复盘 COMP 2500 美元治理攻击,DeFi 协议为何屡次遭遇 DAO 攻击?

ChainCatcher 精选
2024-07-30 19:18:58
收藏
Compound推出COMP代币质押产品stCOMP结束了本次攻击风波。

作者: 西柚 , ChainCatcher

编辑: Marco , ChainCatcher

 

7月29日,“49.9万枚COMP代币价值2500万美元”被社区投票“合法”地从Compound国库中转移至一个陌生且无法监控的多签地址中,引发了一场DAO治理攻击风波。

在COMP转移提案被通过后,COMP代币价格24小时内下跌了近7%,从50美元跌至46.6美元。

7月30日,Compound增长官Bryan Colligan表示,在与本次提案背后的巨鲸交流后,推出COMP代币的质押产品Stake COMP(简称stCOMP),该产品将由Compound DAO控制,Compound协议未来每年新增市场储备金的30%将分配给COMP质押者,以作为取消该提案的条件。

目前“价值2400万美元COMP转移”289提案已被取消,受此消息影响,COMP代币日内涨幅超13%,现报价为51.4美元。

风波复盘始末:三次提案才获得最终通过

7月29日,DeFi借贷协议Compound社区投票通过的一项关于国库资产COMP转移的提案引发了社区成员对治理攻击的指控。该289提案提议,将Compound国库资金的5%(价值约2400万美元的49.9万枚COMP代币)转移给Golden Boys设计的收益协议goldCOMP中,为期一年。

经过提案梳理发现,“将49.9万枚COMP代币转移至新协议”的提案通过并不是一蹴而就的,且经过了两次被取消、被质疑动机等,直到第三次提案才险些被批准通过。

“将国库中5%的COMP投资到goldCOMP协议”的提案,首次出现在5月6日的提案247中,该提案建议Compound国库将其COMP持有量的5%投资到Golden Boys创建的goldCOMP协议中,但由于提案投票参与人数未能达到法定人数被取消。

7月15日,社区提案279中再次出现“为DAO投资的GoldCOMP设立信托”,该提案中写道,Golden Boys创建的goldCOMP协议可以为COMP代理提供收益,并提议转移国库中的9.2万枚COMP至该协议中,为期一年,赚取收益。在7月20日因由于未能达到法定人数,该提案被取消。

7月24日,提案289中再次出现“DAO投资GoldCOMP的信托设置”信息,该提案提议将国库中的49.9万枚COMP代币投资到GoldCOMP协议中,为期一年。

但在5月发布的247提案后,安全公司OpenZeppelin就在社区论坛提示,这可能是一场治理攻击。

他解释到,247提案提议把国库中5%的COMP代币转移至一个声称由“Golden Boys”控制的多签中,并将资金投资于goldCOMP协议中,但该提案人员并没有向社区亮明自己的身份,且提案事先也未在论坛中经过讨论,这可能或是一场治理攻击。

Wintermute的治理账户也表示,未经论坛或社区讨论就直接提出链上提案是被反对的,且也没有充分的理由说明为什么需要将COMP转移到多重签名中并脱离DAO的控制。

在后期的“信托设置”提议中,Wintermute质疑该行为实际上是否阻止了资金转移的说法写道,任何形式的撤回行动(撤资)完全由 GoldenBoyzMultisig 控制,这意味着DAO无法自行召回资金。

经过重重阻碍和质疑,“49.9万枚COMP代币投资到GoldCOMP协议”的提案最终在7月29日,以68.2万票赞成、63.3万票反对获得批准。

尽管提案是合法的流程,但Compound社区用户对于“49.9万枚COMP被转移未知协议”提案的通过有诸多质疑和担忧,COMP国库资产转移提案为何在没有经过社区论坛公开讨论就会被通过?投票是否有操控?转至goldCOMP协议中的COMP代币安全性如何?会不会卷款而逃?等等。

