9月30日,头部去中心化借贷协议Compound于官推表示,在今天通过并执行「治理提案062」后,升级合约内发错了一个BUG,致使COMP代币出现了异常分发情况。
具体来说,漏洞出现在升级后的「Compound:?Comptroller」合约内,原本应通过该合约缓慢分发给所有流动性提供者的COMP代币被错误释放,部分用户收到了远高于正常数量的COMP。如下图所示,仅0x2e4ae开头的地址一个地址就从「Compound:?Comptroller」合约内领取到了近30000枚COMP,代币,价值约900万美元。
漏洞影响评估
首先需要强调的是,从漏洞影响来看,本次?Compound事件只会直接影响到所有流动性提供者的预期收益,用户的存款、借款及仓位情况理论上不会受到任何干扰,所以不必太过恐慌。
Compound Grants Program 2.0已正式上线:1月17日消息,据官方消息,Compound Grants Program 2.0(CGP 2.0)已正式上线,开发者已可正常申请资助金。据悉,CGP 2.0 将为新协议理念和 dApps、区块链安全,分析工具、开发者工具以及多链策略 4 个方向的开发者提供资助。[2023/1/17 11:16:42]
此外,根据?Compound创始人?RobertLeshner的说法,「Compound:?Comptroller」合约内的COMP总量有限,用于挖矿分发的更多COMP代币其实是存在另一个合约「Compound:Reservoir」内,该合约仍在以每个区块0.5枚COMP的速度正常分发。最极端的情况下,也就是「Compound:?Comptroller」合约内的代币被提空时,将有约28万枚COMP受到影响,总价值约8000万美元。
Celsius还清Compound剩余债务,释放近2亿美元的wBTC:金色财经消息,据Etherscan的数据显示,Celsius Network全额偿还了其借贷协议Compound的剩余债务,释放了近2亿美元的质押代币wBTC。与Celsius相关的钱包在两笔交易中将5000万个DAI(MakerDAO与美元挂钩的稳定币)转移到了Compound,随后,Compound分别向Celsius释放了6,900wBTC和3,100wBTC。[2022/7/14 2:11:53]
从链上状况来看,当前「Compound:?Comptroller」合约内已被提走了约17万COMP,还剩下约11万COMP,而「Compound:Reservoir」合约当前的运转并未出现异常情况,与?Leshner的说法相吻合。
Compound社区发起改善预言机的提案:金色财经报道,据官方消息,Compound社区成员Getty Hill提出第47号关于改善预言机的提案。该提案包括:1. 将预言机系统从目前的Coinbase Pro改为Chainlink喂价;2. 将锚点从20%减少到15%。3. 给定故障安全的社区多重签名。[2021/6/16 23:39:45]
事件发生原因
本次漏洞的起因在于前文提到的「治理提案062」,该提案的目的旨在调节对不同流动性提供角色的COMP分配比例。
依照协议运转规则,Compound每天会向所有流动性提供者分发2880枚COMP代币,这些代币的一半将分配给借方,一半将分配给贷方。然而,在日常运行之中,Compound发现这种一半一半的分配方式并未充分考虑到市场需求状况,致使了市场出现了一些畸变。所以在9月22日,社区成员?TylerLoewen于?Compound治理模块内提交了改进提案,拟将这种一半一半的分配方式更改为依照利率状况动态调节。
ZG.COM行情:3倍看空杠杆代币XRPDOWN 24H涨幅57.85%:据ZG.COM官方数据,截至1月11日16:28,看空杠杆代币大幅上涨,XRPDOWN 24H涨幅为57.85%,TRXDOWN 24H涨幅为53.18%,LTCDOWN 24H涨幅为47.52%,ETHDOWN 24H涨幅为38.35%,BTCDOWN 24H涨幅为34.54%。
ZG.COM杠杆代币是由ZG.COM发行的一种带有杠杆功能的代币(非链上代币),该杠杆代币具有浮动杠杆、智能调仓机制、低费率等特点,并且每个杠杆代币的背后都对应了一篮子的ZG.COM合约持仓,杠杆代币价格将跟踪ZG.COM合约市场的价格变化,并随之产生杠杆水平的涨跌。[2021/1/11 15:53:20]
这一提案的出发点显然是正向的,社区对于提案的态度也是以支持为主,大概一周左右,也就是今天上午,该提案顺利通过并得到了执行。
BL于7月21日15:00上线ZG.COM:据官方消息,ZG.COM将于2020年7月20日13:00开放BL的充币和提币业务,于7月21日15:00开启BL/USDT交易对。
BL是比尔BILL商城自营商城平台发行token,可以用于比尔BILL商城权利赋能、工作奖励、交易流通、获取收益等。
