Rumah >web3.0 >Semakan serangan tadbir urus COMP $2,500 Mengapakah protokol DeFi telah berulang kali diserang oleh DAO?

Semakan serangan tadbir urus COMP $2,500 Mengapakah protokol DeFi telah berulang kali diserang oleh DAO?

WBOY
WBOYasal
2024-07-31 01:40:54688semak imbas

Pengarang: Grapefruit, ChainCatcher

Editor: Marco, ChainCatcher

Pada 29 Julai, "499,000 token COMP bernilai $25 juta" telah diundi oleh komuniti "Dikompaun secara sah" sebagai pemindahan tre. alamat berbilang tandatangan yang tidak dapat dipantau telah mencetuskan ribut serangan tadbir urus DAO.

Selepas cadangan pemindahan COMP diluluskan, harga token COMP jatuh hampir 7% dalam masa 24 jam, daripada $50 kepada $46.6.

Pada 30 Julai, Pegawai Pertumbuhan Kompaun Bryan Colligan berkata bahawa selepas berkomunikasi dengan paus gergasi di sebalik cadangan ini, Stake COMP (dirujuk sebagai stCOMP), produk ikrar untuk token COMP, telah dilancarkan , dan masa depan protokol Kompaun akan menjadi 30% daripada rizab pasaran baharu setiap tahun akan diagihkan kepada staker COMP sebagai syarat untuk membatalkan cadangan.

Pada masa ini, cadangan 289 "pemindahan COMP bernilai AS$24 juta" telah dibatalkan akibat berita ini, token COMP meningkat lebih daripada 13% pada siang hari, dan kini disebut harga AS$51.4.

Semakan ribut: Tiga cadangan diperlukan untuk mendapatkan kelulusan akhir

Pada 29 Julai, cadangan pemindahan aset perbendaharaan COMP yang telah diundi oleh komuniti Kompaun protokol pinjaman DeFi mencetuskan tuduhan serangan tadbir urus daripada ahli komuniti . Cadangan 289 bercadang untuk memindahkan 5% daripada dana perbendaharaan Compound (499,000 token COMP bernilai kira-kira $24 juta) kepada goldCOMP, protokol hasil yang direka oleh Golden Boys, untuk tempoh satu tahun.

Selepas menyelidik cadangan, didapati bahawa cadangan untuk "memindahkan 499,000 token COMP ke protokol baru" tidak diluluskan semalaman Ia dibatalkan dua kali dan motifnya dipersoalkan hampir diluluskan.

Cadangan "Melabur 5% daripada COMP daripada perbendaharaan ke dalam protokol goldCOMP" mula-mula muncul dalam Cadangan 247 pada 6 Mei, yang mencadangkan supaya perbendaharaan Kompaun melabur 5% daripada pegangan COMPnya ke dalam protokol goldCOMP yang dicipta oleh perjanjian goldCOMP Golden Boys , tetapi dibatalkan kerana bilangan peserta undian cadangan gagal mencapai korum.

复盘 COMP 2500 美元治理攻击,DeFi 协议为何屡次遭遇 DAO 攻击?

Pada 15 Julai, "Mewujudkan amanah untuk GoldCOMP yang dilaburkan oleh DAO" muncul sekali lagi dalam cadangan komuniti 279. Cadangan itu menulis bahawa protokol goldCOMP yang dicipta oleh Golden Boys boleh memberikan pendapatan kepada ejen COMP dan dicadangkan untuk memindahkan dana perbendaharaan 92,000 COMP ditambahkan pada perjanjian selama satu tahun untuk memperoleh keuntungan. Cadangan itu dibatalkan pada 20 Julai kerana kekurangan korum.

复盘 COMP 2500 美元治理攻击,DeFi 协议为何屡次遭遇 DAO 攻击?

Pada 24 Julai, maklumat "Persediaan Amanah untuk Pelaburan DAO dalam GoldCOMP" muncul sekali lagi dalam Cadangan 289. Cadangan ini dicadangkan untuk melabur 499,000 token COMP dalam perbendaharaan ke dalam protokol GoldCOMP untuk tempoh satu tahun.

