VER:避免治理攻擊，藍籌 DeFi 的治理經驗_Clover Finance

作者：0xEdwardyw，Tokeninsight

加密領域針對協議的攻擊不時都會出現，其中之一是治理攻擊。攻擊者成功取得協議的治理權，鑄造大量通證以及盜取全部協議金庫資產。最近一次事件就在2月份，一個風險投資DAO-BuildFinance遭遇了治理攻擊導致協議徹底失敗。這篇文章會對幾個藍籌DeFi的治理機制進行對比介紹，看看它們是如何避免治理攻擊。

不同級別的去中心化治理程度

Source:OurNetwork:DeepDive#2–GovernanceExtractableValue

一個協議發展的早期，控制權往往是由開發團隊管理的，并且是由單一密鑰控制，這種情況下不會存在治理攻擊的可能性。隨著協議的發展，開發團隊把一部分控制權逐漸分散出去，協議變成由多簽的形式管理。控制多簽的人可能包括開發團隊、社區的重要參與者、或者主要投資機構等等。這種情況同團隊完全控制協議在本質上沒有不同，都是由可信任的利益相關方一起治理，治理攻擊依然不可能出現。

隨著協議進一步向去中心化治理發展，發行治理通證將治理權完全分散給治理通證持有者，協議的重要改變由治理通證在鏈上投票決定，投票通過的治理提案按照預先設定的程序自動執行，這個時候治理攻擊的問題才會出現，協議需要仔細的設計治理機制來避免治理攻擊的發生。

Paradigm：為避免SEC將穩定幣定義為證券，已在Terra案中提交法庭之友簡報:4月25日消息，Paradigm法律負責人Rodrigo在推特上表示：“Paradigm在美SEC對Terra和Do Kwon的訴訟中提交了一份法庭之友簡報，Paradigm并不是Terra的投資者，我們提交的簡報也不支持任何一方的動議，我們唯一的興趣是反擊SEC繼續擴大其對加密貨幣管轄權的企圖。”Rodrigo提到：“通過對Terra的執法行動，SEC試圖通過推進一種無限的理論，將穩定幣納入其職權范圍，即如果任何工具都可以被交易為所謂的“加密資產證券”，那么該工具本身就會成為“加密資產證券”。我們的簡報重點是回應SEC的新理論，即算法穩定幣UST是一種證券。SEC關于UST的理論是對訴訟中核心主張的補充。盡管如此，我們認為至關重要的是，負責此案的法官Rakoff避免無意中支持這一未經支持的理論，美國證券交易委員會可以尋求將其廣泛應用于其他穩定幣。”[2023/4/25 14:25:14]

BuildFinance的治理攻擊實例

BuildFinance是一個由DAO進行治理的協議，治理通證持有者可以投票鑄造通證和使用金庫。2月9日，在協議的Discord中,社區的調解人發言通知有人發起了惡意的治理提案，如果提案通過將導致該攻擊者自由鑄造協議通證。社區成功投票否決了這個提案，第一次治理攻擊沒有成功。

分析：《時代》雜志NFT 1分鐘內售罄，公平的Drop應避免使用先到先得拍賣:9月24日消息，《時代》雜志發售的4676枚NFT在一分鐘內售罄，快速交易Gas費用一度達9000 gwei。鑄造完成后，大約有700個NFT持有者。

Paradigm研究員Anish Agnihotri聲稱機器人在起作用。Agnihorti發推稱，《時代》雜志NFT拍賣在1分鐘內售罄。為什么呢？許多人提前知道主網部署，并且能夠提前計劃利用機器人實現交易。人們是如何找到合約的？1. 網站源代碼有Rinkeby部署地址；2. 找到Rinkeby合約的所有測試網Minter；3. 核對主網上的測試網Minter地址；4. 從一個地址找到主網合約部署；5. 合約已被驗證。如果NFT開發者們想爭取實現公平，可以試試這樣：限制每個錢包的鑄造數量；使用未鏈接的不同地址進行部署；直到鑄造開始前才驗證合約；最重要的是不使用先到先得（FCFS）拍賣。一般來說，這并不是本次Drop獨有的問題。任何先到先得的NFT Drop都必然會經歷同樣程度的機器人活動，并將拍賣推向Gas市場。額外的鏈上或鏈下信息只會讓機器人活動更容易。（The Block）[2021/9/24 17:02:56]

攻擊者把持有的通證轉入了另一個錢包，第二次發起了提案。這一次，協議的Discord機器人沒有偵測到新的提案。這一次治理提案在社區沒有人注意到的情況下在2月10日獲得了通過。

俄羅斯外交部長：加密貨幣將在國際結算中占據重要地位的時刻會“不可避免地”到來:俄羅斯外交部長謝爾蓋?拉夫羅夫表示，加密貨幣將在國際結算中占據重要地位的時刻會“不可避免地”到來。（衛星新聞）[2021/6/9 23:24:41]

