DAO:DAO 治理中的攻击漏洞：技术、经济和社会面_BON

作者：Chandler

编译：DAOctor@DAOrayaki.org

TLDR：治理风险可能来自许多领域，社会、经济或技术风险——有时是三者的结合。要为未来建立治理体系，了解如何降低风险对于我们建设未来至关重要。最重要的是，并非所有事情都需要投票！

去中心化合约具有永久性。合约中的任何更改都是通过受管理的治理流程完成的。治理过程本质上是人参与，因此要复杂得多。

本文将探讨治理过程中的一些危险，为思考治理风险提供一个通用框架。一般来说，任何有效的治理流程都旨在防止将项目或协议推向与其使命不同的方向的决策。

在这里，我们概述了三个主要风险类别，技术、社会和经济。除此之外，还有有效治理流程中的一些重要经验教训。

BonqDAO和AllianceBlock在攻击事件中损失8800万美元，因BonqDAO智能合约存在漏洞:2月2日消息，北京时间2月2日凌晨2点左右，由于BonqDAO智能合约中的一个漏洞，加密协议BonqDAO和AllianceBlock在攻击事件中损失8800万美元。黑客从BonqDAO的金库（Troves）中移除了大约1.14亿枚 walbt（AllianceBlock的封装原生代币）和9800万枚beur代币。该金库由用户控制，用于铸造与欧元挂钩的支付代币beur。该漏洞利用的技术原因仍然未知。到目前为止，黑客已售出大约120万美元的代币，但由于流动性不足，无法将全部金额转换为稳定币或ETH。

AllianceBlock在推特上表示，该事件与BonqDAO金库无关，其没有违反智能合约。两个团队都致力于消除流动性以减轻黑客将被盗代币转换为其他资产的风险，并已停止所有交易所交易。AllianceBlock还暂停了AllianceBlock Bridge上的桥接，直到问题得到解决。下一步是对攻击前的用户进行快照，然后从快照那一刻起为所有受影响的用户制定解决方案。这包括创建新的ALBT代币并空投到快照中的地址。

今晨6时左右，BonqDAO发布公告称：“Bonq协议遭到预言机黑客攻击，利用者提高了ALBT价格并铸造了大量BEUR。然后在Uniswap上将BEUR换成其他代币。然后，价格下降到几乎为零，这引发了ALBT金库的清算。其他金库未受影响。Bonq协议已暂停。我们正在研究一种解决方案，允许用户提取所有剩余抵押品，而无需偿还BEUR，该方案将在欧洲中部时间明天上午发布。”（The Block）[2023/2/2 11:42:06]

治理最小化的过程

Compound DAO被指控销售无证证券:金色财经报道，Compound DAO是由三名投诉人提起的案件中列出的八名被告之一，这些投诉人声称他们在购买COMP代币后遭受了损失，根据最近提交的诉讼，他们声称COMP代币是被告出售的无证证券，该诉讼正在寻求集体诉讼地位。

该诉讼于12月8日在美国加州北区地方法院旧金山分院提起。该诉讼认为，去中心化自治组织及其合作伙伴监督COMP代币作为未经许可的证券的销售。它还表示，被告就持有COMP代币的盈利前景做出了虚假和误导性的陈述。[2022/12/14 21:44:16]

将治理行动最小化的治理系统更加稳健和可维护。变化越少越好。然而，协议需要升级。

广泛的治理系统还包括许多非协议特定的问题，例如，承诺拨款多少，这可以说是一个关键决定，但不会从根本上影响协议。一个可以区分特定协议选择与社会层面选择的系统会减少治理行动的整体范围。

Lido DAO批准5个新节点运营商加入Solana上的Lido:7月29日消息，据官方推特，Lido宣布Lido DAO已通过投票批准了5个新的节点运营商加入Solana上 Lido，这些节点分别是01node、Allnodes、Kiln、Stakewithus和Stakin。这些运营商已开始主网上线流程，并将在未来几天成为Solana上的Lido的活跃运营商成员。[2022/7/29 2:45:56]

自治组织本来就是自治的，减少它们的治理足迹可以降低对人的依赖。

正如我们所说，许多工具正在开发中，旨在帮助协议对具有社会或人类协调性质的治理行为与影响协议的行为采取不同的方法。例如ZodiacModule的出现，它允许用户提交交易并对其进行乐观验证。而不是每个链上行动都需要投票，交易可以被提交，只有在对交易的性质有分歧的情况下才需要投票。

veDAO推出基于Optimism的DEX Velodrome，并将进行空投:4月22日消息，曾在 Fantom 生态活跃的项目团队 veDAO 在社交媒体发文表示，将推出基于 Optimism 的 DEX Velodrome，并将进行空投。该项目以 Solidly 为模板，经济模型由 VELO Token 和 veNFT 提供支持。其中 VELO 总量的 65% 分配给社区，并将向 WeVE 持有者、Optimism 用户以及 DeFi 用户和流动性提供者进行空投。[2022/4/22 14:41:19]