复盘 COMP 2500 美元治理攻击,DeFi 协议为何屡次遭遇 DAO 攻击?

Tetapi selepas Proposal 247 dikeluarkan pada bulan Mei, syarikat keselamatan OpenZeppelin menggesa di forum komuniti bahawa ini mungkin serangan tadbir urus.

Beliau menjelaskan bahawa Cadangan 247 mencadangkan untuk memindahkan 5% daripada token COMP dalam perbendaharaan kepada tandatangan berbilang yang didakwa dikawal oleh "Golden Boys" dan melabur dana dalam protokol goldCOMP, tetapi pencadang tidak memaklumkan kepada komuniti Mendedahkan identiti seseorang dan cadangan itu belum dibincangkan dalam forum sebelum ini mungkin merupakan serangan tadbir urus.

Akaun tadbir urus Wintermute juga menyatakan bahawa cadangan secara langsung dalam rantaian tanpa forum atau perbincangan komuniti adalah ditentang, dan tidak ada sebab yang mencukupi mengapa COMP perlu dipindahkan ke pelbagai tandatangan dan di luar kawalan DAO.

Dalam cadangan "persediaan amanah" kemudian, Wintermute mempersoalkan sama ada tindakan itu benar-benar menghalang pemindahan dana, dengan menulis bahawa sebarang jenis tindakan pengeluaran (pelepasan) dikawal sepenuhnya oleh GoldenBoyzMultisig, yang bermaksud bahawa DAO tidak boleh memanggil semula dana sendiri .

Selepas banyak halangan dan keraguan, cadangan "melabur 499,000 token COMP ke dalam protokol GoldCOMP" akhirnya diluluskan pada 29 Julai dengan 682,000 undi menyokong dan 633,000 undian menentang.

Walaupun cadangan itu adalah proses undang-undang, pengguna komuniti Compound mempunyai banyak soalan dan kebimbangan mengenai penerimaan cadangan "499,000 COMP telah dipindahkan ke protokol yang tidak diketahui". forum komuniti? Adakah undi ditipu? Sejauh manakah token COMP dalam protokol goldCOMP selamat? Adakah dia akan mengambil wang itu dan melarikan diri? dan lain-lain.

Michael Lewellen, arkitek penyelesaian keselamatan di OpenZeppelin dan perunding keselamatan di Compound, menyatakan cadangan produk goldCOMP dan memaksa cadangan itu melalui proses kelulusan dengan mengawal bilangan token COMP.

Il a ensuite été révélé que le cas 289 dans la communauté Compound était que Humpy, la baleine géante, manipulait le sens du vote dans les coulisses dans le but d'obtenir des avantages plus personnels en utilisant le processus de gouvernance du DAO.

Humpy a utilisé son pouvoir de vote pour déposer 25 millions de dollars du coffre-fort Compound directement dans son propre coffre-fort goldCOMP pour la communauté Golden Boys. Parmi eux, la communauté Golden Boys a également émis le jeton de gouvernance GOLD. Après l'incident du Compound, sa valeur a doublé de plus de 46 % ce jour-là, réalisant d'énormes bénéfices.

DeFiPourquoi les protocoles sont-ils confrontés à des attaques de gouvernance à plusieurs reprises ? Comment l'éviter ?

Bien que le comportement de Humpy soit légal, il soulève des questions sur la gouvernance décentralisée du DAO. Les baleines géantes peuvent influencer l'orientation des décisions pour obtenir des avantages significatifs pour elles-mêmes en contrôlant l'orientation du vote.

Bien que Compound ait finalement annoncé qu'il annulerait la proposition 289 à la condition de lancer le produit de promesse de jeton COMP stCOMP, il a transformé cette crise d'attaque de gouvernance en l'autonomisation des scénarios d'application et des revenus des jetons COMP, par exemple, les futurs revenus du protocole en seront dérivés. de COMP Sous forme de récompenses (réduction des réserves DAO) aux utilisateurs de jalonnement COMP, les revenus de Compound sont liés au prix COMP, etc., et ont reçu des retours favorables de la part des utilisateurs, mais ce type d'attaque de gouvernance n'est pas la première fois dans DeFi candidatures, et ce ne sera pas non plus la dernière fois.

