复盘 COMP 2500 万美元治理攻击,DeFi 协议为何屡次遭遇 DAO 攻击?
Compound 推出 COMP 代币质押产品 stCOMP 结束了本次攻击风波。
Compound 推出 COMP 代币质押产品 stCOMP 结束了本次攻击风波。
撰文: 西柚,ChainCatcher
编辑: Marco,ChainCatcher
7 月 29 日,「49.9 万枚 COMP 代币价值 2500 万美元」被社区投票「合法」地从 Compound 国库中转移至一个陌生且无法监控的多签地址中,引发了一场 DAO 治理攻击风波。
在 COMP 转移提案被通过后,COMP 代币价格 24 小时内下跌了近 7%,从 50 美元跌至 46.6 美元。
7 月 30 日,Compound 增长官 Bryan Colligan 表示,在与本次提案背后的巨鲸交流后,推出 COMP 代币的质押产品 Stake COMP(简称 stCOMP),该产品将由 Compound DAO 控制,Compound 协议未来每年新增市场储备金的 30% 将分配给 COMP 质押者,以作为取消该提案的条件。
目前「价值 2400 万美元 COMP 转移」289 提案已被取消,受此消息影响,COMP 代币日内涨幅超 13%,现报价为 51.4 美元。
风波复盘始末:三次提案才获得最终通过
7 月 29 日,DeFi 借贷协议 Compound 社区投票通过的一项关于国库资产 COMP 转移的提案引发了社区成员对治理攻击的指控。该 289 提案提议,将 Compound 国库资金的 5%(价值约 2400 万美元的 49.9 万枚 COMP 代币)转移给 Golden Boys 设计的收益协议 goldCOMP 中,为期一年。
经过提案梳理发现,「将 49.9 万枚 COMP 代币转移至新协议」的提案通过并不是一蹴而就的,且经过了两次被取消、被质疑动机等,直到第三次提案才险些被批准通过。
「将国库中 5% 的 COMP 投资到 goldCOMP 协议」的提案,首次出现在 5 月 6 日的提案 247 中,该提案建议 Compound 国库将其 COMP 持有量的 5% 投资到 Golden Boys 创建的 goldCOMP 协议中,但由于提案投票参与人数未能达到法定人数被取消。
7 月 15 日,社区提案 279 中再次出现「为 DAO 投资的 GoldCOMP 设立信托」,该提案中写道,Golden Boys 创建的 goldCOMP 协议可以为 COMP 代理提供收益,并提议转移国库中的 9.2 万枚 COMP 至该协议中,为期一年,赚取收益。在 7 月 20 日因由于未能达到法定人数,该提案被取消。
7 月 24 日,提案 289 中再次出现「DAO 投资 GoldCOMP 的信托设置」信息,该提案提议将国库中的 49.9 万枚 COMP 代币投资到 GoldCOMP 协议中,为期一年。
但在 5 月发布的 247 提案后,安全公司 OpenZeppelin 就在社区论坛提示,这可能是一场治理攻击。
他解释到,247 提案提议把国库中 5% 的 COMP 代币转移至一个声称由「Golden Boys」控制的多签中,并将资金投资于 goldCOMP 协议中,但该提案人员并没有向社区亮明自己的身份,且提案事先也未在论坛中经过讨论,这可能或是一场治理攻击。
Wintermute 的治理账户也表示,未经论坛或社区讨论就直接提出链上提案是被反对的,且也没有充分的理由说明为什么需要将 COMP 转移到多重签名中并脱离 DAO 的控制。
在后期的「信托设置」提议中,Wintermute 质疑该行为实际上是否阻止了资金转移的说法写道,任何形式的撤回行动(撤资)完全由 GoldenBoyzMultisig 控制,这意味着 DAO 无法自行召回资金。
经过重重阻碍和质疑,「49.9 万枚 COMP 代币投资到 GoldCOMP 协议」的提案最终在 7 月 29 日,以 68.2 万票赞成、63.3 万票反对获得批准。
尽管提案是合法的流程,但 Compound 社区用户对于「49.9 万枚 COMP 被转移未知协议」提案的通过有诸多质疑和担忧,COMP 国库资产转移提案为何在没有经过社区论坛公开讨论就会被通过?投票是否有操控?转至 goldCOMP 协议中的 COMP 代币安全性如何?会不会卷款而逃?等等。
OpenZeppelin 的安全解决方案架构师、Compound 的安全顾问 Michael Lewellen 在 X 上指出,多个账户在公开市场上大量购买 COMP 代币,并提出了多个意图将 COMP 持有量转移到 Golden Boys 创建的 goldCOMP 产品的提案,并通过控制 COMP 代币数量来强行通过审批程序通过该提案。
随后被爆出,Compound 社区的 289 案是巨鲸 Humpy 在背后操纵投票方向,企图通过利用 DAO 的治理流程来获取更多的个人利益。
Humpy 利用自己的投票权将价值 2500 万美元从 Compound 金库中直接存入自己的 goldCOMP 金库中,用于 Golden Boys 社区。其中,Golden Boys 社区还发行了治理代币 GOLD,在 Compound 事件后,其价值翻了一番,GOLD 代币当日涨幅超 46%,获利丰厚。
DeFi 协议为何屡次遭遇治理攻击?该如何避免?
