COMP:Compound錯誤分發8000萬美元代幣，修復漏洞還要再等七天

9月30日，頭部去中心化借貸協議Compound于官推表示，在今天通過并執行「治理提案062」后，升級合約內發錯了一個BUG，致使COMP代幣出現了異常分發情況。

具體來說，漏洞出現在升級后的「Compound:?Comptroller」合約內，原本應通過該合約緩慢分發給所有流動性提供者的COMP代幣被錯誤釋放，部分用戶收到了遠高于正常數量的COMP。如下圖所示，僅0x2e4ae開頭的地址一個地址就從「Compound:?Comptroller」合約內領取到了近30000枚COMP，代幣，價值約900萬美元。

漏洞影響評估

首先需要強調的是，從漏洞影響來看，本次?Compound事件只會直接影響到所有流動性提供者的預期收益，用戶的存款、借款及倉位情況理論上不會受到任何干擾，所以不必太過恐慌。

Compound的一個漏洞或致使8000萬美元的COMP面臨被錯誤分配的風險:9月30日消息，去中心化借貸協議Compound最新引入的升級包含了一個漏洞，會讓一些用戶獲得異常數量的COMP作為獎勵。幾小時前生效的062號提案的目的，是根據治理設定的比率，將COMP分配給流動性供應者和借款人，而不是以前的五五分成模式。在新的升級中，小漏洞也將被修復。但是升級后的Comptroller合約中包含的一個新漏洞錯誤地已經允許一些用戶申領多達16.8萬枚COMP代幣，價值約5000萬美元。Compound Labs創始人Robert Leshner表示，Comptroller的合約地址包含有限數量的COMP，而大部分獎勵位于不同的Reservoir合約地址。因此，影響是有限的，在最壞的情況下，28萬枚COMP代幣會受影響。截至發稿時，這些代幣價值約為8000萬美元。

Comptroller的合約地址現在還剩下112000枚COMP。Leshner稱，沒有管理員控制或社區工具來禁用COMP分配，協議的任何更改都需要一個7天的治理流程才能生效。與此同時，Compound Labs和社區成員正在評估修復COMP分配的可能步驟。（The Block）[2021/9/30 17:17:20]

此外，根據?Compound創始人?RobertLeshner的說法，「Compound:?Comptroller」合約內的COMP總量有限，用于挖礦分發的更多COMP代幣其實是存在另一個合約「Compound:Reservoir」內，該合約仍在以每個區塊0.5枚COMP的速度正常分發。最極端的情況下，也就是「Compound:?Comptroller」合約內的代幣被提空時，將有約28萬枚COMP受到影響，總價值約8000萬美元。

區塊鏈酒店預訂平臺Travala.com宣布支持VET:金色財經報道，區塊鏈酒店預訂平臺Travala.com今日發推文宣布，已與VeChain合作，用戶可在該平臺使用VET以預定酒店。[2020/8/19]

從鏈上狀況來看，當前「Compound:?Comptroller」合約內已被提走了約17萬COMP，還剩下約11萬COMP，而「Compound:Reservoir」合約當前的運轉并未出現異常情況，與?Leshner的說法相吻合。

事件發生原因

本次漏洞的起因在于前文提到的「治理提案062」，該提案的目的旨在調節對不同流動性提供角色的COMP分配比例。

依照協議運轉規則，Compound每天會向所有流動性提供者分發2880枚COMP代幣，這些代幣的一半將分配給借方，一半將分配給貸方。然而，在日常運行之中，Compound發現這種一半一半的分配方式并未充分考慮到市場需求狀況，致使了市場出現了一些畸變。所以在9月22日，社區成員?TylerLoewen于?Compound治理模塊內提交了改進提案，擬將這種一半一半的分配方式更改為依照利率狀況動態調節。

ZG.COM“NEW+”打新項目AVAX超募222倍:據官方消息，ZG.COM“NEW+”打新項目AVAX第三期于今日11:00結束，總申購額度為15000USDT，總申購金額達3,318,000USDT，申購金額超募于申購額度222倍，此次共有562人參與申購。 根據此前規則，由于超募超過50倍，7月22日的NEW+價格將上漲至2.5USDT。今日下午2點的搶購價格仍為1.5USDT。

Avalanche簡稱為Avax，使用突破性的共識協議構架，是一個在一秒內確認交易的智能合約平臺。[2020/7/20]

這一提案的出發點顯然是正向的，社區對于提案的態度也是以支持為主，大概一周左右，也就是今天上午，該提案順利通過并得到了執行。

遺憾的是，代碼層面的BUG往往就是這么難以預料。盡管社區內其他一些成員也審查過?TylerLoewen的升級代碼，且所有升級合約已在以太坊?Ropsten測試網上順利運轉了一個月的時間，但BUG還是出現了。

