深入解析Compound治理攻擊背後細節及其目的-巨鯨再奪舍老牌DeFi

本文約3444字,閱讀全文需要約5分鐘
總的來說,Compound遭遇到的治理攻擊是一個DeFi巨鯨透過對治理投票,試圖強行奪取Compound Treasury中閒置Comp代幣的治理權,使其可以完全控制Compound協議。

原文作者@Web3 Mario(https://x.com/web3_mario)

隨著上週末的比特幣大會的結束,相關的會議細節持續曝光,基本上與我之前的判斷相差不大,比如特朗普的以能源政策切入來討好比特幣愛好者的策略,以及通過渲染一些官方態度的變化,特別指所謂的戰略儲備那個說辭,著重凸顯其作為一種商品的價值。讓我沒有想到的可能是其本次演講又變成了一場典型的「川普式」競選集會了,很喜歡使用一些沒有經過邏輯論證的觀點和資訊來攻擊對手,這就不免讓人對其拋出的一些承諾的真實性表示觀望。不過基本上這個事情也算塵埃落定,因此筆者就關注了一些別的事件,看到了一個很有趣的信息,Compound 遭遇了治理攻擊,因為筆者之前做過很長一段時間的DeFi,所以對這個訊息很感興趣,就深入研究了下這件事情背後的始末,並拆解一下其背後的實施細節,與諸君分享。總的來說,Compound 遭遇到的治理攻擊是一個 DeFi 巨鯨透過對治理投票,試圖強行奪取 Compound Treasury 中閒置 Comp 代幣的治理權,使其可以完全控制 Compound 協議。

成功奪舍 Balancer 的傳奇巨鯨 Humpy 再次出手

其實這並不是這位傳奇巨鯨的第一次傑作,在此之前,該巨鯨與2022 年DeFi Summer 時代,就對Balancer 實施了治理攻擊,通過把控大量的BAL 治理token,並依託於Balancer的veBAL 機制掌控了大部分BAL 對流動性池的激勵釋放,從而形成對Balancer 的控制,截止到目前為止,humpy 已經成為了BAL token 的第二大持有人,僅次於官方團隊。

深入解析Compound治理攻擊背後細節及其目的-巨鯨再奪舍老牌DeFi

關於這個經典的事件, Messari 有一篇非常精彩的研報,有興趣的朋友可以去詳細閱讀。我不知道有多少小夥伴熟悉Balancer 的veBAL 機制,我在這裡簡單帶大家回顧一下,當時正值DeFi Summer,各家產品的創新方向都在圍繞如何通過設計一個好的tokenomics 實現增長,Curve 當時作為一個stablecoin 的核心DEX,率先推出了veCRV 的機製作為自己的tokenomics,而後取得了不小的成果,所以當時veToken 成為了一種流行的DEX 產品tokenomics 的設計範式。

同類型的明星項目之一 Balancer 當時恰逢遇到了創新瓶頸,因此也選擇了跟進,推出了自己的 veBAL 機制。這種機制的本質在於將產品內的某個競爭性的資源透過投票治理的方式來調整分配,進而廣泛的創建賄選場景,為參與治理帶來收益,進而激發社區積極參與產品共建的熱情,也為治理代幣找到了合適的價值支撐,當時市場上普遍用「治理提取價值」來形容。

而在DEX 這個賽道中,這個競爭性資源特指官方為其上運行的流動性池所分配的治理代幣的流動性激勵獎勵,不同的流動性池被分配的獎勵的比例由投票治理的方式決定,若想獲得投票權,就必須將自己的治理代幣鎖定一個很長的周期,這樣也就降低了市場中的流通量,有利於市值的成長。而哪個流動池獲得更多的投票,將被分配更多的BAL 激勵,這樣就可以引導第三方項目為了刺激自己token 的流動性增長,選擇用其token 賄賂擁有veBAL 票權的用戶,當然這個過程一般是依託於專門DAPP 實現的。然而 Balancer 的 veBAL 設計中存在一個隱患被 Humpy 發掘並利用。