虽然是 Humpy 行为是合法的,但它引发了关于去中心化 DAO 治理的问题思考,巨鲸可通过控制投票方向来影响为自己获取重大利益的决策走向。
尽管 Compound 最终宣布以推出代币 COMP 质押产品 stCOMP 为条件,取消了 289 提案,将本次治理攻击危机转化为了对 COMP 代币的应用场景及收益的赋能,如未来协议收入将以 COMP 形式奖励(减少 DAO 储备)给 COMP 质押用户,Compound 的收入与 COMP 价格挂钩等,并迎来了用户的反馈好评,但此类治理攻击事件在 DeFi 应用中不是第一次,也不会是最后一次。
早在 2022 年,Humpy 就曾在通过大量控制 DeFi 协议 Balancer 的代币 veBAL 来影响该协议的代币排放方向和发行量,为自己获利,并与项目方上演了猫鼠游戏。
今年三月,Humpy 还被 SushiSwap 的 Jared Grey 指控发动攻击,他表示,如果 Humpy 治理攻击得逞,就会通过增加 SUSUI 代币发行量来榨取 Sushi 的价值。
为何 DeFi 协议屡次发生此类治理,类似的 DAO 攻击劫持行为该如何避免?
加密用户 Esk3nder 表示,目前 DeFi DAO 治理攻击基本上有两种形式,一种是金融性质的,主要目的是从国库中获取资金;另一种是治理形式的攻击,主要是通过增加投票权来控制治理。
其中,Humpy 对 Balancer 和 SushiSwap 的攻击都是试图通过控制协议的代币发行量来获取更多的资金;而对 Compound 的攻击则是通过控制投票权来影响决策,对协议的影响会更大。
用户 SOSE 表示,DeFi 协议的治理攻击更多是与 DeFi 失败的代币经济学策略有关。就拿本次 Compound 攻击来说,COMP 代币自 2021 年以来持续下跌,也是 DeFi 崩盘的代表性案例,COMP 代币的下跌让代币积累起来更加容易,从而导致代币更容易被大户控制,而现在 DeFi 协议的治理权往往通过代币持有量的权重来决定的,这就必然会成为大户逐利的游戏。
虽然为取消 289 提案,Compound 提出的 stCOMP 质押方案给 COMP 代币经济带来了新变化,如 COMP 质押导致卖方流动性短期减少、Compound 协议的收入与 COMP 价格挂钩等,并在社区达成了共识,但从 Compound DAO 的角度来看,这是被迫的行为,Humpy 仍有很大可能再次从这种情况中受益。
他提醒道,DeFi DAO 应该根据这些案例考虑应对治理攻击和代币经济学的策略。
而 DeFi 资深玩家@DefiIgnas 认为,现在 DeFi 协议的官方 DAO 组织不作为更让人恼火,他解释道 Compound 上的多个提案都是悄悄通过的,如 7 月份 V3 推出的 USDT 市场等,现在 Compound 官方社交媒体甚至没有转发过相关提案,导致很多 DAO 代表团错过了相关提案的投票,现在如何让 DAO 组织更多人员参与进来才是关键。
免责声明:文章中的所有内容仅代表作者的观点,与本平台无关。用户不应以本文作为投资决策的参考。
你也可能喜欢
被解雇的编辑和被审查的文章:CoinDesk面临行业严厉审查
CoinDesk在删除一篇批评Justin Sun的文章后经历编辑动荡。包括主编在内的多名高层编辑在争议中被解雇。Charles Hoskinson质疑CoinDesk的未来价值,暗示由于最近的编辑决策,其价值已下降。
大帽山的TerraUSD骗局代价高昂:美国证监会处以1.23亿美元罚款
美国证券交易委员会对大帽山公司处以1.23亿美元罚款,原因是其误导投资者关于TerraUSD的稳定性。大帽山通过LUNA代币交易销售未注册证券,违反了法律。TerraUSD的崩溃暴露了加密货币透明度的缺陷和监管监督的需求。
彼得·希夫发布其提议的USAcoin升级版
比特币FUD达到年度最高点:这对BTC牛市意味着什么