Przegląd ataku na zarządzanie COMP o wartości 2500 dolarów. Dlaczego protokół DeFi był wielokrotnie atakowany przez DAO?

Autor: Grejpfrut, ChainCatcher
Redaktor: Marco, ChainCatcher
 
29 lipca społeczność głosowała za „legalnym” przeniesieniem „499 000 tokenów COMP o wartości 25 milionów dolarów” ze skarbca Compound na nieznany i niemożliwy do monitorowania adres z wieloma podpisami, co wywołało atak zarządzania DAO.
Po przyjęciu propozycji transferu COMP cena tokena COMP spadła w ciągu 24 godzin o prawie 7%, z 50 dolarów do 46,6 dolarów.
30 lipca specjalista ds. rozwoju Compound Bryan Colligan powiedział, że po skontaktowaniu się z gigantem stojącym za tą propozycją, wprowadzono na rynek Stake COMP (określany jako stCOMP), produkt będący gwarancją tokenów COMP. Ten produkt będzie kontrolowany przez Compound DAO protokół złożony będzie w przyszłości co roku tworzył nowe tokeny. 30% zwiększonych rezerw rynkowych zostanie rozdzielonych pomiędzy udziałowcami COMP jako warunek anulowania propozycji.
Obecnie propozycja „przelewu Comp o wartości 24 mln USD” 289 została anulowana. Pod wpływem tej wiadomości token COMP wzrósł w ciągu dnia o ponad 13% i obecnie jest wyceniany na 51,4 USD.
Początek i koniec przeglądu burzy: Ostatecznie przyjęto trzy propozycje
29 lipca propozycja przeniesienia aktywów skarbowych COMP, przegłosowana przez społeczność Compound zajmującą się protokołem pożyczkowym DeFi, wywołała oskarżenia członków społeczności o ataki na zarządzanie. Propozycja 289 proponuje przeniesienie 5% środków skarbowych Compound (499 000 tokenów COMP o wartości około 24 milionów dolarów) do goldCOMP, protokołu rentowności zaprojektowanego przez Golden Boys, na okres jednego roku.
Po uporządkowaniu propozycji stwierdzono, że propozycja „przeniesienia 499 000 tokenów COMP do nowego protokołu” nie została przyjęta z dnia na dzień. Dwukrotnie została anulowana, a motywy zostały zakwestionowane. Dopiero przy trzeciej propozycji została ona prawie zaakceptowana .
Propozycja „zainwestowania 5% COMP w skarbcu w protokół goldCOMP” pojawiła się po raz pierwszy w Propozycji 247 z 6 maja. Propozycja zalecała, aby skarb Compound zainwestował 5% swoich udziałów w COMP w protokół goldCOMP stworzony przez Golden Boys. , ale zostało odwołane, ponieważ liczba uczestników głosowania nad wnioskiem nie osiągnęła kworum.
15 lipca ponownie pojawiła się propozycja społeczności 279 „Utworzenie trustu dla GoldCOMP zainwestowanego w DAO”. W propozycji stwierdzono, że protokół goldCOMP stworzony przez Golden Boys może zapewnić dochód agentowi COMP i zaproponowano przeniesienie 92 000 COMP do skarbca niniejszej umowy, przez okres jednego roku, uzyskiwać dochód. Propozycję odrzucono 20 lipca ze względu na brak kworum.
24 lipca w Propozycji 289 ponownie pojawiła się informacja „Trust Setup for DAO Investment in GoldCOMP”. Propozycja przewidywała zainwestowanie 499 000 tokenów COMP w skarbcu w protokół GoldCOMP na okres jednego roku.
Jednak po opublikowaniu Propozycji 247 w maju firma OpenZeppelin zajmująca się bezpieczeństwem zasugerowała na forum społeczności, że może to być atak na zarządzanie.
Wyjaśnił, że w Propozycji 247 zaproponowano przeniesienie 5% tokenów COMP w skarbcu na podmiot wielopodpisowy, rzekomo kontrolowany przez „Złotych Chłopców” i zainwestowanie środków w protokół goldCOMP, ale wnioskodawca nie wyjaśnił, społeczność Własna tożsamość, a propozycja nie została wcześniej omówiona na forum, może to być atak na zarządzanie.
W relacji zarządczej Wintermute stwierdzono również, że bezpośrednie proponowanie propozycji w łańcuchu bez dyskusji na forum lub w społeczności jest przeciwne i nie ma wystarczającego powodu, dla którego COMP miałby zostać przeniesiony do trybu wielu podpisów i wymknąć się spod kontroli DAO.
W późniejszej propozycji „utworzenia trustu” Wintermute zakwestionował, czy działanie to faktycznie uniemożliwiło transfer środków, pisząc, że jakakolwiek forma wycofania środków (zbycia) jest całkowicie kontrolowana przez GoldenBoyzMultisig, co oznacza, że ​​DAO nie może samodzielnie wycofać środków.
Po wielu przeszkodach i wątpliwościach propozycja „zainwestowania 499 000 tokenów COMP w protokół GoldCOMP” została ostatecznie zatwierdzona 29 lipca większością 682 000 głosów za i 633 000 głosów przeciw.
Chociaż propozycja jest procesem prawnym, użytkownicy społeczności Compound mają wiele pytań i wątpliwości związanych z przyjęciem propozycji „499 000 COMP zostało przeniesionych na nieznany protokół”. Dlaczego propozycja przeniesienia aktywów skarbowych COMP została przyjęta bez publicznej dyskusji na forum społeczności ? Czy głosowanie zostało sfałszowane? Jak bezpieczny jest token COMP w protokole goldCOMP? Czy zabierze pieniądze i ucieknie? itp.
