昨日,YamFinance成功阻止了針對其儲備資金庫的治理攻擊。在這次攻擊中,攻擊者掩人耳目地通過內部交易提交治理提案,該惡意治理提案包括一個未經驗證的合約,最終目的是將Yam的協議資金儲備轉移到攻擊者錢包。如果成功,YamFinance將損失310萬美元。
攻擊者采用的是一種非常常見的攻擊手段——治理攻擊,由于去中心化治理在DeFi協議中的廣泛應用,治理攻擊也成為黑客在鏈上獲利的主要手段之一。
區塊鏈的理念是「CodeisLaw」,因此才會強依賴于鏈上治理。最簡單直接的路徑便是通過代幣來賦予持有者治理權重,往往是代幣越多,治理權重便越多。而持幣者便可以參與協議的提案和治理,提案內容可能復雜也可能簡單,通過后將影響整個協議的運行和發展。
Yam Finance提交新提案 要求切換至新治理者Alpha合約:9月22日,Yam Finance官方發文稱,YAM Deployer已提交了一份治理提案,要求切換到新的治理者Alpha合約。該合約將做兩點修改:1.將YAM部署程序地址設置為Guardian;2.限制監護人調用cancel()和abdicate()函數的操作。Yam Finance官方表示,提出該提案是出于YAM創建者之一發現了合約中存在潛在的投機機會或損害社區利益。新合同部署后,Guardian角色將可以取消被社區視作惡意的提議,比如那些允許單一參與者控制YAM協議的提議。[2020/9/22]
直觀來看,這樣是符合持幣者利益的,因為持有代幣越多,持幣者越不可能做出違背自己利益的提案和投票。但是,對于一些擁有較高鎖定價值的DeFi協議而言,只要攻擊成本低于利潤,便有人愿意嘗試。在LUNA/UST崩塌之時,Terra便停止了區塊鏈出塊,以避免在LUNA大規模增發過程中所帶來的潛在的低成本治理攻擊可能。
YAM將會在明天凌晨4點重新調整:Yam Finance發推表示:在以下條件下將有條件重新調整。主要條件是符合兩個時間函數、推遲12小時、能夠在北京時間今天16時-17時或者次日4時到5時兩個重設的窗口期內。第一次重設應該會在北京時間明天凌晨4點。(嗶嗶News)[2020/8/12]
在YamFinance這次攻擊未果的案例之外,攻擊成功的案例也不在少數。比如,今年2月15日,BuildFinance遭受治理攻擊,攻擊者通過增發代幣來獲利。攻擊成功后,攻擊者已經可以完全控制治理合約、鑄造密鑰和Treasury。在這次攻擊后,BuildFinance代幣已經失去了所有的價值,等同于歸零。
Continue Capital聯合創始人:YAM合約尚未審計資金體量卻猛增,需自行評估風險:Continue Capital聯合創始人今日在微博表示,$YAM凌晨出來,因為8個池子平均分配yam,所以最優策略是找池子資金體量小的,目前來看COMP/AMPL/LEND/SNX池子資金最少,也就意味著收益率最高,因此抵押ETH借出上述四個幣參與挖礦,可能前期是很好的策略。現在這個價格40美金,預期收益不會持續太多,向1美金回歸,剩下兩個看點是前幾次的Rebase會很高,其次是二池子YAM/yCRV的啟動,小心陷入流動性陷阱,我們對YFI MTA BAL典型的流動性陷阱相對比較熟悉了,另外合約尚未審計,資金體量卻猛增,自己評估風險。
此前消息,DeFi項目Yam于北京時間8月12日3:00啟動。盡管該項目的博客文章警告稱,尚未對其合約進行任何審計,但Yield farmers(即通過為DeFi提供流動性賺取收益的人)在不到一小時內向該項目存入了7600萬美元。[2020/8/12]
除了通過掌握大量代幣來進行攻擊外,黑客也會通過增加某一時間節點的提案數量、偽裝成正常治理提案來增加提案通過的可能性。
去年圣誕節,Terra公鏈上的合成資產協議Mirror也經歷了一次非常嚴峻的考驗。攻擊者準備充分,通過以下四點來增加提案通過的可能性,目標利潤是價值3800萬美元的MIR代幣:-攻擊者準備了價值上百萬美元的MIR代幣;-攻擊時間節點是圣誕節,大多數持幣者更關心生活中的事情,而非鏈上;-將提案偽裝成「與Solana進行深度合作」;-同時發起了多個提案,渾水摸魚。
對此,MakerDAO創始人RuneChristensen認為,「目前,DAO的“基本博弈論問題”是治理攻擊之類的問題。簡單地說,如果有人真的控制了大多數有投票權的股份,比如在DeFi中,他們可以直接竊取協議中的所有資產。」
這是一種擔憂,另外一種廣泛的擔憂是投資者對于治理代幣本身價值的質疑。對于大多數DeFi協議而言,使用代幣數量來簡單判定治理權重多寡的行為是一種捷徑,且更多協議在治理層面創新很少,大多是在Fork前人。當然,在治理層面也不乏創新者,比如Curve推出了veToken的治理模式,AC在veToken的基礎上推出了veNFT,Layer2Optimism也在通過原生代幣OP將治理分層。
最值得擔憂的是,在進入熊市周期后,由于代幣價值的降低,攻擊成本會更低,治理攻擊數量可能會成倍增長。風險驟增的情況下,大概率會推動開發者/項目團隊在治理層面的更多思考,發掘代幣在治理層面的潛力,推出更多有意思的代幣治理實例。
Tags:YAMNCEANCFINBabyAMAYFDai FinanceiYearn Financevelodromefinance幣新聞
一、中國數字藏品行業生態演進:合規化,差異化中辦國辦定調鼓勵文化數字創新業務,行業形成自律規范數字藏品作為新興產業,在我國尚未搭建由上至下完善的監管機制.
1900/1/1 0:00:00紐約,2022年6月28日/美通社/Dfinity基金會今天對《紐約時報》記者AndrewRossSorkin和EphratLivni以及Arkham的創始人兼首席執行官MiguelMorel和.
1900/1/1 0:00:00頭條 ▌報告:以太坊2.0質押者的未實現平均損失為55%金色財經報道,ETH2.0存款合約鎖定的總價值繼續創下新高,截至7月5日,質押ETH2.0存款合約地址數量超過13,000,000個.
1900/1/1 0:00:00作者:VICOINDAO數據安全促使去中心化身份成為下一風口賽道,基于Web3?DID的應用產品將大放異彩.
1900/1/1 0:00:00隨著區塊鏈的出現和發展,世界開始在很多行業中追求開放、透明、去中心化。在短短幾年時間里,比特幣和支付系統的區塊鏈給人們提供了更多領域的用例,比如讓金融去中心化,讓藝術和創造力的世界向有才華的人開.
1900/1/1 0:00:00在下行市場中,Aave、Compound等超額抵押借貸平臺因為抵押品價值始終高于債務,平臺與用戶資金始終是安全的.
1900/1/1 0:00:00