ガバナンス攻撃を避ける、ブルーチップDeFiのガバナンス経験
本文では、いくつかのブルーチップDeFiのガバナンスメカニズムを比較紹介し、彼らがどのようにガバナンス攻撃を回避しているかを見ていきます。
著者:0xEdwardyw、Tokeninsight
暗号分野におけるプロトコルへの攻撃は時折発生し、その一つがガバナンス攻撃です。攻撃者はプロトコルのガバナンス権を取得し、大量のトークンを鋳造し、プロトコルの金庫資産を盗みます。最近の事件は2月に発生し、リスクキャピタルDAOであるBuild Financeがガバナンス攻撃に遭い、プロトコルが完全に失敗しました。この記事では、いくつかのブルーチップDeFiのガバナンスメカニズムを比較し、彼らがどのようにガバナンス攻撃を回避しているかを見ていきます。
異なるレベルの分散型ガバナンスの程度
出典: OurNetwork: Deep Dive #2 -- ガバナンス抽出可能価値
プロトコルの発展初期には、制御権は通常開発チームによって管理され、単一のキーによって制御されます。この場合、ガバナンス攻撃の可能性はありません。プロトコルが発展するにつれて、開発チームは一部の制御権を徐々に分散させ、プロトコルはマルチシグ形式で管理されるようになります。マルチシグを制御する人々には、開発チーム、コミュニティの重要な参加者、または主要な投資機関などが含まれる可能性があります。この状況は、チームがプロトコルを完全に制御している場合と本質的には変わりません。信頼できる利害関係者が一緒にガバナンスを行うため、ガバナンス攻撃は依然として発生しません。
プロトコルがさらに分散型ガバナンスに向かうにつれて、ガバナンストークンを発行し、ガバナンス権を完全にガバナンストークンの保有者に分散させます。プロトコルの重要な変更は、ガバナンストークンによるオンチェーン投票で決定され、投票が通過したガバナンス提案は事前に設定された手順に従って自動的に実行されます。この時点でガバナンス攻撃の問題が発生し、プロトコルはガバナンスメカニズムを慎重に設計してガバナンス攻撃の発生を回避する必要があります。
Build Financeのガバナンス攻撃の事例
Build FinanceはDAOによってガバナンスされるプロトコルで、ガバナンストークンの保有者はトークンを鋳造し、金庫を使用するための投票を行うことができます。2月9日、プロトコルのDiscordで、コミュニティの調停者が悪意のあるガバナンス提案が発起されたことを通知しました。この提案が通過すると、攻撃者はプロトコルのトークンを自由に鋳造できることになります。コミュニティはこの提案を否決することに成功し、初回のガバナンス攻撃は失敗しました。
攻撃者は保有するトークンを別のウォレットに移し、2回目の提案を発起しました。今回は、プロトコルのDiscordボットが新しい提案を検出しませんでした(通常、ボットは新しい提案を検出し、その提案を特定のディスカッションエリアに置くべきです)。このガバナンス提案は、コミュニティの誰も気づかないうちに2月10日に通過しました。
Buildプロトコルには2日のタイムロックがあり、ガバナンス攻撃の提案は2月10日に通過しました。開発チームは2月14日にTwitterで、攻撃者がDAOとトークン鋳造権を完全に制御し、110万トークンを鋳造したことを発表しました。攻撃者はすべての新しいトークンをDEXで売却し、プロトコルのトークンは無価値になりました。
Build FinanceのMediumページによると、プロトコルはGovernor Bravoガバナンスメカニズムを採用しています。Governor BravoはCompound Financeによって作成された成功したガバナンスメカニズムで、多くのブルーチップDeFiに採用されています。UniswapやAAVEも含まれています。
Governor Bravoはプロトコルの制御権と金庫資金を移転することを許可するため、攻撃者はプロトコルのすべてのガバナンス権を取得する機会があります。ブルーチップDeFiプロトコルに広く採用されているにもかかわらず、このガバナンスメカニズム自体はガバナンス攻撃の発生を防ぐことはできません。
成功したガバナンスモデル Governor Alpha & Bravo
Compound FinanceのGovernor Alphaおよびその更新版であるGovernor Bravoのガバナンスモデルは、多くのDeFiプロトコルで広く使用されています。Governor Bravoのガバナンスプロセスは以下の通りです:
出典: Compound
