Hechos clave:
-
Existe el riesgo de situaciones en las que se adquiera una deuda mayor que la garantía.
-
Sin embargo, OpenZepellin estima que Compound posee un código saludable.
El equipo de seguridad de OpenZeppelin realizó una evaluación del protocolo de Compound Finance, implementado en la red de Ethereum para ofrecer préstamos automáticos en criptomonedas, y encontró que aunque se maneja un sistema de seguridad adecuado, el plan de incentivos y los roles privilegiados que se utilizan podría resultar contraproducentes.
El equipo de OpenZeppelin difundió los resultados de su análisis en una publicación reciente. En ese sentido, recuerda que la aplicación de Compound permite realizar depósitos y solicitar préstamos en ether (ETH), 0x (ZRK), dai (DAI), basic attention token (BAT), y augur (REP). El mecanismo genera intereses para los prestatarios y liquidez en el mercado, a medida que otras personas participan. Para ello, requiere que más usuarios soliciten préstamos que generen dividendos gracias a los intereses que acumulan. Los préstamos se solicitan por la cantidad de criptomonedas que se deseen, siempre que se mantenga una relación de 1,5x sobre el monto a solicitar y la cantidad depositada.
Este sistema de préstamos en criptomonedas no ofrece garantía de liquidez, por lo que utiliza una tasa de interés variable para incentivar un equilibrio saludable entre proveedores y prestatarios. Para OpenZeppelin este incentivo de liquidación fomenta en gran medida un comportamiento que mueve a los prestatarios hacia la solvencia, en la medida en que el valor de la garantía de un prestatario sea, al menos, tan grande como el valor de los activos prestados.
Sin embargo, también considera que existe un umbral de 95,2% con probabilidades de que la liquidación de un préstamo genere lo que denominan «insolvencia incentivada». Al respecto, explica se pueden presentar situaciones en las que se adquiere una deuda mayor que la garantía, con lo cual el beneficiario de un préstamo no tendría incentivo para pagar. «Los usuarios en esta situación pueden ser un problema para el mercado porque continúan acumulando intereses, mientras eliminan la liquidez del mercado, asegurando que al menos algunos titulares no puedan canjear sus activos», señalan los investigadores.
No obstante, también afirman que estos riesgos pueden mitigarse con elecciones prudentes del incentivo de liquidación y los colaterales. De esta forma, sugieren que se utilice un incentivo de liquidación dinámico que disminuya a medida que los prestatarios se acerquen a la insolvencia, a fin de garantizar que las liquidaciones aumenten la solvencia.
Proyecto centralizado
Cabe destacar que Compound hace uso de los contratos inteligentes de Ethereum, pero la administración de la plataforma recae sobre Compound Labs, Inc. quienes controlan los fondos. Ellos manejan parámetros como los requisitos de garantía y el tamaño del incentivo usado para alentar a terceros a liquidar préstamos con garantía insuficiente. El análisis indica que estas decisiones pueden afectar la utilidad y la seguridad del sistema, y obliga a los usuarios a confiar en el equipo.
En manos de un administrador malintencionado o comprometido, estos privilegios contienen la capacidad de congelar trivialmente los mercados, censurar transacciones o robar todos los activos del sistema. Del mismo modo, el control del precio puede usarse para robar la mayoría, si no todos, los activos del sistema. Actualmente, la misma cuenta de propiedad externa es el administrador de todos los mercados activos.
OpenZeppelin.
Como solución a esta situación, se menciona la intención de reemplazar el rol de administrador existente y los precios con mecanismos de gobierno más descentralizados.
Entre otros hallazgos, el análisis también cita la posibilidad de que se generen préstamos sin intereses. Esto ocurre cuando un prestatario obtiene un pequeño préstamo a corto plazo, sin tener que pagar interés. Tal situación podría ampliarse a un préstamo grande, «al obtener varios préstamos pequeños, a corto plazo y sin intereses, y consolidarlos en una sola cuenta». Aunque, según observan los analistas, este ataque requiere gran cantidad de gas, por lo que solo es rentable para mineros.
La auditoria de Zeppelin al protocolo se hizo a solicitud del equipo de Compound, el cual recibió los resultados del informe. En general, estiman que el modelo del sistema posee un código saludable y se aprecia la intención de actualizar el diseño cuando sea apropiado. Se espera, por tanto, que pronto se implementen las correcciones pertinentes.
