9月30日,頭部去中心化借貸協議Compound于官推表示,在今天通過并執行「治理提案062」后,升級合約內發錯了一個BUG,致使COMP代幣出現了異常分發情況。
具體來說,漏洞出現在升級后的「Compound:?Comptroller」合約內,原本應通過該合約緩慢分發給所有流動性提供者的COMP代幣被錯誤釋放,部分用戶收到了遠高于正常數量的COMP。如下圖所示,僅0x2e4ae開頭的地址一個地址就從「Compound:?Comptroller」合約內領取到了近30000枚COMP,代幣,價值約900萬美元。
漏洞影響評估
首先需要強調的是,從漏洞影響來看,本次?Compound事件只會直接影響到所有流動性提供者的預期收益,用戶的存款、借款及倉位情況理論上不會受到任何干擾,所以不必太過恐慌。
Bitcoin.com通過VERSE代幣預售完成5000萬美元融資,并推出Verse發展基金:12月8日消息,據官方新聞稿,數字生態系統和自托管平臺Bitcoin.com宣布完成其獎勵和實用代幣VERSE的預售,籌集了5000萬美元資金。此次預售的VERSE占總供應量的16%。VERSE將在去中心化交易所Verse DEX上推出VERSE交易。Bitcoin.com的VERSE代幣預售中的其他戰略買家包括Digital Strategies、Blockchain.com、Kucoin Ventures、Redwood City Ventures、Boostx Ventures和Poly Network。
此外,Bitcoin.com啟動了Verse發展基金,該基金將于2023年第一季度開始接受開發人員和其他生態系統參與者的撥款申請。VERSE代幣供應的34%分配給Verse發展基金,代幣在7年內線性釋放提供給基金。[2022/12/8 21:30:43]
此外,根據?Compound創始人?RobertLeshner的說法,「Compound:?Comptroller」合約內的COMP總量有限,用于挖礦分發的更多COMP代幣其實是存在另一個合約「Compound:Reservoir」內,該合約仍在以每個區塊0.5枚COMP的速度正常分發。最極端的情況下,也就是「Compound:?Comptroller」合約內的代幣被提空時,將有約28萬枚COMP受到影響,總價值約8000萬美元。
Crypto.com CEO:過去24小時取款隊列減少了98%:金色財經報道,Crypto.com首席執行官Kris Marszalek在社交媒體上表示,過去24小時平臺的取款隊列減少了98%,當前Crypto.com依然正常運營,并感謝了其團隊構建彈性區塊鏈基礎設施以支持在負載下正常運行。此前有消息稱Crypto.com出現提款延遲,并稱該公司在今年十月將一筆價值達4億美元的加密貨幣發送到了另一家加密貨幣交易所 Gate.io。在交易通過公共區塊鏈數據曝光后,Kris Marszalek 才承認這一事故。[2022/11/16 13:09:55]
從鏈上狀況來看,當前「Compound:?Comptroller」合約內已被提走了約17萬COMP,還剩下約11萬COMP,而「Compound:Reservoir」合約當前的運轉并未出現異常情況,與?Leshner的說法相吻合。
COMP突破430美元關口 日內漲幅為8.68%:歐易OKEx數據顯示,COMP短線上漲,突破430美元關口,現報430.19美元,日內漲幅達到8.68%,行情波動較大,請做好風險控制。[2021/6/1 23:00:08]
事件發生原因
本次漏洞的起因在于前文提到的「治理提案062」,該提案的目的旨在調節對不同流動性提供角色的COMP分配比例。
依照協議運轉規則,Compound每天會向所有流動性提供者分發2880枚COMP代幣,這些代幣的一半將分配給借方,一半將分配給貸方。然而,在日常運行之中,Compound發現這種一半一半的分配方式并未充分考慮到市場需求狀況,致使了市場出現了一些畸變。所以在9月22日,社區成員?TylerLoewen于?Compound治理模塊內提交了改進提案,擬將這種一半一半的分配方式更改為依照利率狀況動態調節。
ZG. COM將于5月19日上線DeFi挖礦七日寶第一期:據官方公告,ZG.COM將于2021年5月19日12:00上線DeFi挖礦七日寶第一期。本期參與方式為USDT,最小起投金額為1,000USDT,總額度為1,000,000USDT,認購時間截止至5月21日12:00。
DeFi挖礦七日寶是 ZG.COM打造的一款挖礦產品。用戶可認購一定數量的BTC、ETH、USDT等幣種。[2021/5/18 22:15:04]
這一提案的出發點顯然是正向的,社區對于提案的態度也是以支持為主,大概一周左右,也就是今天上午,該提案順利通過并得到了執行。
遺憾的是,代碼層面的BUG往往就是這么難以預料。盡管社區內其他一些成員也審查過?TylerLoewen的升級代碼,且所有升級合約已在以太坊?Ropsten測試網上順利運轉了一個月的時間,但BUG還是出現了。
