对DAO的恶意收购 我们能做些什么？

摘要：随着更大、更成熟的参与者和机构进入这个领域，DAO的收购频率将会增加。我们将通过几个最近的例子和一个假设的例子，即恶意收购LidoDAO(LDO)以及随后对Lido流动性质押池的吸血鬼攻击。

最近的恶意收购

以DeFi为中心、拥有大量资金的DAO的增加，这可能会导致恶意治理收购的尝试更加频繁。治理参与率极低(主要由投机性投资者推动)，迫使DAO接受较低的提案批准门槛。

4月初，DAO资金已达到近130亿美元，环比增加40亿美元。虽然我们还没有看到大量的收购，但过去几个月的两个例子预示着，随着DAO领域的价值达到前所未有的水平，将会出现一些尝试。

美国SEC首次针对DeFi项目采取执法行动:金色财经报道，美国证券交易委员会（SEC）宣布与去中心化金融项目DeFi Money Market就其提起的欺诈性发行指控达成和解，这标志着SEC首次针对DeFi项目采取执法行动。该项目的运营商Derek Acree和Gregory Keough据称通过向投资者推销mToken和DMG代币来投资者。由于价格波动，商业计划没有成功，运营商选择不向买家透露。两人并没有按DeFi Money Market声称的那样购买汽车贷款，而是将自己的资金注入该项目，以支付mToken赎回的利息，并保持欺诈计划继续进行。在不承认或否认SEC的指控的情况下，被告同意支付1,280万美元的非法所得和总计30万美元的罚款。[2021/8/6 1:39:40]

DeepDAO.io(4/4/22)

2月中旬，BuildFinance遭遇了一场治理接管，该攻击者成功通过了投票，将治理合约、铸造密钥和金库的完全控制权移交给了他人。在经历了一次失败的尝试后，攻击者将BUILD代币发送到另一个钱包，并再次提交接管提案。通过禁用gitbook和提案机器人，并因其拥有足够的代币达到最低批准，攻击者成功通过了该提案，创建了110万BUILD，并耗尽了Uniswap和Balancer上的LP池，获利50万美元。

Gelato针对DEX为开发者推出限价订单库:官方消息，以太坊智能合约自动执行工具Gelato Network针对DEX为开发者推出限价订单系统“限价订单库”（Limit Order Library），以通过全新的 limit-orders-lib和limit-orders-react 组件来消除DEX开发人员的开发障碍，从而为开发人员提供简单的一站式解决方案，使得目前的 AMM DEX可以直接实现限价单挂单交易。[2021/7/2 0:22:36]

BuildFinance的链上治理模型允许一个提案转移单个智能合约的所有权，以铸造Build代币并控制金库。其他的DAO使用链下投票和由委员会控制的多重签名钱包的组合来制定链上的链下决策。这些治理设置可以抵御明显的恶意提案，但有其他的信任假设，并有恶意密钥持有者违反社区的意愿更改协议的风险。去年12月，FortressDAO(Olympus分叉)成员批准了一项提案，从Fortress金库(当时约1400万美元)中拨款创建FUSD(新的收益率稳定币)。虽然社区认为他们可以控制FUSD的分配，但实际上，唯一的技术人员和密钥的控制人Eisenberg完全控制了金库的FUSD。

彭博社：拜登当选对比特币有利，对DeFi不利:根据彭博社的最新观点，拜登当选美国总统将使比特币获得更大范围的主流采用，包括潜在的ETF获得批准，而相同的力量会阻碍DeFi的发展。这两个结论均基于这样的假设，即民主党将有可能为加密空间带来更大的监管透明度。今年，DeFi在一个完全不受监管的环境中爆发。彭博社声称，“无论谁当选总统，比特币的价格都将持续上涨”。[2020/10/10]

假设一小部分密钥持有者遵守多重签名的治理结构也会带来不必要的风险。理想情况下，治理应该发生在链上，并且接受的提案应该是与现有市场直接交互的可执行代码，或者从标准化模板中添加新支持的代币。然而，自动执行的提案为DAO代币的累积持有者创造了机会，他们可以谨慎地提交和批准可能耗尽金库或其他恶意行为的不可逆转的提案。积极对提案进行投票的DAO代币持有者比例低意味着这些收购比人们想象的要容易。

假设接管示例-LidoDAO

娱乐一下，我们将看一个假设的LidoDAO被接管的例子，以及随后对其流动性质押池的吸血鬼攻击。Lido是一个在以太坊上的流动性质押协议。Lido质押了近30亿的ETH，占网络中所有流动性质押余额的80%以上，占验证者和池中所有ETH质押总额的27%以上。Lido流动性质押池中的ETH存款可以获得stETH奖励，stETH可以存入Curve上的LP池，也可以在Aave、Maker、Compound和Alpha等借贷协议中用作抵押品。流动性质押为ETH持有人提供了急需的流动性，并允许持有人在Lido池奖励的基础上获得额外的奖励。即使是那些能够运行自己的验证者节点的大型质押者，考虑到经济风险，也没有什么动机去这么做，除了利他主义的原因(例如为网络提供安全)。