Dès 2022, Humpy contrôlait le jeton veBAL du Balancer du protocole DeFi pour influencer la direction et l'émission du jeton du protocole, en tirant profit de lui-même et en jouant au jeu du chat et de la souris avec l'équipe du projet.

En mars de cette année, Humpy a également été accusé d'avoir lancé une attaque par Jared Gray de SushiSwap. Il a déclaré que si l'attaque sur la gouvernance de Humpy réussissait, elle réduirait la valeur de Sushi en augmentant l'émission de jetons SUSUI.

Pourquoi une telle gouvernance se produit-elle à plusieurs reprises dans les protocoles DeFi ? Comment éviter des attaques DAO et des comportements de détournement similaires ?

L'utilisateur de crypto Esk3nder a déclaré qu'il existe actuellement essentiellement deux formes d'attaques de gouvernance DeFi DAO, l'une est de nature financière, l'objectif principal est d'obtenir des fonds du Trésor, l'autre est une forme d'attaque de gouvernance, principalement en augmentant les droits de vote ; pour contrôler la gouvernance.

Parmi eux, les attaques de Humpy contre Balancer et SushiSwap sont toutes des tentatives pour obtenir plus de fonds en contrôlant l'émission de jetons du protocole, tandis que l'attaque contre Compound vise à influencer la prise de décision en contrôlant les droits de vote, ce qui aura un plus grand impact sur le protocole grand.

L'utilisateur SOSE a déclaré que les attaques de gouvernance contre les protocoles DeFi sont davantage liées à l'échec de la stratégie économique des jetons de DeFi. Prenons comme exemple cette attaque composée. Le jeton COMP a continué de baisser depuis 2021, ce qui est également un cas représentatif de l'effondrement de la DeFi. Le déclin du jeton COMP facilite l'accumulation de jetons, ce qui facilite l'obtention des jetons. contrôlés par de grands investisseurs. De nos jours, les droits de gouvernance des protocoles DeFi sont souvent déterminés par le poids des détentions de jetons, ce qui deviendra inévitablement un jeu de recherche de profit pour les grands investisseurs.

Bien que afin d'annuler la proposition 289, le plan de staking stCOMP proposé par Compound a apporté de nouveaux changements à l'économie des jetons COMP, comme le staking COMP conduisant à une réduction à court terme de la liquidité du vendeur, les revenus du protocole Compound étant lié au prix COMP, etc., et a été atteint dans la communauté Consensus, mais du point de vue de Compound DAO, il s'agit d'un comportement forcé, et il y a encore de fortes chances que Humpy profite à nouveau de cette situation.

Il a rappelé que DeFi DAO devrait envisager des stratégies pour faire face aux attaques de gouvernance et à l'économie des jetons sur la base de ces cas.

Et le joueur senior de DeFi @DefiIgnas estime que l'inaction de l'organisation officielle DAO du protocole DeFi est encore plus ennuyeuse. Il a expliqué que de nombreuses propositions sur Compound ont été adoptées discrètement, comme le marché USDT lancé par V3 en juillet. Les médias sociaux officiels de Compound n'ont même pas transmis les propositions pertinentes, ce qui a empêché de nombreuses délégations du DAO de voter sur les propositions pertinentes. La clé est désormais de savoir comment faire participer davantage de personnes de l'organisation DAO.

Atas ialah kandungan terperinci Semakan serangan tadbir urus COMP $2,500 Mengapakah protokol DeFi telah berulang kali diserang oleh DAO?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!

Kenyataan:
Kandungan artikel ini disumbangkan secara sukarela oleh netizen, dan hak cipta adalah milik pengarang asal. Laman web ini tidak memikul tanggungjawab undang-undang yang sepadan. Jika anda menemui sebarang kandungan yang disyaki plagiarisme atau pelanggaran, sila hubungi admin@php.cn