聲音 | Bitcoin.com業務發展經理：四川加密礦商的水電成本通常為每度電0.2元左右:據Bitcoin.com 7月22日消息，Bitcoin.com挖礦產品經理Shaun Chong表示，水力發電為加密貨幣開采提供了一種利用過剩電力的好方法，同時也為可再生能源提供了資金。隨著加密貨幣價格的上漲，挖礦業的盈利能力已顯著提高。他表示：“在牛市期間，云挖礦的銷售表現要好得多。”Bitcoin.com與美國、瑞典和中國的挖礦數據中心合作，Chong稱：“他們都在使用水電，我們所有的云挖礦都是由水電驅動的。” Bitcoin.com負責中國業務的業務發展經理Kirk Su表示，大多數在四川運作的挖礦公司都與他們選擇在旁修建礦場的水電站有直接合同關系。這些合同確實為加密礦工提供了更低的電價。Su補充稱：“每個人拿到的價格都不一樣，但通常在0.2元左右，大約是每度電0.03美元。”[2019/7/22]

解決措施及流程

動態 | Bitcoin.com首席執行官Roger Ver表示他不擁有@bitcoin這個賬戶 指控是假的:據AMBcrypto4月27日消息，Bitcoin.com首席執行官Roger Ver澄清了他運作Twitter@bitcoin賬號的謠言，說他與此無關，他運作的是@rogerkver這個賬號。用他的話說：”@bitcoin自2009年起由其他人運行，加密貨幣領域的一些人也認識他。顯然，他更喜歡BCH，因為原來的BTC應該像現金一樣，但現在它更像是一個科學項目。我會從另一個賬號發布反比特幣推文這一事實是錯誤的，因為我永遠不會向你索取任何東西，并希望人們自己意識到生物安全信息交換所是為整個世界帶來經濟自由的貨幣。“[2019/4/27]

關于補救工作，Leshner本人在推特已表示：“沒有任何管理控件或社區工具來打斷COMP當前的異常分發，協議層面的任何更改都需要經過為期近一周的治理程序才可生效。CompoundLabs?和社區成員當前正在評估修復發行版的可能方法。”

如其所說，Compound有著一套既有的治理流程：

任何地址都可以鎖定100枚COMP來發起自治提議，當提議積攢夠至少?65000枚COMP的委托后將升級為治理提案，繼而進入社區公投環節；

社區公投為期3天，當提案獲得了至少40萬枚COMP支持，且多數人投票贊成之時，即可通過公投環節。

通過公投的提案將排隊進入時間鎖，并在2天的時間鎖后正式執行。

梳理治理的整個流程，可以看到，僅公投和時間鎖環節就要求了至少5天的時間，算上最初的提議以及流程過渡工作所需的時間，Leshner所說的一周并不夸張。

關于「沒有任何管理控件來打斷COMP當前的異常分發」這一點，事實上，Compound協議內存在一個用于處理極端情況的監護地址，該地址此前一直由?CompoundLabs持有，但在8月份的「治理提案057」中已被轉變為多簽控制。不過，該監護地址的權限暫時僅規定了可在極端情況下暫停協議的存款、借款和清算，并未明確提及是否可用于當前發生的情況。

流程至此已厘清，但該采取什么樣的補救措施，目前沒有人給出具體方案。社區成員已在?Compound治理論壇中建立了一個主題討論帖，擬通過「治理提案063」來執行修復。從已釋放出的信息來看，大概率會先行暫停COMP的分發，直到可以測試完整的修復補丁。

經驗教訓總結

作為踐行去中心化理治模式的先驅之一，Compound本次事件的起因及處理在一定程度暴露了DAO治理的B面。

我們的慣性認知中，去中心化往往意味著用效率來換取公平。在DeFi領域，當一款協議實現了完全的去中心化治理，沒有任何單一主體能夠隨意對合約進行修改時，調動社區整體來共同參與治理決策往往極大的組織精力及時間成本，這也是為什么?Compound需要用七天的時間來修復一個明擺著會對協議造成極大負面影響的漏洞。實際上，在一眾頭部DeFi協議之中，Compound七天左右的治理周期并不算慢了，Uniswap走完全套治理流程的時間周期至少需要半個月之久。

話說回來，既然明知事后的補救需要如此高的成本，那么在事件發生之前，是否需要對重大合約升級采取更加嚴格的評估標準呢？這是在本次事件發生后，Compound社區所作出第一個的經驗總結——社區成員PhazeJeff于治理論壇內發起了一個討論帖，主題為「對重大代碼更改執行更嚴格的審核」。

結合具體事件來看，在社區成員Loewen提交「治理提案062」后，參與測試工作的社區成員數量過少，最終導致BUG被遺漏和“放行”。因此，Jeff認為在協議進行重大更新時進行更細致的監測，并鼓勵更多的社區成員參與到主網部署前的社區工作去。此外，Jeff還提到了需要進一步明確多簽監護地址的具體權限，以允許其在出現類似緊急情況時快速相應。

當前，關于該話題的討論仍在進行中，感興趣的朋友可以直接訪問帖子參與討論。

Tags：COMCOMPOMPUNDZB.comCompound SaiCompound幣圈THUNDERBNB

SHIB最新價格