Compound 推出 COMP 代幣質押產品 stCOMP 結束了這次攻擊風波。
作者:西柚,ChainCatcher
編譯: Marco ,ChainCatcher
7 月 29 日,「49.9 萬枚 COMP 代幣價值 2500 萬美元」被社群投票「合法」地從 Compound 國庫中轉移至一個陌生且無法監控的多簽地址中,引發了一場 DAO 治理攻擊風波。
在 COMP 轉移提案被通過後,COMP 代幣價格 24 小時內下跌了近 7%,從 50 美元跌至 46.6 美元。
7 月 30 日,Compound 成長長 Bryan Colligan 表示,與本提案背後的巨鯨交流後,推出 COMP 代幣的質押產品 Stake COMP(簡稱 stCOMP),該產品將由 Compound DAO 控制,Compound 協議未來每年新增市場儲備金的 30% 將分配給 COMP 質押者,以作為取消該提案的條件。
目前「價值 2,400 萬美元 COMP 轉移」289 提案已被取消,受此消息影響,COMP 代幣日內漲幅超 13%,現報價為 51.4 美元。
風波復盤始末:三次提案才獲得最終通過
7 月 29 日,DeFi 借貸協議 Compound 社群投票通過的一項關於國庫資產 COMP 轉移的提案引發了社群成員對治理攻擊的指控。該 289 提案提議,將 Compound 國庫資金的 5%(價值約 2400 萬美元的 49.9 萬枚 COMP 代幣)轉移給 Golden Boys 設計的收益協議 goldCOMP 中,為期一年。
經過提案梳理發現,「將 49.9 萬枚 COMP 代幣轉移至新協議」的提案通過並不是一蹴而就的,且經過了兩次被取消、被質疑動機等,直到第三次提案才險些被批准通過。
「將國庫中 5% 的 COMP 投資到 goldCOMP 協議」的提案,首次出現在 5 月 6 日的提案 247 中,該提案建議 Compound 國庫將其 COMP 持有量的 5% 投資到 Golden Boys 創建的 goldCOMP 協議中,但由於提案投票參與人數未能達到法定人數被取消。
7 月 15 日,社區提案 279 中再次出現 “為 DAO 投資的 GoldCOMP 設立信託”,該提案中寫道,Golden Boys 創建的 goldCOMP 協議可以為 COMP 代理提供收益,並提議轉移國庫中的 9.2 萬枚 COMP 至該協議中,為期一年,賺取收益。在 7 月 20 日因因未能達到法定人數,該提案被取消。
7 月 24 日,提案 289 中再次出現 “DAO 投資 GoldCOMP 的信託設置” 信息,該提案提議將國庫中的 49.9 萬枚 COMP 代幣投資到 GoldCOMP 協議中,為期一年。
但在 5 月發布的 247 提案後,保全公司 OpenZeppelin 就在社群論壇提示,這可能是一場治理攻擊。
他解釋到,247 提案提議把國庫中 5% 的 COMP 代幣轉移至一個聲稱由 “Golden Boys” 控制的多簽中,並將資金投資於 goldCOMP 協議中,但該提案人員並沒有向社區亮明自己的身份,且提案事先也未在論壇中經過討論,這可能或是一場治理攻擊。
Wintermute 的治理帳戶也表示,未經論壇或社區討論就直接提出鏈上提案是被反對的,且也沒有充分的理由說明為什麼需要將 COMP 轉移到多重簽名中並脫離 DAO 的控制。
在後期的「信託設置」提議中,Wintermute 質疑該行為實際上是否阻止了資金轉移的說法寫道,任何形式的撤回行動(撤資)完全由 GoldenBoyzMultisig 控制,這意味著 DAO 無法自行召回資金。
經過重重阻礙和質疑,「49.9 萬枚 COMP 代幣投資到 GoldCOMP 協議」的提案最終在 7 月 29 日,以 68.2 萬票贊成、63.3 萬票反對獲得批准。
儘管提案是合法的流程,但 Compound 社群用戶對於「49.9 萬枚 COMP 被轉移未知協議」提案的通過有諸多質疑和擔憂,COMP 國庫資產轉移提案為何在沒有經過社區論壇公開討論就會被通過?投票是否有操控?轉至 goldCOMP 協定中的 COMP 代幣安全性如何?會不會捲款而逃?等等。
OpenZeppelin 的安全解決方案架構師、Compound 的安全顧問 Michael Lewellen 在 X 上指出,多個帳戶在公開市場上大量購買 COMP 代幣,並提出了多個意圖將 COMP 持有量轉移到 Golden Boys 創建的 goldCOMP 產品的提案,並透過控制 COMP 代幣數量來強行通過審批程序通過該提案。
隨後被爆出,Compound 社群的 289 案是巨鯨 Humpy 在背後操縱投票方向,企圖透過利用 DAO 的治理流程來獲取更多的個人利益。
Humpy 利用自己的投票權將價值 2500 萬美元從 Compound 金庫直接存入自己的 goldCOMP 金庫中,用於 Golden Boys 社區。其中,Golden Boys 社群也發行了治理代幣 GOLD,在 Compound 事件後,其價值翻了一番,GOLD 代幣當日漲幅超 46%, 獲利豐厚。
DeFi協議為何屢次遭遇治理攻擊?該如何避免?
