Le protocole de prêt décentralisé Compound a interrompu la fourniture de quatre tokens comme garantie de prêt sur sa plateforme, dans le but de protéger les utilisateurs contre les éventuelles attaques impliquant une manipulation des prix, similaire au récent piratage de 117 millions de dollars de Mango Markets, selon une proposition sur le forum de gouvernance de Compound qui a été récemment adoptée.
Avec cette suspension, les utilisateurs ne pourront plus déposer les YFI (YFI) de Yearn.finance, les ZRX de 0x, les Basic Attention Token (BAT) et les MKR (MKR) de Maker comme garantie pour contracter des prêts.
La proposition a été adoptée le 25 octobre avec 99 % de votes en faveur. Elle stipulait :
« Une attaque basée sur la manipulation d'oracle analogue à celle qui a coûté 117 millions de dollars à Mango Markets a beaucoup moins de chances de se produire sur Compound, car les actifs collatéraux ont une liquidité beaucoup plus profonde que MNGO et Compound exige que les prêts soient surcollatéralisés. Cependant, par excès de prudence, nous proposons de mettre en pause l'offre pour les actifs ci-dessus, étant donné leurs profils de liquidité relatifs. ».
Dans un examen de sécurité de Compound v2 effectué en septembre, l'équipe de Volt Protocol a identifié des risques potentiels de manipulation du marché liés aux tokens à faible liquidité. Le rapport explique que :
« L'attaque est possible lorsque le montant d'un token empruntable sur des marchés comme Aave et Compound est important par rapport au marché liquide. L'exemple le plus notable est ZRX, dont la liquidité empruntable sur chacun de ces marchés est comparable ou supérieure au volume quotidien habituel sur tous les exchanges centralisés et décentralisés. ».
Sur Twitter, Robert Leshner, le fondateur de Compound, a expliqué que l'approche conservatrice n'aurait pas d'impact sur les utilisateurs existants.
Following the @mangomarkets exploit, @gauntletnetwork has proposed disabling new supply for the most thinly traded collateral.
— Robert Leshner (@rleshner) October 21, 2022
This conservative approach won't impact existing users, and encourages the migration of usage to Compound III (which is resistant to the attack vector). https://t.co/yMQDgRXru7
Suite au piratage de @mangomarkets, @gauntletnetwork a proposé de désactiver les nouvelles offres pour les garanties les moins échangées. Cette approche conservatrice n'aura pas d'impact sur les utilisateurs existants et encourage la migration de l'utilisation vers le Compound III (qui est résistant au vecteur d'attaque). https://t.co/yMQDgRXru7 - Robert Leshner (@rleshner) 21 octobre 2022
Le 11 octobre, Avraham Eisenberg, le pirate à l'origine de l'exploitation de vulnérabilités de Mango Markets, a manipulé la valeur d'une garantie affichée, le token natif de la plateformes, MNGO, à des prix plus élevés, puis a contracté des prêts importants contre la garantie gonflée, ce qui a drainé la trésorerie de Mango.
Le pirate, qui s'est décrit comme un marchand d'art numérique sur Twitter, a affirmé que lui et une équipe de pirates avaient entrepris une « stratégie d'échange très rentable » et qu'il s'agissait « d'actions légales sur le marché ouvert, en utilisant le protocole tel qu'il a été conçu ».
Après l'approbation d'une proposition dans le forum de gouvernance de Mango, Eisenberg a été autorisé à conserver 47 millions de dollars en tant que prime de bug tandis que 67 millions de dollars ont été renvoyés à la trésorerie.