OMP:梳理Compound 8000萬美元token分發錯誤事件_Internet Computer(Dfinity)

9 月 30 日，頭部去中心化借貸協議 Compound 于官推表示，在今天通過并執行「治理提案 062」后，升級合約內發錯了一個 BUG，致使 COMP 代幣出現了異常分發情況。

具體來說，漏洞出現在升級后的「Compound :?Comptroller」（0x3d9819210A31b4961b30EF54bE2aeD79B9c9Cd3B）合約內，原本應通過該合約緩慢分發給所有流動性提供者（借方、貸方）的 COMP 代幣被錯誤釋放，部分用戶收到了遠高于正常數量的 COMP。如下圖所示，僅 0x2e4ae 開頭的地址一個地址就從「Compound :?Comptroller」合約內領取到了近 30000 枚 COMP，代幣，價值約 900 萬美元。

24小時創新幣行情梳理:根據Bitfinex交易平臺數據顯示，

EOS最新成交價格78.42元，最高價達79.62元，最低價格74.69元，成交量571.82萬，漲幅3.35%；

IOTA最新成交價格11.41元，最高價達11.56元，最低價格9.67元，成交量1878.52萬，漲幅16.98%；

DASH最新成交價格1987.86元，最高價達2005.09元，最低價格1889.85元，成交量0.49萬，漲幅1.81%；

NEO最新成交價格343.26元，最高價達344.45元，最低價格321.68元，成交量4.65萬，漲幅5.4%。[2018/6/1]

首先需要強調的是，從漏洞影響來看，本次?Compound 事件只會直接影響到所有流動性提供者的預期收益，用戶的存款、借款及倉位情況理論上不會受到任何干擾，所以不必太過恐慌。

此外，根據?Compound 創始人?Robert Leshner 的說法，「Compound :?Comptroller」合約內的 COMP 總量有限，用于挖礦分發的更多 COMP 代幣其實是存在另一個合約「Compound: Reservoir」（0x2775b1c75658Be0F640272CCb8c72ac986009e38）內，該合約仍在以每個區塊 0.5 枚 COMP 的速度正常分發。最極端的情況下，也就是「Compound :?Comptroller」合約內的代幣被提空時，將有約 28 萬枚 COMP 受到影響，總價值約 8000 萬美元。

各國加密貨幣監管規則梳理:Stasis.net首席執行官Gregory Klumov發文梳理了了各國的加密貨幣規則，指出企業套利機會仍然很多。

中國：目前已經禁止ICO。

瑞士、馬耳他、直布羅陀、法國等國：對加密貨幣持接納態度，將其視為實現利潤和應稅收入的巨大機會。其中，

法國：于上月宣布將為ICO制定監管框架，并由前中央銀行主席領導發起加密貨幣工作組，法國還同德國一起要求在G20峰會上討論加密貨幣；

瑞士：目前正建立強大的法律框架，希望能夠在加密貨幣中占據領先地位；

直布羅陀：世界上首個建立區塊鏈技術法律框架的國家，開設了直布羅陀區塊鏈交易所；

馬耳他：成為加密貨幣投資者的避風港，幣安也遷移至此。

日本：在認可比特幣是法定貨幣的同時，為打擊欺詐和安全風險關閉了兩個加密國幣交易所，為進行更穩定地市場交易鋪平道路。

美國：最近對加密貨幣實施了更為嚴厲的管制措施，Twitter、Google和Facebook成為最新被禁止發布加密貨幣廣告的網絡，這一舉措引發了市場營銷人員的擔心，監管措施將如何展開還有待觀察。

玻利維亞、厄瓜多爾、摩洛哥、馬其頓共和國、越南等國：加密貨幣完全非法。

委內瑞拉、愛沙尼亞和白俄羅斯等國：為加密社區提供較好監管機會，尤其白俄羅斯對加密貨幣持友好態度。但由于這些國家嚴重缺乏對金融體系的信任，加密激勵措施并不會蓬勃發展。

總的來說，目前加密貨幣監管狀況較為混亂，各國監管措施可能需要幾年時間才能夠整合到同一平面，由此導致企業的套利機會沒有絲毫減少的跡象。[2018/4/22]

早間數字貨幣行情梳理:根據Bitfinex交易平臺數據顯示，

BTC最新成交價格43449.59元，最高價達44105.76元，最低價格42594.8元，成交量2.89萬，跌幅0.2%；

ETH最新成交價格2654.43元，最高價達2672.72元，最低價格2565.49元，成交量16.25萬，漲幅0.56%；

BCH最新成交價格4092.36元，最高價達4135.79元，最低價格4048.93元，成交量0.83萬，跌幅0.45%。[2018/4/12]

從鏈上狀況來看，當前「Compound :?Comptroller」合約內已被提走了約 17 萬 COMP，還剩下約 11 萬 COMP，而「Compound: Reservoir」合約當前的運轉并未出現異常情況，與?Leshner 的說法相吻合。

24小時數字貨幣行情梳理:根據Bitfinex交易平臺數據顯示，

BTC最新成交價格61,416.12元，最高價達68,269.48元，最低價格61,096.43元，成交量5.50萬，跌幅7.03%；

ETH最新成交價格7,091.15元，最高價達7,789.96元，最低價格7,056.14元，成交量19.42萬，跌幅2.32%；

BCH最新成交價格8,840.54元，最高價達9,145.90元，最低價格8,609.19元，成交量0.42萬，跌幅2.78%；

ETC最新成交價格169.23元，最高價達190.82元，最低價格167.11元，成交量47.17萬，跌幅6.16%；

LTC最新成交價格970.01元，最高價達1,106.87元，最低價格957.93元，成交量16.00萬，跌幅8.97%。[2018/2/2]

