Bitget App
交易“智”变
行情交易合约跟单BOT理财Web3
深度解析Compound治理攻击背后细节及其目的——巨鲸再夺舍老牌DeFi

深度解析Compound治理攻击背后细节及其目的——巨鲸再夺舍老牌DeFi

Odaily2024/07/30 07:40
作者:Odaily

原文作者: @Web3 Mario(https://x.com/web3_mario)

随着上周末的比特币大会的结束,相关的会议细节持续曝光, 基本上与我之前的判断相差不大 ,比如特朗普的以能源政策切入来讨好比特币爱好者的策略,以及通过渲染一些官方态度的变化,特指所谓的战略储备那个说辞,着重凸显其作为一种商品的价值。让我没有想到的可能是其本次演讲又变成了一场典型的“特朗普式”竞选集会了,很喜欢使用一些没有经过逻辑论证的观点和信息来攻击对手,这就不免让人对其抛出的一些承诺的真实性表示观望。不过基本上这个事情也算尘埃落定,因此笔者就关注了一些别的事件,看到了一个很有趣的信息,Compound 遭遇了治理攻击,因为笔者之前做过很长一段时间的 DeFi,所以对这个信息很感兴趣,就深入研究了下这件事情背后的始末,并拆解一下其背后的实施细节,与诸君分享。总的来说,Compound 遭遇到的治理攻击是一个 DeFi 巨鲸通过对治理投票,试图强行夺取 Compound Treasury 中闲置 Comp 代币的治理权,使其可以完全控制 Compound 协议。

成功夺舍 Balancer 的传奇巨鲸 Humpy 再次出手

其实这并不是这位传奇巨鲸的第一次杰作,在此之前,该巨鲸与 2022 年 DeFi Summer 时代,就对 Balancer 实施了治理攻击,通过把控大量的 BAL 治理 token,并依托于 Balancer 的 veBAL 机制掌控了大部分 BAL 对流动性池的激励释放,从而形成对 Balancer 的控制,截止到目前为止,humpy 已经成为了 BAL token 的第二大持有人,仅次于官方团队。

深度解析Compound治理攻击背后细节及其目的——巨鲸再夺舍老牌DeFi image 0

关于这个经典的事件, Messari 有一篇非常精彩的研报,感兴趣的小伙伴可以去详细阅读一下。 不知道有多少小伙伴熟悉 Balancer 的 veBAL 机制,我在这里简单带大家回顾一下,当时正值 DeFi Summer,各家产品的创新方向都在围绕如何通过设计一个好的 tokenomics 实现增长,Curve 当时作为一个 stablecoin 的核心 DEX,率先推出了 veCRV 的机制作为自己的 tokenomics,而后取得了不小的成果,所以当时 veToken 成为了一种流行的 DEX 产品 tokenomics 的设计范式。

同类型的明星项目之一 Balancer 当时恰逢遇到了创新瓶颈,因此也选择了跟进,推出了自己的 veBAL 机制。这种机制的本质在于将产品内的某个具有竞争性的资源通过投票治理的方式来调整分配,进而广泛的创建贿选场景,为参与治理带来收益,进而激发社区积极参与产品共建的热情,也为治理代币找到了合适的价值支撑,当时市场上普遍用“治理提取价值”来形容。

而在 DEX 这个赛道中,这个竞争性资源特指官方为其上运行的流动性池所分配的治理代币的流动性激励奖励,不同的流动性池被分配的奖励的比例由投票治理的方式决定,若想获得投票权,则必须将自己的治理代币锁定一个很长的周期,这样也就降低了市场中的流通量,有利于市值的成长。而哪个流动池获得更多的投票,将被分配更多的 BAL 激励,这样就可以引导第三方项目为了刺激自己 token 的流动性增长,选择用其 token 贿赂拥有 veBAL 票权的用户,当然这个过程一般是依托于专门 DAPP 实现的。然而 Balancer 的 veBAL 设计中存在一个隐患被 Humpy 发掘并利用。

我们知道对于 DEX 来说,其核心的商业模式就是交易手续费,为了吸引更多的交易者使用自己的产品,DEX 才想方设法的做大自身的流动性,通过低滑点交易体验来吸引用户。因此 veBAL 的设计不能脱离这个核心目标,即做大手续费。然而在其最初的设计中,其对流动性池的类型并没有做限制,只依赖于池子获得的总票数,这就带来一个问题,只要一个池子可以通过某种手段获得足够多的 veBAL 投票,其就可以获得较大比例的 BAL 流动性激励的分配,即便是这个池子没有任何交易量也可以。这就为巨鲸带来了空间,因此 Humpy 来了。

