深入解析 Compound 治理攻擊背後細節及目的：巨鯨再奪捨老牌 DeFi

摘要：隨著上週末的比特幣大會的結束，相關的會議細節持續曝光，基本上與我之前的判斷相差不大，比如特朗普的以能源政策切入來討好比特幣愛好者的策略，以及透過渲染一些官方態度的變化，特指所謂的戰略儲備那個說辭，著重凸顯其作為一種商品的價值。讓我沒有想到的可能是其本次演講又變成了一場典型的「川普式」競選集會了，很喜歡使用一些沒有經過邏輯論證的觀點和資訊來攻擊對手，這就不免讓人對其拋出的一些承諾的真實性表示觀望。不過基本上這個事情也算塵埃落定，因此筆者就關注了一些別的事件，看到了一個很有趣的信息，Compound 遭遇了治理攻擊，因為筆者之前做過很長一段時間的DeFi，所以對這個訊息很感興趣，就深入研究了下這件事情背後的始末，並拆解一下其背後的實施細節，與諸君分享。總的來說，Compound 遭遇到的治理攻擊是一個 DeFi 巨鯨透過對治理投票，試圖強行奪取 Compound Treasury 中閒置 Comp 代幣的治理權，使其可以完全控制 Compound 協議。

成功奪舍Balancer 的傳奇巨鯨Humpy 再次出手

其實這並不是這位傳奇巨鯨的第一次傑作，在此之前，該巨鯨與2022 年DeFi Summer 時代，就對Balancer 實施了治理攻擊，透過把控大量的BAL 治理token，並依託於Balancer 的veBAL 機制掌控了大部分BAL 對流動性池的激勵釋放，從而形成對Balancer 的控制，截止到目前為止，humpy 已經成為了BAL token 的第二大持有人，僅次於官方團隊。

關於這個經典的事件，Messari 有一篇非常精彩的研報，有興趣的小夥伴可以去詳細閱讀一下。我不知道有多少小夥伴熟悉Balancer 的veBAL 機制，我在這裡簡單帶大家回顧一下，當時正值DeFi Summer，各家產品的創新方向都在圍繞如何通過設計一個好的tokenomics 實現增長，Curve 當時作為一個stablecoin 的核心DEX，率先推出了veCRV 的機製作為自己的tokenomics，而後取得了不小的成果，所以當時veToken 成為了一種流行的DEX 產品tokenomics 的設計範式。

同類型的明星項目之一 Balancer 當時恰逢遇到了創新瓶頸，因此也選擇了跟進，推出了自己的 veBAL 機制。這種機制的本質在於將產品內的某個具有競爭性的資源透過投票治理的方式來調整分配，進而廣泛的創建賄選場景，為參與治理帶來收益，進而激發社區積極參與產品共建的熱情，也為治理代幣找到了適當的價值支撐，當時市場上普遍用「治理提取價值」來形容。

而在DEX 這個賽道中，這個競爭性資源特指官方為其上運行的流動性池所分配的治理代幣的流動性激勵獎勵，不同的流動性池被分配的獎勵的比例由投票治理的方式決定，若想獲得投票權，就必須將自己的治理代幣鎖定一個很長的周期，這樣也就降低了市場中的流通量，有利於市值的成長。而哪個流動池獲得更多的投票，將被分配更多的BAL 激勵，這樣就可以引導第三方項目為了刺激自己token 的流動性增長，選擇用其token 賄賂擁有veBAL 票權的用戶，當然這個過程一般是依託於專門DAPP 實現的。然而 Balancer 的 veBAL 設計中存在一個隱患被 Humpy 發掘並利用。

我們知道對於DEX 來說，其核心的商業模式就是交易手續費，為了吸引更多的交易者使用自己的產品，DEX 才想方設法的做大自身的流動性，透過低滑點交易體驗來吸引用戶。因此 veBAL 的設計不能脫離這個核心目標，即做大手續費。然而在其最初的設計中，其對流動性池的類型並沒有做限制，只依賴於池子獲得的總票數，這就帶來一個問題，只要一個池子可以通過某種手段獲得足夠多的veBAL 投票，其就可以獲得較大比例的BAL 流動性激勵的分配，即便是這個池子沒有任何交易量也可以。這就為巨鯨帶來了空間，因此 Humpy 來了。