报告：欧洲新加密法规对DeFi行业构成特定风险:据行业监管顾问XReg Consulting称，欧盟委员会新提出的加密货币法规对DeFi行业构成了特定风险。9月24日，欧盟委员会通过了拟议中的加密资产市场（MiCA）法规，旨在通过对加密资产发行者提出一系列义务，加强该行业中的消费者和投资者保护。该条例规定，加密资产发行人必须作为一个法人实体在欧盟运营加密服务。XReg在10月5日的一份报告中指出，这一特殊要求可能代表了DeFi项目的一个重大挑战，因为DeFi代币的发行者“有时无法识别”。XReg指出，MiCA可普遍促进消费者和投资者保护、市场完整性和金融稳定。不过，DeFi行业最终可能会遇到“重大的、不可调和的监管挑战和可能存在的问题，至少在欧洲是这样”。（Cointelegraph）[2020/10/6]

数据：ETH看跌/看涨比率升至2.45 反映出对DeFi衰退的担忧:Skew数据显示，ETH看跌期权（ETH）活跃度增加，9日的看跌/看涨比率升至2.45，这是自2019年10月31日以来的最高水平。一位交易员表示，这反映了人们对去中心化金融（DeFi）衰退导致价格下跌的担忧。（CoinDesk）[2020/9/10]

目前有1.04亿的LDO代币在流通(流通市值约为4.63亿美元)。代币持有者可以对许多提案进行投票，包括批准对实现DAO目标做出贡献的各方的激励(例如，stETH流动性提供者)。除了50%的批准外，提案通过还需要获得代币总供应量的至少5%的批准。自从SUSHI-Uniswap事件以来，批准流动性提供者所需的DAO代币在很大程度上防止了吸血鬼攻击。然而，在有了足够大的经济动机下，DAO收购变成流动性枯竭的一种可能。

在我们的例子中，假设一个拥有5%代币供应的攻击者可以通过一个恶意提案，其实是不现实的。然而，由于持有者投票的百分比较低，我们可能只需要LDO代币供应的10%(4630万美元)来批准，而无需巨大的社区努力来激励“反对”投票。我们的攻击者可以启动一个新的DeFi协议，并在LidoDAO中批准一个提案，以便在Lido生态系统中接受这个新协议。随后，该协议可以启动一个新的代币，该代币将发给存入stETH的用户(即类似于$SUSHI，以换取UniswapLP代币)。有了足够高的激励，这个新协议将看到大量的stETH存款，然后可以用来在Lido池中交换ETH。通过抽干这些池，攻击者可以迅速积累网络中近30%的ETH质押。

这种情况是极不可能的，原因有很多。首先，它将需要5000万美元的前期成本，以获得足够的选票来通过一项提案。其次，stETH和新协议的代币之间的汇率将非常低，除非代币在启动后大幅升值(或一个成熟的DeFi项目使用有价值的代币执行此策略)。第三，公众对该尝试的负面看法可能会限制stETH存款并破坏原生代币价值。

防止DAO被接管

然而，随着许多DAO库迅速积累了巨大的资金，DeFi领域的恶意治理接管的风险肯定在增加。创建一种治理结构，既要防止收购企图，又要保持DeFi的去中心化精神，这是一个棘手的命题。

治理应该发生在链上，提案应该在可能的情况下包括自动执行代码——在大多数情况下，多重签名合规风险大于中心化代币积累的风险。

自动执行的提案应该符合由社区投票的标准化模板。

应实施分析工具，以评估提案的符合性(以指导不太懂技术的成员)，并监测提案活动(如DAO分析器)。

应该引入足够防御的机器人或工具来提高提案意识，以防止恶意提案通过。

钱包上的DAO代币限制(例如总供应量的5%)可以写入合约。实际上，这在初始代币分发中带来了一些挑战，但可以基于时间或金库增长的减少限制(例如20%->5%)。

在DAO这样的新领域，成长的痛苦是可以预料的。然而，管理大型金库的DAO应该采取适当的预防措施，以确保资金是安全的，并且保护协议不受恶意行为者的攻击。随着拥有巨额资金的成熟市场参与者数量的增加，我们可能会看到更多的恶意治理收购。随着DAO越来越多地管理与TradFi同行同等水平的价值，为减轻这些风险而深思熟虑地实施治理结构和分析工具套件可能会越来越重要。

标签：DAODEFIDEFEFIfacedao币白皮书Valuedefi vSWAPFarm DefiDefi Bomb

BNB价格热门资讯