Build協議有兩天的時間鎖，治理攻擊的提案在2月10日通過，開發團隊直到2月14日在Twitter上宣告攻擊者完全控制了DAO和通證鑄造權，并且鑄造了110萬通證。攻擊者將所有新通證在DEX上拋售，協議通證已一文不值。

根據BuildFinance在其Medium頁面的介紹，協議采用了GovernorBravo治理機制。GovernorBravo是由CompoundFinance創建的一套成功的治理機制，被很多藍籌DeFi采用，包括了Uniswap和AAVE。

GovernorBravo允許轉移協議的控制權和金庫資金，所以攻擊者有機會獲得協議的全部治理權。盡管被藍籌DeFi協議廣泛的采用，這套治理機制本身并不可以阻止治理攻擊的發生。

成功的治理模型GovernorAlpha&Bravo

CompoundFinance的GovernorAlpha以及更新版本GovernorBravo治理模型被很多DeFi協議廣泛使用。GovernorBravo的治理流程如下：

網絡安全評論員：使用區塊鏈技術可避免推特黑客入侵:7月18日消息，網絡安全評論員Joe Tidy為英國廣播公司（BBC）撰寫的文章指出，推特被黑事件意味著推特平臺自身有問題，即使推特繼續在其系統周圍構建網絡安全墻，它也會變得更加復雜和昂貴，但并不安全。當前的中心化服務范式無法為用戶的身份驗證提供更安全的解決方案。隨后，Tidy以澳大利亞和歐洲的經驗為例，通過介紹如何使用區塊鏈技術保護公鑰證書免受分布式拒絕服務和中間人攻擊，建議軟件和社交媒體巨頭應做出改變以提高安全標準。（Cointelegraph）[2020/7/19]

Source:Compound

治理提案的提出需要65,000$COMP，提出的提案有兩天的審查期。之后進入3天的投票期，如果有超過一半的同意票，且不少于400,000的投票數，提案獲得通過并進入時間鎖。時間鎖為2天，之后提案會被協議自動執行。

Uniswap使用GovernorBravo治理機制，治理的流程與Compound類似。Uniswap大幅提高了提出治理提案與治理提案的通過門檻。提出提案需要250萬$UNI通證，按照2月21日價格這大約是2,500萬美元。總投票數需要達到4,000萬$UNI，接近4億美元的價值。

AAVE–GovernorBravo修改版

聲音 | 陳磊：避免國內區塊鏈出現問題要與政府部門和專業機構積極溝通合作:據新華網消息，言及如何避免國內區塊鏈和云計算市場出現的問題時，陳磊給出了四點建議：首先，要持續進行用戶教育，讓投機和炒作從根源上失去土壤。其次，與政府部門和專業機構積極溝通合作，向有關部門及時反饋違法網站、交易平臺異樣等信息。第三，通過市場運營的手段預防和打擊投機炒作。第四，創新技術手段是與投機行為做斗爭的最有力工具。[2018/9/7]

AAVE的治理模型與GovernorBravo類似，但是增加了兩個元素。第一是將時間鎖分為快與慢兩種。重要性較低、風險較低的治理提案可以通過快時間鎖，快速得到執行。而影響重大的提案則需要經過慢時間鎖，讓社區有更多的時間做出反應。比如說一個治理攻擊提案被通過了，慢時間鎖讓社區有充足時間決定怎么補救，要不要將整個協議fork一個新地址。

Source

另一個重要的元素是AAVE的多簽衛士。在Governor機制里，是有一個Pause功能的。Pause可以暫停協議的鑄造、借款、轉移、清算這些功能，但是Pause沒辦法阻止治理攻擊者用足夠多的通證來通過一項治理提案。AAVE的衛士功能允許直接取消一個提案，只要這個提案還沒有被執行，在整個流程的任何一點都可以直接取消。衛士功能可以最有效的阻止任何惡意治理提案。

安全措施

GovernorBravo的很多元素已經是治理領域的黃金標準，不論其他協議采用了多么不同的治理機制，都或多或少的包含了這些元素。

1.時間鎖：幾乎所有協議的采用了時間鎖。提案通過后與被系統執行之間的緩沖時間給予社區和通證持有者做出反應的時間。理論上，如果協議的使用者和通證的持有者對于某一提案有相反的看法，可以在時間鎖期間內退出協議以及賣出通證。時間鎖越長對于協議的保護越強，但是過長的時間鎖會導致當突發系統問題出現時，沒有辦法在短時間內修復。

2.對提案通過設定高要求：Uniswap的例子中，通過提案所需要的通證價值非常高，進行治理攻擊的成本極高。而且，Uniswap的金庫中全部為$UNI通證，就算攻擊成功，拿到了金庫控制權，$UNI的市場價會迅速下跌導致攻擊者的收益未必能高過前期所付出的成本。

