DAO 治理中的攻击漏洞:技术、经济和社会面_UND:Compound

作者:Chandler

编译:DAOctor@DAOrayaki.org

TLDR:治理风险可能来自许多领域,社会、经济或技术风险——有时是三者的结合。要为未来建立治理体系,了解如何降低风险对于我们建设未来至关重要。最重要的是,并非所有事情都需要投票!

去中心化合约具有永久性。合约中的任何更改都是通过受管理的治理流程完成的。治理过程本质上是人参与,因此要复杂得多。

本文将探讨治理过程中的一些危险,为思考治理风险提供一个通用框架。一般来说,任何有效的治理流程都旨在防止将项目或协议推向与其使命不同的方向的决策。

在这里,我们概述了三个主要风险类别,技术、社会和经济。除此之外,还有有效治理流程中的一些重要经验教训。

法律专家:Mango Markets案例会影响DAO未来如何实施其法律和治理结构:2月4日消息,加拿大律师事务所McMillan LLP的合伙人Benjamin Bathgate表示,针对所谓的Mango Markets漏洞利用者Avraham Eisenberg的诉讼可能会影响DAO未来如何实施其法律和治理结构。Bathgate表示,在很多情况下,DAO只是用户的集合,这是一个用户社区,也许有一个核心贡献者负责编码。管理Mango Market DAO的怀俄明州有限责任公司Mango Labs正在寻求收回剩余的4700万美元。然而,Bathgate表示,Mango Labs的诉讼不太可能成功,到那时可能会为DAO生态系统敲响警钟。

此前报道,Mango Markets攻击者Avraham Eisenberg在纽约美国地方法院第一次听证会上放弃保释。目前,Avraham正被Mango Labs起诉,要求赔偿剩余的4700万美元,他被指控犯有商品欺诈、商品操纵和电汇欺诈三项刑事罪。[2023/2/4 11:46:50]

治理最小化的过程

DAO薪酬支付系统Utopia在Optimism上线:6月23日消息,DAO薪酬支付系统Utopia宣布在Optimism上线,OptimismDAO可以在Utopia上创建经常性和一次性付款。Utopia将在7月增加记账功能,允许OptimismDAO对其所有DAO交易进行分类和分析。6月初,Utopia宣布完成2300万美元A轮融资,Paradigm领投,Kindred Ventures、Circle Ventures、Gusto、Coinbase Ventures、Infinity VenturesCrypto、Distributed Global等参投。[2022/6/23 1:26:36]

将治理行动最小化的治理系统更加稳健和可维护。变化越少越好。然而,协议需要升级。

广泛的治理系统还包括许多非协议特定的问题,例如,承诺拨款多少,这可以说是一个关键决定,但不会从根本上影响协议。一个可以区分特定协议选择与社会层面选择的系统会减少治理行动的整体范围。

Rainbowcity基金会正式启动DAO基础设施项目RainbowDAO协议:12月17日消息,Rainbowcity Foundation在Gitcoin Grant 12活动中宣布正式启动DAO基础设施项目RainbowDAO Protocol。这是Rainbowcity Foundation孵化的第一个web3项目,也是其生态项目的第一次全球公开展示。

RainbowDAO Protocol是一个多链DAO基础设施服务协议,专注于web3基础组件的创建。(AMBCrypto)[2021/12/17 7:46:09]

自治组织本来就是自治的,减少它们的治理足迹可以降低对人的依赖。

正如我们所说,许多工具正在开发中,旨在帮助协议对具有社会或人类协调性质的治理行为与影响协议的行为采取不同的方法。例如ZodiacModule的出现,它允许用户提交交易并对其进行乐观验证。而不是每个链上行动都需要投票,交易可以被提交,只有在对交易的性质有分歧的情况下才需要投票。

DAO Maker 业务拓展代表 杨书勇:风险投资和个人理财的结合 风投债券为用户带来更好的投资选择:2021年01月19日晚,由Gate.io主办的直播专访节目《酒局币赴》邀请到DAO Maker 业务拓展代表杨书勇直播分享近期最新发展。直播期间杨书勇与Gate.io合伙人酒儿就DAO Maker的创新以及相关事项进行了探讨与交流。杨书勇指出,DAO Maker 在高速发展的区块链行业中开创了代币化商务模型的先河,在帮助各种规模项目的同时,有效地最大化了每个利益相关者的收益;同时基于对区块链行业全面而及时的了解,DAO Maker 催生了强力持币人发行(SHO)和动态代币发行(DYCO)的创新集资模式,帮助多家 DeFi 初创公司在 DeFi 泡沫破裂后依然实现了可持续增长。杨书勇还表示,尽管从当前来看,结合风险投资和个人理财有着较大难度,但DAO Maker 凭借着自身成功的集资经验、庞大的投资网络和强健的技术背景使得其结合此两点的旗舰产品——风投债券的研发和普及成为可能,DAO Maker也将在此方向持续投入研发精力,进一步为惠普金融的实现贡献力量。详情点击原文链接。[2021/1/19 16:32:21]

