DAO:DAO 治理中的攻擊漏洞：技術、經濟和社會面_Aave REP

作者：Chandler

編譯：DAOctor@DAOrayaki.org

TLDR：治理風險可能來自許多領域，社會、經濟或技術風險——有時是三者的結合。要為未來建立治理體系，了解如何降低風險對于我們建設未來至關重要。最重要的是，并非所有事情都需要投票！

去中心化合約具有永久性。合約中的任何更改都是通過受管理的治理流程完成的。治理過程本質上是人參與，因此要復雜得多。

本文將探討治理過程中的一些危險，為思考治理風險提供一個通用框架。一般來說，任何有效的治理流程都旨在防止將項目或協議推向與其使命不同的方向的決策。

在這里，我們概述了三個主要風險類別，技術、社會和經濟。除此之外，還有有效治理流程中的一些重要經驗教訓。

多合一DAO工具Clique V2版本正式上線:10月25日消息，由STP推出的Verse Network宣布一站式DAO工具Clique V2版本正式上線，新版本除了對 UI進行優化外，還添加了DAO獎勵 (DAO Rewards) 、治理SDK和DAO管理員的新功能。

Verse Network是一系列原生工具和基礎設施，有助于用戶、社區和組織進行高效的去中心化決策，以簡化DAO的創建和管理。通過 Verse Network，用戶可以訪問一系列無代碼 DAO 工具，以在一系列區塊鏈上啟動和管理他們的DAO。[2022/10/25 16:38:03]

治理最小化的過程

將治理行動最小化的治理系統更加穩健和可維護。變化越少越好。然而，協議需要升級。

日本仙臺市呼吁放松對加密資產和DAO的監管:10月21日消息，屬于日本國家戰略特區之一的宮城縣仙臺市近日向日本政府提出三項與Web3相關的監管改革方案，呼吁放松對加密資產和DAO的監管。在這次的提案中，仙臺市要求在一定條件下允許取得及持有治理代幣的條款、放寬DAO的規定、明確納稅標準。

仙臺市指出目前監管存在幾個問題：1.對治理代幣的長期持有者按會計期末征稅存在問題，且會計基準不明確；2.DAO相關的法律不完善，由于成員的有限責任和各種登記是必要的，因此應該承認新的組織體系。3.在現行法中投資事業有限責任組合（LPS）不允許取得和持有治理代幣，這樣很難快速籌集資金。為了解決這些問題，仙臺市對現行法律提出的改革如下：1.公司擁有的或用于非投機目的的治理代幣只有在通過交易等實際產生利潤時才征稅，會計處理方式也如此。2.考慮參考美國懷俄明州的DAO法案完善相關法律。3.獲得認證的LPS可獲得和持有治理代幣。4.無需為獲得認證的商業實體進行加密資產交易業從業登記（與福岡市相同的提案）。（Coinpost）[2022/10/21 16:34:24]

廣泛的治理系統還包括許多非協議特定的問題，例如，承諾撥款多少，這可以說是一個關鍵決定，但不會從根本上影響協議。一個可以區分特定協議選擇與社會層面選擇的系統會減少治理行動的整體范圍。

Aave DAO 傾向于在以太坊上重新部署其最新版本:金色財經報道，Aave DAO 已開始投票決定在以太坊區塊鏈上部署其最新版本 Aave 的最佳方式。到目前為止，大多數投票支持創建一個獨立的新版本，而不是升級之前的版本。這種方法速度更快，但可能導致流動性分散。目前為止，99%的投票支持在以太坊上部署新的Aave v3，而不是升級之前的版本。投票過程將于 10 月 11 日美國東部標準時間上午 6:00 結束。[2022/10/5 18:39:47]

自治組織本來就是自治的，減少它們的治理足跡可以降低對人的依賴。

正如我們所說，許多工具正在開發中，旨在幫助協議對具有社會或人類協調性質的治理行為與影響協議的行為采取不同的方法。例如ZodiacModule的出現，它允許用戶提交交易并對其進行樂觀驗證。而不是每個鏈上行動都需要投票，交易可以被提交，只有在對交易的性質有分歧的情況下才需要投票。

Bondly與合作伙伴MANTRA DAO共同創建了五個新質押池:據官方消息，Bondly與合作伙伴MANTRA DAO共同創建了五個新質押池，用戶將可以在Mantra Dao的平臺上質押代幣以賺取BONDLY，以下質押池將在推出后提供，開放時間為30天。總額達到125萬的BONDLY代幣已經投放到五個質押池里，并且伴隨著新用戶進入質押池，APY也將通過MANTRA DAO的控制板不斷更新。[2021/6/4 23:10:47]

安全多重認證的Zodiac模塊

技術漏洞

智能合約的漏洞是許多協議的頭疼之處--包括治理協議。許多治理合約作為一個鏈上投票機制存在，以執行一組給定的指令。只要鏈上有任何代碼，就有可能出現技術漏洞。

HDAO 公開課：不斷學習，保持行業交流，具備風險意識和投資計劃以應對變幻莫測的市場:11月18日晚8點，CWV基金會主席王小彬先生做客超導公開課第35期，探討如何在不確定的市場環境下，如何抓住市場機會，以及NFT市場現狀及發展趨勢。小彬總認為，每天保持自我學習并和同行業進行充分的信息交流，具備風險意識和投資計劃，是在變幻莫測的市場環境下，抓住市場機會應該做的準備。NFT是一個很有趣的賽道，疫情之下全球游戲市場和全球數字貨幣市場的爆發，以及NFT對人們的吸引眼球，是一個很具有時間意義的時刻。

