昨日,Yam Finance成功阻挠了针对其储藏资金库的管理进犯。在这次进犯中,进犯者掩人耳目地经过内部交易提交管理提案,该恶意管理提案包括一个未经验证的合约,终究意图是将Yam的协议资金储藏转移到进犯者钱包。如果成功,Yam Finance将丢失310万美元。
进犯者采用的是一种十分常见的进犯手法——管理进犯,因为去中心化管理在DeFi协议中的广泛应用,管理进犯也成为黑客在链上获利的主要手法之一。
区块链的理念是「Code is Law」,因此才会强依赖于链上管理。最简略直接的路径就是经过代币来赋予持有者管理权重,往往是代币越多,管理权重便越多。而持币者便可以参与协议的提案和管理,提案内容可能杂乱也可能简略,经过后将影响整个协议的运转和开展。
直观来看,这样是契合持币者利益的,因为持有代币越多,持币者越不可能做出违反自己利益的提案和投票。但是,关于一些拥有较高确定价值的DeFi协议而言,只要进犯本钱低于利润,便有人愿意尝试。在LUNA/UST崩塌之时,Terra便停止了区块链出块,以防止在LUNA大规模增发进程中所带来的潜在的低本钱管理进犯可能。
在Yam Finance这次进犯未果的事例之外,进犯成功的事例也不在少数。比如,今年2月15日,Build Finance遭受管理进犯,进犯者经过增发代币来获利。进犯成功后,进犯者已经可以完全操控管理合约、铸造密钥和Treasury。在这次进犯后,Build Finance代币已经失去了一切的价值,等同于归零。
除了经过把握很多代币来进行进犯外,黑客也会经过增加某一时间节点的提案数量、伪装成正常管理提案来增加提案经过的可能性。
上一年圣诞节,Terra公链上的合成资产协议Mirror也阅历了一次十分严峻的检测。进犯者预备充分,经过以下四点来增加提案经过的可能性,方针利润是价值3800万美元的MIR代币:
- 进犯者预备了价值上百万美元的MIR代币;
- 进犯时间节点是圣诞节,大多数持币者更关心日子中的工作,而非链上;
- 将提案伪装成「与Solana进行深度协作」;
- 一起发起了多个提案,浑水摸鱼。
对此,MakerDAO创始人Rune Christensen认为,「目前,DAO的“根本博弈论问题”是管理进犯之类的问题。简略地说,如果有人真的操控了大多数有投票权的股份,比如在DeFi中,他们可以直接窃取协议中的一切资产。」
这是一种忧虑,别的一种广泛的忧虑是投资者关于管理代币自身价值的质疑。关于大多数DeFi协议而言,运用代币数量来简略断定管理权重多寡的行为是一种捷径,且更多协议在管理层面立异很少,大多是在Fork前人。当然,在管理层面也不乏立异者,比如Curve推出了veToken的管理形式,AC在veToken的基础上推出了veNFT,Layer2 Optimism也在经过原生代币OP将管理分层。
最值得忧虑的是,在进入熊市周期后,因为代币价值的降低,进犯本钱会更低,管理进犯数量可能会成倍增长。风险骤增的情况下,大概率会推动开发者/项目团队在管理层面的更多考虑,开掘代币在管理层面的潜力,推出更多有意思的代币管理实例。
![[加密大师]胜利证券成为香港首批比特币、以太坊现货ETF中接受实物申购的参与证券商](https://pic.rmb.bdstatic.com/bjh/user/0eafd2a51c013c30b139b3684b05342d.jpeg?x-bce-process=image/resize,m_fill,w_300,h_200/format,f_auto)