Dezentrales Leihprotokoll Compound hat angehalten die Bereitstellung von vier Token als Kreditsicherheiten auf seiner Plattform, die darauf abzielen, Benutzer vor potenziellen Angriffen mit Preismanipulation zu schützen, ähnlich dem jüngsten 117-Millionen-Dollar-Exploit von Mango Markets, so ein kürzlich verabschiedeter Vorschlag im Governance-Forum von Compound.
Mit der Pause können Benutzer YFI (YFI) von Yearn.finance, ZRX von 0x, Basic Attention Token (BAT) und Maker’s MKR (MKR) nicht als Sicherheit für die Aufnahme von Krediten hinterlegen.
Der Vorschlag wurde am 25. Oktober mit 99 % aller Wähler angenommen. Darin hieß es:
„Ein auf Orakelmanipulation basierender Angriff, ähnlich dem, der Mango Markets 117 Millionen Dollar gekostet hat, ist bei Compound viel unwahrscheinlicher, da die Sicherheitenanlagen eine viel höhere Liquidität haben als MNGO und Compound, die eine Überbesicherung von Krediten erfordern. Aus Vorsicht schlagen wir jedoch vor, das Angebot für die oben genannten Vermögenswerte angesichts ihrer relativen Liquiditätsprofile zu pausieren.“
In einer im September durchgeführten Sicherheitsüberprüfung von Compound v2 hat das Volt Protocol Team identifiziert potenzielle Marktmanipulationsrisiken im Zusammenhang mit Token mit geringer Liquidität. Der Bericht erklärte:
„Der Angriff ist möglich, wenn der Betrag eines Tokens, der auf Märkten wie Aave und Compound geliehen werden kann, im Vergleich zum liquiden Markt groß ist. Das bemerkenswerteste Beispiel ist ZRX, das über eine leihbare Liquidität auf jedem dieser Märkte verfügt, die mit dem üblichen Tagesgeschäft vergleichbar oder größer ist Volumen über alle zentralen und dezentralen Börsen hinweg.”
Auf Twitter erklärte Robert Leshner, Gründer von Compound, dass der konservative Ansatz keine Auswirkungen auf bestehende Benutzer haben würde.
Im Anschluss an die @mangomärkte Ausbeuten, @gauntletnetwork hat vorgeschlagen, das neue Angebot für die am wenigsten gehandelten Sicherheiten zu deaktivieren.
Dieser konservative Ansatz wirkt sich nicht auf bestehende Benutzer aus und fördert die Migration der Nutzung auf Compound III (das gegen den Angriffsvektor resistent ist). https://t.co/yMQDgRXru7
– Robert Leshner (@rleshner) 21. Oktober 2022
Am 11. Oktober manipulierte Avraham Eisenberg, der Hacker hinter dem Exploit von Mango Markets, den Wert einer hinterlegten Sicherheit – dem nativen Token der Plattform, MNGO – zu höheren Preisen und nahm dann erhebliche Kredite gegen die überhöhten Sicherheiten auf, was Mangos Schatzkammer entleerte .
Der Ausbeuter, der sich auf Twitter selbst als Händler digitaler Kunst bezeichnet, behauptete, dass er und ein Team von Hackern eine „hochprofitable Handelsstrategie“ verfolgten und dass es sich um „legale Offenmarktaktionen unter Verwendung des Protokolls wie vorgesehen“ handelte.
Nachdem ein Vorschlag im Governance-Forum von Mango genehmigt worden war, durfte Eisenberg 47 Millionen Dollar als „Bug Bounty“ behalten, während 67 Millionen Dollar an die Staatskasse zurückgeschickt wurden.