綜合格斗組織UFC宣布與加密公司Stake.com合作:3月8日消息,綜合格斗組織UFC宣布與拉丁美洲加密公司Stake.com合作。至此,Stake.com用戶將可以獲得UFC賽事等數字內容。據悉,Stake.com目前支持BTC、BCH、LTC、ETH、XRP、TRX、EOS和DOGE。(Cointelegraph)[2021/3/8 18:24:34]
解決措施及流程
關于補救工作,Leshner本人在推特已表示:“沒有任何管理控件或社區工具來打斷COMP當前的異常分發,協議層面的任何更改都需要經過為期近一周的治理程序才可生效。CompoundLabs?和社區成員當前正在評估修復發行版的可能方法。”
如其所說,Compound有著一套既有的治理流程:
任何地址都可以鎖定100枚COMP來發起自治提議,當提議積攢夠至少?65000枚COMP的委托后將升級為治理提案,繼而進入社區公投環節;
社區公投為期3天,當提案獲得了至少40萬枚COMP支持,且多數人投票贊成之時,即可通過公投環節。
通過公投的提案將排隊進入時間鎖,并在2天的時間鎖后正式執行。
梳理治理的整個流程,可以看到,僅公投和時間鎖環節就要求了至少5天的時間,算上最初的提議以及流程過渡工作所需的時間,Leshner所說的一周并不夸張。
關于「沒有任何管理控件來打斷COMP當前的異常分發」這一點,事實上,Compound協議內存在一個用于處理極端情況的監護地址,該地址此前一直由?CompoundLabs持有,但在8月份的「治理提案057」中已被轉變為多簽控制。不過,該監護地址的權限暫時僅規定了可在極端情況下暫停協議的存款、借款和清算,并未明確提及是否可用于當前發生的情況。
流程至此已厘清,但該采取什么樣的補救措施,目前沒有人給出具體方案。社區成員已在?Compound治理論壇中建立了一個主題討論帖,擬通過「治理提案063」來執行修復。從已釋放出的信息來看,大概率會先行暫停COMP的分發,直到可以測試完整的修復補丁。
經驗教訓總結
作為踐行去中心化理治模式的先驅之一,Compound本次事件的起因及處理在一定程度暴露了DAO治理的B面。
我們的慣性認知中,去中心化往往意味著用效率來換取公平。在DeFi領域,當一款協議實現了完全的去中心化治理,沒有任何單一主體能夠隨意對合約進行修改時,調動社區整體來共同參與治理決策往往極大的組織精力及時間成本,這也是為什么?Compound需要用七天的時間來修復一個明擺著會對協議造成極大負面影響的漏洞。實際上,在一眾頭部DeFi協議之中,Compound七天左右的治理周期并不算慢了,Uniswap走完全套治理流程的時間周期至少需要半個月之久。
話說回來,既然明知事后的補救需要如此高的成本,那么在事件發生之前,是否需要對重大合約升級采取更加嚴格的評估標準呢?這是在本次事件發生后,Compound社區所作出第一個的經驗總結——社區成員PhazeJeff于治理論壇內發起了一個討論帖,主題為「對重大代碼更改執行更嚴格的審核」。
結合具體事件來看,在社區成員Loewen提交「治理提案062」后,參與測試工作的社區成員數量過少,最終導致BUG被遺漏和“放行”。因此,Jeff認為在協議進行重大更新時進行更細致的監測,并鼓勵更多的社區成員參與到主網部署前的社區工作去。此外,Jeff還提到了需要進一步明確多簽監護地址的具體權限,以允許其在出現類似緊急情況時快速相應。
當前,關于該話題的討論仍在進行中,感興趣的朋友可以直接訪問帖子參與討論。
親愛的用戶: 幣安NFT市場現在支持來自幣安智能鏈和以太坊網絡的NFT存款!為慶祝新功能的推出,幣安NFT市場特別為您策劃了兩項獨家促銷活動.
1900/1/1 0:00:00尊敬的MEXC用戶: MEXC"萬物生長"活動已結束,獎勵已發放至用戶現貨賬戶中,請注意查收。活動詳細規則查看公告:https://support.mexc.com/hc/zh-cn/artic.
1900/1/1 0:00:00為幫助用戶更輕松實現數字資產量化交易,Gate.io量化交易中心全面升級,改名“量化跟單”全新上線,功能及頁面全面升級.
1900/1/1 0:00:00尊敬的用戶: 活動獎勵已發放,獲得獎勵的用戶在用戶中心-賬戶資產查詢發放記錄。再次恭喜所有獲獎用戶!活動詳情:領AQT體驗金,瓜分1,000,000AQ獎勵AOFEX?更多活動持續進行中,詳情可.
1900/1/1 0:00:00一、項目介紹 PerpetualProtocol是一個去中心化永續合約協議,由虛擬自動做市商實現。通過PerpetualProtocol,交易者可以通過vAMM交易永續合約,而無需對手方.
1900/1/1 0:00:009月26日消息,Avalanche生態跨鏈借貸協議Vee.Finance針對此前被攻擊至少致3500萬美元被盜一事更新進展稱,Vee.Finance將承擔全部損失.
1900/1/1 0:00:00