Phân tích chuyên sâu về chi tiết và mục đích đằng sau cuộc tấn công quản trị Hợp chất - cá voi khổng lồ giành lại quyền kiểm soát DeFi kỳ cựu

avatar
马里奥看Web3
3tháng trước
Bài viết có khoảng 5858từ,đọc toàn bộ bài viết mất khoảng 8 phút
Nhìn chung, cuộc tấn công quản trị mà Hợp chất gặp phải là một con cá voi DeFi đang cố gắng cưỡng bức giành quyền quản trị của các mã thông báo Comp nhàn rỗi trong Kho bạc Hợp chất bằng cách bỏ phiếu về quản trị, để nó có thể kiểm soát hoàn toàn giao thức Hợp chất.

Tác giả gốc : @Web3 Mario (https://x.com/web3_mario)

Với sự kết thúc của Hội nghị Bitcoin cuối tuần trước, các chi tiết hội nghị có liên quan tiếp tục được tiết lộ, về cơ bản giống với những nhận định trước đây của tôi , chẳng hạn như chiến lược sử dụng chính sách năng lượng của Trump để làm hài lòng những người đam mê Bitcoin và thông qua việc đưa ra một số thay đổi trong thái độ chính thức, đặc biệt là liên quan đến cái gọi là dự trữ chiến lược, làm nổi bật giá trị của chúng như một loại hàng hóa. Điều tôi không ngờ tới là bài phát biểu của ông ấy sẽ trở thành một cuộc vận động tranh cử kiểu Trump điển hình. Ông ấy thích sử dụng một số ý kiến và thông tin mà không có lập luận logic để tấn công đối thủ của mình, điều này là không thể tránh khỏi. những lời hứa mà nó đã đưa ra là đúng sự thật. Nhưng về cơ bản vấn đề này đã được giải quyết nên tôi để ý đến một số sự kiện khác và thấy một thông tin rất thú vị là Hợp chất bị tấn công quản trị vì tôi đã làm việc trong DeFi được một thời gian dài nên tôi không quan tâm đến việc này. rất quan tâm đến thông tin nên tôi đã nghiên cứu sâu toàn bộ câu chuyện đằng sau vấn đề này và mổ xẻ các chi tiết triển khai đằng sau nó để chia sẻ với bạn. Nhìn chung, cuộc tấn công quản trị mà Hợp chất gặp phải là một con cá voi DeFi đang cố gắng cưỡng bức giành quyền quản trị của các mã thông báo Comp nhàn rỗi trong Kho bạc Hợp chất bằng cách bỏ phiếu về quản trị, để nó có thể kiểm soát hoàn toàn giao thức Hợp chất.

Humpy, con cá voi huyền thoại đã chiếm được Balancer thành công, lại tấn công

Trên thực tế, đây không phải là kiệt tác đầu tiên của con cá voi huyền thoại này. Trước đó, con cá voi đã thực hiện các cuộc tấn công quản trị vào Balancer trong kỷ nguyên DeFi Mùa hè 2022 bằng cách kiểm soát một số lượng lớn mã thông báo quản trị BAL và dựa vào cơ chế điều khiển của Balancer. phần lớn việc phát hành khuyến khích của BAL cho nhóm thanh khoản, từ đó hình thành quyền kiểm soát Balancer. Cho đến nay, Humpy đã trở thành người nắm giữ mã thông báo BAL lớn thứ hai, chỉ đứng sau nhóm chính thức.

Phân tích chuyên sâu về chi tiết và mục đích đằng sau cuộc tấn công quản trị Hợp chất - cá voi khổng lồ giành lại quyền kiểm soát DeFi kỳ cựu

Về sự kiện kinh điển này, Messari có một báo cáo nghiên cứu rất thú vị. Các bạn quan tâm có thể đọc chi tiết. Tôi không biết có bao nhiêu bạn bè quen thuộc với cơ chế veBAL của Balancer. Hãy để tôi đánh giá ngắn gọn về nó ở đây. Đó là Mùa hè DeFi và hướng đổi mới của mỗi sản phẩm là làm thế nào để đạt được sự tăng trưởng bằng cách thiết kế một hệ thống token tốt. DEX cốt lõi của stablecoin là nền tảng đầu tiên triển khai cơ chế veCRV dưới dạng mã thông báo của riêng mình và sau đó đạt được kết quả đáng kể. Do đó, veToken đã trở thành mô hình thiết kế phổ biến cho mã thông báo sản phẩm DEX vào thời điểm đó.

