A fine luglio 2024 è andato in scena un attacco alla Governance di Compound eseguito da una whale in DeFi conosciuta con il nome di "Humpy Is Gold". Sostanzialmente è passata una proposta per spostare 500.000 $COMP (25 milioni di dollari circa) in un vault gestito da Humpy e i Goldenboys. Questa whale in passato aveva avuto "discussioni" con altre whales sui protocollo Balancer e Sushiswap.
COME FUNZIONANO LE GOVERNANCE
Qualsiasi utente che possiede i token del protocollo ($Comp in questo caso) può proporre proposte sul forum ufficiale e depositando in seguito garanzie avviare l'iterim per le votazioni. Chi vota? Gli stakers del protocollo. Se una prop raggiunge il quorum e il "si" prevale sul "no", essa viene eseguita. Il voto non è uguale per tutti ma dipende da quanti token si posseggono. Voting power aumenta all'aumentare dei numero dei propri token. Per questi motivi quando si sceglie un delegatore/validatore, conviene distribuire i token su account (o nodi) più piccoli. Questo favorisce la decentralizzazione.
INIZIO DELL'ATTACCO MA LA PROPOSTA NELLA DAO NON PASSA
Tra fine aprile ed inizio maggio c'erano state delegazioni di $Comp sospette ad Humpy provenienti da un hot wallet Bybit. I Goldenboys potrebbero non essere correlati a questi account ma le tempistiche sono quelle quindi non è da escludere. Questo vault controlla circa 325K $Comp, solo 74.667 in meno del quorum. Goldenboys in una prop di Governance propongono di investire il 5% della treasury di Compound nel vault di goldCOMP, l'idea è quelli di utilizzarli per yield farming.
Humpy, il leader dei Goldenboys, propone:
-Deposito di 1 anno di 92K $Comp nel loro caveau goldCOMP
-Trasferimento di questi token al portafoglio multi-sig Golden Boys
Gli stakers di $Comp (tra cui Wintermute e FranklinDAO) respingono questa proposta, citando:
-Mancanza di assicurazioni o garanzie sulle azioni future del multi-sig (avrebbero potuto dumpare i token facendo crollare il prezzo)
-Preoccupazioni circa il trasferimento di ingenti fondi della treasury senza adeguate garanzie
Risultato: proposta fallita.
NUOVA PROPOSTA FALLISCE
Qualche giorno dopo, Humpy crea una nuova proposta chiamata "Trust Setup" affrontando i problemi delle DAO provando ad implementare un contratto con l'obiettivo di ridurre i problemi del multisig ma anche questa volta fallisce e vince il "no".
L'ATTACCO RIESCE
A fine luglio riprova la proposta precedente, richiedendo 5 volte di più! Circa 25 milioni di dollari. Questa volta la proposta passa! Passata la proposta di Humpy, egli arriverà a controllare oltre il 10% della supply totale di $Comp, con il rischio di poter passare qualsiasi proposta di governance che desidera, danneggiando Compound.
RISPOSTA DAO E PIANO D'AZIONE
Due sono le proposte difensive pensate dalla community:
-Trasferire la funzione TimelockAdmin su Compound Community multisig
-Aggiornamenti dei parametri di rischio
L'idea è quella di un trasferimento precauzionale del TimelockAdmin (diritti di amministrazione) ad un nuovo multisig. Il Timelock serve a gestire le modifiche del protocollo. Qualsiasi modifica passa per questa funzione e c'è un ritardo di 2-3 giorni tra approvazione ed esecuzione. Il TimelockAdmin è l'entità che ha il potere di controllare il Timelock. Questo ruolo consente di proporre, annullare o eseguire modifiche che riguardano il protocollo. Compound Community Multisig è un indirizzo multifirma controllato da più membri della comunità di Compound utilizzato in situazioni estreme. In pratica, si tratta di un wallet che richiede la firma di più persone per approvare le operazioni.
Trasferire il ruolo di TimelockAdmin alla Compound Community Multisig avrebbe significato distribuire il potere a più membri della community. L'admin multisig può impostare un blocco temporale per le proposte di governance. Tuttavia, anche se questa proposta di TimelockAdmin fosse passata lo avrebbe fatto dopo la proposta di Humpy. Al di là del trasferimento dei $Comp, il grande rischio sarebbe stato che i GoldenBoys avrebbero poi avuto pieno potere decisionale sul protocollo (51% attack) potendo teoricamente anche drenare il resto dei $Comp dalla treasury. Humpy non avrebbe avuto il 51% della supply totale, ma la sua quota è così significativa che sarebbe difficile ribaltarla in una prop DAO. Una volta eseguita, Humpy avrebbe avuto 500K di $COMP nel vault trasferito. Quest'entità come si vede è una whale e i suoi wallet dossati holdano da 5 a 70 milioni di dollari:
0xae0baf66e8f5bb87a6fd54066e469cdfe93212ec
0x36cc7b13029b5dee4034745fb4f24034f3f2ffc6
0x1e7267fa2628d66538822fc44f0edb62b07272a4
0xc0a893145ad461af44241a7db5bb99b8998e7d2c
Ogni DAO dovrebbe prestare attenzione a situazioni di questo tipo perchè attacchi simili non possono essere contrastati on chain. Il rischio di governance è proprio come il rischio reale di mercato e il rischio di smart contract perchè poi i token potrebbero essere dumpati.
ACCORDO TROVATO PER ANNULLARE LA PROPOSTA
Humpy e la governance di Compound hanno poi trovato un accordo affinchè Compound DAO si impegna a finanziare e costruire un nuovo prodotto di staking, rispondendo agli "interessi" dei delegati di Humpy e agli stakers. Cioè uno yield ulteriore prodotto dal protocollo sarebbe stato distribuito ai delegatori di Humpy e a $Comp stakers. L'accordo consente future modifiche alla governance dei parametri del vault di staking. Questo accordo è abbastanza opaco e lascia spazio a manovre strategiche su entrambi i lati. La DAO può regolare i parametri di distribuzione dei vault per una "crescita sostenibile", ma non è chiaro se questi possano essere modificati prima dell'implementazione dei vault. Tutto ciò è una specie di taglia, ovvero un pagamento ritardato e indiretto all' "exploiter", in contrasto con le taglie immediate tipiche degli attacchi white hat (ovvero trovo un bug in un protocollo rubando i fondi, li restituisco ed ottengo una ricompensa legale in cambio). Come detto Humpy ha accettato la controproposta quindi la 289 verrà annullata.
Nessun commento:
Posta un commento