Il 4 novembre, la piattaforma di prestito DeFi PercentFinance, un fork di Compound Finance, ha scritto in un post ufficiale che “alcuni dei suoi mercati monetari hanno riscontrato un problema che può comportare il blocco permanente dei fondi degli utenti”.
Il team ha congelato i mercati monetari specificamente per USDC, ETH – qui la quotazione in tempo reale – e wrapping bitcoin (WBTC). Attualmente sono congelati 446.000 USDC, 28 WBTC e 313 ETH, per un valore di circa 1 milione di dollari.
Secondo il post, la metà di questi fondi appartiene al “community mod team” di PercentFinance. I prelievi per altri mercati sono aperti, ma il team ha esortato gli utenti a non prendere in prestito nulla dei mercati di PercentFinance nel frattempo.
Il bug
In una discussione su Discord sulla vulnerabilità, Vfat, uno sviluppatore di Ethereum e PercentFinance, ha affermato che lo sviluppatore che ha biforcato PercentFinance da Compound Finance ha utilizzato “vecchi contratti di Compound invece di versioni più recenti e molto migliori”.
Vfat ha perciò deciso di aggiornare alcuni di questi smart contract, in particolare quelli che gestiscono i tassi di interesse per i prestiti della piattaforma. Dopo che Vfat ha finalizzato le modifiche e le ha implementate, si è reso conto che le firme per i vecchi contratti e i nuovi contratti erano incompatibili, quindi le transazioni non potevano essere firmate. Vfat ha anche detto nella chat che “Compound [il team] ha confermato che questo significa che il contratto è bloccato”.
Come riparare al danno
Vfat ha commentato che è ancora troppo presto per un piano definitivo di recupero, soprattutto considerando che nessuno ha ancora avuto la possibilità di parlare con Center o BitGo, gli emittenti della criptovaluta USDC e del token WBTC, rispettivamente.
Poiché USDC e WBTC hanno backdoor nei loro smart contract, questi emittenti sarebbero in grado di inserire nella lista nera gli indirizzi con i fondi bloccati (anche se sono già inaccessibili, Vfat ha detto che questa sarebbe una buona “precauzione extra”).
Dopo la blacklist, BitGo e Center potrebbero quindi riemettere nuovi token ai vecchi proprietari di token, cosa che Tether ha già fatto quando un trader aveva erroneamente trasferito 1 milione $ in token USDT all’indirizzo sbagliato.
Un’altra soluzione potrebbe essere il lancio di nuovi contratti per i mercati dei prestiti USDC, ha affermato Vfat. Sebbene il 27% dei prestiti sia bloccato nei vecchi contratti, questi nuovi consentirebbero ai mutuatari di rimborsare il resto dei loro prestiti, quindi recuperare le loro garanzie e rimborsare i prestatori di 73 centesimi sul dollaro.
Il 100% del WBTC della piattaforma di prestito PercentFinance è bloccato, quindi senza la collaborazione di BitGo quei fondi sono persi. Allo stesso modo, anche il 100% dei fondi ETH di PercentFinance è stato congelato e non esiste un modo pratico per recuperare questi fondi.
Vfat, dal canto suo, ha dichiarato in un’intervista di volersi assumere il 100% della responsabilità dell’incidente, e che farà il possibile per recuperare i fondi perduti.
