Comunicado 5: Reapertura segura de Tropykus y solución para los fondos

Hola Tropykanos, 

Como ya saben el día 14 de junio Tropykus sufrió un ataque que significó un robo de USD 158k. Pueden leer más información en el Comunicado 3 y Comunicado 4.

Luego de varios días de trabajo hoy les queremos comunicar los detalles de la solución que alcanzamos para evitar afectaciones a partir del hack. 

Primero queremos agradecerles por la paciencia, les pedimos un voto de confianza y su respuesta nos hace sentir muy orgullosos de la relación que hemos construido en la comunidad.

Los fundadores iniciales del protocolo hemos asumido la responsabilidad financiera de lo sucedido. Además de recursos propios de los founders, la mayoría de los fondos los hemos conseguido ampliando la ronda de inversión pre semilla y logrando acuerdos con inversores que creen en el futuro de Tropykus para que los USD 158.800 extraídos del protocolo en el hack, no solo no tengan afectación en los usuarios, sino que también nos ayudarán a construir un mejor Tropykus. Los trámites operativos de los acuerdos y la recepción de los fondos ya iniciaron y se finalizarán en los siguientes días.

Sabemos que en la mayoría de casos similares en el ecosistema, los usuarios no reciben sus fondos de vuelta y que lo que planteamos no es lo que ocurre normalmente, pero para nosotros es simplemente el deber ser, es parte de la misión de Tropykus y de lo que estamos construyendo juntos para el futuro.

Luego de los análisis técnicos, los pasos que se deben llevar a cabo para una reapertura segura, la firma de acuerdos finales y el pago de los fondos, se tiene como objetivo que Tropykus deje de estar en mantenimiento el viernes 30 de junio a las 4 pm, hora de Argentina. Esto será reconfirmado 24h previas a la reapertura. 

Los usuarios con depósitos en DOC en Tropykus, podrán conectarse a la plataforma como antes y encontrarán sus fondos intactos. 

Igualmente los usuarios con depósitos en rBTC estándar (mercado que no fue afectado) no tendrán ningún cambio cuando se conecten a la plataforma, verán sus fondos exactamente igual que los tenían. 

Como parte del plan de mitigación de riesgos, el mercado rBTC micro (3% rendimiento hasta 0,025 rBTC) dejará de ser soportado, por lo cual los usuarios que tenían depósitos activos en este mercado tendrán un mecanismo de devolución diferente.

Dado que este mercado no podrá reabrirse por temas de seguridad que se explicará más adelante, la solución que se propone es compensar a los usuarios con rBTC en sus billeteras, no en el protocolo. El dinero recaudado tuvo como meta el valor en dólares del momento del hack, y la diferencia de valor del rBTC a hoy puede seguir cambiando para el momento que se haga el envío de los tokens. Esta diferencia por la volatilidad del rBTC es lo único que nos hace falta resolver, pero lo esperamos solucionar para la fecha de reapertura de Tropykus. 

Para preguntas más específicas mañana martes 27 de junio a las 6pm ARG / 4pm COL vamos a hacer una llamada en la comunidad de telegram donde estaremos atendiendo todas las dudas y recibiendo ideas para hacer mejor este proceso.

Plan de seguridad

Luego de analizada la vulnerabilidad, la prioridad desde el equipo técnico fue diseñar las soluciones y el proceso de apertura más seguro de Tropykus. Hemos realizado varias acciones para asegurar el funcionamiento seguro de la plataforma:  

Se realizó un análisis conjunto con un equipo experto en seguridad de contratos inteligentes para validar que la vulnerabilidad se encontraba en el mercado de rBTC micro y no afecta a otros mercados.

Luego de explorar diferentes escenarios, se determinó que para evitar riesgos se debe eliminar de Tropykus el mercado de rBTC micro, que fue donde se detectó la vulnerabilidad, para evitar cualquier riesgo de seguridad. Solo se tendrá activo el mercado de rBTC estándar.

Para mayores detalles sobre el plan de seguridad y mitigación de riesgos, al final de este comunicado encontrará las acciones más específicas y un documento detallado.

