9月30日,頭部去中心化借貸協議Compound于官推表示,在今天通過并執行「治理提案062」后,升級合約內發錯了一個BUG,致使COMP代幣出現了異常分發情況。
具體來說,漏洞出現在升級后的「Compound:?Comptroller」合約內,原本應通過該合約緩慢分發給所有流動性提供者的COMP代幣被錯誤釋放,部分用戶收到了遠高于正常數量的COMP。如下圖所示,僅0x2e4ae開頭的地址一個地址就從「Compound:?Comptroller」合約內領取到了近30000枚COMP,代幣,價值約900萬美元。
漏洞影響評估
首先需要強調的是,從漏洞影響來看,本次?Compound事件只會直接影響到所有流動性提供者的預期收益,用戶的存款、借款及倉位情況理論上不會受到任何干擾,所以不必太過恐慌。
DC Comics和Palm NFT Studio將在4月發布20萬個以蝙蝠俠為主題的 NFT:金色財經報道,DC Comics和Palm NFT Studio宣布他們將在 4 月發布以蝙蝠俠為主題的 NFT,并承諾提供兩年的收益。Bat Cowl Collection 將于 4 月 26 日推出,總共將包含 200,000 個 NFT,每個 NFT 都描繪了超級英雄著名面具或頭罩的3D再現。每個 NFT 的價格為 300 美元。Bat Cowl NFT 將在 Palm 上鑄造,Palm 是一種以太坊側鏈擴展解決方案。Bat Cowl NFT 持有者將可以訪問 DC Universe 網站上的私人粉絲論壇,以及訪問粉絲活動、實物收藏品、獨家商品和幕后內容。此外,DC 計劃通過“metaverse 集成”和增強現實體驗等功能來擴展功能集。(Decrypt)[2022/3/30 14:26:05]
此外,根據?Compound創始人?RobertLeshner的說法,「Compound:?Comptroller」合約內的COMP總量有限,用于挖礦分發的更多COMP代幣其實是存在另一個合約「Compound:Reservoir」內,該合約仍在以每個區塊0.5枚COMP的速度正常分發。最極端的情況下,也就是「Compound:?Comptroller」合約內的代幣被提空時,將有約28萬枚COMP受到影響,總價值約8000萬美元。
Compound創始人:BitMEX消失意味沒有價格操縱,加密市場更加健康:自美國商品期貨交易委員會(CFTC)對BitMEX高級管理層提出起訴以來,已經過去了11天。然而,盡管存在法律上的麻煩,BitMEX仍然以可觀的日交易量運行著。現在,最糟糕的情況是,如果被告被判有罪,該交易所的資產將被查封,賬戶將被凍結,所有交易活動將暫停。許多社區成員猜測,BitMEX的消失將對加密交易的未來意味著什么。
Compound創始人Robert Leshner認為,沒有BitMEX將意味著沒有價格操縱,進而意味著市場更加健康。他此前曾指責像BitMEX這樣的中心化交易所是“不透明的平臺,很容易為洗錢提供便利”。然而,并不是每個人似乎都同意Leshner的信念,另一個陣營將BitMEX視為該領域感知價格異動的第一媒介,許多人聲稱BitMEX提供了至關重要的基礎設施,幫助市場正常運作。DigiByte創始人Jared Tate表示:“雖然我們還不知道所有細節,但這將對該行業產生長期影響。BitMEX并不是提供這些服務的唯一平臺,但它們是最古老的,所以這并不令人驚訝。這個案子可能要花好幾年才能辦成。”(AMBCrypto)[2020/10/11]
從鏈上狀況來看,當前「Compound:?Comptroller」合約內已被提走了約17萬COMP,還剩下約11萬COMP,而「Compound:Reservoir」合約當前的運轉并未出現異常情況,與?Leshner的說法相吻合。
庫幣上線DeFi項目專區,支持AMPL、COMP、ORN等15種DeFi項目:據庫幣KuCoin交易所消息,庫幣已于8月13日正式上線DeFi項目專區,DeFi項目專區包含DeFi行情頁面專區,DeFi交易市場專區及DeFi新聞公告專區。至此,平臺所涉及Compound (COMP)、PlutusDeFi (PLT)、Ampleforth (AMPL)、Orion Protocol (ORN)等15個DeFi項目共29個交易對都已遷移至DeFi項目專區中。[2020/8/13]
事件發生原因
本次漏洞的起因在于前文提到的「治理提案062」,該提案的目的旨在調節對不同流動性提供角色的COMP分配比例。
依照協議運轉規則,Compound每天會向所有流動性提供者分發2880枚COMP代幣,這些代幣的一半將分配給借方,一半將分配給貸方。然而,在日常運行之中,Compound發現這種一半一半的分配方式并未充分考慮到市場需求狀況,致使了市場出現了一些畸變。所以在9月22日,社區成員?TylerLoewen于?Compound治理模塊內提交了改進提案,擬將這種一半一半的分配方式更改為依照利率狀況動態調節。
動態 | Ripple宣布在其交易量報告中使用CryptoCompare的頂級交易所列表:據Cryptoglobe消息,Ripple近日宣布,將開始在其交易量報告中使用加密貨幣數據和索引提供商CryptoCompare的頂級交易所列表(CCTT)。根據CryptoCompare提供的基準指數,Ripple將使用至少是B級的交易所,因為CryptoCompare針對交易所的研究考慮了地理、監管質量、投資、團隊質量、市場質量、數據提供和貿易監督等因素,可以地幫助過濾掉虛假交易量。[2019/7/25]