Humpy 的核心攻击思路分为两部分,第一需要获得对某个池子流动性的绝对控制权,这样就可以在流动性挖矿过程中获得大部分奖励,第二需要为自己掌控的池子获得巨量的票,掌握大部分的 BAL 激励分配。这样就可以实现对协议的控制。因此其首先选择的就是那些交投不活跃的,但市值虚高的项目的 token 建仓,降低潜在的竞争者,第二建立一个手续费超高的流动池(1% ),降低用户的交易意愿,这样就可以压低潜在的被手续费吸引的 LP 的参与意愿。通过这样的手段,其完成了对某个流动池的绝对控制,接下来,其通过二级市场购买大量的 BAL token,并将其质押获得 veBAL,并为自己的流动池投票,从而获得大部分的 BAL 分配,但是这样的激励释放并没有让 Balancer 变得更好,因为没有更多的手续费被激发出来,只是便宜了 Humpy,这就是所谓巨鲸的利益和项目长远发展的方向产生了背离,带来的只能是矛盾。

在实际的执行中,Balancer 的官方团队也没有坐以待毙,而是通过新的 Proposal 来反制 Humpy 的吸血鬼攻击。例如为指定获得流动性激励的池子的范围,且扩大该范围的操作需要经过官方申请并认可后方才可以通过、为单个池子可被分配的奖励比例设置上限等。但是最终通过一系列的对抗,Balancer 与 Humpy 迎来了和解,但是从结果来看,其并没有能够阻止 Humpy 通过该手段,逐步实现了对 Balancer 的控制,个人是第二大持有者就是最直接的结果。这也为其最近对 Compound 发起的攻击埋下了伏笔。

通过强行夺取 Compound Treasury 中大量闲置的 COMP 的治理权,夺舍 Compound

上述事件发生在 2022 年,在沉寂了两年后,Humpy 开启了对另一个老牌 DeFi 的夺舍。这就是最近发生的事件。这次和 veBAL 无关,而是盯上了 Compound Treasury 中大量闲置的 COMP 所对应的治理权。

这次其并没有直接下场参与整个博弈,而是通过包装了一个叫做 Golden Boys 的项目(当然也可以叫做组织)来进行操盘,该项目实际上是一个带有金融属性的 Meme,什么意思呢,其核心产品是一个被称为$GOLD 的 ERC-20 token,然而官方为其持有者赋予了一些除了文化属性以外的期待,整个官网和 blog 的介绍中都强调一个点,就是$GOLD 的价值是由 Humpy 这个巨鲸,凭借着多年的经验以及大量的资金与资源优势来维护的。持有$GOLD 就相当于站在了巨鲸背上。但实际上,并他也并没有一些结构化理财,或是收益聚合等产品设计,只是为$GOLD 和一些主流代币分配了一些流动性激励,这些激励有的直接就是增发出来的$GOLD,当然还有一部分是 BAL 奖励。这自然是因为 Humpy 之于 Balancer 的影响力,通过其拥有的天量 veBAL 为其分配相对较高的流动性挖矿(研究到这实在有点感叹被夺舍的不易)。

深度解析Compound治理攻击背后细节及其目的——巨鲸再夺舍老牌DeFi image 1

在准备好这一切后,其创建了一个新的 Vault 产品,叫做 goldCOMP Vault,简单来讲,就是用户可以将自己的 COMP 质押到这个 Vault 中出让自己的治理权给 Golden Boys,并获得一个质押凭证,叫做 goldCOMP,这是一个可流通的凭证,用户可以将这个凭证作为流动性提供到 Balancer 中的 99 goldCOMP-1 WETH 流动池中,其中 99 和 1 值得是对应的权重,这基本上代表了 goldCOMP 的交易滑点极低,基本没有无常损失。

深度解析Compound治理攻击背后细节及其目的——巨鲸再夺舍老牌DeFi image 2

质押流动性后就可以获得$GOLD 的流动性激励,注意这里的奖励并不是 BAL,而是 GOLD,这自然是因为选择 GOLD 作为激励更有利于 Golden Boys 们控制该池子的利率,反正都是自己控制的。目前的利率水平为 180% ,当然 TVL 还不高。但是我不太清楚的是,Balancer 什么时候支持第三方 Token 直接作为 staking 激励在官网中展示。因为有一段时间没有跟进项目进展了。如果不是官方的一种可以公开设置的操作的话,就只能再次感慨被夺舍的无奈!