Michael Lewellen, architekt rozwiązań bezpieczeństwa w OpenZeppelin i konsultant ds. bezpieczeństwa w Compound, zwrócił uwagę na propozycje produktów i wymusza proces zatwierdzania propozycji, kontrolując liczbę tokenów COMP.
Następnie ujawniono, że przyczyną 289 w społeczności Compound był Humpy, gigantyczny wieloryb, manipulujący kierunkiem głosowania w celu uzyskania bardziej osobistych korzyści poprzez wykorzystanie procesu zarządzania DAO.
Humpy wykorzystał swoją siłę głosu, aby wpłacić 25 milionów dolarów ze skarbca Compound bezpośrednio do własnego skarbca goldCOMP dla społeczności Golden Boys. Wśród nich społeczność Golden Boys wyemitowała także token zarządzający GOLD. Po incydencie ze Compound jego wartość podwoiła się tego dnia o ponad 46%, przynosząc ogromne zyski.
Dlaczego protokoły DeFi wielokrotnie spotykają się z atakami związanymi z zarządzaniem? Jak tego uniknąć?
Chociaż zachowanie Humpy'ego jest zgodne z prawem, rodzi pytania dotyczące zarządzania zdecentralizowanymi DAO. Gigantyczne wieloryby mogą wpływać na kierunek decyzji, aby uzyskać dla siebie znaczące korzyści poprzez kontrolowanie kierunku głosowania.
Chociaż firma Compound ostatecznie ogłosiła, że ​​anuluje Propozycję 289 pod warunkiem uruchomienia produktu stCOMP stanowiącego zobowiązanie do tokena COMP, przekształciłoby to kryzys związany z atakami w zakresie zarządzania we wzmocnienie scenariuszy stosowania tokenów COMP i dochodów. Na przykład przyszłe dochody z protokołu zostaną nagrodzone forma COMP. (Redukcja rezerw DAO) W przypadku użytkowników staków COMP dochód Compound jest powiązany z ceną COMP itp. i spotkał się z pozytywnymi opiniami użytkowników. Jednak tego typu atak zarządczy nie jest pierwszym przypadkiem w aplikacjach DeFi , i nie będzie to ostatni.
Już w 2022 roku Humpy kontrolował token veBAL protokołu DeFi Balancer, aby wpływać na kierunek emisji i wydawania tokenów protokołu, osiągając własne zyski i grając w kotka i myszkę ze stroną projektu.
W marcu tego roku Humpy został również oskarżony o rozpoczęcie ataku przez Jareda Graya z SushiSwap. Powiedział, że jeśli atak na zarządzanie Humpy się powiedzie, spowoduje to zmniejszenie wartości Sushi poprzez zwiększenie emisji tokenów SUSUI.
Dlaczego takie zarządzanie występuje wielokrotnie w protokołach DeFi. Jak uniknąć podobnych ataków DAO i zachowań związanych z porwaniem?
Użytkownik Crypto, Esk3nder, powiedział, że obecnie istnieją dwie formy ataków związanych z zarządzaniem DeFi DAO. Jedna ma charakter finansowy, a jej głównym celem jest uzyskanie środków ze skarbu państwa; druga to forma ataku dotycząca zarządzania, kontrolowana głównie poprzez zwiększenie praw głosu Zarządzanie.
Wśród nich ataki Humpy'ego na Balancer i SushiSwap są próbami uzyskania większej ilości środków poprzez kontrolowanie emisji tokenów protokołu, podczas gdy atak na Compound ma na celu wywarcie wpływu na proces decyzyjny poprzez kontrolowanie praw głosu, co będzie miało większy wpływ na protokół.
Użytkownik SOSE stwierdził, że ataki zarządcze na protokoły DeFi są bardziej powiązane z nieudaną strategią ekonomii tokenów DeFi. Weźmy na przykład ten atak złożony. Wartość tokena COMP spada od 2021 r., co jest również reprezentatywnym przypadkiem upadku DeFi. Spadek wartości tokena COMP ułatwia gromadzenie tokenów, ułatwiając ich istnienie kontrolowane przez dużych inwestorów Obecnie prawa do zarządzania protokołami DeFi są często określane na podstawie wagi posiadanych tokenów, co nieuchronnie stanie się grą nastawiona na zysk dla dużych inwestorów.
Chociaż w celu anulowania Propozycji 289 plan zastawu stCOMP zaproponowany przez Compound przyniósł nowe zmiany w gospodarce tokenów COMP, takie jak krótkoterminowe zmniejszenie płynności sprzedawcy spowodowane zastawem COMP, dochód protokołu Compound jest powiązany z Cena COMP itp. i w społeczności osiągnięto konsensus. Jednak z punktu widzenia Compound DAO jest to zachowanie wymuszone i nadal istnieje duża szansa, że ​​Humpy ponownie skorzysta na tej sytuacji.
Przypomniał, że DeFi DAO powinno rozważyć strategie radzenia sobie z atakami na zarządzanie i ekonomią tokenów w oparciu o te przypadki.
Starszy gracz DeFi @DefiIgnas uważa, że ​​bierność oficjalnej organizacji DAO protokołu DeFi jest jeszcze bardziej irytująca. Wyjaśnił, że wiele propozycji dotyczących Compound zostało przyjętych po cichu, jak np. rynek USDT uruchomiony przez V3 w lipcu. Teraz Compound jest oficjalnie społecznościowy media nawet nie przesłały odpowiednich propozycji, co spowodowało, że wiele delegacji DAO opuściło głosowanie nad odpowiednimi propozycjami. Kluczowe znaczenie ma teraz to, jak zachęcić więcej osób z organizacji DAO do udziału.
Odkryj więcej od twórcy

Najnowsze wiadomości