這一提案的出發點顯然是正向的,社區對于提案的態度也是以支持為主,大概一周左右,也就是今天上午,該提案順利通過并得到了執行。
遺憾的是,代碼層面的BUG往往就是這么難以預料。盡管社區內其他一些成員也審查過?TylerLoewen的升級代碼,且所有升級合約已在以太坊?Ropsten測試網上順利運轉了一個月的時間,但BUG還是出現了。
IBM、Comcast啟動區塊鏈創業基金:科技巨頭IBM和電信集團Comcast正在支持一項投資基金,該基金專注于幫助企業使用區塊鏈技術。聯合創始人Rob Bailey對彭博社表示,該公司的目標是在全球范圍內投資區塊鏈創業公司,并最終將他們與財富500強的客戶聯系起來。[2018/1/8]
解決措施及流程
關于補救工作,Leshner本人在推特已表示:“沒有任何管理控件或社區工具來打斷COMP當前的異常分發,協議層面的任何更改都需要經過為期近一周的治理程序才可生效。CompoundLabs?和社區成員當前正在評估修復發行版的可能方法。”
如其所說,Compound有著一套既有的治理流程:
任何地址都可以鎖定100枚COMP來發起自治提議,當提議積攢夠至少?65000枚COMP的委托后將升級為治理提案,繼而進入社區公投環節;
社區公投為期3天,當提案獲得了至少40萬枚COMP支持,且多數人投票贊成之時,即可通過公投環節。
通過公投的提案將排隊進入時間鎖,并在2天的時間鎖后正式執行。
梳理治理的整個流程,可以看到,僅公投和時間鎖環節就要求了至少5天的時間,算上最初的提議以及流程過渡工作所需的時間,Leshner所說的一周并不夸張。
關于「沒有任何管理控件來打斷COMP當前的異常分發」這一點,事實上,Compound協議內存在一個用于處理極端情況的監護地址,該地址此前一直由?CompoundLabs持有,但在8月份的「治理提案057」中已被轉變為多簽控制。不過,該監護地址的權限暫時僅規定了可在極端情況下暫停協議的存款、借款和清算,并未明確提及是否可用于當前發生的情況。
流程至此已厘清,但該采取什么樣的補救措施,目前沒有人給出具體方案。社區成員已在?Compound治理論壇中建立了一個主題討論帖,擬通過「治理提案063」來執行修復。從已釋放出的信息來看,大概率會先行暫停COMP的分發,直到可以測試完整的修復補丁。
經驗教訓總結
作為踐行去中心化理治模式的先驅之一,Compound本次事件的起因及處理在一定程度暴露了DAO治理的B面。
我們的慣性認知中,去中心化往往意味著用效率來換取公平。在DeFi領域,當一款協議實現了完全的去中心化治理,沒有任何單一主體能夠隨意對合約進行修改時,調動社區整體來共同參與治理決策往往極大的組織精力及時間成本,這也是為什么?Compound需要用七天的時間來修復一個明擺著會對協議造成極大負面影響的漏洞。實際上,在一眾頭部DeFi協議之中,Compound七天左右的治理周期并不算慢了,Uniswap走完全套治理流程的時間周期至少需要半個月之久。
話說回來,既然明知事后的補救需要如此高的成本,那么在事件發生之前,是否需要對重大合約升級采取更加嚴格的評估標準呢?這是在本次事件發生后,Compound社區所作出第一個的經驗總結——社區成員PhazeJeff于治理論壇內發起了一個討論帖,主題為「對重大代碼更改執行更嚴格的審核」。
結合具體事件來看,在社區成員Loewen提交「治理提案062」后,參與測試工作的社區成員數量過少,最終導致BUG被遺漏和“放行”。因此,Jeff認為在協議進行重大更新時進行更細致的監測,并鼓勵更多的社區成員參與到主網部署前的社區工作去。此外,Jeff還提到了需要進一步明確多簽監護地址的具體權限,以允許其在出現類似緊急情況時快速相應。
當前,關于該話題的討論仍在進行中,感興趣的朋友可以直接訪問帖子參與討論。
Tags:COMCOMPOMPCompoundWCOM價格CompounderInternet Computer(Dfinity)Compound USD Coin
鏈聞消息,就在去中心化借貸協議Compound試圖通過63號或64號社區提案修補流動性挖礦代幣分發合約含有的漏洞的同時.
1900/1/1 0:00:00尊敬的用戶: 為了更好地提升我們的服務質量,優化用戶體驗,PandaFe熊貓積極迭代優化產品,細致處理好每一個細節,一切以用戶的體驗為導向.
1900/1/1 0:00:00鏈聞消息,訂閱制流媒體服務Netflix宣布將于2022年上映根據破產加密交易所QuadrigaCX故事拍攝的電影《TRUSTNOONE》.
1900/1/1 0:00:00尊敬的XT用戶: 為了給用戶提供更好的交易體驗,優化產品性能,XT將于2021年09月26日15:00-9月26日16:00進行系統升級維護,在此期間將暫停網站一切功能.
1900/1/1 0:00:00鏈聞消息,DEX聚合器Matcha宣布推出無Gas交易功能GaslessTrading公測版,允許用戶在以太坊上進行交易時無需支付任何Gas費用,且具有無滑點和零MEV攻擊.
1900/1/1 0:00:00親愛的用戶:幣安將支持IoTeX的網絡升級和硬分叉,具體安排如下: 幣安 預計將于東八區時間2021年10月12日05:00暫停IOTX代幣的充值、提現業務.
1900/1/1 0:00:00