Source:TokeninsightAnnualDeFireport

3.多簽護衛：只要惡意治理提案被發現，這是最有效阻止治理攻擊的方法。但是在一個去中心化治理的框架中，應該把這種過大的權利賦予給誰是一個問題。AAVE采用社區投票來決定10個護衛成員，在其中5個同意的情況下可以否決任何提案。

MakerDAO的投票機制

MakerDAO有一個和上述Governor治理機制完全不同的投票方式。在Governor中，治理通證持有者對某一項治理提案進行投票，無論最終通過還是否決，這一個投票流程都會終止，治理通證也會返還。

MakerDAO使用持續的同意投票制(continuousapprovalvoting)。特點在于你對某一個提案用治理通證$MKR進行投票，當這個提案獲得通過及執行后，你的$MKR仍然在這個提案內，而不會像其他投票機制會將治理通證自動退還。你持有的$MKR僅能對某一提案進行投票，無法復投。因此如果你想對新的提案進行投票時，需要手動將$MKR從舊的提案中取出來。

新的提案獲得通過的條件是投票的數量超過前一個成功獲得通過的提案。

Source:MakerDao

例如2022年2月25日的提案收到82,001.5$MKR的投票，并且獲得通過等待執行。如果此時有新的提案需要進行投票，通過新提案所需要的票數便是82,001.5$MKR。

更早之前已經獲得投票通過并且已經執行的提案，例如2022年1月24日獲得通過并且在1月26日已執行的提案。我們可以看到仍有20,050個$MKR留存在這個提案里沒有被手動取出。

這種投票方法增大了新提案通過的門檻。由于很多$MKR留存在舊的提案里，市場上可用來投票的通證數量相應的變少了，新提案要獲得通過需要吸引用戶把票從舊的提案中手動取出來。

Curve的Vote-Lock治理機制

在GovernorBravo和MakerDAO的持續同意投票制，每一個治理通證代表一票。治理通證可以在公開市場交易，也可以從借貸協議中借出。理論上，只要有足夠的抵押品，例如$ETH，就可以借到足夠多的治理通證，例如$UNI。可以用借來的治理通證發起治理攻擊，這樣就無需擔心成本的問題，如果$UNI跌倒一文不值，攻擊者可以無成本還回給借貸協議。

在vote-lock機制里，治理通證本身沒有投票權，需要將$CRV質押鎖定為veCRV才獲得投票權。鎖定期可以長達4年，鎖定期越長，投票權越大，投票權會隨著鎖定期時間流逝而減少。這令從市場上借來$CRV投票的可行性大大降低。

ve機制廣受歡迎

自去年開始，veto-lock(ve機制)這種治理機制熱度快速提升，受到很多新項目的采用。其中一個例子是IzumiFinance，主打流動性即服務的項目。與Curve相似，Izumi有兩類通證，$iZi和veiZi。$iZi持有者質押鎖定后獲得有治理權的veiZi，veiZi無法交易和轉讓。治理權和鎖定期成比例變化。

新型ve機制的出現

原始的ve機制無法交易和轉讓，近期像IzumiFinance和AndreCronje支持的Solidly項目開始嘗試一個新模式，veNFT。

IzumiFinance的$iZi質押鎖定后獲得的將是veiZiNFT。原本的治理通證依然無法交易，但是代表治理權的NFT可以在NFT市場，例如Opensea進行交易。這個方法解決了ve機制資本利用效率低的問題，但是會對治理安全產生什么影響還沒有出現相關的討論。

結語

藍籌DeFi協議所使用的治理機制都經受了時間的考驗，但他們并非完美，問題還是會時不時出現。沒有100%安全的治理機制，安全性是由不同類別的機制組合在一起達成的。這包括了一個好的治理機制，一個活躍的社區，以及一個經濟激勵機制來反激勵治理攻擊，讓攻擊的潛在收益無法覆蓋成本。

在風險管理領域，有一個瑞士奶酪理論。奶酪的每一切片就像是一個風控措施，但是每一個切片都有眾多小孔，就像每一個措施都有其弱點。當把這些奶酪切片堆積在一起時，其他切片就可以覆蓋別的切片上的小孔，風險事件穿透所有切片的幾率大幅降低。

Source:https://thedecisionlab.com/reference-guide/management/swiss-cheese-model/

就像BuildFinance，攻擊者的第一次治理攻擊成功被社區否決，第二次攻擊由于社區沒有注意到才導致了提案被通過。一個活躍的社區就是一道風險防線，讓這類攻擊無法成功。又比如發起治理攻擊的成本過大，可能根本不會有人做出嘗試。

點擊下載TokenInsight?APP

Tags：ERNGOVVERRNOMagic Internet MoneyPlaceWar GovernanceClover FinanceKISHIBURNO幣

抹茶交易所