Rug pull de Compounder Finance
El equipo de Compounder Finance subió una actualización maliciosa que cambió la lógica del pool por una función de drenaje, robando $12M en depósitos.
- Fecha
- Víctima
- Compounder Finance users
- Cadena(s)
- Estado
- Fondos robados
El 1 de diciembre de 2020, Compounder Finance ejecutó un rug pull por aproximadamente 12 millones de dólares. El equipo subió una actualización maliciosa a los contratos de estrategia, reemplazando la lógica legítima del pool por una función de drenaje que vació los depósitos de usuarios, y luego desapareció.
Qué ocurrió
Los contratos de estrategia de Compounder eran actualizables por el equipo. Tras acumular ~$12M, los operadores actualizaron las estrategias a implementaciones maliciosas y retiraron todos los depósitos — uno de los primeros rugs a gran escala de "actualizar-a-implementación-maliciosa".
Por qué importa
Compounder Finance (dic 2020) es un progenitor temprano y grande del rug por actualización maliciosa que se repite a lo largo del catálogo (Swaprum, Kokomo, Wasabi). Estableció, en 2020, la regla del lado del usuario que el catálogo sigue reformulando: la actualizabilidad controlada por el equipo es una opción de rug permanente sin importar las auditorías o el código actual. Más de cinco años después la misma estructura, con la misma red flag pre-comprobable (¿quién controla la clave de actualización?), todavía funciona — porque el incentivo de saltarse timelocks/multisig por velocidad de envío nunca desaparece, y los usuarios siguen depositando sin comprobar.
Fuentes y evidencia on-chain
- [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-compounder-finance-rug-december-2020
- [02]rekt.newshttps://rekt.news/compounder-finance-rekt