昨日,YamFinance成功阻止了針對其儲備資金庫的治理攻擊。在這次攻擊中,攻擊者掩人耳目地通過內部交易提交治理提案,該惡意治理提案包括一個未經驗證的合約,最終目的是將Yam的協議資金儲備轉移到攻擊者錢包。如果成功,YamFinance將損失310萬美元。
攻擊者采用的是一種非常常見的攻擊手段——治理攻擊,由于去中心化治理在DeFi協議中的廣泛應用,治理攻擊也成為黑客在鏈上獲利的主要手段之一。
區塊鏈的理念是「CodeisLaw」,因此才會強依賴于鏈上治理。最簡單直接的路徑便是通過代幣來賦予持有者治理權重,往往是代幣越多,治理權重便越多。而持幣者便可以參與協議的提案和治理,提案內容可能復雜也可能簡單,通過后將影響整個協議的運行和發展。
Yam Finance明日將為4大提案提交快照:10月3日,Yam Finance官方發推宣布,將于明日為當前官方論壇提案提交快照,并進入投票程序。投票將在UTC時間10月3日21:00(北京時間10月4日5:00)開始。官方提醒,請于該時間移走流動資金。具體快照區塊細節將于明日公布。而官方提到的論壇當前提案主要有:1.將ETH/YAM池作為新的財政購買池,以解決流動性和資金靈活性問題。該提案提議取YAM/yUSD池(原財政池)中的激勵,向YAM/ETH池中添加激勵,并將目標價格從1yUSD轉換為1.00美元。2.提議修改Yam協議,以便激勵者中的LP(即“農民”)能夠在鏈上治理過程中投票。因為當前個人治理投票權基于賬戶開始投票時所持YAM的基準變位前數,意味著激勵池中的個人無法投票。3.提議財政部投資DeFi Pulse指數集,即購買25萬美元的DeFi Pulse Index Tokenset(DPI)。此舉旨在將部分財政資金分配給DPI,分散風險。4.添加RageQuit功能,為用戶退出YAM提供公平的方式。具體而言:a.根據YAM代幣確定財政支出;b.從YAM財政部的儲備金中支付用戶,或以等值面額發行債券;c.債券被拍賣,資金被提供給銷毀代幣的用戶;d.所有未來的YAM財政資金流入必須先償還債務,然后再流入YAM債券。[2020/10/3]
直觀來看,這樣是符合持幣者利益的,因為持有代幣越多,持幣者越不可能做出違背自己利益的提案和投票。但是,對于一些擁有較高鎖定價值的DeFi協議而言,只要攻擊成本低于利潤,便有人愿意嘗試。在LUNA/UST崩塌之時,Terra便停止了區塊鏈出塊,以避免在LUNA大規模增發過程中所帶來的潛在的低成本治理攻擊可能。
BBKX平臺已于今日9時上線YFV、YAMV2、CVP:據BBKX官方消息,平臺已于今日9時上線YFV/USDT、YAMV2/USDT、CVP/USDT幣對,并開放交易,幣種詳情請點擊原文鏈接。
BBKX是一家持續分紅的綜合型交易平臺,已獲得節點資本與鏈上基金聯合戰略投資。[2020/9/3]
在YamFinance這次攻擊未果的案例之外,攻擊成功的案例也不在少數。比如,今年2月15日,BuildFinance遭受治理攻擊,攻擊者通過增發代幣來獲利。攻擊成功后,攻擊者已經可以完全控制治理合約、鑄造密鑰和Treasury。在這次攻擊后,BuildFinance代幣已經失去了所有的價值,等同于歸零。
Gate.io將為YAM Gitcoin捐贈資金,支持完成合約審計和遷移:據官方公告,Gate.io將為YAM Gitcoin捐贈資金,支持完成合約審計和遷移。據悉,在整個社區的積極幫助下,YAM官方修復提案投票成功,但是提案因為技術問題沒有執行成功,
YAM項目將設立Gitcoin捐贈用于對YAM合約進行審計,并在審計完成后將YAM合約遷移到YAM2.0,
目前,遷移細節尚不清楚,風險仍然很高,請務必注意。Gate.io將繼續對后續合約進行調倉操作,同時持續跟進官方相關工作進展。當前交易正常進行,但風險極高,請務必了解清楚再參與交易。[2020/8/13]
除了通過掌握大量代幣來進行攻擊外,黑客也會通過增加某一時間節點的提案數量、偽裝成正常治理提案來增加提案通過的可能性。
去年圣誕節,Terra公鏈上的合成資產協議Mirror也經歷了一次非常嚴峻的考驗。攻擊者準備充分,通過以下四點來增加提案通過的可能性,目標利潤是價值3800萬美元的MIR代幣:-攻擊者準備了價值上百萬美元的MIR代幣;-攻擊時間節點是圣誕節,大多數持幣者更關心生活中的事情,而非鏈上;-將提案偽裝成「與Solana進行深度合作」;-同時發起了多個提案,渾水摸魚。
對此,MakerDAO創始人RuneChristensen認為,「目前,DAO的“基本博弈論問題”是治理攻擊之類的問題。簡單地說,如果有人真的控制了大多數有投票權的股份,比如在DeFi中,他們可以直接竊取協議中的所有資產。」
這是一種擔憂,另外一種廣泛的擔憂是投資者對于治理代幣本身價值的質疑。對于大多數DeFi協議而言,使用代幣數量來簡單判定治理權重多寡的行為是一種捷徑,且更多協議在治理層面創新很少,大多是在Fork前人。當然,在治理層面也不乏創新者,比如Curve推出了veToken的治理模式,AC在veToken的基礎上推出了veNFT,Layer2Optimism也在通過原生代幣OP將治理分層。
最值得擔憂的是,在進入熊市周期后,由于代幣價值的降低,攻擊成本會更低,治理攻擊數量可能會成倍增長。風險驟增的情況下,大概率會推動開發者/項目團隊在治理層面的更多思考,發掘代幣在治理層面的潛力,推出更多有意思的代幣治理實例。
Tags:YAMFINFINAANCYamv3Libero FinancialLinear FinanceFINANCEAI幣
撰寫:ChainLinkGod.eth編譯:TechFlowintern代幣化現實世界資產是怎樣將DeFi規模擴展到全球水平?這篇文章涵蓋了我對當前機遇和挑戰的看法.
1900/1/1 0:00:00撰寫:TomLoverro?加密貨幣的冬天來了。直到2021年,我一直在Coinbase董事會,并領導了IVP的D?輪融資系列,自2013年以來,我一直生活在加密貨幣周期中,以下是我對如今的加密.
1900/1/1 0:00:006月10日,Twitter的聯合創始人杰克·多爾西的子公司TBD宣布推出Web5平臺。TBD通過16頁PPT闡釋了Web5的概念定義、關鍵內容和實現路徑.
1900/1/1 0:00:00頭條 ▌彭博社:美國銀行的加密用戶在熊市中減少一半7月1日消息,由于數字資產市場長期低迷,美國銀行活躍的加密貨幣用戶數量下降了一半以上.
1900/1/1 0:00:00摘要:在這篇文章中,我們探討了為什么Dapps通常建立在以太坊而不是比特幣上,我們將一直追溯到2014年3月.
1900/1/1 0:00:00頭條 ▌報告:以太坊2.0質押者的未實現平均損失為55%金色財經報道,ETH2.0存款合約鎖定的總價值繼續創下新高,截至7月5日,質押ETH2.0存款合約地址數量超過13,000,000個.
1900/1/1 0:00:00