火星链 火星链
Ctrl+D收藏火星链

COM:Compound错误分发8000万美元代币,修复漏洞还要再等七天

作者:

时间:1900/1/1 0:00:00

9月30日,头部去中心化借贷协议Compound于官推表示,在今天通过并执行「治理提案062」后,升级合约内发错了一个BUG,致使COMP代币出现了异常分发情况。

具体来说,漏洞出现在升级后的「Compound:?Comptroller」合约内,原本应通过该合约缓慢分发给所有流动性提供者的COMP代币被错误释放,部分用户收到了远高于正常数量的COMP。如下图所示,仅0x2e4ae开头的地址一个地址就从「Compound:?Comptroller」合约内领取到了近30000枚COMP,代币,价值约900万美元。

漏洞影响评估

首先需要强调的是,从漏洞影响来看,本次?Compound事件只会直接影响到所有流动性提供者的预期收益,用户的存款、借款及仓位情况理论上不会受到任何干扰,所以不必太过恐慌。

知情人士:Blockchain.com未出售任何子公司,未与Coinbase进行相关谈判:金色财经报道,据知情人士消息,Blockchain.com没有出售任何子公司,也没有与Coinbase谈论可能的交易。并表示,Blockchain.com已出售非流动性头寸以获利并提高流动性以利用机会。

此前报道,去年12月,FTX旗下衍生品交易平台LedgerX正挂牌出售,Blockchain.com或为其潜在收购方。今年1月,Blockchain.com宣布将裁员28%,即约110名员工。[2023/2/18 12:14:22]

此外,根据?Compound创始人?RobertLeshner的说法,「Compound:?Comptroller」合约内的COMP总量有限,用于挖矿分发的更多COMP代币其实是存在另一个合约「Compound:Reservoir」内,该合约仍在以每个区块0.5枚COMP的速度正常分发。最极端的情况下,也就是「Compound:?Comptroller」合约内的代币被提空时,将有约28万枚COMP受到影响,总价值约8000万美元。

Crypto.com 获得由迪拜虚拟资产监管机构对其虚拟资产运营执照的临时批准:6月3日消息,加密交易所 Crypto.com 获得由迪拜虚拟资产监管机构(VARA)对其虚拟资产运营执照的临时批准,Crypto.com 的运营许可证是有条件的,直到它满足某些强制性要求,VARA 根据 Crypto.com 合规检查的保证文件,为该公司提供了有条件的批准,仍等待进一步的尽职调查。

此前报道,Crypto.com 在迪拜设立区域中心办事处。(Blockworks)[2022/6/3 4:00:37]

从链上状况来看,当前「Compound:?Comptroller」合约内已被提走了约17万COMP,还剩下约11万COMP,而「Compound:Reservoir」合约当前的运转并未出现异常情况,与?Leshner的说法相吻合。

Crypto.com推出Visa卡计划:12月3日消息,据官方消息,Crypto.com推出其在全球范围内的Visa卡计划,旨在使全世界超7000万商户支持加密支付,届时用户可通过Visa卡使用加密货币进行购物。目前,该计划正在超40个国家和地区展开。[2021/12/3 12:48:41]

事件发生原因

本次漏洞的起因在于前文提到的「治理提案062」,该提案的目的旨在调节对不同流动性提供角色的COMP分配比例。

依照协议运转规则,Compound每天会向所有流动性提供者分发2880枚COMP代币,这些代币的一半将分配给借方,一半将分配给贷方。然而,在日常运行之中,Compound发现这种一半一半的分配方式并未充分考虑到市场需求状况,致使了市场出现了一些畸变。所以在9月22日,社区成员?TylerLoewen于?Compound治理模块内提交了改进提案,拟将这种一半一半的分配方式更改为依照利率状况动态调节。

Bit.com总交易额已破10亿美金:根据Skew数据显示:Bit.com衍生品交易所9月期权的总交易额超3.6亿美金 ;目前Bit.com期权交易量仅次于Deribit与CME这两家老牌期权交易平台 ;Bit.com位列市场第3。

Bit.com衍生品交易所9月永续合约的交易量的总交易额为2.7亿美金,同比上升107% 。Bit.com拥有一流的流动性与健康的市场深度。[2020/10/9]

这一提案的出发点显然是正向的,社区对于提案的态度也是以支持为主,大概一周左右,也就是今天上午,该提案顺利通过并得到了执行。

遗憾的是,代码层面的BUG往往就是这么难以预料。尽管社区内其他一些成员也审查过?TylerLoewen的升级代码,且所有升级合约已在以太坊?Ropsten测试网上顺利运转了一个月的时间,但BUG还是出现了。

Compound治理代币COMP价格暴涨或因衍生品交易者操纵:最近一些加密市场分析师表示,去中心化金融协议Compound治理代币COMP价格飞速上涨可能是衍生品交易商们精心策划的。COMP代币最初在6月18日登陆加密货币交易所Poloniex上市,当时交易价格大约为80美元,之后COMP代币又在Coinbase上线,这一消息立刻吸引了大量买家,导致其价格迅速上涨了500%,一度创下超过380美元的历史高点。不过自从COMP代币价格创下历史高点之后,其价格迄今已经暴跌了34%,目前交易价格大约为253美元左右。Decentraland产品负责人Tony Sheng表示,目前COMP代币价格仍在继续上涨,之所以出现这种情况,可能是因为FTX衍生品交易所不成比例交易量在很大程度上助长了涨势。Tony Sheng指出,由于COMP代币推出时市场流动性极差,加密衍生品交易者可能通过相对较低价格的买入订单来提高现货价格,以确保使用FTX衍生品合约获得更大多头头寸利润。(cointelegraph)[2020/6/26]

