Le protocole de prêt décentralisé Compound a suspendu la fourniture de quatre jetons comme garantie de prêt sur sa plate-forme, dans le but de protéger les utilisateurs contre les attaques potentielles impliquant la manipulation des prix, similaires au récent exploit de 117 millions de dollars de Mango Market, selon à une proposition sur le forum de gouvernance de Compound.
Avec la pause, les utilisateurs ne pourront pas déposer de jetons de finance d’année (YFI), 0x (ZRX), de jeton d’attention de base (BAT) et de fabricant (MKR) comme garantie pour contracter des prêts.
La proposition a été adoptée le 25 octobre avec 99% de tous les électeurs en faveur. Il a déclaré:
« Une attaque basée sur la manipulation d’oracle analogue à celle qui a coûté 117 millions de dollars à Mango Markets est beaucoup moins susceptible de se produire sur Compound en raison des actifs collatéraux ayant une liquidité beaucoup plus profonde que MNGO et Compound nécessitant que les prêts soient sur-garantis. Cependant, d’un excès de prudence, nous proposons de suspendre l’approvisionnement pour les actifs ci-dessus, compte tenu de leurs profils de liquidité relative. »
Lors d’un examen de la sécurité de Compound v2 effectué en septembre, l’équipe Volt Protocol a identifié les risques potentiels de manipulation du marché liés aux jetons à faible liquidité. Le rapport expliquait :
« L’attaque est possible lorsque le montant d’un jeton empruntable sur des marchés comme Aave et Compound est important par rapport au marché liquide. L’exemple le plus notable est ZRX, qui a une liquidité empruntable sur chacun de ces marchés comparable ou supérieure au quotidien habituel. volume sur tous les échanges centralisés et décentralisés. »
Sur Twitter, Robert Leshner, fondateur de Compound, a expliqué que l’approche conservatrice n’aura pas d’impact sur les utilisateurs existants.
Suivant le @mangomarkets exploiter, @gauntletnetwork a proposé de désactiver la nouvelle offre pour les garanties les moins négociées.
Cette approche conservatrice n’affectera pas les utilisateurs existants et encourage la migration de l’utilisation vers le composé III (qui résiste au vecteur d’attaque). https://t.co/yMQDgRXru7
—Robert Leshner (@rleshner) 21 octobre 2022
Le 11 octobre, Avraham Eisenberg, le pirate à l’origine de l’exploit Mango’s Market, a manipulé la valeur d’une garantie affichée – le jeton natif de la plateforme, MNGO – à des prix plus élevés, puis a contracté des prêts importants contre la garantie gonflée, ce qui a vidé la trésorerie de Mango. .
L’exploiteur, qui se décrit lui-même comme un marchand d’art numérique sur Twitter, a affirmé que lui et une équipe de pirates avaient entrepris une « stratégie commerciale hautement rentable » et qu’il s’agissait « d’actions légales d’ouverture du marché, utilisant le protocole tel qu’il a été conçu ».
Après avoir voté une proposition dans le forum de gouvernance de Mango, Eisenberg a été autorisé à conserver 47 millions de dollars à titre de « prime de bogue », tandis que 67 millions de dollars ont été renvoyés au Trésor.