Balancer, một trong những dự án ngôi sao cùng loại, gặp phải nút thắt về đổi mới vào thời điểm đó nên đã chọn theo dõi và đưa ra cơ chế veBAL của riêng mình. Bản chất của cơ chế này là điều chỉnh việc phân bổ nguồn lực cạnh tranh trong sản phẩm thông qua quản trị bỏ phiếu, sau đó tạo ra các kịch bản hối lộ trên diện rộng, mang lại lợi ích cho việc tham gia quản trị và sau đó kích thích sự nhiệt tình của cộng đồng tham gia tích cực vào hợp tác sản phẩm. xây dựng và cũng tìm thấy sự hỗ trợ giá trị phù hợp cho mã thông báo quản trị. Vào thời điểm đó, giá trị khai thác quản trị thường được sử dụng trên thị trường để mô tả nó.

Trong đường đua DEX, tài nguyên cạnh tranh này đề cập cụ thể đến phần thưởng khuyến khích thanh khoản của mã thông báo quản trị được phân bổ chính thức cho các nhóm thanh khoản chạy trên chúng. Tỷ lệ phần thưởng được phân bổ cho các nhóm thanh khoản khác nhau được quyết định bằng cách bỏ phiếu. để có được quyền biểu quyết, bạn phải khóa mã thông báo quản trị của mình trong thời gian dài, điều này sẽ làm giảm lượng lưu thông trên thị trường và có lợi cho sự tăng trưởng của giá trị thị trường. Nhóm thanh khoản nào nhận được nhiều phiếu bầu hơn sẽ được phân bổ nhiều ưu đãi BAL hơn. Điều này có thể hướng dẫn các dự án của bên thứ ba chọn sử dụng mã thông báo của họ để hối lộ người dùng có quyền biểu quyết veBAL nhằm kích thích tăng trưởng thanh khoản cho mã thông báo của riêng họ. Nó thường được triển khai dựa trên DAPP chuyên biệt. Tuy nhiên, có một lỗ hổng tiềm ẩn trong thiết kế veBAL của Balancer mà Humpy đã phát hiện và khai thác.

Chúng tôi biết rằng đối với DEX, mô hình kinh doanh cốt lõi của nó là phí giao dịch để thu hút nhiều nhà giao dịch sử dụng sản phẩm của mình hơn, DEX đang thử mọi cách để tăng tính thanh khoản và thu hút người dùng thông qua trải nghiệm giao dịch có độ trượt giá thấp. Do đó, thiết kế của veBAL không thể tách rời mục tiêu cốt lõi này, đó là tăng phí giao dịch. Tuy nhiên, trong thiết kế ban đầu của nó, không có hạn chế nào về loại nhóm thanh khoản và nó chỉ dựa vào tổng số phiếu bầu mà nhóm nhận được. Điều này gây ra vấn đề, miễn là một nhóm có thể nhận được đủ số phiếu bầu veBAL. có nghĩa là nó có thể nhận được tỷ lệ phân bổ khuyến khích thanh khoản BAL lớn hơn, ngay cả khi nhóm này không có bất kỳ khối lượng giao dịch nào. Điều này nhường chỗ cho cá voi, vì vậy Humpy đến.

