交易市場 資訊安全

Compound獎勵現漏洞,修補提案需七日治理鎖定期陷尷尬局面

Jim
分享
Compound獎勵現漏洞,修補提案需七日治理鎖定期陷尷尬局面

借貸平台 Compound 在執行最新提案後爆出 COMP 流動性挖礦獎勵分配異常的情況,最糟情況將有 28 萬顆、價值近 9,000 萬美元的 COMP 代幣受影響,幣價一度跌破 300 美元,團隊與社群正評估後續修補動作。

(快速看 10/4 更新) Yearn 核心開發者 bangteg 於 10/3 表示,發現仍有數個地址具漏洞,創辦人證實消息,並期望盡快修復。

62 號提案

62 號提案由社群主導,將此前的挖礦獎勵從借方與貸方的五五分帳,改為治理設定比率,這是因為部分市場存在負利率的情況,且大多存在於非穩定幣市場中,預計升級也將修改一些小漏洞。

廣告 - 內文未完請往下捲動

分發異常漏洞

但提案上線後,Compound Labs、社群成員隨即發現 COMP 獎勵分發異常的漏洞,並馬上發佈 63 號提案,以暫停用戶申領 COMP 代幣,直到獎勵發放正常為止。

Compound 創辦人 Robert Leshner 也推文指出,所有借貸雙方的資產都沒有安全疑慮,唯一的問題是用戶可能收到大量額外的 COMP 代幣獎勵。

而 Comptroller 合約地址內的 COMP 代幣有限,若以一個區塊釋放 0.5 顆 COMP 計算,最糟情況可能有 28 萬顆的 COMP 代幣 (現值 8,900 萬美元) 受影響。

治理是機會也是風險

Leshner 表示

62 號提案合約由一名社群成員撰寫、多位社群成員審核,這是去中心化協議最大機會也是最大的風險,即在開源的開發過程中產生錯誤,也沒有權限來阻止 COMP 獎勵發放,任何提案更動也需要 7 天的治理流程才能上線。

他指出新的 63 號提案將在七日後執行,阻止額外獎勵申請的同時也會影響到正常獎勵的發放,團隊與社群正在開發流動性挖礦重啟的方案。

社群意見

Synthetix 創辦人 Kain Warwick 對於「7 天治理流程」的問題給出看法

這是當前對於時間鎖權衡難題的一個相當棒的例子,Synthetix 新的治理模式能讓代幣持有者以足夠高的票數來解除時間鎖,還有,Compound 可以的,別擔心。

而今日 Robert Leshner 的最新推文又再起波瀾,他規勸所有領到額外獎勵的用戶在保留 10% 的 COMP (當作白帽駭客獎勵) 後返還代幣,否則將以「收入」報告給美國國稅局。

對此有些用戶抨擊,所謂的 DeFi 項目出了問題就擁抱政府,威脅用戶將向中央機構告發,是假 DeF、違背 DeFi 精神。

Bankless 創辦人 David Hoffman 則表示

區塊鏈很酷的地方就是,它們可以讓所有人都看得到那些糟糕、不公平的操作。

而 Robert Leshner 在幾個小時後回覆稱,自己只是想盡可能幫社群回收一些 COMP,也知道這是一個愚蠢的方式 / 推文,這是他的錯,並慶幸社群的強大、聰明,同時感謝大家的奚落與支持。COMP 因此漏洞最低跌至 279 美元,截稿前已回升至 323 美元,來到事發前水平。

10/2 也陸續有一些收到多餘 COMP 的用戶將資金轉回。

法務顧問離職

事發後,10 月 2 日 Compound 法律顧問也在兩年半的任職後,離開 Compound。他並未對 Compound 此次事件做出評論。

10 月 4 更新:仍有漏洞,等待修補

Yearn 核心開發者 bangteg 於 10/3 晚間表示,有人呼叫了 Compound 資金庫 (Reservoir) 合約中的 drip() 函式,將價值 6,880 萬美元的 COMP 打入可申領挖礦獎勵的 Comptroller。他認為,還有數個地址能夠汲取合約中的資金,使 Compound 曝於風險。

Compound 創辦人隨後證實此消息,表示希望正在進行中的治理 63 號提案 (或是 64 號提案),能夠盡快處理此問題。他表示,banteg 提到的呼叫函數活動確實讓部分資金陷於風險,但他樂觀看待去中心化治理結果將解決此次事件。COMP 於截稿前單日下跌 7%。