安全多重认证的Zodiac模块

Gate.io将为SubDAO竞拍Polkadot平行链插槽提供支持:据官方消息，波卡基础设施SubDAO与Gate.io达成战略合作，Gate.io将为SubDAO参与首轮Polkadot平行链插槽竞拍提供支持。同时，SubDAO即将公布更多支持SubDAO插槽拍卖的平台。

据悉，SubDAO是波卡的DAO基础设施，它允许任何去中心化组织快捷地创建和管理DAO，并提供基于区块链的电子协议签署、DAO社交、资产管理等工具与服务。

SubDAO创始团队由IBM集团前Technical Team Leader和波卡多位早期开发者和波卡社区发起人组成，已完成Huobi Ventures、OKEx Blockdream Fund等数十家机构以及Messari创始人Ryan Selkis在内的数百万美元融资。[2021/11/2 21:19:08]

技术漏洞

智能合约的漏洞是许多协议的头疼之处--包括治理协议。许多治理合约作为一个链上投票机制存在，以执行一组给定的指令。只要链上有任何代码，就有可能出现技术漏洞。

这种风险的一个显着例子是价值2200万美元的Compound治理漏洞。Compound系统在负责分配流动性挖矿奖励的合约中存在缺陷。

唯一有权更改受影响合约的合约是总督合约，这意味着只有治理投票才能影响修补错误合约的变更。

缓慢的治理过程阻碍了修复漏洞和阻止资金流动。幸运的是，对于Compound团队来说，响应尽可能快，治理系统也以尽可能快的方式做出反应。

从另一个角度来看，合约完全按照规则执行包括漏洞。只是人类认为合约的目的与实际合约的编码不一致。

无论我们每个人的想法是对还是错，事实仍然是，人类认为一段代码可以做什么与它意味着做什么之间总是存在差异。令人震惊的现实是，我们常常直到为时已晚才意识到这一点。

社会漏洞

除了技术方面，治理的社会方面也有其自身的挑战。人类自然比代码复杂。

Snapshot：链下投票工具

链上vs链下投票：如上所述，协议治理行为应该最小化到绝对基础。链上投票应该影响链上合约，链下投票被指定用于人们可以在社会上达成一致的项目。我经常看到数百个链上投票可以轻松达成软共识。与标准运营项目相比，这自然会降低重要投票的重要性。

投票的机制和过程。虽然不是所有的投票过程都遵循这一趋势，但有足够的方法值得警惕。在某些情况下，链外的"温度"检查导致了链上的投票，并由多重签名的人执行。

作为从链上投票到的步骤，这毫无意义。要么放弃链上部分，让可信的多重签名管理软共识，要么让链上投票触发必要的行动。

治理过程中最有价值的项目是合格选民的注意力：更多的选票导致选民冷漠和较低的长期投票率。确保声音有意义，切中要点，达到全面投票的水准，才能确保您的投票结果。

法定人数和需要多少参与：正如我们在上一篇文章中所写的那样，选民参与和组织规模之间存在权衡。然而，在权力下放和一小群创始团队成员简单地推翻投票的能力之间也存在权衡。如果令牌没有充分分散，一个团队可以达到投票的法定人数要求。

选民的专业知识：最高的治理风险之一是选民必须具备的专业知识水平才能做出明智的选择。在很多情况下，用户可以廉价获得治理代币并有资格投票。选民不确定他们投票的内容是什么，他们要么弃权，要么根据其他人的倾向做出最受欢迎的决定。这不会导致足够去中心化和具有代表性的投票。

经济漏洞

经济利用是指攻击者可以部署资金来接管投票过程。在大多数情况下，治理是通过可以购买的代币完成的。这意味着获得通过投票份额的成本。

如果我们看一些理论上的数字，一个国库将需要拥有任何其他协议的至少50%的投票供应价值来完成这种利用。由于一些国库的规模比其他国库大几个数量级，这种类型的风险范围并不牵强。

幸运的是，许多协议都有足够多的代币被锁定，而流通供应不足，这样的攻击是现实的。然而，有了这个令牌，经济攻击就可以解锁时间表并随着时间的推移循环供应。

随着时间的推移，这种攻击可能不是经济上的。可能是打垮竞争对手，获得控制权以影响有争议的投票，甚至制造僵局。

在鲜为人知的协议中可以找到通过经济攻击利用协议的示例：TrueSeignorage。

TLDR版本是，由于他们的市值足够小，一个攻击购买了他们51%的投票代币。在获得代币后，攻击者发起投票，向其地址铸造11.5quintillion代币。投票自然通过了，用户可以在Pancakeswap上卖出尽可能多的代币。

攻击者从代币销售中获得的收益超过了购买通过投票的成本，而Dev钱包没有足够的资金来阻止他。

结语

治理将继续存在，我们有责任建立一个治理流程，将我们推向一个我们都希望进入的未来。了解治理系统的风险以及我们如何应对这些风险是一个不断发展的过程。一个明显的趋势是：治理系统存在缺陷，需要深思熟虑的工作才能兑现承诺。

去中心化治理仍处于起步阶段，其背后的技术也是如此。随着行业的成熟，治理攻击向量自然会消退。

标签：DAOCOMPOMPBONBreederDAOCompounderOMP币Carbon Utility Token

BNB热门资讯