DAO:簡析美兩州監管法案異同：DAO監管拐點出現？_GRIMACE幣

2023年2月，猶他州發布了最新DAO監管法案，與2021懷俄明州DAO法案相比，新法在法人資格和有限責任方面更進一步，主要看點如下：猶他州DAO法案亮點概覽

1.法案賦予了DAO一種獨有的、新型的法律認可形式。猶他州決定不采取懷俄明州“舊瓶裝新酒”的監管思路套用有限責任公司模式對DAO進行監管，而是將DAO和LLC做明確區分，以具有開創性的立法思路為DAO單獨創造了一種新型法人實體；2.法案明確DAO組織為有限責任制，解決了在2022年美國商品期貨交易委員會訴bZxDAO案中關于DAO成員是否需以個人資產對外承擔無限連帶責任的爭議；3.建立了DAO的稅收制度；4.明確DAO參與者沒有隱含的信托責任，除非已明確聲明這些義務適用于參與者；5.保護DAO參與者的匿名性；6.納入“技術把關”措施以確保DAO實質上是一個DAO。一、猶他州DAO法案概述

LendHub被黑簡析：系LendHub中存在新舊兩市場:金色財經報道，據慢霧安全區情報，2023 年 1 月 13 日，HECO 生態跨鏈借貸平臺 LendHub 被攻擊損失近 600 萬美金。慢霧安全團隊以簡訊的形式分享如下：

此次攻擊原因系 LendHub 中存在兩個 lBSV cToken，其一已在 2021 年 4 月被廢棄但并未從市場中移除，這導致了新舊兩個 lBSV 都存在市場中。且新舊兩個 lBSV 所對應的 Comptroller 并不相同但卻都在市場中有價格，這造成新舊市場負債計算割裂。攻擊者利用此問題在舊的市場進行抵押贖回，在新的市場進行借貸操作，惡意套取了新市場中的協議資金。

目前主要黑客獲利地址為 0x9d01..ab03，黑客攻擊手續費來源為 1 月 12 日從 Tornado.Cash 接收的 100 ETH。截至此時，黑客已分 11 筆共轉 1,100 ETH 到 Tornado.Cash。通過威脅情報網絡，已經得到黑客的部分痕跡，慢霧安全團隊將持續跟進分析。[2023/1/13 11:11:00]

關于什么是DAO颯姐團隊已經進行過系統的介紹，感興趣的伙伴們可以參考：《原創|DAO，會是未來的新型“公司”嗎？》今天我們就不再贅述。DAO作為一種近些年來剛剛出現的新型商業實體，在人員組成、運營管理、收益分配和稅收等多種層面上與現有的商業架構存在明顯的區別，因此一直以來對DAO的法律性質和監管措施都存在爭議，各國雖然已經有了許多DAO的實案例，但這些DAO在監管措施和法律性質上依然處于“舊瓶裝新酒”的狀態。這一現狀的產生，主要是因為懷俄明州在2021年發布的DAO法案中開了一個先例：將DAO與現實世界中較為相似，且已經發展成熟的LLC進行類比監管，甚至允許懷俄明州的DAO與LLC進行相互轉換。換言之，在這種監管思路下，DAO即是LLC，LLC即是DAO。說實話，面對新科技，類比舊事物進行監管是最為常見的策略，但實質上也是立法機關、監管機構一種不得已的妥協：類比監管雖然可解燃眉之急，卻漠視了新興事物自身的獨特性，不利于長遠發展。因此，經過慎重考慮和激烈的討論，猶他州在虛擬資產監管領域邁出了一大步，以實際的立法行動表達了擁抱虛擬資產的誠心：猶他州去中心化自治組織”法案簡稱“猶他州DAO法案”。這部法案的諸多內容很大程度上參考了加密社區COALA所提出的DAO示范法模板，因此，猶他州法案在關于DAO的法人資格和承擔有限責任上做出了一些非常具有“創新性”的規定。二、懷俄明州VS猶他州，DAO監管有何異同？

Beosin：SEAMAN合約遭受漏洞攻擊簡析:金色財經報道，根據區塊鏈安全審計公司Beosin旗下Beosin EagleEye 安全風險監控、預警與阻斷平臺監測顯示，2022年11月29日，SEAMAN合約遭受漏洞攻擊。Beosin分析發現是由于SEAMAN合約在每次transfer函數時，都會將SEAMAN代幣兌換為憑證代幣GVC，而SEAMAN代幣和GVC代幣分別處于兩個交易對，導致攻擊者可以利用該函數影響其中一個代幣的價格。