Humpy 的核心攻擊思路分為兩部分，第一需要獲得對某個池子流動性的絕對控制權，這樣就可以在流動性挖礦過程中獲得大部分獎勵，第二需要為自己掌控的池子獲得巨量的票，掌握大部分的BAL 激勵分配。這樣就可以實現對協議的控制。因此其首先選擇的就是那些交投不活躍的，但市值虛高的項目的token 建倉，降低潛在的競爭者，第二建立一個手續費超高的流動池（1%），降低用戶的交易意願，這樣就可以壓低潛在的被手續費吸引的LP 的參與意願。透過這樣的手段，其完成了對某個流動池的絕對控制，接下來，其透過二級市場購買大量的BAL token，並將其質押獲得veBAL，並為自己的流動池投票，從而獲得大部分的BAL 分配，但是這樣的激勵釋放並沒有讓Balancer 變得更好，因為沒有更多的手續費被激發出來，只是便宜了Humpy，這就是所謂巨鯨的利益和項目長遠發展的方向產生了背離，帶來的只能是矛盾。

在實際的執行中，Balancer 的官方團隊也沒有坐以待斃，而是透過新的 Proposal 來反制 Humpy 的吸血鬼攻擊。例如為指定獲得流動性激勵的池子的範圍，且擴大該範圍的操作需要經過官方申請並認可後方才可以通過、為單一池子可被分配的獎勵比例設定上限等。但最終透過一系列的對抗，Balancer 與Humpy 迎來了和解，但是從結果來看，其並沒有能夠阻止Humpy 通過該手段，逐步實現了對Balancer 的控制，個人是第二大持有者就是最直接的結果。這也為其最近對 Compound 發動的攻擊埋下了伏筆。

透過強行奪取 Compound Treasury 中大量閒置的 COMP 的治理權，奪捨 Compound

上述事件發生在 2022 年，在沉寂了兩年後，Humpy 開啟了對另一個老牌 DeFi 的奪捨。這就是最近發生的事件。這次和 veBAL 無關，而是盯上了 Compound Treasury 中大量閒置的 COMP 所對應的治理權。

這次其並沒有直接下場參與整個博弈，而是通過包裝了一個叫做Golden Boys 的項目（當然也可以叫做組織）來進行操盤，該項目實際上是一個帶有金融屬性的Meme，什麼意思呢，其核​​心產品是一個被稱為$GOLD 的ERC-20 token，然而官方為其持有者賦予了一些除了文化屬性以外的期待，整個官網和blog 的介紹中都強調一個點，就是$ GOLD 的價值是由Humpy 這個巨鯨，憑藉著多年的經驗以及大量的資金與資源優勢來維護的。持有 $GOLD 就相當於站在了巨鯨背上。但實際上，並他也沒有一些結構化理財，或是收益聚合等產品設計，只是為$GOLD 和一些主流代幣分配了一些流動性激勵，這些激勵有的直接就是增發出來的$GOLD，當然還有一部分是BAL 獎勵。這自然是因為 Humpy 之於 Balancer 的影響力，透過其擁有的天量 veBAL 為其分配相對較高的流動性挖礦（研究到這實在有點感嘆被奪捨的不易）。

在準備好這一切後，其創建了一個新的Vault 產品，叫做goldCOMP Vault，簡單來講，就是用戶可以將自己的COMP 質押到這個Vault 中出讓自己的治理權給Golden Boys，並取得一個質押憑證，叫做goldCOMP，這是一個可流通的憑證，使用者可以將這個憑證作為流動性提供到Balancer 中的99goldCOMP-1WETH 流動池中，其中99 和1 值得是對應的權重，這基本上代表了goldCOMP 的交易滑點極低，基本上沒有無常損失。

質押流動性後就可以獲得$GOLD 的流動性激勵，注意這裡的獎勵並不是BAL，而是GOLD，這自然是因為選擇GOLD 作為激勵更有利於Golden Boys 們控制該池子的利率，反正都是自己控制的。目前的利率水準為 180%，當然 TVL 還不高。但我不太清楚的是，Balancer 什麼時候支持第三方 Token 直接作為 staking 激勵在官網中展示。因為有一段時間沒有跟進專案進度了。如果不是官方的一種可以公開設定的操作的話，就只能再次感慨被奪舍的無奈！