De la dificultad a la oportunidad

No hay que desaprovechar una buena crisis, es una frase de Churchill que aplica bien para Tropykus en este momento. Con los nuevos inversores discutimos estrategias para fortalecer Tropykus hacía el futuro:

En el corto plazo, Tropykus tendrá nuevos mercados integrados y así se tendrán mayores opciones de ahorro y préstamo:

1. BPRO, token de Money on Chain que tiene un apalancamiento en Bitcoin del 5% actualmente, conocido como  un Bitcoin con esteroides. BPRO podrá ser utilizado como colateral en Tropykus, sólo aparecerá este mercado para quienes lo tengan previamente en sus billeteras
2. Una nueva stablecoin en el ecosistema de Rootstock que está respaldada por RIF, la cual tendrá posibilidades interesantes de ahorro y préstamos.
3. Integración de Tropykus de manera nativa en Defiant.

Estas novedades son solo las primeras de otras que vienen. En el plazo aproximado de dos meses se anunciará una nueva integración con tokens atados al valor de las monedas de nuestra región diseñada para los casos de uso que vivimos en Latinoamérica.

El siguiente paso hacia la descentralización

Desde el inicio, Tropykus ha sido construido por su comunidad, que lo ha hecho crecer con el uso, discusiones y retroalimentación. De nuevo un agradecimiento especial, es un privilegio y un orgullo construir juntos. Por esto, uno de nuestros objetivos en los próximos meses es trabajar en el siguiente nivel de descentralización de Tropykus y que ustedes tengan un papel protagonista en lo que Tropykus puede llegar a ser. 

En los próximos 4 meses vamos a trabajar en nuestro token de gobernanza para que todos los miembros de nuestra comunidad tengan voz, voto y beneficios por ser usuarios activos y comprometidos con la misión de Tropykus para impactar Latinoamérica.

La comunidad de Tropykus es antifrágil 

En estas situaciones difíciles, si respondemos de la manera adecuada, puede ser una oportunidad para Tropykus y la comunidad que lo conforma. Pese a lo difíciles que han sido los últimos días, hoy el protocolo es más seguro y el equipo más resiliente. Se han tomado las medidas necesarias para mitigar riesgos, se han integrado nuevos inversores con su conocimiento, y vienen mejoras importantes. Como dicen: “Lo que no te mata, te hace más fuerte”.

¡Mil gracias de verdad por estar ahí para juntos construir el Tropykus que nuestra región necesita!

*Acciones específicas del plan de seguridad y mitigación de riesgos*

Con base en este análisis, se diseñó un plan de mitigación de riesgos cuyo resumen es:

• Con la eliminación del mercado rBTC micro, el protocolo volverá a la base del código original de Compound v2, teniendo sus mismos estándares de seguridad.
• Tenemos identificados las posibles vulnerabilidades del código base de compound y se han tomado las medidas para evitar los posibles escenarios de riesgo. (Ver documento de plan de seguridad completo)
• Por cada nuevo token a ser listado en Tropykus, se realizará un análisis de código propio en conjunto con el emisor del token para evitar incluir posibles vulnerabilidades.
• Al momento de desplegar un nuevo mercado se usará un factor de colateral de 0 y se realizará un depósito inicial en la misma transacción para evitar problemas de redondeo como los sufridos en otros protocolos de base Compound
• Despliegue de sistema de pausa de mercados en tiempo real activado por alarmas en oráculos y red de RSK.
• Alarmas de precios de oráculos que pausen automáticamente los mercados si los precios de rBTC, DOC u otro token tienen un cambio repentino entre cada bloque.
• Inspección regular de set de contratos inteligentes con nuevos desarrollos de AI para tomar medidas sobre nuevos hallazgos
• Interacción con otros protocolos de base Compound para compartir hallazgos y conocimientos de seguridad de manera continua.
• Asociación con empresas de seguridad especializadas para hacer un análisis de seguridad, no solo a nivel técnico, sino también de procedimientos y protocolos internos.
• Diseño y despliegue de un mecanismo de validación de transacciones maliciosas a nivel de nodos para adelantarse a cualquier posible ataque.

Pueden leer el plan de seguridad completo en el siguiente link