攻擊者首先通過50萬BUSD兌換為GVC代幣，接下來攻擊者調用SEAMAN合約的transfer函數并轉入最小單位的SEAMAN代幣，此時會觸發合約將能使用的SEAMAN代幣兌換為GVC，兌換過程是合約在BUSD-SEAMAN交易對中將SEAMAN代幣兌換為BUSD，接下來在BUSD-GVC交易對中將BUSD兌換為GVC，攻擊者通過多次調用transfer函數觸發_splitlpToken()函數，并且會將GVC分發給lpUser，會消耗BUSD-GVC交易對中GVC的數量，從而抬高了該交易對中GVC的價格。最后攻擊者通過之前兌換的GVC兌換了50.7萬的BUSD，獲利7781 BUSD。Beosin Trace追蹤發現被盜金額仍在攻擊者賬戶（0x49fac69c51a303b4597d09c18bc5e7bf38ecf89c），將持續關注資金走向。[2022/11/29 21:10:04]

懷俄明和猶他州，對于大部分不熟悉美國的伙伴們來說，存在感非常低，既沒有叫得出口的大城市也沒有享譽全球的好大學，甚至連知名的土特產都數不出來幾個。除了知名度外，懷俄明和猶他州還有非常多類似的地方：同樣的風景秀麗、礦產資源豐富，但經濟發展卻相對落后；同樣以農業和礦產加工業為主要支柱產業；同樣的土地遼闊卻人煙稀少；同樣對虛擬資產行業持積極歡迎的態度......而在DAO監管上，懷俄明和猶他州也是前后腳出臺了相關法案，關于懷俄明的答案颯姐團隊已經介紹過今天，我們在對比的基礎上，為大家講一講猶他州的創新。

Beosin：EthTeamFinance項目遭受到了漏洞攻擊事件簡析:據Beosin EagleEye 安全預警與監控平臺檢測顯示，ETH鏈上的EthTeamFinance項目遭受漏洞攻擊，攻擊合約0xCFF07C4e6aa9E2fEc04DAaF5f41d1b10f3adAdF4通過LockToken合約的migrate函數沒有正確驗證_id和params的漏洞，將WTH，CAW，USDC，TSUKA代幣從V2流動性池非法升級到V3流動性池，并且通過sqrtPriceX96打亂V3流動池的Initialize的價格，從而獲取大量refund套利。共計套利了約1300多萬美元。[2022/10/27 11:49:12]

Grim Finance 被黑簡析：攻擊者通過閃電貸借出 WFTM 與 BTC 代幣:據慢霧區情報，2021 年 12 月 19 日，Fantom 鏈上 Grim Finance 項目遭受攻擊。慢霧安全團隊進行分析后以簡訊的形式分享給大家。

1. 攻擊者通過閃電貸借出 WFTM 與 BTC 代幣，并在 SpiritSwap 中添加流動性獲得 SPIRIT-LP 流動性憑證。

2. 隨后攻擊者通過 Grim Finance 的 GrimBoostVault 合約中的 depositFor 函數進行流動性抵押操作，而 depositFor 允許用戶指定轉入的 token 并通過 safeTransferFrom 將用戶指定的代幣轉入 GrimBoostVault 中，depositFor 會根據用戶轉賬前后本合約與策略池預期接收代幣(預期接收 want 代幣，本次攻擊中應為 SPIRIT-LP)的差值為用戶鑄造抵押憑證。

3. 但由于 depositFor 函數并未檢查用戶指定轉入的 token 的合法性，攻擊者在調用 depositFor 函數時傳入了由攻擊者惡意創建的代幣合約地址。當 GrimBoostVault 通過 safeTransferFrom 函數調用惡意合約的 transferFrom 函數時，惡意合約再次重入調用了 depositFor 函數。攻擊者進行了多次重入并在最后一次轉入真正的 SPIRIT-LP 流動性憑證進行抵押，此操作確保了在重入前后 GrimBoostVault 預期接收代幣的差值存在。隨后 depositFor 函數根據此差值計算并為攻擊者鑄造對應的抵押憑證。