本次漏洞的起因在于前文提到的「治理提案 062」，該提案的目的旨在調節對不同流動性提供角色的 COMP 分配比例。

12小時數字貨幣行情梳理:根據Bitfinex交易平臺數據顯示，BTC最新成交價格11792美元，最高價達12223美元，最低價格11015美元，成交量46508BTC，漲幅0.47%；

ETH最新成交價格1079美元，最高價達1116美元，最低價格1001美元，成交量169946ETH，漲幅1.44%；

BCH最新成交價格1774.9美元，最高價達1875.5美元，最低價格1684.1美元，成交量21580BCH，漲幅1.24%；

ETC最新成交價格32.45美元，最高價達33美元，最低價格28.69美元，成交量739218ETC，漲幅4.5%；

LTC最新成交價格194.1美元，最高價達198.99美元，最低價格182.1美元，成交量119326LTC，漲幅1.69%。[2018/1/22]

依照協議運轉規則，Compound 每天會向所有流動性提供者分發 2880 枚 COMP 代幣，這些代幣的一半將分配給借方，一半將分配給貸方。然而，在日常運行之中，Compound 發現這種一半一半的分配方式并未充分考慮到市場需求狀況，致使了市場出現了一些畸變（比如負利率）。所以在 9 月 22 日，社區成員?Tyler Loewen 于?Compound 治理模塊內提交了改進提案，擬將這種一半一半的分配方式更改為依照利率狀況動態調節。

這一提案的出發點顯然是正向的，社區對于提案的態度也是以支持為主，大概一周左右，也就是今天上午，該提案順利通過并得到了執行。

遺憾的是，代碼層面的 BUG 往往就是這么難以預料。盡管社區內其他一些成員也審查過?Tyler Loewen 的升級代碼，且所有升級合約已在以太坊?Ropsten 測試網上順利運轉了一個月的時間，但 BUG 還是出現了。

關于補救工作，Leshner 本人在推特已表示：「沒有任何管理控件或社區工具來打斷 COMP 當前的異常分發，協議層面的任何更改都需要經過為期近一周的治理程序才可生效。Compound Labs?和社區成員當前正在評估修復發行版的可能方法。」

如其所說，Compound 有著一套既有的治理流程：

·任何地址都可以鎖定 100 枚 COMP 來發起自治提議，當提議積攢夠至少?65000 枚 COMP 的委托后將升級為治理提案，繼而進入社區公投環節；

·社區公投為期 3 天，當提案獲得了至少 40 萬枚 COMP（即 ≥4% 的供應量）支持，且多數人投票贊成之時，即可通過公投環節。

·通過公投的提案將排隊進入時間鎖，并在 2 天的時間鎖后正式執行。

梳理治理的整個流程，可以看到，僅公投和時間鎖環節就要求了至少 5 天的時間，算上最初的提議以及流程過渡工作所需的時間，Leshner 所說的一周并不夸張。

關于「沒有任何管理控件來打斷 COMP 當前的異常分發」這一點，事實上，Compound 協議內存在一個用于處理極端情況的監護地址（Set Pause Guardian，0xbbf3f1421d886e9b2c5d716b5192ac998af2012c），該地址此前一直由?Compound Labs 持有，但在 8 月份的「治理提案 057」中已被轉變為多簽控制。不過，該監護地址的權限暫時僅規定了可在極端情況下暫停協議的存款、借款和清算，并未明確提及是否可用于當前發生的情況。

流程至此已厘清，但該采取什么樣的補救措施，目前沒有人給出具體方案。社區成員已在?Compound 治理論壇中建立了一個主題討論帖，擬通過「治理提案 063」來執行修復。從已釋放出的信息來看，大概率會先行暫停 COMP 的分發（可能通過監護地址執行？），直到可以測試完整的修復補丁。

作為踐行去中心化理治模式的先驅之一，Compound 本次事件的起因及處理在一定程度暴露了 DAO 治理的 B 面。

我們的慣性認知中，去中心化往往意味著用效率來換取公平。在 DeFi 領域，當一款協議實現了完全的去中心化治理，沒有任何單一主體能夠隨意對合約進行修改時，調動社區整體來共同參與治理決策往往極大的組織精力及時間成本，這也是為什么?Compound 需要用七天的時間來修復一個明擺著會對協議造成極大負面影響的漏洞。實際上，在一眾頭部 DeFi 協議之中，Compound 七天左右的治理周期并不算慢了，Uniswap 走完全套治理流程（民意調查——共識檢查——治理投票——時間鎖）的時間周期至少需要半個月之久。

話說回來，既然明知事后的補救需要如此高的成本，那么在事件發生之前，是否需要對重大合約升級采取更加嚴格的評估標準呢？這是在本次事件發生后，Compound 社區所作出第一個的經驗總結——社區成員 Phaze Jeff 于治理論壇內發起了一個討論帖，主題為「對重大代碼更改執行更嚴格的審核」。

結合具體事件來看，在社區成員 Loewen 提交「治理提案 062」后，參與測試工作的社區成員數量過少（似乎是大部分 DeFi 協議的通病），最終導致 BUG 被遺漏和「放行」。因此，Jeff 認為在協議進行重大更新時進行更細致的監測，并鼓勵更多的社區成員參與到主網部署前的社區工作去。此外，Jeff 還提到了需要進一步明確多簽監護地址的具體權限，以允許其在出現類似緊急情況時快速相應。

當前，關于該話題的討論仍在進行中，感興趣的朋友可以直接訪問帖子參與討論。

Tags：OMPCOMPCOMCompoundcomp幣歷史最高價格Internet Computer(Dfinity)KOACOMBATcompound幣最新消息

芝麻開門交易所下載