復盤 COMP 2500 美元治理攻擊,DeFi 協議為何屢次遭遇 DAO 攻擊?

WEEX 唯客博客, 作者: 西柚 , ChainCatcher 編輯: Marco , ChainCatcher   7月29日,「49.9萬枚COMP代幣價值2500萬美元」被社區投票「合法」地從Compound國庫中轉移至一個陌生且無法監控的多簽地址中,引發了一場DAO治理攻擊風波。 在COMP轉移提案被通過後,COMP代幣價格24小時內下跌了近7%,從50美元跌至46.6美元。 7月30日,Compound增長官Bryan Colligan表示,在與本次提案背後的巨鯨交流后,推出COMP代幣的質押產品Stake COMP(簡稱stCOMP),該產品將由Compound DAO控制,Compound協議未來每年新增市場儲備金的30%將分配給COMP質押者,以作為取消該提案的條件。 目前「價值2400萬美元COMP轉移」289提案已被取消,受此消息影響,COMP代幣日內漲幅超13%,現報價為51.4美元。 風波復盤始末:三次提案才獲得最終通過 7月29日,DeFi借貸協議Compound社區投票通過的一項關於國庫資產COMP轉移的提案引發了社區成員對治理攻擊的指控。該289提案提議,將Compound國庫資金的5%(價值約2400萬美元的49.9萬枚COMP代幣)轉移給Golden Boys設計的收益協議goldCOMP中,為期一年。 經過提案梳理髮現,「將49.9萬枚COMP代幣轉移至新協議」的提案通過並不是一蹴而就的,且經過了兩次被取消、被質疑動機等,直到第三次提案才險些被批准通過。 「將國庫中5%的COMP投資到goldCOMP協議」的提案,首次出現在5月6日的提案247中,該提案建議Compound國庫將其COMP持有量的5%投資到Golden Boys創建的goldCOMP協議中,但由於提案投票參與人數未能達到法定人數被取消。 7月15日,社區提案279中再次出現「為DAO投資的GoldCOMP設立信託」,該提案中寫道,Golden Boys創建的goldCOMP協議可以為COMP代理提供收益,並提議轉移國庫中的9.2萬枚COMP至該協議中,為期一年,賺取收益。在7月20日因由於未能達到法定人數,該提案被取消。 7月24日,提案289中再次出現「DAO投資GoldCOMP的信託設置」信息,該提案提議將國庫中的49.9萬枚COMP代幣投資到GoldCOMP協議中,為期一年。 但在5月發布的247提案后,安全公司OpenZeppelin就在社區論壇提示,這可能是一場治理攻擊。 他解釋到,247提案提議把國庫中5%的COMP代幣轉移至一個聲稱由「Golden Boys」控制的多簽中,並將資金投資於goldCOMP協議中,但該提案人員並沒有向社區亮明自己的身份,且提案事先也未在論壇中經過討論,這可能或是一場治理攻擊。 Wintermute的治理賬戶也表示,未經論壇或社區討論就直接提出鏈上提案是被反對的,且也沒有充分的理由說明為什麼需要將COMP轉移到多重簽名中並脫離DAO的控制。 在後期的「信託設置」提議中,Wintermute質疑該行為實際上是否阻止了資金轉移的說法寫道,任何形式的撤回行動(撤資)完全由 GoldenBoyzMultisig 控制,這意味著DAO無法自行召回資金。 經過重重阻礙和質疑,「49.9萬枚COMP代幣投資到GoldCOMP協議」的提案最終在7月29日,以68.2萬票贊成、63.3萬票反對獲得批准。 儘管提案是合法的流程,但Compound社區用戶對於「49.9萬枚COMP被轉移未知協議」提案的通過有諸多質疑和擔憂,COMP國庫資產轉移提案為何在沒有經過社區論壇公開討論就會被通過?投票是否有操控?轉至goldCOMP協議中的COMP代幣安全性如何?