Yam Finance受治理攻击后思考:我们需要更多治理代币上的创新

昨日,YamFinance成功阻止了针对其储备资金库的治理攻击。在这次攻击中,攻击者掩人耳目地通过内部交易提交治理提案,该恶意治理提案包括一个未经验证的合约,最终目的是将Yam的协议资金储备转移到攻击者钱包。如果成功,YamFinance将损失310万美元。

攻击者采用的是一种非常常见的攻击手段——治理攻击,由于去中心化治理在DeFi协议中的广泛应用,治理攻击也成为黑客在链上获利的主要手段之一。

区块链的理念是「CodeisLaw」,因此才会强依赖于链上治理。最简单直接的路径便是通过代币来赋予持有者治理权重,往往是代币越多,治理权重便越多。而持币者便可以参与协议的提案和治理,提案内容可能复杂也可能简单,通过后将影响整个协议的运行和发展。

Yam Finance和UMA合作推出Degenerative Finance:12月23日消息,Yam Finance通过Medium宣布和UMA合作推出Degenerative Finance,该产品由Yam Finance打造,建立在UMA上面。目前用户可以通过Degenerative Finance使用两者合作的首个产品uGAS。[2020/12/23 16:13:21]

直观来看,这样是符合持币者利益的,因为持有代币越多,持币者越不可能做出违背自己利益的提案和投票。但是,对于一些拥有较高锁定价值的DeFi协议而言,只要攻击成本低于利润,便有人愿意尝试。在LUNA/UST崩塌之时,Terra便停止了区块链出块,以避免在LUNA大规模增发过程中所带来的潜在的低成本治理攻击可能。

Yam Finance启动YAM代币迁移计划 持币者须在未来72小时内完成迁移:DeFi项目Yam Finance(YAM)宣布启动YAM代币迁移计划,即开始进行YAM1.0到YAM2.0的迁移过程。YAM2.0迁移智能合约已在北京时间8月20日凌晨0:20生效,并且持币用户须在未来72小时内完成迁移。8月23日凌晨0:20之后,YAM1.0代币将无法进行迁移。目前有三种迁移方式,一是通过yam.finance网站进行迁移,二是通过etherscan里面的迁移选项,三是通过DeFi资产管理平台Zapper.fi进行迁移。迁移合约的地址为0xf1d7c9E4c57a5C1902f4A4aE2630d2Da78Ffb1c1。据此前报道,YAM2.0迁移智能合约已通过PeckShield安全审计服务。[2020/8/20]

在YamFinance这次攻击未果的案例之外,攻击成功的案例也不在少数。比如,今年2月15日,BuildFinance遭受治理攻击,攻击者通过增发代币来获利。攻击成功后,攻击者已经可以完全控制治理合约、铸造密钥和Treasury。在这次攻击后,BuildFinance代币已经失去了所有的价值,等同于归零。

Yam Finance:计划设立捐赠基金,筹款达成将推出YAM 2.0:DeFi项目Yam Finance(YAM)发文描述了漏洞事件的具体细节,并进行如下表态:只要以太坊继续支持这份合约,YAM将继续生存下去。它不能再被治理修改,因此在技术层面上,它将以类似于其他rebasing资产(如AMPL)的方式运行。YAM / yCRV Uniswap V2池将永远保持不安全的状态。尽管YAM在第二次rebase前已从池中取出了75%的流动性,但任何剩余的流动性都应尽快移除。

我们相信,YAM社区应该有机会坚持下去。我们将设立Gitcoin捐赠,以协调由社区资助的对YAM合约的审计。如果资金目标达到,在审计完成后,我们计划通过从YAM的迁移合约以支持推出YAM 2.0。[2020/8/13]

除了通过掌握大量代币来进行攻击外,黑客也会通过增加某一时间节点的提案数量、伪装成正常治理提案来增加提案通过的可能性。

去年圣诞节,Terra公链上的合成资产协议Mirror也经历了一次非常严峻的考验。攻击者准备充分,通过以下四点来增加提案通过的可能性,目标利润是价值3800万美元的MIR代币:-攻击者准备了价值上百万美元的MIR代币;-攻击时间节点是圣诞节,大多数持币者更关心生活中的事情,而非链上;-将提案伪装成「与Solana进行深度合作」;-同时发起了多个提案,浑水摸鱼。

对此,MakerDAO创始人RuneChristensen认为,「目前,DAO的“基本博弈论问题”是治理攻击之类的问题。简单地说,如果有人真的控制了大多数有投票权的股份,比如在DeFi中,他们可以直接窃取协议中的所有资产。」

这是一种担忧,另外一种广泛的担忧是投资者对于治理代币本身价值的质疑。对于大多数DeFi协议而言,使用代币数量来简单判定治理权重多寡的行为是一种捷径,且更多协议在治理层面创新很少,大多是在Fork前人。当然,在治理层面也不乏创新者,比如Curve推出了veToken的治理模式,AC在veToken的基础上推出了veNFT,Layer2Optimism也在通过原生代币OP将治理分层。

最值得担忧的是,在进入熊市周期后,由于代币价值的降低,攻击成本会更低,治理攻击数量可能会成倍增长。风险骤增的情况下,大概率会推动开发者/项目团队在治理层面的更多思考,发掘代币在治理层面的潜力,推出更多有意思的代币治理实例。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

银河链

欧易okex官网后浪来袭 那些 WEB3 超级00后

一位大人物曾说过,“青年人朝气蓬勃,好像早晨八九点钟的太阳,世界归根结底是你们的。” 什么是好的投资法则? 一切都会变,但事在人为,厉害的人总会带给你惊喜,“梭哈人才”是我所坚信的投资真理.

[0:15ms0-2:498ms