昨日,Yam Finance成功阻止了针对其储备资金库的治理攻击。在这次攻击中,攻击者掩人耳目地通过内部交易提交治理提案,该恶意治理提案包括一个未经验证的合约,最终目的是将Yam的协议资金储备转移到攻击者钱包。如果成功,Yam Finance将损失310万美元。
攻击者采用的是一种非常常见的攻击手段——治理攻击,由于去中心化治理在DeFi协议中的广泛应用,治理攻击也成为黑客在链上获利的主要手段之一。
区块链的理念是「Code is Law」,因此才会强依赖于链上治理。最简单直接的路径便是通过代币来赋予持有者治理权重,往往是代币越多,治理权重便越多。而持币者便可以参与协议的提案和治理,提案内容可能复杂也可能简单,通过后将影响整个协议的运行和发展。
Yam Finance已提交创建贡献者奖励池等三大链上提案:Yam Finance官方刚刚发布推特称,三大链上提案已被提交。三大链上提案具体内容为:1.在DPI/ETH流动池实行INDEX挖矿,利用时间加权平均价格算法TWAP执行交易;2.为长期激励持币者建立贡献者奖励池;3.创建每月津贴总督,允许更小的团队就运营费用做出决策,但可监督整个社区。注:TWAP可将一段时间内出售的大订单分解成小订单,有效减少滑点。[2020/11/17 21:00:58]
直观来看,这样是符合持币者利益的,因为持有代币越多,持币者越不可能做出违背自己利益的提案和投票。但是,对于一些拥有较高锁定价值的DeFi协议而言,只要攻击成本低于利润,便有人愿意尝试。在LUNA/UST崩塌之时,Terra便停止了区块链出块,以避免在LUNA大规模增发过程中所带来的潜在的低成本治理攻击可能。
Gate.io 平台内YAM暂停跟随区块链Rebase调仓,并关闭YAM充提等待迁移:据官网公告,针对YAM官方发起的智能合约审计基金募集及YAM后续迁移方案,Gate.io已为项目方捐款1万美金(DAI)以帮助项目方妥善处理安全审计。Gate.io将于2020年8月16日凌晨2:00关闭YAM的提现,平台内的YAM数量将与区块链脱离,不想参与此方式的用户,请务必在此之前提现持有的YAM。
请注意:执行此方案对于最终所兑换到YAM2没有影响,跟放在去中心化钱包上没有区别,但是这个过程中交易的YAM价格将与去中心化平台发生严重偏离,请务必了解清楚原理再参与交易。否则请务必于2020年8月16日凌晨2:00之前完成提现。详情见原文链接。[2020/8/15]
在Yam Finance这次攻击未果的案例之外,攻击成功的案例也不在少数。比如,今年2月15日,Build Finance遭受治理攻击,攻击者通过增发代币来获利。攻击成功后,攻击者已经可以完全控制治理合约、铸造密钥和Treasury。在这次攻击后,Build Finance代币已经失去了所有的价值,等同于归零。
拯救YAM投票已满足要求,将重新部署合约:8月13日,拯救YAM投票已满足最低16万代币委托要求。截至发稿,代币投票已委托超过18万枚,距离下一个延展目标(Stretchgoal)不到一万枚代币委托。据YamFinance表示,参与投票委托的用户将会获得一定的奖励。此前消息,YamFinance发现弹性供应调整合约存在漏洞,导致弹性供应调整(rebase)时铸造大量额外的yCRV。YamFinance表示,需要持币人将16万代币委托给该项目发起人BrockElmore以修复漏洞。[2020/8/13]
除了通过掌握大量代币来进行攻击外,黑客也会通过增加某一时间节点的提案数量、伪装成正常治理提案来增加提案通过的可能性。
去年圣诞节,Terra公链上的合成资产协议Mirror也经历了一次非常严峻的考验。攻击者准备充分,通过以下四点来增加提案通过的可能性,目标利润是价值3800万美元的MIR代币:- 攻击者准备了价值上百万美元的MIR代币;- 攻击时间节点是圣诞节,大多数持币者更关心生活中的事情,而非链上;- 将提案伪装成「与Solana进行深度合作」;- 同时发起了多个提案,浑水摸鱼。
对此,MakerDAO创始人Rune Christensen认为,「目前,DAO的“基本博弈论问题”是治理攻击之类的问题。简单地说,如果有人真的控制了大多数有投票权的股份,比如在DeFi中,他们可以直接窃取协议中的所有资产。」
这是一种担忧,另外一种广泛的担忧是投资者对于治理代币本身价值的质疑。对于大多数DeFi协议而言,使用代币数量来简单判定治理权重多寡的行为是一种捷径,且更多协议在治理层面创新很少,大多是在Fork前人。当然,在治理层面也不乏创新者,比如Curve推出了veToken的治理模式,AC在veToken的基础上推出了veNFT,Layer2 Optimism也在通过原生代币OP将治理分层。
最值得担忧的是,在进入熊市周期后,由于代币价值的降低,攻击成本会更低,治理攻击数量可能会成倍增长。风险骤增的情况下,大概率会推动开发者/项目团队在治理层面的更多思考,发掘代币在治理层面的潜力,推出更多有意思的代币治理实例。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。