4. 由于攻擊者對 GrimBoostVault 合約重入了多次，因此 GrimBoostVault 合約為攻擊者鑄造了遠多于預期的抵押憑證。攻擊者使用此憑證在 GrimBoostVault 合約中取出了遠多于之前抵押的 SPIRIT-LP 流動性憑證。隨后攻擊者使用此 SPIRIT-LP 流動性憑證移除流動性獲得 WFTM 與 BTC 代幣并歸還閃電貸完成獲利。

此次攻擊是由于 GrimBoostVault 合約的 depositFor 函數未對用戶傳入的 token 的合法性進行檢查且無防重入鎖，導致惡意用戶可以傳入惡意代幣地址對 depositFor 進行重入獲得遠多于預期的抵押憑證。慢霧安全團隊建議：對于用戶傳入的參數應檢查其是否符合預期，對于函數中的外部調用應控制好外部調用帶來的重入攻擊等風險。[2021/12/19 7:49:04]

總的來說，懷俄明州的DAO法案規定較為粗糙，且沒有針對DAO的諸多技術特征做出規定，而是簡單的以LLC作為參考進行類比監管；而猶他州的DAO法案則更為詳細，不僅嘗試性的對虛擬資產征稅這一老大難問題給出了自己的解答，甚至還對硬分叉等技術做出了規定。但是，懷俄明雖然偷懶，但其DAO法案卻比較接地氣且與現有的商業制度匹配度高，猶他州DAO法案充滿著理想主義，但實際執行效果如何，颯姐團隊卻難以預測。三、猶他州DAO法案，妥協還是寬容？

颯姐團隊認為，雖然猶他州的DAO法案為虛擬資產行業的從業者們提供了一個更新更具前瞻性的監管框架，但是同樣也存在不少現實問題有待解決。首先就是法案的可執行性。過于新穎的法人格創新和有限責任制規定在美國當前的公司法制度體系下不一定具有足夠的規范供給，執法機關也不一定具備法案所要求的監管能力。通俗講，就是猶他州DAO法案的高尚理想難以在現實世界中找到落地的支點，這是因為過于前沿的制度創新與美國現有的商業規則不匹配，從而可能破壞了一個已經形成且相對穩定的規則體系。目前這種矛盾已經逐漸產生，一方面，猶他州DAO法案關于稅收的規定與以往慣例不同且與聯邦稅收制度存在一定的出入，如何解決稅收矛盾并創建一種適用于虛擬資產和DAO組織的計稅和征稅規則是未來需要考慮的重點；另一方面，猶他州作為一個以傳統畜牧業和制造業為支柱行業的州，本身對于金融、商業監管就缺乏經驗，相關執法機關缺乏法案所要求的相關監管執法能力。其次，猶他州在參考懷俄明州DAO法案和COALA模范法后出臺的法案過于倉促，缺乏相關規范的實踐。該法案雖然在具體規定中凸顯了區塊鏈技術的特性，且對硬分叉、區塊鏈升級等方面做出了看似具有可操作性的規定，但實際是否可行還有待后續考察。當前世界各國、各地區選擇暫緩對NFT、DAO等新興事物進行立法，并不是因為缺乏相關立法經驗或技術，而是因為這些新興事物依然處于快速發展期，過于倉促的立法很可能會不當的限制了新技術的發展。因此，與其說猶他州的DAO法案是在現有制度下對加密行業的一種“寬容”，不如說是該州急迫想要通過加密行業實現振興和發展的一種“妥協”。四、寫在最后

如果一個理想化的法案不僅不能解決現實中的問題，甚至還會對金融安全和社會穩定產生消極影響，那不如回到舊瓶裝新酒的時代。但是，我們同樣非常肯定猶他州在DAO法案中對虛擬資產行業展示的善意和包容，以及讓DAO的歸DAO、LLC的歸LLC這一制度上的創新。但是，人類的商業制度和爭議解決機制已經歷了千百年的演變，形成了一套既定的規則體系，短期內想要做出改變是一件非常困難的事，在此期間，虛擬資產從業者們保持足夠的耐心和信心才是關鍵。

Tags：DAOGVCRIMGRIMPathDAOGVC價格PrimalbaseGRIMACE幣

Gate交易所