Compound Errors



La gobernanza on-chain de Compound ha fracasado, y no por primera vez.

Ayer se llevó a cabo un update del contrato Oracle del protocolo, que tuvo consecuencias imprevistas. A pesar de tres audits, el nuevo código contenía un bug que provocaba la reversión de las transactions para los borrowers y suppliers de ETH.

Compound anunció :

"Efectivamente, el market de cETH está temporalmente congelado".

El hilo continúa afirmando que "los fondos no corren un riesgo inmediato, pero se trata de una situación en desarrollo".

Esperemos que, esta vez, las cosas no vayan de mal en peor...

Ayer, Compound aplicó la Proposal 117 para " realizar un upgrade del contrato Oracle del protocolo (actualmente v2 ) a v3 , lo que cambia el anchor market de Uniswap v2 a v3 ".

El bug parece ser el resultado de las diferencias entre los cTokens cErc20 y cEther de Compound.

Como se indica en los documentos de Compound "CErc20 es una versión wrapped del ERC-20 subyacente, mientras que CEther es simplemente Ether wrapped. Como tal, las funciones principales que implican la transferencia de un asset en el protocol tienen interfaces ligeramente diferentes dependiendo del tipo".

Sin embargo, parece que estas consideraciones no se tuvieron en cuenta al diseñar el nuevo oracle.

OpenZeppelin explicó el error de la siguiente manera:

cETH no tiene un método underlying() que se supone que está presente en cada cToken contract por la nueva implementación del oracle , la función getUnderlyingPrice 12 devuelve bytes vacíos que no pueden ser decodificados y la call revierte.

Afortunadamente, aunque el market de cEther está congelado, los usuarios aún pueden depositar collateral y evitar posibles liquidaciones. Y la noticia no ha afectado significativamente al precio del COMP.

El contracto en cuestión fue auditado por tres empresas, Dedaub, ABDK (links aquí) y OpenZeppelin, y el más reciente de los informes data del 1 de abril de 2022. Sin embargo, el último commit con UniswapAnchoredView se realizó 26 días después.

Aunque el bug se ha identificado rápidamente y la solución consiste simplemente en revertir el oracle a la versión anterior, los cambios no podrán aplicarse durante 7 días, hasta que pase la Proposal 119.

La rígida governance on-chain del protocol también causó problemas el año pasado, lo que le costó muy caro a Compound.

Inicialmente, se distribuyeron $80M en excesivos rewards a los depositantes antes de que se liberaran otros $68M a la espera de que se aplicara la solución.

Desgraciadamente, los errores costosos son habituales en nuestra industria.

Ayer mismo OptiFi Labs admitió haber cerrado accidentalmente su contrato en la mainnet de Solana, bloqueando 661K USDC (la mayoría pertenecientes a un team member). También nos enteramos recientemente de que Crypto.com envió accidentalmente a un usuario $10M, en lugar de $100, sin darse cuenta durante siete meses.

Con ejemplos de descuido como estos, incluso en organizaciones que trabajan bajo el más alto escrutinio, una gobernanza totalmente on-chain puede resultar más bien un obstáculo.

Aunque los maxis de la descentralización suelen afirmar que una multisig no es suficiente, tal vez otorgar poderes temporales a un emergency multisig podría ser un salvavidas en situaciones similares...

¿Es este el precio a pagar por la gobernanza on-chain?


compartir artículo

REKT sirve como plataforma pública para autores anónimos, nos deslindamos de la responsabilidad por las opiniones y contenidos alojados en REKT.

dona (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

aviso legal:

REKT no es responsable ni culpable de ninguna manera por cualquier Contenido publicado en nuestro Sitio Web o en conexión con nuestros Servicios, sin importar si fueron publicados o causados por Autores ANÓN de nuestro Sitio Web, o por REKT. Aunque determinamos reglas para la conducta y publicaciones de los Autores ANÓN, no controlamos y no somos responsables por cualquier contenido ofensivo, inapropiado, obsceno, ilegal o de cualquier forma objetable, que se pudiera encontrar en nuestro Sitio Web o Servicios. REKT no es responsable por la conducta, en línea o fuera de línea, de cualquier usuario de nuestro Sitio Web o Servicios.