Decentraliseret udlånsprotokol Compound har sat på pause levering af fire tokens som udlånssikkerhed på sin platform, med det formål at beskytte brugere mod potentielle angreb, der involverer prismanipulation, svarende til den nylige udnyttelse af Mango Markets på 117 millioner dollars, ifølge et forslag på Compounds governance-forum, der for nylig blev vedtaget.
Med pausen vil brugere ikke være i stand til at indbetale Yearn.finance's YFI (YFI), 0x's ZRX, Basic Attention Token (BAT) og Maker's MKR (MKR) som sikkerhed for at tage lån.
Forslaget blev vedtaget den 25. oktober med 99% af alle vælgere for. Der stod:
"Et orakelmanipulationsbaseret angreb analogt med det, der kostede Mango Markets 117 millioner dollars, er meget mindre sandsynligt, at det vil forekomme på Compound på grund af sikkerhedsaktiver, der har meget dybere likviditet end MNGO og Compound, der kræver, at lån skal overbeskyttes. Men af en overflod af forsigtighed foreslår vi at sætte forsyningen på pause for ovennævnte aktiver på grund af deres relative likviditetsprofil."
I en sikkerhedsgennemgang af Compound v2 udført i september, Volt Protocol-teamet identificeret potentielle markedsmanipulationsrisici relateret til tokens med lav likviditet. Rapporten forklarede:
"Angrebet er muligt, når mængden af et token, der kan lånes på markeder som Aave og Compound, er stort sammenlignet med det likvide marked. Det mest bemærkelsesværdige eksempel er ZRX, som har lånbar likviditet på hvert af disse markeder, der kan sammenlignes med eller større end det sædvanlige daglige volumen på tværs af alle centraliserede og decentraliserede børser."
På Twitter forklarede Robert Leshner, grundlægger af Compound, at den konservative tilgang ikke ville påvirke eksisterende brugere.
Efter @mangomarkeder udnytte, @gauntletnetwork har foreslået at deaktivere ny forsyning af den mest tyndthandlede sikkerhed.
Denne konservative tilgang vil ikke påvirke eksisterende brugere og tilskynder til migrering af brug til forbindelse III (som er modstandsdygtig over for angrebsvektoren). https://t.co/yMQDgRXru7
- Robert Leshner (@rleshner) Oktober 21, 2022
Den 11. oktober, Avraham Eisenberg, hackeren bag Mango Markets udnyttermanipulerede værdien af en stillet sikkerhed - platformens oprindelige token, MNGO - til højere priser, og optog derefter betydelige lån mod den oppustede sikkerhed, som drænede Mangos statskasse.
Udbytteren, der selv er beskrevet som digital kunsthandler på Twitter, hævdede, at han og et team af hackere foretog en "meget profitabel handelsstrategi", og at det var "lovlige handlinger på det åbne marked, ved at bruge protokollen som designet."
Efter et forslag i Mango's governance forum blev godkendt, blev Eisenberg lov til at beholde 47 mio som en "bug bounty", mens $67 millioner blev sendt tilbage til statskassen.
Kilde: https://cointelegraph.com/news/after-mango-market-exploit-compound-pauses-four-tokens-to-protect-against-price-manipulation