HDAO作為去中心化的金融服務生態系統，一直致力于創建一個高效、透明和可實現的數字金融生態系統。HDAO作為萬物上鏈先鋒踐行者，正在穩健推進NFT鑄造系統，使用戶可以方便地放置真實世界的資產作為抵押品，進行借貸和挖礦，引領NFT行業商業創新與應用場景探索。[2020/11/18 21:14:56]

這種風險的一個顯著例子是價值2200萬美元的Compound治理漏洞。Compound系統在負責分配流動性挖礦獎勵的合約中存在缺陷。

唯一有權更改受影響合約的合約是總督合約，這意味著只有治理投票才能影響修補錯誤合約的變更。

緩慢的治理過程阻礙了修復漏洞和阻止資金流動。幸運的是，對于Compound團隊來說，響應盡可能快，治理系統也以盡可能快的方式做出反應。

從另一個角度來看，合約完全按照規則執行包括漏洞。只是人類認為合約的目的與實際合約的編碼不一致。

無論我們每個人的想法是對還是錯，事實仍然是，人類認為一段代碼可以做什么與它意味著做什么之間總是存在差異。令人震驚的現實是，我們常常直到為時已晚才意識到這一點。

社會漏洞

除了技術方面，治理的社會方面也有其自身的挑戰。人類自然比代碼復雜。

Snapshot：鏈下投票工具

鏈上vs鏈下投票：如上所述，協議治理行為應該最小化到絕對基礎。鏈上投票應該影響鏈上合約，鏈下投票被指定用于人們可以在社會上達成一致的項目。我經常看到數百個鏈上投票可以輕松達成軟共識。與標準運營項目相比，這自然會降低重要投票的重要性。

投票的機制和過程。雖然不是所有的投票過程都遵循這一趨勢，但有足夠的方法值得警惕。在某些情況下，鏈外的"溫度"檢查導致了鏈上的投票，并由多重簽名的人執行。

作為從鏈上投票到的步驟，這毫無意義。要么放棄鏈上部分，讓可信的多重簽名管理軟共識，要么讓鏈上投票觸發必要的行動。

治理過程中最有價值的項目是合格選民的注意力：更多的選票導致選民冷漠和較低的長期投票率。確保聲音有意義，切中要點，達到全面投票的水準，才能確保您的投票結果。

法定人數和需要多少參與：正如我們在上一篇文章中所寫的那樣，選民參與和組織規模之間存在權衡。然而，在權力下放和一小群創始團隊成員簡單地推翻投票的能力之間也存在權衡。如果令牌沒有充分分散，一個團隊可以達到投票的法定人數要求。

選民的專業知識：最高的治理風險之一是選民必須具備的專業知識水平才能做出明智的選擇。在很多情況下，用戶可以廉價獲得治理代幣并有資格投票。選民不確定他們投票的內容是什么，他們要么棄權，要么根據其他人的傾向做出最受歡迎的決定。這不會導致足夠去中心化和具有代表性的投票。

經濟漏洞

經濟利用是指攻擊者可以部署資金來接管投票過程。在大多數情況下，治理是通過可以購買的代幣完成的。這意味著獲得通過投票份額的成本。

如果我們看一些理論上的數字，一個國庫將需要擁有任何其他協議的至少50%的投票供應價值來完成這種利用。由于一些國庫的規模比其他國庫大幾個數量級，這種類型的風險范圍并不牽強。

幸運的是，許多協議都有足夠多的代幣被鎖定，而流通供應不足，這樣的攻擊是現實的。然而，有了這個令牌，經濟攻擊就可以解鎖時間表并隨著時間的推移循環供應。

隨著時間的推移，這種攻擊可能不是經濟上的。可能是打垮競爭對手，獲得控制權以影響有爭議的投票，甚至制造僵局。

在鮮為人知的協議中可以找到通過經濟攻擊利用協議的示例：TrueSeignorage。

TLDR版本是，由于他們的市值足夠小，一個攻擊購買了他們51%的投票代幣。在獲得代幣后，攻擊者發起投票，向其地址鑄造11.5quintillion代幣。投票自然通過了，用戶可以在Pancakeswap上賣出盡可能多的代幣。

攻擊者從代幣銷售中獲得的收益超過了購買通過投票的成本，而Dev錢包沒有足夠的資金來阻止他。

結語

治理將繼續存在，我們有責任建立一個治理流程，將我們推向一個我們都希望進入的未來。了解治理系統的風險以及我們如何應對這些風險是一個不斷發展的過程。一個明顯的趨勢是：治理系統存在缺陷，需要深思熟慮的工作才能兌現承諾。

去中心化治理仍處于起步階段，其背后的技術也是如此。隨著行業的成熟，治理攻擊向量自然會消退。

Tags：DAONFTNDLAAVEDAO Farmer DFWfio幣NFTbondly幣什么時候恢復交易Aave REP

MANA