我們知道對 DEX 來說,其核心的商業模式就是交易手續費,為了吸引更多的交易者使用自己的產品,DEX 才想方設法的做大自身的流動性,透過低滑點交易體驗來吸引用戶。因此 veBAL 的設計不能脫離這個核心目標,即做大手續費。然而在其最初的設計中,其對流動性池的類型並沒有做限制,只依賴於池子獲得的總票數,這就帶來一個問題,只要一個池子可以通過某種手段獲得足夠多的veBAL 投票,其就可以獲得較大比例的BAL 流動性激勵的分配,即便是這個池子沒有任何交易量也可以。這就為巨鯨帶來了空間,因此 Humpy 來了。

Humpy 的核心攻擊想法分為兩部分,第一需要獲得對某個池子流動性的絕對控制權,這樣就可以在流動性挖礦過程中獲得大部分獎勵,第二需要為自己掌控的池子獲得巨量的票,掌握大部分的BAL 激勵分配。這樣就可以實現對協議的控制。因此其首先選擇的就是那些交投不活躍的,但市值虛高的項目的token 建倉,降低潛在的競爭者,第二建立一個手續費超高的流動池(1% ),降低用戶的交易意願,這樣就可以壓低潛在的被手續費吸引的LP 的參與意願。透過這樣的手段,其完成了對某個流動池的絕對控制,接下來,其透過二級市場購買大量的BAL token,並將其質押獲得veBAL,並為自己的流動池投票,從而獲得大部分的BAL 分配,但是這樣的激勵釋放並沒有讓Balancer 變得更好,因為沒有更多的手續費被激發出來,只是便宜了Humpy,這就是所謂巨鯨的利益和項目長遠發展的方向產生了背離,帶來的只能是矛盾。

在實際的執行中,Balancer 的官方團隊也沒有坐以待斃,而是透過新的 Proposal 來反制 Humpy 的吸血鬼攻擊。例如為指定獲得流動性激勵的池子的範圍,且擴大該範圍的操作需要經過官方申請並認可後方才可以通過、為單一池子可被分配的獎勵比例設定上限等。但最終透過一連串的對抗,Balancer 與Humpy 迎來了和解,但是從結果來看,其並沒有能夠阻止Humpy 通過該手段,逐步實現了對Balancer 的控制,個人是第二大持有者就是最直接的結果。這也為其最近對 Compound 發動的攻擊埋下了伏筆。

透過強行奪取 Compound Treasury 中大量閒置的 COMP 的治理權,奪捨 Compound

上述事件發生在 2022 年,在沉寂了兩年後,Humpy 開啟了另一個老牌 DeFi 的奪舍。這就是最近發生的事件。這次和 veBAL 無關,而是盯上了 Compound Treasury 中大量閒置的 COMP 所對應的治理權。

這次並沒有直接下場參與整個博弈,而是透過包裝了一個叫做Golden Boys 的專案(當然也可以叫做組織)來進行操盤,該專案實際上是一個帶有金融屬性的Meme,什麼意思呢,其核心產品是一個被稱為$GOLD 的ERC-20 token,然而官方為其持有者賦予了一些除了文化屬性以外的期待,整個官網和blog 的介紹中都強調一個點,就是$GOLD 的價值是由Humpy 這個巨鯨,憑藉著多年的經驗以及大量的資金與資源優勢來維護的。持有$GOLD 就等於站在巨鯨背上了。但實際上,並他也沒有一些結構化理財,或是收益聚合等產品設計,只是為$GOLD 和一些主流代幣分配了一些流動性激勵,這些激勵有的直接就是增發出來的$GOLD,當然還有一部分是BAL 獎勵。這自然是因為 Humpy 之於 Balancer 的影響力,透過其擁有的天量 veBAL 為其分配相對較高的流動性挖礦(研究到這實在有點感嘆被奪捨的不易)。

深入解析Compound治理攻擊背後細節及其目的-巨鯨再奪舍老牌DeFi

在準備好這一切後,其創建了一個新的Vault 產品,叫做goldCOMP Vault,簡單來講,就是用戶可以將自己的COMP 質押到這個Vault 中出讓自己的治理權給Golden Boys,並獲得一個質押憑證,叫做goldCOMP,這是一個可流通的憑證,使用者可以將這個憑證作為流動性提供到Balancer 中的99 goldCOMP-1 WETH 流動池中,其中99 和1 值得是對應的權重,這基本上代表了goldCOMP的交易滑點極低,基本上沒有無常損失。

