人気DeFiのコンパウンドにバグ──3日朝には約24億円が流出

DeFi(分散型金融)プラットフォームのコンパウンド(Compound)で、流動性マイニングの報酬を分配するプログラムにバグが見つかり、報酬の一部が流出している。3日朝には報酬プログラムに積み上がった資金は6600万ドル(約73億円)に達し、今も増加している。

このうち約2200万ドル(約24億円)が先週後半に約8000万ドル(約89億円)をリスクに晒したバグと同じバグを使われて流出したと、あるDeFi開発者はCoinDeskに語った。彼は今も4400万ドル(約49億円)がリスクに晒されていると付け加えた。

3日朝の経緯

米東部夏時間(EDT)3日9時30分(日本時間3日22時30分)頃、あるイーサリアム(ETH)アドレスが流動性マイニングの報酬として3万7504コンパウンド(COMP)、約1200万ドル(約13億円)相当を、別のイーサリアムアドレスが1万4995COMP、約490万ドル(約5億4000万円)相当を請求した。請求はメーカーダオ(MakerDAO)を通じて行われた。

さらに、9499COMP、1699COMP、2999COMPの請求があり、流出金額は2200万ドル(約24億円)に達した。

コンパンドの創設者ロバート・レシュナー(Robert Leshner)氏は、メーカーダオの担当者とともにバグの解決に積極的に取り組んでいると述べた。メーカーダオにも取材を試みているが、まだ返答はない。

強固なガバナンスポリシーが裏目に

ヤーン・ファイナンス(Yearn.Finance)の匿名の開発者で、コンパウンドのガバナンスフォーラムでも重要な役割を担っている「banteg」氏は、バグは「数日前から知られていた」が、コミュニティは「1週間は秘密を保ち、誰にも発見されないこと」を願っていたと3日朝、ツイートした。

コンパウンドはガバナンス方式として、迅速なアップデートが可能になるマルチシグ方式を採用しておらず、敵対的な変更に対するレジリエンス(回復力)を強固なものにするために7日間のガバナンスプロセスを経ないと変更できないような仕組みを取っている。今回はこのセキュリティ設計がバグ修正のためのパッチ適用の妨げとなっている。

報酬の請求は現在も続いており、資金がさらに流出する可能性がある。banteg氏は当初、バグの影響は報酬の4分の1程度に過ぎないとしていたが、影響はさらに大きくなるかもしれないとコメントした。

|翻訳:coindesk JAPAN
|編集:増田隆幸
|画像:Shutterstock
|原文:$22M Drained From Compound Contract That Was Hit for $80M Last Week