Protocole de prêt décentralisé Compound a pause la fourniture de quatre jetons comme garantie de prêt sur sa plate-forme, visant à protéger les utilisateurs contre les attaques potentielles impliquant une manipulation des prix, similaire au récent exploit de 117 millions de dollars de Mango Markets, selon une proposition sur le forum de gouvernance de Compound qui a été récemment adoptée.
Avec la pause, les utilisateurs ne pourront pas déposer le YFI de Yearn.finance (YFI), ZRX de 0x, Basic Attention Token (BAT) et Maker's MKR (MKR) comme garantie pour contracter des emprunts.
La proposition a été adoptée le 25 octobre avec 99% de tous les électeurs en faveur. Il a déclaré:
«Une attaque basée sur la manipulation d'oracle analogue à celle qui a coûté 117 millions de dollars à Mango Markets est beaucoup moins susceptible de se produire sur Compound en raison des actifs collatéraux ayant une liquidité beaucoup plus profonde que MNGO et Compound nécessitant que les prêts soient sur-garantis. Cependant, par prudence, nous proposons de suspendre l'approvisionnement des actifs ci-dessus, compte tenu de leurs profils de liquidité relative.
Lors d'un examen de sécurité de Compound v2 effectué en septembre, l'équipe Volt Protocol identifié les risques potentiels de manipulation du marché liés aux jetons à faible liquidité. Le rapport expliquait :
«L'attaque est possible lorsque le montant d'un jeton empruntable sur des marchés comme Aave et Compound est important par rapport au marché liquide. L'exemple le plus notable est ZRX, qui dispose de liquidités empruntables sur chacun de ces marchés comparables ou supérieures au volume quotidien habituel sur toutes les bourses centralisées et décentralisées.
Sur Twitter, Robert Leshner, fondateur de Compound, a expliqué que l'approche conservatrice n'aurait pas d'impact sur les utilisateurs existants.
Suite au @mangomarchés exploiter, @gauntletnetwork a proposé de désactiver la nouvelle offre pour les garanties les moins négociées.
Cette approche conservatrice n'affectera pas les utilisateurs existants et encourage la migration de l'utilisation vers le composé III (qui résiste au vecteur d'attaque). https://t.co/yMQDgRXru7
– Robert Leshner (@rleshner) 21 octobre 2022
Le 11 octobre, Avraham Eisenberg, le pirate derrière le Exploitation des marchés de la mangue, a manipulé la valeur d'une garantie déposée - le jeton natif des plates-formes, MNGO - à des prix plus élevés, puis a contracté des prêts importants contre la garantie gonflée, ce qui a vidé la trésorerie de Mango.
L'exploiteur, qui se décrit comme un marchand d'art numérique sur Twitter, a affirmé que lui et une équipe de pirates a entrepris une «stratégie commerciale hautement rentable» et qu'il s'agissait «d'actions légales d'ouverture du marché, en utilisant le protocole tel qu'il a été conçu».
Après l'approbation d'une proposition dans le forum de gouvernance de Mango, Eisenberg a été autorisé à conserver 47 millions de dollars comme une « prime de bogue » tandis que 67 millions de dollars ont été renvoyés au Trésor.
Source : https://cointelegraph.com/news/after-mango-market-exploit-compound-pauses-four-tokens-to-protect-against-price-manipulation