이를 준비한 후 GoldenBoys는 컴파운드에 대한 거버넌스 공격을 시작했습니다. 올해 5월 첫 제안의 내용은 컴파운드 재무부에서 관리하는 COMP의 5%를 신청하는 것, 즉 92,000 COMP를 이전하는 것이었습니다. Golden Boys의 다중 서명 지갑에 입금하고 다중 서명 지갑을 통해 goldCOMP Vault에 입금했으며 유동성 채굴 수익을 얻고 1년 동안 포지션을 고정했습니다. 물론 이 과정에서 Golden Boys는 이러한 토큰 뒤에 양도된 거버넌스 권한을 얻습니다. 이 상호 운용성 개체는 다소 조잡하고 실제 비즈니스 지원이 없으며 토큰 배포 후 전체 작업이 다중 서명 지갑을 기반으로 하기 때문에 제안이 통과되지 않았다는 것은 의심의 여지가 없습니다. 악은 더 크다. 따라서 이는 커뮤니티에서도 광범위한 거부를 불러일으켰고,

그러나 험피는 좌절하지 않고 커뮤니티 멤버들과 대결하기로 결정했습니다. 그는 모든 프로세스가 복합 타임록 계약을 통과하여 다중 승인을 받기만 하면 된다고 믿었습니다. 이에 대한 Signature Wallet의 요청은 Token을 사용하면 이러한 문제를 완화할 수 있으므로 7월 20일 두 번째 제안이 시작되었습니다. 이번에 적용한 금액은 변경되지 않았지만 위의 효과를 달성하기 위해 Trust Setup 계약을 설정하여 추가 작업이 추가되었습니다. , 이를 통해 다중 서명 지갑의 감독을 구현하지만 작성자는 실제로 계약의 코드를 읽고 간단히 3가지 상태를 설정하여 투자를 허용하도록 계약의 상태를 수정할 수 있습니다. 이 토큰은 마음대로 사용됩니다. 물론 이 제안도 거부됐지만 찬성표가 크게 늘어난 것을 볼 수 있다. 이것은 사람들에게 골든 보이즈가 정말 지속적으로 제안을 최적화하고 점점 더 많은 동의를 얻고 있다는 환상을 주는 것 같습니다. 오늘날까지 세 번째 제안의 통과는 모두를 어리둥절하게 만들었습니다.

오늘 통과된 제안에는 핵심적인 차이가 있다는 점을 모두가 주목해야 합니다. 이 제안에 신청된 COMP 자금의 양은 더 이상 92,000이 아니라 과장된 499,000입니다. 그러나 이번에는 커뮤니티가 매우 자신감을 보였습니다. Humpy의 "음모"는 쉽게 패배했지만 결과는 충격적이었습니다. 그 제안은 근소한 차이로 통과되었고, 단 열흘 만에 지지 투표 수가 6배 증가했는데, 이는 커뮤니티에서 당연히 예상하지 못한 일이었습니다. 그리고 이것은 험피가 치밀하게 계획한 작전임이 분명했다. 적어도 이 제안이 통과되면 Humpy는 실제로 컴파운드의 소유자가 되어 모든 제안을 이끌게 됩니다. 현재 칩 수가 상대방을 능가하기에 충분하다는 점과 499,000 COMP에 해당하는 새로 획득한 투표권을 고려하면 의심할 여지 없이 컴파운드를 빼앗길 것입니다.

이 사건의 영향은 전례가 없습니다. 모든 DeFi 제품은 유사한 문제를 방지하기 위해 자체 거버넌스 모델을 다시 모니터링해야 합니다. 향후 개발에 계속 관심을 기울일 것입니다. 저는 컴파운드 커뮤니티도 일어나 싸울 것이라고 믿습니다. 밸런서에서 배운 교훈을 고려할 때 결국 갈등이 어떻게 전개될지는 말하기 어렵습니다.

以上是深入解析 Compound 治理攻擊背後細節及目的：巨鯨再奪捨老牌 DeFi的詳細內容。更多資訊請關注PHP中文網其他相關文章！