Комплексные ошибки протокола Compound



Управление протокола Compound дало сбой, и уже не в первый раз.

Обновление оракула протокола было имплементировано вчера, и привело к непредвиденным последствиям. Несмотря на три аудита в коде была ошибка, которая привела к тому, что транзакции с ETH между заемщиками и поставщиками аннулировались.

Compound объявил, что:

Фактически, торговля cETH временно заморожена.

Далее в ветке говорится, что "Фондам непосредственно ничего не угрожает, но эта ситуация постоянно меняется"

Будем надеяться, что на этот раз она не станет еще хуже...

Вчера команда Compound имплементировала Предложение 117 для того, чтобы “обновить контракт оракула протокола (сейчас это v2) до v3, это должно было переключить основного маркетмейкера с Uniswap v2 на v3.”

Похоже, что ошибка возникла в результате различий между процентными токенами Compound - сErc20 и сEther.

В документах Compound говорится: "CErc20 оборачивает соответствующий актив ERC-20, тогда как СEther оборачивает только сам Ether. Таким образом, основные функции, связанные с передачей актива в протокол, имеют немного разные интерфейсы в зависимости от типа".

Однако, похоже, что эти соображения не были приняты во внимание при разработке нового оракула.

В OpenZeppelin объяснили эту ошибку следующим образом:

У сETH нет метода underlying(), который, как предполагается, должен присутствовать в каждом контракте cToken в новой имплементации оракула, функция getUnderlyingPrice 12 возвращает пустые байты, которые не могут быть декодированы, и вызов возвращается.

К счастью, несмотря на то, что рынок сEther заморожен, пользователи все еще могут депонировать коллатерал, чтобы избежать потенциальных ликвидаций. И новость не сильно повлияла на цену COMP.

Злополучный контракт прошел аудит в трех фирмах: Dedaub, ABDK (ссылки на обе здесь) и OpenZeppelin, последний отчет датирован 1-м апреля 2022. Однако, последний коммит в UniswapAnchoredView был сделан 26 дней спустя.

Несмотря на то, что баг быстро идентифицировали и исправить его можно простым откатом оракула до предыдущей версии, эти изменения нельзя внести в течение 7 дней, до тех пор когда Предложение 119 будет принято.

Жесткое ончейновое управление уже приводило к проблемам в прошлом году, и тогда протоколу Compound это дорого обошлось.

Сначала вкладчикам было выдано $80 млн. избыточного вознаграждения, а затем еще ~$68 млн. в ожидании внедрения исправления.

К сожалению, дорогостоящие ошибки часто встречаются в нашей индустрии.

Не далее чем вчера команда OptiFi Labs призналась в том, что случайно остановила свой контракт в основной сети Solana, замуровав 661K USDC (в основном принадлежащие одному из членов команды). Мы также недавно узнали, что Crypto.com случайно послала одному из пользователей $10M вместо $100, и заметила ошибку лишь семь месяцев спустя.

Учитывая подобные примеры небрежности даже в организациях, работающих в условиях самого пристального внимания полностью ончейновое управление может оказаться скорее помехой.

Хотя сторонники децентрализации часто утверждают, что мультисига недостаточно, возможно, предоставление временных полномочий аварийному мультисигу могло бы стать спасательным кругом в подобных ситуациях...

Неужели это та цена, которую нужно платить за ончейновое управление?


Поделиться

REKT представляет собой общественную площадку для анонимных авторов. Мы не несём ответственность за выражаемые точки зрения или контент на этом веб-сайте.

Пожертвование (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

Дисклеймер:

REKT не несет никакой ответственности за любое содержание, размещенное на нашем Веб-сайте или имеющее какое-либо отношение к оказываемым нами Услугам, независимо от того, было ли оно опубликовано или создано Анонимным Автором нашего Веб-сайта или REKT. Не смотря на то, что мы устанавливаем правила поведения и нормы публикаций для Анонимных Авторов, мы не контролируем и не несем ответственность за содержание публикаций Анонимных Авторов, а также за то, чем делятся и что передают Авторы с помощью нашего Сайта и наших Сервисов, и не несем ответственность за любое оскорбительное, неуместное, непристойное, незаконное или спорное содержание, с которым вы можете столкнуться на нашем Веб-сайте и на наших Сервисах. REKT не несет ответственность за поведение, будь то онлайн или офлайн, любого пользователя нашего Веб-сайта или наших Сервисов.