Das dezentrale Kreditprotokoll Compound hat auf seiner Plattform vier Token als Sicherheit vorübergehend ausum Benutzer vor potenziellen Angriffen im Zusammenhang mit Preismanipulationen zu schützen, ähnlich dem jüngsten Exploit von Mango Markets, bei dem 117 Millionen US-Dollar gestohlen wurden. Das geht aus einem Vorschlag hervor, der kürzlich im Board-Forum von Compound verabschiedet wurde.
Aufgrund dieser vorübergehenden Aussetzung können Benutzer YFI verwenden (YFI) von Yearn.finance, ZRX von 0x, Basic Attention Token (BAT) und MKR (MSEK) vom Hersteller als Sicherheit für die Aufnahme von Krediten.
Der Vorschlag wurde am 25. Oktober mit 99 Prozent aller Stimmen angenommen. Es sagt:
„Ein Orakel-Manipulationsangriff wie der auf Mango Markets, bei dem 117 Millionen Dollar gestohlen wurden, ist bei Compound viel unwahrscheinlicher, da die Sicherheiten viel liquider sind als MNGO und Compound eine Übersicherung der Kredite erfordert. Ja, als Vorsichtsmaßnahme schlagen wir dies vor die oben genannten Vermögenswerte aufgrund ihrer relativen Liquiditätsprofile zu pausieren.“
In einer Sicherheitsüberprüfung bei Compound v2 im September identifiziert Das Team des Volt-Protokolls identifizierte potenzielle Marktmanipulationsrisiken im Zusammenhang mit Token mit geringer Liquidität. Der Bericht sagt:
„Der Angriff ist möglich, wenn der Betrag eines Tokens, der auf Märkten wie Aave und Compound geliehen werden kann, im Vergleich zum liquiden Markt groß ist. Das bemerkenswerteste Beispiel ist ZRX, das in jedem dieser Märkte über vergleichbare ausleihbare Liquidität verfügt das ist vergleichbar oder größer als das übliche Tagesvolumen aller zentralen und dezentralen Börsen.“
Robert Leshner, Gründer von Compound, twitterte, dass diese Vorsichtsmaßnahme bestehende Benutzer nicht beeinträchtigen würde.
Laut dem @mangomärkte Ausbeuten, @gauntletnetwork hat vorgeschlagen, das neue Angebot für die am seltensten gehandelten Sicherheiten zu deaktivieren.
Dieser konservative Ansatz wirkt sich nicht auf bestehende Benutzer aus und fördert die Migration der Nutzung auf Compound III (das gegen den Angriffsvektor resistent ist). https://t.co/yMQDgRXru7
– Robert Leshner (@rleshner) 21. Oktober 2022
Am 11. Oktober manipulierte Avraham Eisenberg, der Hacker hinter dem Exploit Mango-Märkte, den Wert einer verpfändeten Sicherheit, nämlich des nativen Tokens MNGO der Plattform, zu einem höheren Satz und nahm dann große Kredite gegen die überhöhten Sicherheiten auf. Die Vermögenswerte auf Mango können also alle gestohlen werden.
Der Exploit, der sich auf Twitter als digitaler Kunsthändler bezeichnet, behauptet, verwendeten er und ein Team von Hackern eine „extrem profitable Handelsstrategie“. Dies wären „Rechtshandlungen auf dem offenen Markt, bei denen das Protokoll wie vorgesehen verwendet wird“.
Nachdem ein Vorschlag im Mango Governance Forum angenommen wurde, erhielt Eisenberg 47 Millionen Dollar als „Bug Bounty“. behalten. 67 Millionen Dollar wurden an Mango zurückgegeben.