Ý tưởng tấn công cốt lõi của Humpy được chia thành hai phần. Phần thứ nhất là giành quyền kiểm soát tuyệt đối tính thanh khoản của một nhóm nhất định, để bạn có thể nhận được hầu hết các phần thưởng trong quá trình khai thác thanh khoản. bạn kiểm soát. Số lượng phiếu bầu, kiểm soát hầu hết việc phân phối khuyến khích BAL. Điều này cho phép kiểm soát giao thức. Do đó, điều đầu tiên nó chọn là xây dựng vị thế trong token của các dự án không hoạt động nhưng có giá trị thị trường cao giả tạo, để giảm bớt các đối thủ cạnh tranh tiềm năng. Điều thứ hai là thiết lập một nhóm thanh khoản với phí xử lý cực cao (1%. ) để giảm sự sẵn lòng giao dịch của người dùng, điều này có thể làm giảm sự sẵn lòng tham gia của các LP có khả năng bị thu hút bởi phí xử lý. Thông qua các phương tiện như vậy, nó đã đạt được quyền kiểm soát tuyệt đối đối với một nhóm thanh khoản nhất định. Tiếp theo, nó mua một lượng lớn mã thông báo BAL thông qua thị trường thứ cấp, cam kết sẽ nhận được veBAL và bỏ phiếu cho nhóm thanh khoản của riêng mình, nhờ đó có được phần lớn BAL. phân bổ, nhưng việc phát hành khuyến khích như vậy không làm cho Balancer tốt hơn, vì không kích thích thêm phí xử lý, nó chỉ khiến Humpy trở nên rẻ hơn. Đây chính là cái gọi là sự sai lệch giữa lợi ích của cá voi khổng lồ và định hướng phát triển lâu dài của dự án. , chỉ có thể gây ra mâu thuẫn.

Trong thực tế triển khai, đội ngũ chính thức của Balancer đã không ngồi yên và chống lại cuộc tấn công của ma cà rồng Humpy thông qua các Đề xuất mới. Ví dụ: có thể chỉ định phạm vi nhóm nhận ưu đãi thanh khoản và các hoạt động mở rộng phạm vi này yêu cầu phải có đơn đăng ký và phê duyệt chính thức trước khi chúng có thể được thông qua hoặc đặt giới hạn trên cho tỷ lệ phần thưởng có thể được phân phối cho một hồ bơi duy nhất, vv Nhưng cuối cùng, trải qua hàng loạt cuộc đối đầu, Balancer và Humpy đã mở ra sự hòa giải. Tuy nhiên, xét từ kết quả, điều đó không ngăn cản Humpy dần dần giành được quyền kiểm soát Balancer thông qua phương pháp này. . kết quả trực tiếp. Điều này cũng mở đường cho cuộc tấn công gần đây vào Hợp chất.

Bằng cách cưỡng bức giành quyền quản trị một lượng lớn COMP nhàn rỗi trong Kho bạc Hợp chất, chúng tôi chiếm giữ Hợp chất.

Sự việc nói trên xảy ra vào năm 2022. Sau hai năm im hơi lặng tiếng, Humpy bắt đầu nắm bắt một DeFi đã thành lập khác. Đây là những gì đã xảy ra gần đây. Lần này nó không liên quan gì đến veBAL mà tập trung vào quyền quản trị tương ứng với số lượng lớn COMP nhàn rỗi trong Kho bạc phức hợp.

Lần này, nó không trực tiếp tham gia vào toàn bộ trò chơi, thay vào đó nó đóng gói một dự án có tên Golden Boys (tất nhiên cũng có thể gọi là một tổ chức). sản phẩm cốt lõi của nó là token ERC-20 có tên $GOLD. Tuy nhiên, quan chức này đã đưa ra một số kỳ vọng cho người nắm giữ nó ngoài các thuộc tính văn hóa. Toàn bộ trang web và blog giới thiệu chính thức đều nhấn mạnh một điểm, đó là Giá trị của $GOLD được duy trì bởi Humpy, một. cá voi khổng lồ, với nhiều năm kinh nghiệm và lợi thế về vốn, tài nguyên lớn. Giữ $GOLD tương đương với việc đứng trên lưng một con cá voi khổng lồ. Nhưng trên thực tế, nó không có bất kỳ cơ cấu quản lý tài chính hoặc thiết kế sản phẩm nào như tổng hợp thu nhập. Nó chỉ phân bổ một số ưu đãi thanh khoản cho $GOLD và một số mã thông báo chính thống. Tất nhiên, một phần trong số này trực tiếp là $GOLD tăng lên. trong số đó là phần thưởng BAL. Điều này đương nhiên là do ảnh hưởng của Humpy đối với Balancer, công ty phân bổ hoạt động khai thác có tính thanh khoản tương đối cao cho nó thông qua số lượng veBAL khổng lồ (sau khi nghiên cứu điều này, hơi tiếc là không dễ để giành chiến thắng).

