Comunicado 001 Tropykus
Actualización incidente reportado 06/04/2022 en tropykus.com
Comunicación de Tropykus
¡Hola seres del Tropykus! Queremos informarles que el miércoles 6 de abril tomamos medidas para investigar un comportamiento inusual en las tasas de interés del protocolo, especialmente en el mercado de rUSDT, que subió repentinamente debido a un préstamo grande. Después de un análisis profundo, entendimos que hubo un ataque al protocolo, tomamos medidas inmediatas para proteger los fondos de todos los usuarios de Tropykus y podemos confirmar que los fondos de los usuarios no están en riesgo.
Los cofundadores de Tropykus compensarán los fondos de los aliados de liquidez que se vieron afectados por este incidente.
Diagnóstico del incidente
Después de realizar la respectiva investigación, podemos confirmar que pese a nuestro enfoque por la seguridad a través de dos auditorías y un programa de bounties, se encontró una vulnerabilidad que ocurre cuándo se integran tokens de Estándar ERC 677 (En nuestro caso rUSDT y RIF) en protocolos con la base de código de Compound Finance (Tropykus escogió esta base de código), pero que al analizar los códigos aislados, por un lado el de Compound y por el otro del Token, no aparece dicha vulnerabilidad. Publicaremos un artículo explicando en detalle el incidente, pero es la misma situación que ocurrió recientemente en otros protocolos que tienen la base de código de Compound Finance y que integran tokens ERC 677 (Ver link).
¿Están en riesgo los fondos de los usuarios?
No, los usuarios podrán acceder y recuperar sus fondos. Sin embargo, quienes tengan depósitos o préstamos en el mercado de rUSDT y RIF, les pedimos integrarse a este grupo de telegram https://t.me/+HxmhVn5-N0dkM2Ex para que individualmente les indiquemos el procedimiento para sus retiros, y también el pago de deudas para poder liberar su colateral.
¿Quienes asumen las pérdidas del incidente?
El equipo fundador de Tropykus, quienes han acordado compensar las pérdidas de proveedores de la liquidez inicial del protocolo con tokens de gobernanza en el futuro por un valor de US$ 271.684.
¿Cuál es la solución?
Quitar los mercados de los tokens del estándar ERC 677 de Tropykus y no listar ninguno nuevo de este estándar hasta que se tenga una solución segura para hacerlo.
¿Cuándo se espera que Tropykus salga de mantenimiento y opere con seguridad los mercados de rBTC, DOC y XUSD?
Estamos tomando todas las medidas para que la reapertura del protocolo sea segura. Luego de que los usuarios paguen sus préstamos y retiren sus fondos del mercado de rUSDT y RIF podremos hacerlo. Lo estaremos comunicando a través de nuestra comunidad y nuestras redes. Telegram: https://t.me/tropykus Twitter: https://twitter.com/tropykus
¿Qué medidas tomará Tropykus para evitar el riesgo en el futuro?
- Tropykus asegurará el funcionamiento seguro de la plataforma evitando listar tokens ERC677 hasta que se pueda asegurar la compatibilidad sin ningún riesgo.
- Si se realiza algún cambio en los contratos inteligentes, continuaremos auditando con empresas de experiencia internacional en DeFi.
- Vamos a destinar recursos técnicos para analizar diariamente reportes de Compound Finance y auditorías de seguridad de protocolos con base de código de Compound Finance.
- Nuestro equipo seguirá implementando las mejores prácticas de seguridad que evolucionan día a día en el ecosistema.
¿Qué pasará con Tropykus?
Nuestra misión y motivación de llevar servicios financieros justos a países en vías de desarrollo, empezando por Latinoamérica, es más fuerte que el incidente que estamos viviendo. Pese a las difíciles horas que hemos vivido, en Tropykus creemos que ahora el protocolo es más fuerte para el futuro. Con el apoyo recibido de la comunidad y nuestros aliados, somos cada día más fuertes.