Compound’un v3 protokolünde bir güvenlik açığı keşfeden geliştirici KP, konuya yönelik önemli adımlar attı. KP’nin tahminine göre bu güvenlik açığı bir bilgisayar korsanının kullanıcı fonlarını doğrudan çalmasına olanak tanıyacaktı ve bu adım çok karsız bir maliyetle gerçekleşecekti. Ünlü isme göre bir saldırganın 1 milyon dolarlık fon çalması milyarlarca dolarlık komisyon ücreti ile gerçekleşecekti.
Güvenlik Açığı İçin 125.000 Dolarlık İstek
KP, güvenlik açığını bulup doğruladıktan sonra bunu Compound ekibine ve güvenlik ortağı OpenZeppelin’e, saldırının kanıt simülasyonunu içeren bir kod havuzu ile birlikte bildirdi. Hata ekip tarafından derhal düzeltildi ve böylece KP, Compound DAO’dan mütevazı bir talepte bulunabildi. Geliştirici 125.000 dolarlık bir ödül talip etti. Compound DAO, hata ödülleri için geliştiricilere ödül olarak maksimum 150.000 dolar veriyor.
KP sunduğu teklifte, bir hata ödülünün güvenlik araştırmacılarını ve geliştiricileri gelecekte bileşik hataları ve güvenlik açıklarını belirleme ve ifşa etme konusunda büyük ölçüde motive etmeye yardımcı olacağını belirtti. KP, Comet protokolü üzerinde bir girişim geliştirdiğini ve ödülün pistimizi büyük ölçüde uzatacağını ve değer sağlama ve ekosistemin temel dayanağı olma çabalarımızı görmemizi sağlayacağını da sözlerine ekledi.
KP’nin önerisi, Compound Labs protokol başkanı Kevin Cheng ve OpenZeppelin çözüm mimarisi başkanı Michael Lewellen’in desteklerini de beraberinde getirdi ve bu isimler DAO’nun öneriyi tartışması sırasında KP’nin hatayı düzeltmedeki profesyonelliğini övdü.
DAO Teklifi Reddetti
Konuya yönelik delegeler arasında ödül için üçte ikiden fazla destek olmasına rağmen oylama başarısız oldu ve onay için gerekli 400.000 oy yeter sayısından sadece 15.000 oy düştü. Başkan Yardımcısı Andreesen-Horowitz’in son dakikada yaptığı oylama 256.000 lehte oy getirdi. Ancak KP için bu oy yeter sayıya ulaşmak için yeterli olmadı.
Compound’un hata ödül programına ilişkin yönergeleri protokolün keşfin ciddiyetine ve istismar edilebilirliğine dayalı olarak uygun keşifler için cömert ödüller ödemeyi amaçladığına dikkat çekiyor ancak bu tür ödüllerin tamamen Compound’un takdirine bağlı olarak kararlaştırıldığını açıklıyor. KP ise bu konuda farklı bir adım atarak yeniden bir teklif sundu ve 125.000 dolarlık ödül yerine 100.000 dolar ödül istedi.