Phân tích chuyên sâu về chi tiết và mục đích đằng sau cuộc tấn công quản trị Hợp chất - cá voi khổng lồ giành lại quyền kiểm soát DeFi kỳ cựu

Sau khi chuẩn bị tất cả những điều này, anh ấy đã tạo ra một sản phẩm Vault mới có tên là goldCOMP Vault. Nói một cách đơn giản, người dùng có thể cầm cố COMP của họ vào Vault này, chuyển quyền quản trị của họ cho Golden Boys và nhận được chứng chỉ cầm cố, được gọi là goldCOMP, đây là một chứng chỉ có thể giao dịch. Người dùng có thể cung cấp chứng chỉ này dưới dạng thanh khoản cho nhóm thanh khoản 99 goldCOMP-1 WETH trong Balancer, trong đó 99 và 1 là trọng số tương ứng, về cơ bản đại diện cho goldCOMP. Độ trượt giao dịch cực kỳ thấp và về cơ bản không có tổn thất nhất thời.

Phân tích chuyên sâu về chi tiết và mục đích đằng sau cuộc tấn công quản trị Hợp chất - cá voi khổng lồ giành lại quyền kiểm soát DeFi kỳ cựu

Sau khi đặt cọc thanh khoản, bạn có thể nhận được ưu đãi thanh khoản là $GOLD. Lưu ý rằng phần thưởng ở đây không phải là BAL mà là VÀNG. Điều này là đương nhiên vì việc chọn VÀNG làm ưu đãi sẽ có lợi hơn cho Golden Boys trong việc kiểm soát lãi suất của nhóm. Dù sao thì họ cũng đều do chính họ kiểm soát. Mặt bằng lãi suất hiện nay là 180% và tất nhiên TVL cũng không cao. Nhưng điều tôi không chắc chắn lắm là khi nào Balancer sẽ hỗ trợ mã thông báo của bên thứ ba được hiển thị trực tiếp trên trang web chính thức dưới dạng khuyến khích đặt cược. Bởi vì đã lâu tôi không theo dõi tiến độ của dự án. Nếu không phải là một hoạt động chính thức được công khai, tôi sẽ phải than thở về sự bất lực khi bị cướp đi khỏi mình một lần nữa!

Phân tích chuyên sâu về chi tiết và mục đích đằng sau cuộc tấn công quản trị Hợp chất - cá voi khổng lồ giành lại quyền kiểm soát DeFi kỳ cựu

Sau khi chuẩn bị những điều này, GoldenBoys bắt đầu cuộc tấn công quản trị vào Complex. Nó lần đầu tiên đưa ra đề xuất đầu tiên vào tháng 5 năm nay. Nội dung của đề xuất là xin 5% COMP được kiểm soát trong Kho bạc Complex, tức là 92.000 COMP. được chuyển vào ví đa chữ ký của Golden Boys và cam kết vào goldCOMP Vault thông qua ví đa chữ ký, đồng thời kiếm được thu nhập khai thác thanh khoản, bị khóa trong một năm. Tất nhiên, trong quá trình này, Golden Boys có được quyền quản trị được chuyển giao đằng sau các Token này. Không còn nghi ngờ gì nữa, đề xuất đã không được thông qua, bởi vì đối tượng tương tác này hơi thô sơ và không có hỗ trợ kinh doanh thực tế, đồng thời toàn bộ hoạt động sau khi mã thông báo được phân phối dựa trên ví đa chữ ký, điều này tạo ra khả năng con người cái ác còn lớn hơn nữa. Vì vậy, nó cũng gây ra sự phản đối rộng rãi trong cộng đồng.

