作者:Chandler
编译:DAOctor/img/20230526101635259288/0.jpg "/>
安全多重认证的Zodiac模块
技术漏洞
智能合约的漏洞是许多协议的头疼之处--包括治理协议。许多治理合约作为一个链上投票机制存在,以执行一组给定的指令。只要链上有任何代码,就有可能出现技术漏洞。
MakerDAO Github管理权移交至TechOps Core Unit:2月20日消息,MakerDAO宣布,“Dai Foundation已经将MakerDAO Github组织的管理移交给TechOps Core Unit,希望减少官僚主义,让Dai Foundation进一步远离日常运营任务。”
据悉,Dai Foundation在其2022年第一季度报告中呼吁对其软件开发服务和GitHub整体管理进行临时调整。在此之前,在2021年Maker基金会解散期间,Dai Foundation临时接管MakerDAO Github存储库。
如今,TechOps Core Unit将确保对Maker Project和MakerDAO中使用的所有软件的读取权限。它还将确保所有公共存储库使用许可。(Cryptoslate)[2023/2/21 12:18:22]
这种风险的一个显着例子是价值2200万美元的Compound治理漏洞。Compound系统在负责分配流动性挖矿奖励的合约中存在缺陷。
HV Bancorp参与MakerDAO Protocol和稳定币DAI的首笔商业贷款:8月20日消息,纳斯达克上市公司HV Bancorp(HVB)宣布与MakerDAO Protocol和稳定币DAI之间进行了其首笔商业贷款业务,有效将数字货币转换为现实世界资产,为MakerDAO的稳定币DAI产生稳定的收益,同时也让HVB有机会提供商业贷款资金。通过这项交易,作为美国受监管经纪交易服务提供商的HV Bancorp将会把DAI转换为美元并存入特拉华州信托账户(DTA),MakerDAO将使用从DAI稳定币转换而来的1亿美元预先为DTA提供资金,并将这些资金的余额提供给HVB贷方,旨在让DAI得到来自美国监管金融机构的收益性商业资产支持。(FinTech Futures)[2022/8/20 12:37:37]
唯一有权更改受影响合约的合约是总督合约,这意味着只有治理投票才能影响修补错误合约的变更。
TG DAO 3.0 Launchpad宣布为加密初创公司启动孵化和加速计划:12月6日消息,去中心化聚合器TG DAO 3.0 Launchpad宣布为传统初创公司和加密初创公司启动孵化和加速计划,现已接受项目申请。早期初创企业现在可以在TG DAO 3.0进行孵化或加速,并从由25000多名成员组成的加密投资者社区获得投资。
参与该计划包括几个阶段:初始评估、对初创企业的社区投票、孵化或加速阶段,包括但不限于创建和实施金融模型、包装产品、开发代币经济以及法律和营销支持。TG DAO 3.0为参与其孵化计划的初创公司提供持续支持。孵化阶段结束后,初创公司还会在TG生态系统中获得可扩展性和网络机会,TG DAO 3.0 Launchpad是该生态系统的成员公司。
据悉,TG DAO 3.0 Launchpad是IDO Launchpad和创企孵化器的组合。(Globenewswire)[2021/12/6 12:55:00]
缓慢的治理过程阻碍了修复漏洞和阻止资金流动。幸运的是,对于Compound团队来说,响应尽可能快,治理系统也以尽可能快的方式做出反应。
从另一个角度来看,合约完全按照规则执行包括漏洞。只是人类认为合约的目的与实际合约的编码不一致。
无论我们每个人的想法是对还是错,事实仍然是,人类认为一段代码可以做什么与它意味着做什么之间总是存在差异。令人震惊的现实是,我们常常直到为时已晚才意识到这一点。
社会漏洞
除了技术方面,治理的社会方面也有其自身的挑战。人类自然比代码复杂。
Snapshot:链下投票工具
链上vs链下投票:如上所述,协议治理行为应该最小化到绝对基础。链上投票应该影响链上合约,链下投票被指定用于人们可以在社会上达成一致的项目。我经常看到数百个链上投票可以轻松达成软共识。与标准运营项目相比,这自然会降低重要投票的重要性。
投票的机制和过程。虽然不是所有的投票过程都遵循这一趋势,但有足够的方法值得警惕。在某些情况下,链外的"温度"检查导致了链上的投票,并由多重签名的人执行。
作为从链上投票到的步骤,这毫无意义。要么放弃链上部分,让可信的多重签名管理软共识,要么让链上投票触发必要的行动。
治理过程中最有价值的项目是合格选民的注意力:更多的选票导致选民冷漠和较低的长期投票率。确保声音有意义,切中要点,达到全面投票的水准,才能确保您的投票结果。
法定人数和需要多少参与:正如我们在上一篇文章中所写的那样,选民参与和组织规模之间存在权衡。然而,在权力下放和一小群创始团队成员简单地推翻投票的能力之间也存在权衡。如果令牌没有充分分散,一个团队可以达到投票的法定人数要求。
选民的专业知识:最高的治理风险之一是选民必须具备的专业知识水平才能做出明智的选择。在很多情况下,用户可以廉价获得治理代币并有资格投票。选民不确定他们投票的内容是什么,他们要么弃权,要么根据其他人的倾向做出最受欢迎的决定。这不会导致足够去中心化和具有代表性的投票。
经济漏洞
经济利用是指攻击者可以部署资金来接管投票过程。在大多数情况下,治理是通过可以购买的代币完成的。这意味着获得通过投票份额的成本。
如果我们看一些理论上的数字,一个国库将需要拥有任何其他协议的至少50%的投票供应价值来完成这种利用。由于一些国库的规模比其他国库大几个数量级,这种类型的风险范围并不牵强。
幸运的是,许多协议都有足够多的代币被锁定,而流通供应不足,这样的攻击是现实的。然而,有了这个令牌,经济攻击就可以解锁时间表并随着时间的推移循环供应。
随着时间的推移,这种攻击可能不是经济上的。可能是打垮竞争对手,获得控制权以影响有争议的投票,甚至制造僵局。
在鲜为人知的协议中可以找到通过经济攻击利用协议的示例:TrueSeignorage。
TLDR版本是,由于他们的市值足够小,一个攻击购买了他们51%的投票代币。在获得代币后,攻击者发起投票,向其地址铸造11.5quintillion代币。投票自然通过了,用户可以在Pancakeswap上卖出尽可能多的代币。
攻击者从代币销售中获得的收益超过了购买通过投票的成本,而Dev钱包没有足够的资金来阻止他。
结语
治理将继续存在,我们有责任建立一个治理流程,将我们推向一个我们都希望进入的未来。了解治理系统的风险以及我们如何应对这些风险是一个不断发展的过程。一个明显的趋势是:治理系统存在缺陷,需要深思熟虑的工作才能兑现承诺。
去中心化治理仍处于起步阶段,其背后的技术也是如此。随着行业的成熟,治理攻击向量自然会消退。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。