复盘 COMP 2500 美元治理攻击，DeFi 协议为何屡次遭遇 DAO 攻击？

作者： 西柚 ， ChainCatcher

编辑： Marco ， ChainCatcher

7月29日，“49.9万枚COMP代币价值2500万美元”被社区投票“合法”地从Compound国库中转移至一个陌生且无法监控的多签地址中，引发了一场DAO治理攻击风波。

在COMP转移提案被通过后，COMP代币价格24小时内下跌了近7%，从50美元跌至46.6美元。

7月30日，Compound增长官Bryan Colligan表示，在与本次提案背后的巨鲸交流后，推出COMP代币的质押产品Stake COMP（简称stCOMP），该产品将由Compound DAO控制，Compound协议未来每年新增市场储备金的30%将分配给COMP质押者，以作为取消该提案的条件。

目前“价值2400万美元COMP转移”289提案已被取消，受此消息影响，COMP代币日内涨幅超13%，现报价为51.4美元。

风波复盘始末：三次提案才获得最终通过

7月29日，DeFi借贷协议Compound社区投票通过的一项关于国库资产COMP转移的提案引发了社区成员对治理攻击的指控。该289提案提议，将Compound国库资金的5%（价值约2400万美元的49.9万枚COMP代币）转移给Golden Boys设计的收益协议goldCOMP中，为期一年。

经过提案梳理发现，“将49.9万枚COMP代币转移至新协议”的提案通过并不是一蹴而就的，且经过了两次被取消、被质疑动机等，直到第三次提案才险些被批准通过。

“将国库中5%的COMP投资到goldCOMP协议”的提案，首次出现在5月6日的提案247中，该提案建议Compound国库将其COMP持有量的5%投资到Golden Boys创建的goldCOMP协议中，但由于提案投票参与人数未能达到法定人数被取消。

7月15日，社区提案279中再次出现“为DAO投资的GoldCOMP设立信托”，该提案中写道，Golden Boys创建的goldCOMP协议可以为COMP代理提供收益，并提议转移国库中的9.2万枚COMP至该协议中，为期一年，赚取收益。在7月20日因由于未能达到法定人数，该提案被取消。

7月24日，提案289中再次出现“DAO投资GoldCOMP的信托设置”信息，该提案提议将国库中的49.9万枚COMP代币投资到GoldCOMP协议中，为期一年。

但在5月发布的247提案后，安全公司OpenZeppelin就在社区论坛提示，这可能是一场治理攻击。

他解释到，247提案提议把国库中5%的COMP代币转移至一个声称由“Golden Boys”控制的多签中，并将资金投资于goldCOMP协议中，但该提案人员并没有向社区亮明自己的身份，且提案事先也未在论坛中经过讨论，这可能或是一场治理攻击。

Wintermute的治理账户也表示，未经论坛或社区讨论就直接提出链上提案是被反对的，且也没有充分的理由说明为什么需要将COMP转移到多重签名中并脱离DAO的控制。

在后期的“信托设置”提议中，Wintermute质疑该行为实际上是否阻止了资金转移的说法写道，任何形式的撤回行动（撤资）完全由 GoldenBoyzMultisig 控制，这意味着DAO无法自行召回资金。

经过重重阻碍和质疑，“49.9万枚COMP代币投资到GoldCOMP协议”的提案最终在7月29日，以68.2万票赞成、63.3万票反对获得批准。

尽管提案是合法的流程，但Compound社区用户对于“49.9万枚COMP被转移未知协议”提案的通过有诸多质疑和担忧，COMP国库资产转移提案为何在没有经过社区论坛公开讨论就会被通过？投票是否有操控？转至goldCOMP协议中的COMP代币安全性如何？会不会卷款而逃？等等。

OpenZeppelin的安全解决方案架构师、Compound的安全顾问Michael Lewellen在X 上指出，多个账户在公开市场上大量购买COMP代币，并提出了多个意图将COMP持有量转移到Golden Boys创建的goldCOMP产品的提案，并通过控制COMP代币数量来强行通过审批程序通过该提案。

随后被爆出，Compound社区的289案是巨鲸Humpy在背后操纵投票方向，企图通过利用DAO的治理流程来获取更多的个人利益。

Humpy利用自己的投票权将价值2500万美元从Compound金库中直接存入自己的goldCOMP金库中，用于Golden Boys社区。其中，Golden Boys社区还发行了治理代币GOLD，在Compound事件后，其价值翻了一番，GOLD代币当日涨幅超46%,获利丰厚。

DeFi协议为何屡次遭遇治理攻击？该如何避免？

虽然是Humpy行为是合法的，但它引发了关于去中心化DAO治理的问题思考，巨鲸可通过控制投票方向来影响为自己获取重大利益的决策走向。

尽管Compound最终宣布以推出代币COMP质押产品stCOMP为条件，取消了289提案，将本次治理攻击危机转化为了对COMP代币的应用场景及收益的赋能，如未来协议收入将以COMP形式奖励（减少 DAO储备）给COMP质押用户，Compound的收入与COMP价格挂钩等，并迎来了用户的反馈好评，但此类治理攻击事件在DeFi应用中不是第一次，也不会是最后一次。

早在2022年，Humpy就曾在通过大量控制DeFi协议Balancer的代币veBAL来影响该协议的代币排放方向和发行量，为自己获利，并与项目方上演了猫鼠游戏。

今年三月，Humpy还被SushiSwap的Jared Grey指控发动攻击，他表示，如果Humpy治理攻击得逞，就会通过增加SUSUI代币发行量来榨取Sushi的价值。

为何DeFi协议屡次发生此类治理，类似的DAO攻击劫持行为该如何避免？

加密用户Esk3nder表示，目前 DeFi DAO治理攻击基本上有两种形式，一种是金融性质的，主要目的是从国库中获取资金；另一种是治理形式的攻击，主要是通过增加投票权来控制治理。

其中，Humpy对Balancer和SushiSwap的攻击都是试图通过控制协议的代币发行量来获取更多的资金；而对Compound的攻击则是通过控制投票权来影响决策，对协议的影响会更大。

用户SOSE表示，DeFi协议的治理攻击更多是与DeFi失败的代币经济学策略有关。就拿本次Compound攻击来说，COMP代币自2021年以来持续下跌，也是DeFi崩盘的代表性案例，COMP代币的下跌让代币积累起来更加容易，从而导致代币更容易被大户控制，而现在DeFi协议的治理权往往通过代币持有量的权重来决定的，这就必然会成为大户逐利的游戏。

虽然为取消289提案，Compound提出的stCOMP质押方案给COMP代币经济带来了新变化，如COMP质押导致卖方流动性短期减少、Compound协议的收入与COMP价格挂钩等，并在社区达成了共识，但从Compound DAO的角度来看，这是被迫的行为，Humpy仍有很大可能再次从这种情况中受益。

他提醒道，DeFi DAO应该根据这些案例考虑应对治理攻击和代币经济学的策略。

而DeFi资深玩家@DefiIgnas认为，现在DeFi协议的官方DAO组织不作为更让人恼火，他解释道Compound上的多个提案都是悄悄通过的，如7月份V3推出的USDT市场等,现在Compound官方社交媒体甚至没有转发过相关提案，导致很多DAO代表团错过了相关提案的投票，现在如何让DAO组织更多人员参与进来才是关键。