动态 | 前MakerDAO贡献者承诺为卡内基梅隆大学捐赠10000枚MKR用于DeFi研究计划:金色财经报道,前MakerDAO贡献者和卡内基梅隆大学校友Nikolai Mushegian已向其母校承诺捐赠10000枚MKR(价值近430万美元),目标是“建立一个去中心化应用程序/协议和博弈论机制的研究计划”。根据Mushegian的帐户,他已捐赠了3200枚MKR(130万美元),并“非正式地承诺”将捐赠另外6800枚MKR(290万美元)。[2020/1/3]

安全多重认证的Zodiac模块

技术漏洞

智能合约的漏洞是许多协议的头疼之处--包括治理协议。许多治理合约作为一个链上投票机制存在,以执行一组给定的指令。只要链上有任何代码,就有可能出现技术漏洞。

这种风险的一个显着例子是价值2200万美元的Compound治理漏洞。Compound系统在负责分配流动性挖矿奖励的合约中存在缺陷。

唯一有权更改受影响合约的合约是总督合约,这意味着只有治理投票才能影响修补错误合约的变更。

缓慢的治理过程阻碍了修复漏洞和阻止资金流动。幸运的是,对于Compound团队来说,响应尽可能快,治理系统也以尽可能快的方式做出反应。

从另一个角度来看,合约完全按照规则执行包括漏洞。只是人类认为合约的目的与实际合约的编码不一致。

无论我们每个人的想法是对还是错,事实仍然是,人类认为一段代码可以做什么与它意味着做什么之间总是存在差异。令人震惊的现实是,我们常常直到为时已晚才意识到这一点。

社会漏洞

除了技术方面,治理的社会方面也有其自身的挑战。人类自然比代码复杂。

Snapshot:链下投票工具

链上vs链下投票:如上所述,协议治理行为应该最小化到绝对基础。链上投票应该影响链上合约,链下投票被指定用于人们可以在社会上达成一致的项目。我经常看到数百个链上投票可以轻松达成软共识。与标准运营项目相比,这自然会降低重要投票的重要性。

投票的机制和过程。虽然不是所有的投票过程都遵循这一趋势,但有足够的方法值得警惕。在某些情况下,链外的"温度"检查导致了链上的投票,并由多重签名的人执行。

作为从链上投票到的步骤,这毫无意义。要么放弃链上部分,让可信的多重签名管理软共识,要么让链上投票触发必要的行动。

治理过程中最有价值的项目是合格选民的注意力:更多的选票导致选民冷漠和较低的长期投票率。确保声音有意义,切中要点,达到全面投票的水准,才能确保您的投票结果。

法定人数和需要多少参与:正如我们在上一篇文章中所写的那样,选民参与和组织规模之间存在权衡。然而,在权力下放和一小群创始团队成员简单地推翻投票的能力之间也存在权衡。如果令牌没有充分分散,一个团队可以达到投票的法定人数要求。

选民的专业知识:最高的治理风险之一是选民必须具备的专业知识水平才能做出明智的选择。在很多情况下,用户可以廉价获得治理代币并有资格投票。选民不确定他们投票的内容是什么,他们要么弃权,要么根据其他人的倾向做出最受欢迎的决定。这不会导致足够去中心化和具有代表性的投票。

经济漏洞

经济利用是指攻击者可以部署资金来接管投票过程。在大多数情况下,治理是通过可以购买的代币完成的。这意味着获得通过投票份额的成本。

如果我们看一些理论上的数字,一个国库将需要拥有任何其他协议的至少50%的投票供应价值来完成这种利用。由于一些国库的规模比其他国库大几个数量级,这种类型的风险范围并不牵强。

幸运的是,许多协议都有足够多的代币被锁定,而流通供应不足,这样的攻击是现实的。然而,有了这个令牌,经济攻击就可以解锁时间表并随着时间的推移循环供应。

随着时间的推移,这种攻击可能不是经济上的。可能是打垮竞争对手,获得控制权以影响有争议的投票,甚至制造僵局。

在鲜为人知的协议中可以找到通过经济攻击利用协议的示例:TrueSeignorage。

TLDR版本是,由于他们的市值足够小,一个攻击购买了他们51%的投票代币。在获得代币后,攻击者发起投票,向其地址铸造11.5quintillion代币。投票自然通过了,用户可以在Pancakeswap上卖出尽可能多的代币。

攻击者从代币销售中获得的收益超过了购买通过投票的成本,而Dev钱包没有足够的资金来阻止他。

结语

治理将继续存在,我们有责任建立一个治理流程,将我们推向一个我们都希望进入的未来。了解治理系统的风险以及我们如何应对这些风险是一个不断发展的过程。一个明显的趋势是:治理系统存在缺陷,需要深思熟虑的工作才能兑现承诺。

去中心化治理仍处于起步阶段,其背后的技术也是如此。随着行业的成熟,治理攻击向量自然会消退。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金智博客

[0:15ms0-3:19ms