BL发行总量为5168万枚,并采用回购销毁模式,最后销毁完只流通1168万。BL通过商城社区用户之间的协作,将项目具体事务通过任务化执行化落地到 BILL 自营社交商城,通过社区销售产品带来源源不断的盈利,让BL不断增值产生收益,从而打造一个真正集合线上购物与线下消费为一体的区块链应用。[2020/7/17]
遗憾的是,代码层面的BUG往往就是这么难以预料。尽管社区内其他一些成员也审查过?TylerLoewen的升级代码,且所有升级合约已在以太坊?Ropsten测试网上顺利运转了一个月的时间,但BUG还是出现了。
解决措施及流程
关于补救工作,Leshner本人在推特已表示:“没有任何管理控件或社区工具来打断COMP当前的异常分发,协议层面的任何更改都需要经过为期近一周的治理程序才可生效。CompoundLabs?和社区成员当前正在评估修复发行版的可能方法。”
如其所说,Compound有着一套既有的治理流程:
任何地址都可以锁定100枚COMP来发起自治提议,当提议积攒够至少?65000枚COMP的委托后将升级为治理提案,继而进入社区公投环节;
社区公投为期3天,当提案获得了至少40万枚COMP支持,且多数人投票赞成之时,即可通过公投环节。
通过公投的提案将排队进入时间锁,并在2天的时间锁后正式执行。
梳理治理的整个流程,可以看到,仅公投和时间锁环节就要求了至少5天的时间,算上最初的提议以及流程过渡工作所需的时间,Leshner所说的一周并不夸张。
关于「没有任何管理控件来打断COMP当前的异常分发」这一点,事实上,Compound协议内存在一个用于处理极端情况的监护地址,该地址此前一直由?CompoundLabs持有,但在8月份的「治理提案057」中已被转变为多签控制。不过,该监护地址的权限暂时仅规定了可在极端情况下暂停协议的存款、借款和清算,并未明确提及是否可用于当前发生的情况。
流程至此已厘清,但该采取什么样的补救措施,目前没有人给出具体方案。社区成员已在?Compound治理论坛中建立了一个主题讨论帖,拟通过「治理提案063」来执行修复。从已释放出的信息来看,大概率会先行暂停COMP的分发,直到可以测试完整的修复补丁。
经验教训总结
作为践行去中心化理治模式的先驱之一,Compound本次事件的起因及处理在一定程度暴露了DAO治理的B面。
我们的惯性认知中,去中心化往往意味着用效率来换取公平。在DeFi领域,当一款协议实现了完全的去中心化治理,没有任何单一主体能够随意对合约进行修改时,调动社区整体来共同参与治理决策往往极大的组织精力及时间成本,这也是为什么?Compound需要用七天的时间来修复一个明摆着会对协议造成极大负面影响的漏洞。实际上,在一众头部DeFi协议之中,Compound七天左右的治理周期并不算慢了,Uniswap走完全套治理流程的时间周期至少需要半个月之久。
话说回来,既然明知事后的补救需要如此高的成本,那么在事件发生之前,是否需要对重大合约升级采取更加严格的评估标准呢?这是在本次事件发生后,Compound社区所作出第一个的经验总结——社区成员PhazeJeff于治理论坛内发起了一个讨论帖,主题为「对重大代码更改执行更严格的审核」。
结合具体事件来看,在社区成员Loewen提交「治理提案062」后,参与测试工作的社区成员数量过少,最终导致BUG被遗漏和“放行”。因此,Jeff认为在协议进行重大更新时进行更细致的监测,并鼓励更多的社区成员参与到主网部署前的社区工作去。此外,Jeff还提到了需要进一步明确多签监护地址的具体权限,以允许其在出现类似紧急情况时快速相应。
当前,关于该话题的讨论仍在进行中,感兴趣的朋友可以直接访问帖子参与讨论。
亲爱的用户:币安创新区将于2021年10月05日15:00上线AdventureGold,并开放AGLD/BNB、AGLD/BTC、AGLD/BUSD、AGLD/USDT交易对.
1900/1/1 0:00:00币安现已上线双币投资活动。活动期间,所有符合条件的申购者将平分10,000美元等值的BUSD奖池.
1900/1/1 0:00:00尊敬的用户: 为响应监管政策要求,BiKi平台已于2021年9月26日停止了地区新用户的注册和KYC.
1900/1/1 0:00:00Gate.io将于2021年10月2日晚上23:00~23:30UTC8进行量化服务维护升级。预计不影响服务,如果您的策略出现被暂停的情况,将会在升级结束后恢复.
1900/1/1 0:00:00亲爱的用户:币安将支持IoTeX的网络升级和硬分叉,具体安排如下:币安预计将于东八区时间2021年10月12日05:00暂停IOTX代币的充值、提现业务,以支持IoTeX将于IoTeX区块高度13,685.
1900/1/1 0:00:00Gate.io已于2021年8月1日上线新版流动性池,今日ETH/BTC,BTC/USDT流动性挖矿奖励池新增14日限时奖励,奖励最高可达132,871VRA;当前ETH/BTC交易对总流动性最高,达2625188.6483美元.
1900/1/1 0:00:00