解决措施及流程

关于补救工作,Leshner本人在推特已表示:“没有任何管理控件或社区工具来打断COMP当前的异常分发,协议层面的任何更改都需要经过为期近一周的治理程序才可生效。CompoundLabs?和社区成员当前正在评估修复发行版的可能方法。”

如其所说,Compound有着一套既有的治理流程:

任何地址都可以锁定100枚COMP来发起自治提议,当提议积攒够至少?65000枚COMP的委托后将升级为治理提案,继而进入社区公投环节;

社区公投为期3天,当提案获得了至少40万枚COMP支持,且多数人投票赞成之时,即可通过公投环节。

通过公投的提案将排队进入时间锁,并在2天的时间锁后正式执行。

梳理治理的整个流程,可以看到,仅公投和时间锁环节就要求了至少5天的时间,算上最初的提议以及流程过渡工作所需的时间,Leshner所说的一周并不夸张。

关于「没有任何管理控件来打断COMP当前的异常分发」这一点,事实上,Compound协议内存在一个用于处理极端情况的监护地址,该地址此前一直由?CompoundLabs持有,但在8月份的「治理提案057」中已被转变为多签控制。不过,该监护地址的权限暂时仅规定了可在极端情况下暂停协议的存款、借款和清算,并未明确提及是否可用于当前发生的情况。

流程至此已厘清,但该采取什么样的补救措施,目前没有人给出具体方案。社区成员已在?Compound治理论坛中建立了一个主题讨论帖,拟通过「治理提案063」来执行修复。从已释放出的信息来看,大概率会先行暂停COMP的分发,直到可以测试完整的修复补丁。

经验教训总结

作为践行去中心化理治模式的先驱之一,Compound本次事件的起因及处理在一定程度暴露了DAO治理的B面。

我们的惯性认知中,去中心化往往意味着用效率来换取公平。在DeFi领域,当一款协议实现了完全的去中心化治理,没有任何单一主体能够随意对合约进行修改时,调动社区整体来共同参与治理决策往往极大的组织精力及时间成本,这也是为什么?Compound需要用七天的时间来修复一个明摆着会对协议造成极大负面影响的漏洞。实际上,在一众头部DeFi协议之中,Compound七天左右的治理周期并不算慢了,Uniswap走完全套治理流程的时间周期至少需要半个月之久。

话说回来,既然明知事后的补救需要如此高的成本,那么在事件发生之前,是否需要对重大合约升级采取更加严格的评估标准呢?这是在本次事件发生后,Compound社区所作出第一个的经验总结——社区成员PhazeJeff于治理论坛内发起了一个讨论帖,主题为「对重大代码更改执行更严格的审核」。

结合具体事件来看,在社区成员Loewen提交「治理提案062」后,参与测试工作的社区成员数量过少,最终导致BUG被遗漏和“放行”。因此,Jeff认为在协议进行重大更新时进行更细致的监测,并鼓励更多的社区成员参与到主网部署前的社区工作去。此外,Jeff还提到了需要进一步明确多签监护地址的具体权限,以允许其在出现类似紧急情况时快速相应。

当前,关于该话题的讨论仍在进行中,感兴趣的朋友可以直接访问帖子参与讨论。

标签:COMOMPCOMPCompoundWrapped Ecomifompound币最新消息Compound 0xCompound Dai

欧易交易所app官网下载热门资讯
SAT:比特币支付属性的新开端:「聪」 闪电网络

作者|Hebao出品|白话区块链9月23日,推特宣布已在iOS版本的App中上线支持比特币支付的小费打赏功能,并将在未来几周内向Android用户推出.

1900/1/1 0:00:00
PUB:一文解读比特币升级提案 Taproot:P2SH、MAST 和 Schnorr 签名

本文将讨论比特币升级提案?Taproot?,该提案将引入很多全新功能。本文将从各个技术层面分析Taproot、介绍本次升级中涉及的技术以及这些技术会给比特币用户带来哪些好处.

1900/1/1 0:00:00
PLA:XT关于恢复MARS充提的公告

尊敬的XT用户:MARS钱包升级已完成,XT现已恢复MARS充值与提币业务,暂停期间给您带来的不便,敬请谅解.

1900/1/1 0:00:00
EFI:研究 DeFi 流动性忠诚度问题:忠诚的流动性是可能的,但需要权衡

总价值锁定(TVL)是DeFi中最流行和最容易被误解的指标。总资本分配(TCA)也许是更准确的说法。TVL暗示价值被“锁定”在协议中,忠诚而坚定。不幸的是,对于许多项目来说,情况并非如此.

1900/1/1 0:00:00
DAP:DappRadar区块链用户行为报告:游戏赚钱并不是新兴经济体的专利

DappRadar区块链用户行为报告这次将重点放在游戏上。在这份报告中,我们将分析全球趋势,包括人口统计学和连接性分析,所有这些都是针对游戏dapp和其中的用户.

1900/1/1 0:00:00
BASE:Coinbase收到“威尔斯通知”的含义 美国打击加密借贷产品

吴说作者|谈叔本期编辑|ColinWuCoinbase收到来自SEC的“宣战”本月,Coinbase的CEO和联合创始人BranArmstrong发了一系列的推.

1900/1/1 0:00:00