OpenZeppelin的安全解决方案架构师、Compound的安全顾问Michael Lewellen在X 上指出,多个账户在公开市场上大量购买COMP代币,并提出了多个意图将COMP持有量转移到Golden Boys创建的goldCOMP产品的提案,并通过控制COMP代币数量来强行通过审批程序通过该提案。

随后被爆出,Compound社区的289案是巨鲸Humpy在背后操纵投票方向,企图通过利用DAO的治理流程来获取更多的个人利益。

Humpy利用自己的投票权将价值2500万美元从Compound金库中直接存入自己的goldCOMP金库中,用于Golden Boys社区。其中,Golden Boys社区还发行了治理代币GOLD,在Compound事件后,其价值翻了一番,GOLD代币当日涨幅超46%,获利丰厚。

DeFi协议为何屡次遭遇治理攻击?该如何避免?

虽然是Humpy行为是合法的,但它引发了关于去中心化DAO治理的问题思考,巨鲸可通过控制投票方向来影响为自己获取重大利益的决策走向。

尽管Compound最终宣布以推出代币COMP质押产品stCOMP为条件,取消了289提案,将本次治理攻击危机转化为了对COMP代币的应用场景及收益的赋能,如未来协议收入将以COMP形式奖励(减少 DAO储备)给COMP质押用户,Compound的收入与COMP价格挂钩等,并迎来了用户的反馈好评,但此类治理攻击事件在DeFi应用中不是第一次,也不会是最后一次。

早在2022年,Humpy就曾在通过大量控制DeFi协议Balancer的代币veBAL来影响该协议的代币排放方向和发行量,为自己获利,并与项目方上演了猫鼠游戏。

今年三月,Humpy还被SushiSwap的Jared Grey指控发动攻击,他表示,如果Humpy治理攻击得逞,就会通过增加SUSUI代币发行量来榨取Sushi的价值。

为何DeFi协议屡次发生此类治理,类似的DAO攻击劫持行为该如何避免?

加密用户Esk3nder表示,目前 DeFi DAO治理攻击基本上有两种形式,一种是金融性质的,主要目的是从国库中获取资金;另一种是治理形式的攻击,主要是通过增加投票权来控制治理。

其中,Humpy对Balancer和SushiSwap的攻击都是试图通过控制协议的代币发行量来获取更多的资金;而对Compound的攻击则是通过控制投票权来影响决策,对协议的影响会更大。

用户SOSE表示,DeFi协议的治理攻击更多是与DeFi失败的代币经济学策略有关。就拿本次Compound攻击来说,COMP代币自2021年以来持续下跌,也是DeFi崩盘的代表性案例,COMP代币的下跌让代币积累起来更加容易,从而导致代币更容易被大户控制,而现在DeFi协议的治理权往往通过代币持有量的权重来决定的,这就必然会成为大户逐利的游戏。

虽然为取消289提案,Compound提出的stCOMP质押方案给COMP代币经济带来了新变化,如COMP质押导致卖方流动性短期减少、Compound协议的收入与COMP价格挂钩等,并在社区达成了共识,但从Compound DAO的角度来看,这是被迫的行为,Humpy仍有很大可能再次从这种情况中受益。

他提醒道,DeFi DAO应该根据这些案例考虑应对治理攻击和代币经济学的策略。

而DeFi资深玩家@DefiIgnas认为,现在DeFi协议的官方DAO组织不作为更让人恼火,他解释道Compound上的多个提案都是悄悄通过的,如7月份V3推出的USDT市场等,现在Compound官方社交媒体甚至没有转发过相关提案,导致很多DAO代表团错过了相关提案的投票,现在如何让DAO组织更多人员参与进来才是关键。

链捕手ChainCatcher提醒,请广大读者理性看待区块链,切实提高风险意识,警惕各类虚拟代币发行与炒作, 站内所有内容仅系市场信息或相关方观点,不构成任何形式投资建议。如发现站内内容含敏感信息,可点击“举报”,我们会及时处理。
banner
ChainCatcher 与创新者共建Web3世界