Phân tích chuyên sâu về chi tiết và mục đích đằng sau cuộc tấn công quản trị Hợp chất - cá voi khổng lồ giành lại quyền kiểm soát DeFi kỳ cựu

Nhưng Humpy không nản lòng và chọn đối đầu với các thành viên cộng đồng. Ông tin rằng những vấn đề này có thể được giảm bớt miễn là toàn bộ quá trình được chấp thuận bởi hợp đồng khóa thời gian của Hợp chất cho bất kỳ ví đa chữ ký nào sử dụng mã thông báo này. Đề xuất thứ hai đã được đưa ra. Số tiền áp dụng lần này không thay đổi, nhưng một hoạt động bổ sung đã được thêm vào để đạt được hiệu quả trên bằng cách thiết lập hợp đồng Trust Setup để đạt được sự giám sát của ví đa chữ ký. của hợp đồng chỉ cần đặt ba trạng thái Khi khóa thời gian Hợp chất sửa đổi trạng thái của hợp đồng để cho phép đầu tư, ví đa chữ ký có thể sử dụng các mã thông báo này theo ý muốn. Tất nhiên, đề xuất này cũng bị bác bỏ, nhưng chúng ta có thể thấy số phiếu ủng hộ tăng lên đáng kể. Điều này dường như khiến mọi người ảo tưởng rằng Golden Boys thực sự đang không ngừng tối ưu hóa đề xuất và ngày càng nhận được nhiều sự đồng tình hơn. Cho đến hôm nay, việc thông qua đề xuất thứ ba đã khiến mọi người chết lặng.

Phân tích chuyên sâu về chi tiết và mục đích đằng sau cuộc tấn công quản trị Hợp chất - cá voi khổng lồ giành lại quyền kiểm soát DeFi kỳ cựu

Mọi người nên lưu ý rằng có một điểm khác biệt cốt lõi trong đề xuất được thông qua ngày hôm nay. Số tiền COMP được áp dụng trong đề xuất này không còn là 92.000 mà là 499.000. Tuy nhiên, lần này, cộng đồng rất tự tin rằng nó sẽ xảy ra. có thể dễ dàng đánh bại “âm mưu” của Humpy, nhưng kết quả thật gây sốc. Đề xuất này đã được thông qua với tỷ số sít sao, và số phiếu ủng hộ đã tăng gấp sáu lần chỉ sau mười ngày, điều này rõ ràng là không được cộng đồng mong đợi. Và đây rõ ràng là một hoạt động được Humpy lên kế hoạch cẩn thận. Nếu không có gì khác xảy ra, với việc đề xuất này được thông qua, Humpy sẽ thực sự trở thành chủ sở hữu của Khu phức hợp và dẫn đầu mọi đề xuất. Xét rằng số lượng chip hiện tại của nó đủ để vượt qua đối thủ, cùng với quyền biểu quyết mới có được tương ứng với 499.000 COMP, chắc chắn Hợp chất sẽ bị tước đoạt.

Phân tích chuyên sâu về chi tiết và mục đích đằng sau cuộc tấn công quản trị Hợp chất - cá voi khổng lồ giành lại quyền kiểm soát DeFi kỳ cựu

Tác động của sự cố này là chưa từng có. Bất kỳ sản phẩm DeFi nào cũng cần phải giám sát lại mô hình quản trị của mình để ngăn chặn những vấn đề tương tự. Tôi sẽ tiếp tục chú ý đến những diễn biến tiếp theo. Tôi tin rằng cộng đồng Hợp chất cũng sẽ vùng lên chiến đấu, xung đột cuối cùng sẽ phát triển như thế nào thì khó có thể nói trước được những bài học rút ra từ Balancer.

Bài viết gốc, tác giả:马里奥看Web3。Tuyển dụng: Nhân viên kinh doanh phần mềm theo dự án report@odaily.email;Vi phạm quy định của pháp luật.

Odaily nhắc nhở, mời đông đảo độc giả xây dựng quan niệm đúng đắn về tiền tệ và khái niệm đầu tư, nhìn nhận hợp lý về blockchain, nâng cao nhận thức về rủi ro; Đối với manh mối phạm tội phát hiện, có thể tích cực tố cáo phản ánh với cơ quan hữu quan.

Đọc nhiều nhất
Lựa chọn của người biên tập