深度解析Compound治理攻击背后细节及其目的——巨鲸再夺舍老牌DeFi image 3

在准备好这些后,GoldenBoys 开始了对 Compound 的治理攻击,其首先在今年 5 月的时候就发起了第一次提案,提案的内容就是申请将 Compound Treasury 中控制的 COMP 的 5% ,也就是 92, 000 个 COMP 转移到 Golden boys 的多签钱包中,并通过多签钱包质押到 goldCOMP Vault 中,并赚取流动性挖矿收益,锁仓一年。当然这个过程 Golden Boys 就是冲着这些 Token 背后出让的治理权去得。毫无疑问该提案并没有被通过,因为这个互操作对象实在有点简陋,并没有实际的业务支持,而且整个 token 被分配后的操作都是基于多签钱包,这就显得人为作恶的可能性更大。因此在社区里也引起了广泛的否定。

深度解析Compound治理攻击背后细节及其目的——巨鲸再夺舍老牌DeFi image 4

但 Humpy 并不气馁,而是选择和社区成员对线,其认为只要将整个过程通过 Compound timelock 合约来批准任何多签钱包对这笔 Token 的使用,就可以缓解这些问题,因此在 7 月 20 日发起了第二次提案,这次申请的金额还是不变,但补充了一个额外的操作,通过设置一个 Trust Setup 合约来实现上述效果,从而实现对多签钱包的监督,但笔者实际去阅读了该合约的代码,只是简单的设置了三个状态,当 Compound timelock 修改该合约的状态为允许投资时,多签钱包就可以任意动用这些 token。当然这个提案也被否决了,但是可以看到赞成票明显增多。这好像带给人一个错觉,Golden Boys 们真的是在不断的优化提案,并取得了越来越多的同意,直到今天,第三次提案的通过,让所有人傻眼了。

深度解析Compound治理攻击背后细节及其目的——巨鲸再夺舍老牌DeFi image 5

大家要注意,今天被通过的提案有一个核心的差别,本次提案申请的 COMP 资金量已经不是 92, 000 个,而是夸张的 499000 个,然而这一次,社区本来很自信将会轻易的打败 Humpy 的“阴谋”,但是结果令人大跌眼镜,该提案以微弱的优势被通过,支持票在短短十天内暴增了 6 倍,这显然是社区所未预料到的。而这也显然是 Humpy 精心计划好的操作。如果不出意外,随着该提案的通过,Humpy 将实际成为 Compound 的所有者,主导任何提案。考虑到其当前的筹码量已经足以超过对手,再加上新获得的 499000 个 COMP 对应的投票权,Compound 将毫无疑问的被夺舍。

深度解析Compound治理攻击背后细节及其目的——巨鲸再夺舍老牌DeFi image 6

这件事情造成的影响是空前的,任何 DeFi 产品都需要重新监视自己的治理模型,以防遇到类似问题,我也会持续关注接下来的动态。我相信 Compound 社区也会奋起抗争,最终矛盾将如何发展,有了 Balancer 的前车之鉴,实在不好说。

补充一下进展,截止到发文时, 获悉 Compound 社区已经初步与 Humpy 达成和解 ,放弃所要这笔 COMP 代币,Compound 将会与 COMP 代币持有者分享协议每年新增总收益的 30% ,而在此之前这些收益将作为市场储备由团队控制,至此 COMP 代币正式成为一种可以具有收益的资产,即所谓的 yield bearing asset,Humpy 再次取得了治理战争的胜利!

 

深度解析Compound治理攻击背后细节及其目的——巨鲸再夺舍老牌DeFi image 7

0

免责声明:文章中的所有内容仅代表作者的观点,与本平台无关。用户不应以本文作为投资决策的参考。

PoolX:锁仓获得新代币空投
不要错过热门新币,且APR 高达 10%+
立即参与!

你也可能喜欢

被解雇的编辑和被审查的文章:CoinDesk面临行业严厉审查

CoinDesk在删除一篇批评Justin Sun的文章后经历编辑动荡。包括主编在内的多名高层编辑在争议中被解雇。Charles Hoskinson质疑CoinDesk的未来价值,暗示由于最近的编辑决策,其价值已下降。

CoinEdition2024/12/22 11:45

大帽山的TerraUSD骗局代价高昂:美国证监会处以1.23亿美元罚款

美国证券交易委员会对大帽山公司处以1.23亿美元罚款,原因是其误导投资者关于TerraUSD的稳定性。大帽山通过LUNA代币交易销售未注册证券,违反了法律。TerraUSD的崩溃暴露了加密货币透明度的缺陷和监管监督的需求。

CoinEdition2024/12/22 11:45