會不會捲款而逃?等等。 OpenZeppelin的安全解決方案架構師、Compound的安全顧問Michael Lewellen在X 上指出,多個賬戶在公開市場上大量購買COMP代幣,並提出了多個意圖將COMP持有量轉移到Golden Boys創建的goldCOMP產品的提案,並通過控制COMP代幣數量來強行通過審批程序通過該提案。 隨後被爆出,Compound社區的289案是巨鯨Humpy在背後操縱投票方向,企圖通過利用DAO的治理流程來獲取更多的個人利益。 Humpy利用自己的投票權將價值2500萬美元從Compound金庫中直接存入自己的goldCOMP金庫中,用於Golden Boys社區。其中,Golden Boys社區還發行了治理代幣GOLD,在Compound事件后,其價值翻了一番,GOLD代幣當日漲幅超46%,獲利豐厚。 DeFi協議為何屢次遭遇治理攻擊?該如何避免? 雖然是Humpy行為是合法的,但它引發了關於去中心化DAO治理的問題思考,巨鯨可通過控制投票方向來影響為自己獲取重大利益的決策走向。 儘管Compound最終宣布以推出代幣COMP質押產品stCOMP為條件,取消了289提案,將本次治理攻擊危機轉化為了對COMP代幣的應用場景及收益的賦能,如未來協議收入將以COMP形式獎勵(減少 DAO儲備)給COMP質押用戶,Compound的收入與COMP價格掛鉤等,並迎來了用戶的反饋好評,但此類治理攻擊事件在DeFi應用中不是第一次,也不會是最後一次。 早在2022年,Humpy就曾在通過大量控制DeFi協議Balancer的代幣veBAL來影響該協議的代幣排放方向和發行量,為自己獲利,並與項目方上演了貓鼠遊戲。 今年三月,Humpy還被SushiSwap的Jared Grey指控發動攻擊,他表示,如果Humpy治理攻擊得逞,就會通過增加SUSUI代幣發行量來榨取Sushi的價值。 為何DeFi協議屢次發生此類治理,類似的DAO攻擊劫持行為該如何避免? 加密用戶Esk3nder表示,目前 DeFi DAO治理攻擊基本上有兩種形式,一種是金融性質的,主要目的是從國庫中獲取資金;另一種是治理形式的攻擊,主要是通過增加投票權來控制治理。 其中,Humpy對Balancer和SushiSwap的攻擊都是試圖通過控制協議的代幣發行量來獲取更多的資金;而對Compound的攻擊則是通過控制投票權來影響決策,對協議的影響會更大。 用戶SOSE表示,DeFi協議的治理攻擊更多是與DeFi失敗的代幣經濟學策略有關。就拿本次Compound攻擊來說,COMP代幣自2021年以來持續下跌,也是DeFi崩盤的代表性案例,COMP代幣的下跌讓代幣積累起來更加容易,從而導致代幣更容易被大戶控制,而現在DeFi協議的治理權往往通過代幣持有量的權重來決定的,這就必然會成為大戶逐利的遊戲。 雖然為取消289提案,Compound提出的stCOMP質押方案給COMP代幣經濟帶來了新變化,如COMP質押導致賣方流動性短期減少、Compound協議的收入與COMP價格掛鉤等,並在社區達成了共識,但從Compound DAO的角度來看,這是被迫的行為,Humpy仍有很大可能再次從這種情況中受益。 他提醒道,DeFi DAO應該根據這些案例考慮應對治理攻擊和代幣經濟學的策略。 而DeFi資深玩家@DefiIgnas認為,現在DeFi協議的官方DAO組織不作為更讓人惱火,他解釋道Compound上的多個提案都是悄悄通過的,如7月份V3推出的USDT市場等,現在Compound官方社交媒體甚至沒有轉發過相關提案,導致很多DAO代表團錯過了相關提案的投票,現在如何讓DAO組織更多人員參與進來才是關鍵。 WEEX唯客交易所官網:weex.com

Previous:

Next: