昨日,YamFinance成功阻止了针对其储备资金库的治理攻击。在这次攻击中,攻击者掩人耳目地通过内部交易提交治理提案,该恶意治理提案包括一个未经验证的合约,最终目的是将Yam的协议资金储备转移到攻击者钱包。如果成功,YamFinance将损失310万美元。
攻击者采用的是一种非常常见的攻击手段——治理攻击,由于去中心化治理在DeFi协议中的广泛应用,治理攻击也成为黑客在链上获利的主要手段之一。
区块链的理念是「CodeisLaw」,因此才会强依赖于链上治理。最简单直接的路径便是通过代币来赋予持有者治理权重,往往是代币越多,治理权重便越多。而持币者便可以参与协议的提案和治理,提案内容可能复杂也可能简单,通过后将影响整个协议的运行和发展。
金色晨讯 | Tether将发行锚定离岸人民币的稳定币CNHT 杜均:抵制CNHT 不支持任何非央行的CNY数字化:1.美国证券交易委员会指控VERI代币涉嫌欺诈及操纵市场。
2.杜均:抵制CNHT,不支持任何非央行的CNY数字化。
3.Telegram计划9月1日开启TON网络公测,主网将在10月底前上线。
4.肖磊:Tether发行基于离岸人民币的稳定币,投资者所面临的系统风险也会更大。
5.西非国家塞拉利昂推出基于区块链的全国数字身份平台。
6.赵东:Tether将会发行锚定离岸人民币的稳定币CNHT。
7.印度最高法院要求央行8月22日前提交IMC加密禁令报告所有关联文件。
8.纳斯达克在其新推出的网站中添加XRP指数。
9.人民日报海外版:“数字人民币”不是虚拟货币、不是电子钱包。[2019/8/22]
直观来看,这样是符合持币者利益的,因为持有代币越多,持币者越不可能做出违背自己利益的提案和投票。但是,对于一些拥有较高锁定价值的DeFi协议而言,只要攻击成本低于利润,便有人愿意尝试。在LUNA/UST崩塌之时,Terra便停止了区块链出块,以避免在LUNA大规模增发过程中所带来的潜在的低成本治理攻击可能。
金色晨讯 | 中国央行:下半年要加快推进我国法定数字货币研发步伐:1.中国央行:下半年要加快推进我国法定数字货币研发步伐
2.法官裁定用大通银行的信用卡购买加密货币并不一定算作现金预付
3.Ikigai资产管理公司认为BTC在2020年很大可能会达到历史新高
4.fTLD Registry Services正考虑禁止加密货币服务注册域名
5.V神鼓励将比特币的闪电网络连接到以太坊
6.哥伦比亚总统杜克:哥伦比亚正在积极发展区块链等
7.前美国总统顾问:银行界希望介入并监管加密
8.灰度的27亿美元加密资产正在转向Coinbase托管
9.麻省理工学院的人工智能实验室处理了20万笔比特币交易,数据显示只有2%是“非法的”[2019/8/3]
在YamFinance这次攻击未果的案例之外,攻击成功的案例也不在少数。比如,今年2月15日,BuildFinance遭受治理攻击,攻击者通过增发代币来获利。攻击成功后,攻击者已经可以完全控制治理合约、铸造密钥和Treasury。在这次攻击后,BuildFinance代币已经失去了所有的价值,等同于归零。
Yam Finance提交第5项提案 于Yam/ETH Sushiswap池添加同步调用功能:10月4日,Yam Finance官方发推称,社区已提交第5项提案,计划在Yam/ETH(YAMv3)Sushiswap池中向Yam rabase添加附加的同步调用功能sync()。官方表示,目前Sushiswap上有一个激励池(通过SUSHI奖励)YAMv2 / ETH。而由于YAMv2代币可以用于流动性开采SUSHI,这加剧了YAMv2和YAM之间的价格差异,其中v2代币的交易价格有时比YAMv2代币高50%。而官方希望,可以在rebase期间启动调用功能sync()同步该池,以便Sushiswap将能够将其激励措施切换到YAMv3 / ETH池,以此降低YAM价格差异,并允许更多YAMv2迁移并参与社区和治理。但与此同时,官方也提醒称,不能保证Sushiswap最终会激励YAM/ETH池,因为这取决于其治理流程。
此前消息,Yam Finance已为将ETH/YAM池作为新的财政购买池、添加RageQuit功能等4大提案提交快照。[2020/10/4]
除了通过掌握大量代币来进行攻击外,黑客也会通过增加某一时间节点的提案数量、伪装成正常治理提案来增加提案通过的可能性。
去年圣诞节,Terra公链上的合成资产协议Mirror也经历了一次非常严峻的考验。攻击者准备充分,通过以下四点来增加提案通过的可能性,目标利润是价值3800万美元的MIR代币:-攻击者准备了价值上百万美元的MIR代币;-攻击时间节点是圣诞节,大多数持币者更关心生活中的事情,而非链上;-将提案伪装成「与Solana进行深度合作」;-同时发起了多个提案,浑水摸鱼。
对此,MakerDAO创始人RuneChristensen认为,「目前,DAO的“基本博弈论问题”是治理攻击之类的问题。简单地说,如果有人真的控制了大多数有投票权的股份,比如在DeFi中,他们可以直接窃取协议中的所有资产。」
这是一种担忧,另外一种广泛的担忧是投资者对于治理代币本身价值的质疑。对于大多数DeFi协议而言,使用代币数量来简单判定治理权重多寡的行为是一种捷径,且更多协议在治理层面创新很少,大多是在Fork前人。当然,在治理层面也不乏创新者,比如Curve推出了veToken的治理模式,AC在veToken的基础上推出了veNFT,Layer2Optimism也在通过原生代币OP将治理分层。
最值得担忧的是,在进入熊市周期后,由于代币价值的降低,攻击成本会更低,治理攻击数量可能会成倍增长。风险骤增的情况下,大概率会推动开发者/项目团队在治理层面的更多思考,发掘代币在治理层面的潜力,推出更多有意思的代币治理实例。
来源:金色财经
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。