Compound unterbricht die Lieferung von YFI, ZRX, BAT und MKR, um sich vor potenziellen Exploits zu schützen

Die dezentralisierte Finanzanwendung (DeFi) Compound hat die Lieferung von vier prominenten Token unterbrochen, um die Benutzer vor einem potenziellen Marktmanipulationsangriff zu schützen – eine neue Art von Exploit, bei der allein in diesem Monat über 100 Millionen Dollar an gestohlenen Geldern verzeichnet wurden.

Token für 0x (ZRX), Yearn Finance (YFI), Basic Attention Token (BAT) und Maker (MKR) werden nicht mehr an Benutzer von Compound v3, der neuesten Version des Protokolls, verliehen.

„Ein auf Orakelmanipulation basierender Angriff, ähnlich dem, der Mango Markets 117 [Millionen] US-Dollar gekostet hat, ist bei Compound viel unwahrscheinlicher, da Sicherheitenanlagen eine viel höhere Liquidität haben als MNGO und Compound, die eine Überbesicherung von Krediten erfordern“, so Compound-Entwickler schrieb am Dienstag.

„Aus Vorsicht schlagen wir jedoch vor, die Versorgung mit den oben genannten Vermögenswerten angesichts ihrer relativen Liquiditätsprofile zu unterbrechen“, fügten sie hinzu.

Der Schritt erfolgte, nachdem ein von der Governance-Community von Compound vorgelegter Vorschlag heute Morgen mit über 99 % aller Wähler angenommen wurde und rund 554.000 COMP zur Abstimmung standen. Der Kryptodatenanbieter Gauntlet war der größte Wähler mit rund 126.000 COMP, die als Stimmen eingesetzt wurden, gefolgt von Compound-Gründer Robert Leshner, der rund 70.000 COMP setzte.

Der Vorschlag, der ursprünglich im September veröffentlicht wurde, wies auf die geringe Liquidität der vier Token auf Compound als potenziellen Angriffsvektor für Marktmanipulations-Exploits hin.

Entwickler schrieben damals, dass Angreifer die Kreditmärkte auf Compound manipulieren könnten, um illegal Gelder zu leihen, die über ihre Bestände hinausgehen. Sie wiesen auch auf eine ausgeklügeltere Strategie hin, die den Preisunterschied bei zwei Vermögenswerten ausnutzen würde, die unterschiedliche Orakel oder Dienste von Drittanbietern verwenden, die Daten von außerhalb einer Blockchain nach innen abrufen.

Marktmanipulationen: Die neue Krypto-Exploit-Strategie

Marktmanipulation führte Anfang dieses Monats zu einem 100-Millionen-Dollar-Exploit des Solana-basierten Handels- und Kreditprotokolls Mango Markets. Der Exploit trug dazu bei, mehr Aufmerksamkeit auf den September-Vorschlag zu lenken, der zunächst nicht viel Aufmerksamkeit erregte.

Mango stützte sich wie andere DEXs auf Smart Contracts, um Trades zwischen DeFi-Benutzern (Decentralized Finance) abzugleichen. Dies ist der Schlüssel zum Verständnis, wie solche Exploits stattfinden: Smart Contracts sind vollständig dezentralisiert und werden nicht von einer zentralisierten Partei beaufsichtigt – was bedeutet, dass ein Schurkenhändler genug Geld einsetzen kann, um Schlupflöcher in jedem Protokoll auszunutzen, ohne das Risiko einzugehen, dass jemand eingreift, um dies zu stoppen angreifen, bevor er stattfindet.

Bei solchen Exploits verwenden Schurkenhändler die Anfangsfinanzierung, um einen relativ illiquiden Spot-Token aufzukaufen, was oft dazu führt, dass die Preise dieses Tokens in sehr kurzer Zeit in die Höhe schießen.

Wenn die Spotpreise steigen, verwendet der Schurkenhändler dann die künstlich aufgeblähten Token als Sicherheit, um schnell andere Token zu leihen – mit der Motivation, schließlich alle Gelder aus dem angegriffenen Protokoll abzuziehen.

Es ist wichtig zu beachten, dass die obige Manipulationsstrategie nicht an zwei zentralisierten Börsen funktioniert, da ein Händler, der hohe Gebote an einem Handelsplatz abgibt, bedeuten würde, dass die Preise an dieser Börse automatisch höher steigen und andere Börsen sofort den Preis von Vermögenswerten auf ihren eigenen Systemen erhöhen – was bedeutet, dass die Strategie wahrscheinlich keine Gewinne einbringt.