ガバナンス提案の提出には65,000 $COMPが必要で、提出された提案には2日の審査期間があります。その後、3日の投票期間に入り、賛成票が過半数を超え、かつ400,000票以上の投票数があれば、提案が通過し、タイムロックに入ります。タイムロックは2日間で、その後提案はプロトコルによって自動的に実行されます。
UniswapはGovernor Bravoガバナンスメカニズムを使用しており、ガバナンスのプロセスはCompoundに似ています。Uniswapはガバナンス提案の提出と通過のハードルを大幅に引き上げました。提案を提出するには250万 $UNIトークンが必要で、2月21日の価格で約2,500万ドルです。総投票数は4,000万 $UNIに達する必要があり、これは約4億ドルの価値です。
AAVE -- Governor Bravoの改良版
AAVEのガバナンスモデルはGovernor Bravoに似ていますが、2つの要素が追加されています。第一は、タイムロックを速いものと遅いものに分けることです。重要性が低く、リスクが低いガバナンス提案は速いタイムロックを通じて迅速に実行されます。一方、影響が大きい提案は遅いタイムロックを経て、コミュニティが反応するための時間を増やします。例えば、ガバナンス攻撃提案が通過した場合、遅いタイムロックはコミュニティに十分な時間を与え、全体のプロトコルをフォークして新しいアドレスを作成するかどうかを決定することができます。
もう一つの重要な要素はAAVEのマルチシグガーディアン(AAVE Guardian)です。GovernorメカニズムにはPause機能があります。Pauseはプロトコルの鋳造、借入、移転、清算などの機能を一時停止できますが、Pauseはガバナンス攻撃者が十分なトークンを使用してガバナンス提案を通過させるのを防ぐことはできません。AAVEのガーディアン機能は、提案が実行されていない限り、提案を直接キャンセルすることを許可します。プロセスのどのポイントでも直接キャンセルできます。ガーディアン機能は、悪意のあるガバナンス提案を最も効果的に阻止します。
セキュリティ対策
Governor Bravoの多くの要素は、ガバナンス分野のゴールドスタンダードとなっています。他のプロトコルがどれほど異なるガバナンスメカニズムを採用していても、これらの要素を多かれ少なかれ含んでいます。
タイムロック:ほぼすべてのプロトコルがタイムロックを採用しています。提案が通過した後、システムが実行するまでのバッファ時間は、コミュニティとトークン保有者が反応する時間を提供します。理論的には、プロトコルのユーザーとトークン保有者が特定の提案に対して反対の見解を持っている場合、タイムロック期間中にプロトコルから退出し、トークンを売却することができます。タイムロックが長いほどプロトコルの保護が強化されますが、長すぎるタイムロックは、突発的なシステム問題が発生した際に短期間で修正できなくなる可能性があります。
提案通過に高い要求を設定:Uniswapの例では、提案を通過させるために必要なトークンの価値が非常に高く、ガバナンス攻撃のコストが極めて高くなります。また、Uniswapの金庫にはすべて$UNIトークンが含まれており、攻撃が成功して金庫の制御権を取得しても、$UNIの市場価格は急速に下落し、攻撃者の利益が前期に支払ったコストを上回ることはないでしょう。
出典: Tokeninsight Annual DeFi report
- マルチシグガード:悪意のあるガバナンス提案が発見されれば、これはガバナンス攻撃を最も効果的に阻止する方法です。しかし、分散型ガバナンスのフレームワーク内で、このような大きな権限を誰に与えるべきかは問題です。AAVEはコミュニティ投票を用いて10人のガーディアンメンバーを決定し、その中の5人が同意すれば、任意の提案を否決できます。
MakerDAOの投票メカニズム
MakerDAOには、上記のGovernorガバナンスメカニズムとは完全に異なる投票方法があります。Governorでは、ガバナンストークン保有者が特定のガバナンス提案に投票し、最終的に通過するか否決されるかにかかわらず、この投票プロセスは終了し、ガバナンストークンは返還されます。
MakerDAOは継続的同意投票制(continuous approval voting)を使用しています。この特徴は、特定の提案に対してガバナンストークン$MKRで投票することです。この提案が通過して実行された後も、あなたの$MKRはその提案内に留まります。他の投票メカニズムのようにガバナンストークンが自動的に返還されることはありません。あなたが保有する$MKRは特定の提案にのみ投票でき、再投票はできません。したがって、新しい提案に投票したい場合は、手動で$MKRを古い提案から取り出す必要があります。