雖然是 Humpy 行為是合法的,但它引發了關於去中心化 DAO 治理的問題思考,巨鯨可透過控制投票方向來影響為自己獲取重大利益的決策走向。
儘管 Compound 最終宣布以推出代幣 COMP 質押產品 stCOMP 為條件,取消了 289 提案,將本次治理攻擊危機轉化為了對 COMP 代幣的應用場景及收益的賦能,如未來協議收入將以 COMP 形式獎勵(減少 DAO 儲備)給 COMP 質押用戶,Compound 的收入與 COMP 價格掛鉤等,並迎來了用戶的反饋好評,但此類治理攻擊事件在 DeFi 應用中不是第一次,也不會是最後一次。
早在 2022 年,Humpy 就曾在透過大量控制 DeFi 協議 Balancer 的代幣 veBAL 來影響該協議的代幣排放方向和發行量,為自己獲利,並與專案方上演了貓鼠遊戲。
今年三月,Humpy 還被 SushiSwap 的 Jared Grey 指控發動攻擊,他表示,如果 Humpy 治理攻擊得逞,就會透過增加 SUSUI 代幣發行量來榨取 Sushi 的價值。
為何 DeFi 協定一再發生此類治理,類似的 DAO 攻擊劫持行為該如何避免?
加密用戶 Esk3nder 表示,目前 DeFi DAO 治理攻擊基本上有兩種形式,一種是金融性質的,主要目的是從國庫中獲取資金;另一種是治理形式的攻擊,主要是透過增加投票權來控制治理。
其中,Humpy 對 Balancer 和 SushiSwap 的攻擊都是試圖透過控制協議的代幣發行量來獲取更多的資金;而對 Compound 的攻擊則是透過控制投票權來影響決策,對協議的影響會更大。
用戶 SOSE 表示,DeFi 協議的治理攻擊更多是與 DeFi 失敗的代幣經濟學策略有關。就拿本次 Compound 攻擊來說,COMP 代幣自 2021 年以來持續下跌,也是 DeFi 崩盤的代表性案例,COMP 代幣的下跌讓代幣累積起來更加容易,從而導致代幣更容易被大戶控制,而現在 DeFi 協議的治理權往往透過代幣持有量的權重來決定的,這就必然會成為大戶逐利的遊戲。
雖然為取消 289 提案,Compound 提出的 stCOMP 質押方案為 COMP 代幣經濟帶來了新變化,如 COMP 質押導致賣方流動性短期減少、Compound 協議的收入與 COMP 價格掛鉤等,並在社區達成了共識,但從 Compound DAO 的角度來看,這是被迫的行為,Humpy 仍有很大可能再次從這種情況中受益。
他提醒道,DeFi DAO 應該根據這些案例來考慮應對治理攻擊和代幣經濟學的策略。
而 DeFi 資深玩家 @ DefiIgnas 認為,現在 DeFi 協議的官方 DAO 組織不作為更惱人,他解釋道 Compound 上的多個提案都是悄悄通過的,如 7 月份 V3 推出的 USDT 市場等, 現在 Compound 官方社群媒體甚至沒有轉發過相關提案,導致許多 DAO 代表團錯過了相關提案的投票,現在如何讓 DAO 組織更多人員參與其中才是關鍵。
免責聲明:作為區塊鏈資訊平台,本站所發布文章僅代表作者及來賓個人觀點,與 Web3Caff 立場無關。文章內的資訊僅供參考,均不構成任何投資建議及要約,並請您遵守所在國家或地區的相關法律法規。