深入解析Compound治理攻擊背後細節及其目的-巨鯨再奪舍老牌DeFi

質押流動性後就可以獲得$GOLD 的流動性激勵,注意這裡的獎勵並不是BAL,而是GOLD,這自然是因為選擇GOLD 作為激勵更有利於Golden Boys 們控制該池子的利率,反正都是自己控制的。目前的利率水準為 180% ,當然 TVL 還不高。但我不太清楚的是,Balancer 什麼時候支持第三方 Token 直接作為 staking 激勵在官網中展示。因為有一段時間沒有跟進專案進度了。如果不是官方的一種可以公開設定的操作的話,就只能再次感慨被奪舍的無奈!

深入解析Compound治理攻擊背後細節及其目的-巨鯨再奪舍老牌DeFi

在準備好這些後,GoldenBoys 開始了對Compound 的治理攻擊,其首先在今年5 月的時候就發起了第一次提案,提案的內容就是申請將Compound Treasury 中控制的COMP 的5% ,也就是92 , 000 個COMP 轉移到Golden boys 的多簽錢包中,並通過多簽錢包質押到goldCOMP Vault 中,並賺取流動性挖礦收益,鎖倉一年。當然這個過程 Golden Boys 就是衝著這些 Token 背後出讓的治理權去得。毫無疑問該提案並沒有被通過,因為這個互操作對象實在有點簡陋,並沒有實際的業務支持,而且整個token 被分配後的操作都是基於多簽錢包,這就顯得人為作惡的可能性更大。因此在社區裡也引起了廣泛的否定。

深入解析Compound治理攻擊背後細節及其目的-巨鯨再奪舍老牌DeFi

但Humpy 並不氣餒,而是選擇和社區成員對線,其認為只要將整個過程通過Compound timelock 合約來批准任何多簽錢包對這筆Token 的使用,就可以緩解這些問題,因此在7 月20 日發起了第二次提案,這次申請的金額還是不變,但補充了一個額外的操作,透過設定一個Trust Setup 合約來實現上述效果,從而實現對多簽錢包的監督,但筆者實際去閱讀了該合約的程式碼,只是簡單的設定了三個狀態,當Compound timelock 修改該合約的狀態為允許投資時,多簽錢包就可以任意動用這些token。當然這個提案也被否決了,但是可以看到贊成票明顯增加。這好像帶給人一個錯覺,Golden Boys 們真的是在不斷的優化提案,並取得了越來越多的同意,直到今天,第三次提案的通過,讓所有人傻眼了。

深入解析Compound治理攻擊背後細節及其目的-巨鯨再奪舍老牌DeFi

大家要注意,今天被通過的提案有一個核心的差別,本次提案申請的COMP 資金量已經不是92, 000 個,而是誇張的499000 個,然而這一次,社區本來很自信將會輕易的打敗Humpy 的“陰謀”,但結果令人大跌眼鏡,該提案以微弱的優勢被通過,支持票在短短十天內暴增了6 倍,這顯然是社區所未預料到的。而這也顯然是 Humpy 精心規劃好的操作。如果不出意外,隨著該提案的通過,Humpy 將實際成為 Compound 的所有者,主導任何提案。考慮到其目前的籌碼量已經足以超過對手,再加上新獲得的 499000 個 COMP 對應的投票權,Compound 將毫無疑問的被奪捨。

深入解析Compound治理攻擊背後細節及其目的-巨鯨再奪舍老牌DeFi

這件事情造成的影響是空前的,任何 DeFi 產品都需要重新監視自己的治理模型,以防遇到類似問題,我也會持續關注接下來的動態。我相信 Compound 社群也會奮起抗爭,最終矛盾將如何發展,有了 Balancer 的前車之鑑,實在不好說。

原創文章,作者:马里奥看Web3。轉載/內容合作/尋求報導請聯系 report@odaily.email;違規轉載法律必究。

ODAILY提醒,請廣大讀者樹立正確的貨幣觀念和投資理念,理性看待區塊鏈,切實提高風險意識; 對發現的違法犯罪線索,可積極向有關部門舉報反映。

推薦閱讀
星球精選