新しい提案が通過する条件は、投票数が前回成功した提案を超えることです。
出典: MakerDao
例えば、2022年2月25日の提案は82,001.5 $MKRの投票を受け、通過して実行待ちです。この時点で新しい提案に投票する必要がある場合、新提案に必要な票数は82,001.5 $MKRとなります(右側のシステム情報を参照)。
以前に投票が通過し、実行された提案、例えば2022年1月24日に通過し、1月26日に実行された提案を見てみると、まだ20,050の$MKRがこの提案内に手動で取り出されずに残っています。
この投票方法は新提案の通過のハードルを高めます。多くの$MKRが古い提案に留まっているため、市場で投票に使用できるトークンの数が相応に減少し、新しい提案が通過するためにはユーザーが古い提案から票を手動で取り出す必要があります。
CurveのVote-Lockガバナンスメカニズム
Governor BravoとMakerDAOの継続的同意投票制では、各ガバナンストークンが1票を代表します。ガバナンストークンは公開市場で取引でき、借貸プロトコルから借りることもできます。理論的には、十分な担保(例えば$ETH)があれば、十分なガバナンストークン(例えば$UNI)を借りることができます。借りたガバナンストークンを使用してガバナンス攻撃を発起することができ、コストの問題を心配する必要はありません。もし$UNIが無価値になれば、攻撃者は無コストで借貸プロトコルに返すことができます。
vote-lockメカニズムでは、ガバナンストークン自体には投票権がなく、$CRVをステーキングしてveCRVにロックすることで投票権を得ます。ロック期間は最大4年で、ロック期間が長いほど投票権が大きくなり、ロック期間が経過するにつれて投票権は減少します。これにより、市場から借りた$CRVで投票する可能性が大幅に低下します。
veメカニズムの人気
昨年から、veto-lock(veメカニズム)というガバナンスメカニズムの人気が急速に高まり、多くの新しいプロジェクトに採用されています。その一例がIzumi Financeで、流動性をサービスとして提供するプロジェクトです。Curveと似て、Izumiには2種類のトークン、$iZiとveiZiがあります。$iZi保有者はステーキングしてロックすることでガバナンス権を持つveiZiを得ます。veiZiは取引や譲渡ができません。ガバナンス権はロック期間に比例して変化します。
新型veメカニズムの登場
元々のveメカニズムは取引や譲渡ができませんが、最近、Izumi FinanceやAndre Cronjeが支援するSolidlyプロジェクトが新しいモデル、veNFTを試み始めました。
Izumi Financeの$iZiをステーキングしてロックすると、得られるのはveiZi NFTです。元々のガバナンストークンは依然として取引できませんが、ガバナンス権を代表するNFTはNFT市場(例えばOpensea)で取引できます。この方法はveメカニズムの資本利用効率の低さを解決しますが、ガバナンスの安全性にどのような影響を与えるかについてはまだ関連する議論がありません。
結論
ブルーチップDeFiプロトコルが使用しているガバナンスメカニズムは時間の試練に耐えてきましたが、完璧ではなく、問題は時折発生します。100%安全なガバナンスメカニズムは存在せず、安全性は異なる種類のメカニズムの組み合わせによって達成されます。これには、良好なガバナンスメカニズム、活発なコミュニティ、そしてガバナンス攻撃を逆に抑制する経済的インセンティブメカニズムが含まれ、攻撃の潜在的な利益がコストを上回ることができないようにします。
リスク管理の分野には、スイスチーズ理論があります。チーズの各スライスはリスク管理措置のようなもので、各スライスには多数の小さな穴があります。これは、各措置にはその弱点があることを示しています。これらのチーズスライスを積み重ねると、他のスライスが他のスライスの小さな穴を覆うことができ、リスクイベントがすべてのスライスを貫通する確率が大幅に低下します。
出典: https://thedecisionlab.com/reference-guide/management/swiss-cheese-model/
Build Financeのように、攻撃者の最初のガバナンス攻撃はコミュニティによって否決され、2回目の攻撃はコミュニティが気づかなかったために提案が通過しました。活発なコミュニティはリスク防御線となり、このような攻撃を成功させないようにします。また、ガバナンス攻撃のコストが高すぎる場合、そもそも誰も試みないかもしれません。
クリックしてTokenInsight APPをダウンロード
