Yam Finance受治理攻擊后思考：我們需要更多治理代幣上的創新_ANC:Linear Finance

昨日，YamFinance成功阻止了針對其儲備資金庫的治理攻擊。在這次攻擊中，攻擊者掩人耳目地通過內部交易提交治理提案，該惡意治理提案包括一個未經驗證的合約，最終目的是將Yam的協議資金儲備轉移到攻擊者錢包。如果成功，YamFinance將損失310萬美元。

攻擊者采用的是一種非常常見的攻擊手段——治理攻擊，由于去中心化治理在DeFi協議中的廣泛應用，治理攻擊也成為黑客在鏈上獲利的主要手段之一。

區塊鏈的理念是「CodeisLaw」，因此才會強依賴于鏈上治理。最簡單直接的路徑便是通過代幣來賦予持有者治理權重，往往是代幣越多，治理權重便越多。而持幣者便可以參與協議的提案和治理，提案內容可能復雜也可能簡單，通過后將影響整個協議的運行和發展。

Yam Finance明日將為4大提案提交快照:10月3日，Yam Finance官方發推宣布，將于明日為當前官方論壇提案提交快照，并進入投票程序。投票將在UTC時間10月3日21:00（北京時間10月4日5:00）開始。官方提醒，請于該時間移走流動資金。具體快照區塊細節將于明日公布。而官方提到的論壇當前提案主要有：1.將ETH/YAM池作為新的財政購買池，以解決流動性和資金靈活性問題。該提案提議取YAM/yUSD池（原財政池）中的激勵，向YAM/ETH池中添加激勵，并將目標價格從1yUSD轉換為1.00美元。2.提議修改Yam協議，以便激勵者中的LP（即“農民”）能夠在鏈上治理過程中投票。因為當前個人治理投票權基于賬戶開始投票時所持YAM的基準變位前數，意味著激勵池中的個人無法投票。3.提議財政部投資DeFi Pulse指數集，即購買25萬美元的DeFi Pulse Index Tokenset（DPI）。此舉旨在將部分財政資金分配給DPI，分散風險。4.添加RageQuit功能，為用戶退出YAM提供公平的方式。具體而言：a.根據YAM代幣確定財政支出；b.從YAM財政部的儲備金中支付用戶，或以等值面額發行債券；c.債券被拍賣，資金被提供給銷毀代幣的用戶；d.所有未來的YAM財政資金流入必須先償還債務，然后再流入YAM債券。[2020/10/3]

直觀來看，這樣是符合持幣者利益的，因為持有代幣越多，持幣者越不可能做出違背自己利益的提案和投票。但是，對于一些擁有較高鎖定價值的DeFi協議而言，只要攻擊成本低于利潤，便有人愿意嘗試。在LUNA/UST崩塌之時，Terra便停止了區塊鏈出塊，以避免在LUNA大規模增發過程中所帶來的潛在的低成本治理攻擊可能。

BBKX平臺已于今日9時上線YFV、YAMV2、CVP:據BBKX官方消息，平臺已于今日9時上線YFV/USDT、YAMV2/USDT、CVP/USDT幣對，并開放交易，幣種詳情請點擊原文鏈接。

BBKX是一家持續分紅的綜合型交易平臺，已獲得節點資本與鏈上基金聯合戰略投資。[2020/9/3]

在YamFinance這次攻擊未果的案例之外，攻擊成功的案例也不在少數。比如，今年2月15日，BuildFinance遭受治理攻擊，攻擊者通過增發代幣來獲利。攻擊成功后，攻擊者已經可以完全控制治理合約、鑄造密鑰和Treasury。在這次攻擊后，BuildFinance代幣已經失去了所有的價值，等同于歸零。

Gate.io將為YAM Gitcoin捐贈資金，支持完成合約審計和遷移:據官方公告，Gate.io將為YAM Gitcoin捐贈資金，支持完成合約審計和遷移。據悉，在整個社區的積極幫助下，YAM官方修復提案投票成功，但是提案因為技術問題沒有執行成功，

YAM項目將設立Gitcoin捐贈用于對YAM合約進行審計，并在審計完成后將YAM合約遷移到YAM2.0，

目前，遷移細節尚不清楚，風險仍然很高，請務必注意。Gate.io將繼續對后續合約進行調倉操作，同時持續跟進官方相關工作進展。當前交易正常進行，但風險極高，請務必了解清楚再參與交易。[2020/8/13]

除了通過掌握大量代幣來進行攻擊外，黑客也會通過增加某一時間節點的提案數量、偽裝成正常治理提案來增加提案通過的可能性。

去年圣誕節，Terra公鏈上的合成資產協議Mirror也經歷了一次非常嚴峻的考驗。攻擊者準備充分，通過以下四點來增加提案通過的可能性，目標利潤是價值3800萬美元的MIR代幣：-攻擊者準備了價值上百萬美元的MIR代幣；-攻擊時間節點是圣誕節，大多數持幣者更關心生活中的事情，而非鏈上；-將提案偽裝成「與Solana進行深度合作」；-同時發起了多個提案，渾水摸魚。

對此，MakerDAO創始人RuneChristensen認為，「目前，DAO的“基本博弈論問題”是治理攻擊之類的問題。簡單地說，如果有人真的控制了大多數有投票權的股份，比如在DeFi中，他們可以直接竊取協議中的所有資產。」

這是一種擔憂，另外一種廣泛的擔憂是投資者對于治理代幣本身價值的質疑。對于大多數DeFi協議而言，使用代幣數量來簡單判定治理權重多寡的行為是一種捷徑，且更多協議在治理層面創新很少，大多是在Fork前人。當然，在治理層面也不乏創新者，比如Curve推出了veToken的治理模式，AC在veToken的基礎上推出了veNFT，Layer2Optimism也在通過原生代幣OP將治理分層。

最值得擔憂的是，在進入熊市周期后，由于代幣價值的降低，攻擊成本會更低，治理攻擊數量可能會成倍增長。風險驟增的情況下，大概率會推動開發者/項目團隊在治理層面的更多思考，發掘代幣在治理層面的潛力，推出更多有意思的代幣治理實例。

Tags：YAMFINFINAANCYamv3Libero FinancialLinear FinanceFINANCEAI幣

FIL