昨日,Yam Finance成功阻止了針對其儲備資金庫的治理攻擊。在這次攻擊中,攻擊者掩人耳目地通過內部交易提交治理提案,該惡意治理提案包括一個未經驗證的合約,最終目的是將Yam的協議資金儲備轉移到攻擊者錢包。如果成功,Yam Finance將損失310萬美元。
攻擊者采用的是一種非常常見的攻擊手段——治理攻擊,由于去中心化治理在DeFi協議中的廣泛應用,治理攻擊也成為黑客在鏈上獲利的主要手段之一。
區塊鏈的理念是「Code is Law」,因此才會強依賴于鏈上治理。最簡單直接的路徑便是通過代幣來賦予持有者治理權重,往往是代幣越多,治理權重便越多。而持幣者便可以參與協議的提案和治理,提案內容可能復雜也可能簡單,通過后將影響整個協議的運行和發展。
Yam Finance社區投票決定取消Rebase機制:12月23日消息,Yam Finance社區通過投票,最終88.9萬枚YAM同意,1.96萬枚YAM反對,以97.84%的支持率決定取消Rebase機制。此前Yam Finance在進行首次Rebase時發現增發漏洞,最終導致YAM V1失敗。[2020/12/23 16:14:54]
直觀來看,這樣是符合持幣者利益的,因為持有代幣越多,持幣者越不可能做出違背自己利益的提案和投票。但是,對于一些擁有較高鎖定價值的DeFi協議而言,只要攻擊成本低于利潤,便有人愿意嘗試。在LUNA/UST崩塌之時,Terra便停止了區塊鏈出塊,以避免在LUNA大規模增發過程中所帶來的潛在的低成本治理攻擊可能。
Yam Finance社區正在開發Umbrella Protocol:11月19日,Yam Finance官方發推稱,社區已推出新協議Umbrella Protocol。據官方介紹,該協議的核心構件是MetaPool,允許那些為DeFi用戶提供保護的保險提供商將資金存入其中,從而賺取“保費”。用戶將資金存入保險池(Coverage Pool)后收到ERC20代幣,以追蹤存款的基礎余額。若發生漏洞攻擊等事件,用戶可向MetaPool提交索賠。索賠金額將等于抵押資金+(MetaPool-其他保險池未受影響的資金)。官方表示,目前正在完成Umbrella Protocol協議代碼的alpha版本的開發工作,之后將與Yam社區進行內部測試。測試后,可能會對具體設計進行修改。[2020/11/19 21:18:18]
在Yam Finance這次攻擊未果的案例之外,攻擊成功的案例也不在少數。比如,今年2月15日,Build Finance遭受治理攻擊,攻擊者通過增發代幣來獲利。攻擊成功后,攻擊者已經可以完全控制治理合約、鑄造密鑰和Treasury。在這次攻擊后,Build Finance代幣已經失去了所有的價值,等同于歸零。
Yam Finance公布YAMv1及v2代幣地址 并提醒用戶謹防騙局:9月21日早間,Yam Finance官方于推特上公布YAMv1及YAMv2代幣地址,并提醒稱,用戶需要謹防騙局。若在遷移前已有YAMv1代幣,可與官方聯系討論處理相關事務;若有YAMv2代幣,請通過官方接口進行遷移。[2020/9/21]
除了通過掌握大量代幣來進行攻擊外,黑客也會通過增加某一時間節點的提案數量、偽裝成正常治理提案來增加提案通過的可能性。
去年圣誕節,Terra公鏈上的合成資產協議Mirror也經歷了一次非常嚴峻的考驗。攻擊者準備充分,通過以下四點來增加提案通過的可能性,目標利潤是價值3800萬美元的MIR代幣:- 攻擊者準備了價值上百萬美元的MIR代幣;- 攻擊時間節點是圣誕節,大多數持幣者更關心生活中的事情,而非鏈上;- 將提案偽裝成「與Solana進行深度合作」;- 同時發起了多個提案,渾水摸魚。
對此,MakerDAO創始人Rune Christensen認為,「目前,DAO的“基本博弈論問題”是治理攻擊之類的問題。簡單地說,如果有人真的控制了大多數有投票權的股份,比如在DeFi中,他們可以直接竊取協議中的所有資產。」
這是一種擔憂,另外一種廣泛的擔憂是投資者對于治理代幣本身價值的質疑。對于大多數DeFi協議而言,使用代幣數量來簡單判定治理權重多寡的行為是一種捷徑,且更多協議在治理層面創新很少,大多是在Fork前人。當然,在治理層面也不乏創新者,比如Curve推出了veToken的治理模式,AC在veToken的基礎上推出了veNFT,Layer2 Optimism也在通過原生代幣OP將治理分層。
最值得擔憂的是,在進入熊市周期后,由于代幣價值的降低,攻擊成本會更低,治理攻擊數量可能會成倍增長。風險驟增的情況下,大概率會推動開發者/項目團隊在治理層面的更多思考,發掘代幣在治理層面的潛力,推出更多有意思的代幣治理實例。
Tags:YAMFINNANFINAYAMV2Minions FinanceSteakHut FinanceBafi Finance Token
數據流通行業進入密態時代,可信隱私計算將成為未來十幾年互聯網重點關注的領域。7 月 4 日,螞蟻集團宣布面向全球開發者正式開源可信隱私計算框架 “隱語”.
1900/1/1 0:00:00原文標題:《IOSG Weekly Brief|多鏈生態:我們的當前階段與未來格局 #13》 撰文:Jiawei Composable Finance 提出了跨鏈互操作性的五個發展階段:0-20.
1900/1/1 0:00:00撰文:Lucy Harley-McKeown, The Block 編譯:麟奇,鏈捕手 無聊猿出現地悄無聲息,目前已發展成一種超越加密圈的現象級文化.
1900/1/1 0:00:00金色數藏聯合元気星空,攜手知名星座娛樂頭部IP同道大叔,推出同道大叔十二星座夏日限定《嘻哈一夏》數字藏品,7月8日將正式上線【金色數藏】平臺進行公開發售.
1900/1/1 0:00:00以太坊合并是加密歷史上最強大的催化劑之一,它的到來正在迅速逼近。隨著以太坊逐漸走向工作量證明(PoW)機制的終局,我們有必要了解一下以太坊合并后的 PoS 時代的 10 個重要特征:以太坊合并(.
1900/1/1 0:00:007月13日,在2022年隱私計算大會上,中國信通院公布第六批可信隱私計算評測結果。結果顯示,共計34家企業的產品通過評測.
1900/1/1 0:00:00