplémentaires. Ces COMP proviennent du contrat réservoir, faisant office de pool de stockage des jetons COMP à distribuer.

« Lorsque la fonction drip() a été appelée ce matin, elle a envoyé l’arriéré (202 472,5, soit environ 2 mois de COMP depuis le dernier appel de la fonction) dans le protocole pour distribution aux utilisateurs. »

Déclaration de Robert Leshner, fondateur de Compound
Publication Twitter Robert Leshner - contrat Comptroller renfloué 202 472 jetons COMP
Publication de Robert Leshner – Source : Twitter

Cela amène le total des fonds à risque à environ 490 000 COMP, soit 155 millions de dollars au cours actuel. Notons tout de même la bienveillance d’une partie de la communauté, qui a restitué 117 000 COMP indûment perçus, soit environ un quart des fonds à risque. 

Cette situation a amené certains développeurs de l’écosystème, comme Mudit Gupta de Sushiswap, à remettre en question cette période de blocage présente sur Compound :

« C’est pourquoi les périodes de blocage sur tout ne sont pas toujours la meilleure option. Une centaine de personnes étaient au courant de cette possibilité depuis le premier jour, mais elles avaient les mains liées à cause de l’horloge. »

Bien qu’il ne s’agisse pas d’un hack à proprement parler, le bug de Compound a été référencé sur le site rekt.news. Celui-ci se retrouve aux côtés des plus gros hacks DeFi, comme celui de Poly-Network qui a failli faire sombrer l’écosystème il y a quelques mois.

Les protocoles DeFi sont passionnants, mais parfois périlleux. Si vous préférez privilégier la tranquillité d’esprit, faites le choix de plateformes crypto plus traditionnelles. Actuellement, profitez de jusqu’à 100€ en cryptomonnaies offerts lors de votre inscription sur la plateforme Swissborg (lien affilié, pour un dépôt minimum de 50€).

Renaud H.

Ingénieur en software et en systèmes distribués de formation, passionné de cryptos depuis 2013. Touche à tout, entre mining et développement, je cherche toujours à en apprendre plus sur l’univers des cryptomonnaies et à partager le fruit de mes recherches à travers mes articles.