DAO 治理中的攻击漏洞：技术、经济和社会面

作者：Chandler

编译：DAOctor/img/20230526101635259288/0.jpg "/>

盛见云链创始人潘东：联盟链技术+DAO理念未来会推动区块链的发展:金色财经报道，6月23日，盛见云链创始人潘东做客金色财经举办的“联盟链-创新场景应用的偶然与必然”为主题的金色沙龙第64期活动。潘东表示联盟链所面向的业务本身的特定要求、安全可靠和联盟体系等特性，作为解决一些特定领域的关键问题本身在面对问题时的资源组织效率、协作效率、共识速度、创新方向上具备独特的优势，但是因为要求了不同的专业背景、知识体系、甚至机构的资源，参与范围和传播范围有了一定限制，普通用户还没有那么快能够感受到。而且目前区块链和AI在进入实体经济领域遇到了同类问题，例如专业行业人才和信息化人才的团队融合等。联盟链技术在后续会同DAO组织的理念一同聚集和推动基于区块链技术体系搭建的专业化服务网络，更加多层次的服务市场。政府和国内主流机构提出的重塑产业链方向，也会有联盟链的巨大发展空间，而且有一天可能通过联盟链形态来链接本地化、区域化、产业内的服务设施和全球化范围的主流公有链设施。[2021/6/23 0:00:03]

安全多重认证的Zodiac模块

MakerDAO发起有关缓解闪电贷风险的执行投票:金色财经报道，据官方博客消息，治理促进者和Maker Foundation智能合约团队已将一系列执行投票纳入投票系统。其中包括：1.增加GSM暂停延迟，从12小时增加到72小时；2.取消对Oracle Freeze模块的授权；3.取消清算断路器的授权。这些更改是对闪电贷风险增加的紧急应对措施。[2020/10/31 11:16:55]

技术漏洞

智能合约的漏洞是许多协议的头疼之处--包括治理协议。许多治理合约作为一个链上投票机制存在，以执行一组给定的指令。只要链上有任何代码，就有可能出现技术漏洞。

这种风险的一个显着例子是价值2200万美元的Compound治理漏洞。Compound系统在负责分配流动性挖矿奖励的合约中存在缺陷。

唯一有权更改受影响合约的合约是总督合约，这意味着只有治理投票才能影响修补错误合约的变更。

缓慢的治理过程阻碍了修复漏洞和阻止资金流动。幸运的是，对于Compound团队来说，响应尽可能快，治理系统也以尽可能快的方式做出反应。

从另一个角度来看，合约完全按照规则执行包括漏洞。只是人类认为合约的目的与实际合约的编码不一致。

无论我们每个人的想法是对还是错，事实仍然是，人类认为一段代码可以做什么与它意味着做什么之间总是存在差异。令人震惊的现实是，我们常常直到为时已晚才意识到这一点。

社会漏洞

除了技术方面，治理的社会方面也有其自身的挑战。人类自然比代码复杂。

Snapshot：链下投票工具

链上vs链下投票：如上所述，协议治理行为应该最小化到绝对基础。链上投票应该影响链上合约，链下投票被指定用于人们可以在社会上达成一致的项目。我经常看到数百个链上投票可以轻松达成软共识。与标准运营项目相比，这自然会降低重要投票的重要性。

投票的机制和过程。虽然不是所有的投票过程都遵循这一趋势，但有足够的方法值得警惕。在某些情况下，链外的"温度"检查导致了链上的投票，并由多重签名的人执行。

作为从链上投票到的步骤，这毫无意义。要么放弃链上部分，让可信的多重签名管理软共识，要么让链上投票触发必要的行动。

治理过程中最有价值的项目是合格选民的注意力：更多的选票导致选民冷漠和较低的长期投票率。确保声音有意义，切中要点，达到全面投票的水准，才能确保您的投票结果。

法定人数和需要多少参与：正如我们在上一篇文章中所写的那样，选民参与和组织规模之间存在权衡。然而，在权力下放和一小群创始团队成员简单地推翻投票的能力之间也存在权衡。如果令牌没有充分分散，一个团队可以达到投票的法定人数要求。

选民的专业知识：最高的治理风险之一是选民必须具备的专业知识水平才能做出明智的选择。在很多情况下，用户可以廉价获得治理代币并有资格投票。选民不确定他们投票的内容是什么，他们要么弃权，要么根据其他人的倾向做出最受欢迎的决定。这不会导致足够去中心化和具有代表性的投票。

经济漏洞

经济利用是指攻击者可以部署资金来接管投票过程。在大多数情况下，治理是通过可以购买的代币完成的。这意味着获得通过投票份额的成本。

如果我们看一些理论上的数字，一个国库将需要拥有任何其他协议的至少50%的投票供应价值来完成这种利用。由于一些国库的规模比其他国库大几个数量级，这种类型的风险范围并不牵强。

幸运的是，许多协议都有足够多的代币被锁定，而流通供应不足，这样的攻击是现实的。然而，有了这个令牌，经济攻击就可以解锁时间表并随着时间的推移循环供应。

随着时间的推移，这种攻击可能不是经济上的。可能是打垮竞争对手，获得控制权以影响有争议的投票，甚至制造僵局。

在鲜为人知的协议中可以找到通过经济攻击利用协议的示例：TrueSeignorage。

TLDR版本是，由于他们的市值足够小，一个攻击购买了他们51%的投票代币。在获得代币后，攻击者发起投票，向其地址铸造11.5quintillion代币。投票自然通过了，用户可以在Pancakeswap上卖出尽可能多的代币。

攻击者从代币销售中获得的收益超过了购买通过投票的成本，而Dev钱包没有足够的资金来阻止他。

结语

治理将继续存在，我们有责任建立一个治理流程，将我们推向一个我们都希望进入的未来。了解治理系统的风险以及我们如何应对这些风险是一个不断发展的过程。一个明显的趋势是：治理系统存在缺陷，需要深思熟虑的工作才能兑现承诺。

去中心化治理仍处于起步阶段，其背后的技术也是如此。随着行业的成熟，治理攻击向量自然会消退。

标签：DAOMAKEaragon联盟链FingerprintsDAOmaker币圈PARAGON价格联盟链币有哪些

瑞波币热门资讯