คืออะไรทำให้การโจมตี: กรณีศึกษา Compound

บทนำ

ในสมัยที่เทคโนโลยีบล็อกเชนพัฒนาอย่างรวดเร็ว เรื่องการกระจายอำนาจในโหมดการปกครองเป็นกลไกหลักของเครือข่ายกระจาย ซึ่งมอบโอกาสให้สมาชิกในชุมชนมีสิทธิเท่ากันในการมีส่วนร่วมในการตัดสินใจ และมีอิทธิพลต่อโปรโตคอลในอนาคต แต่ก็เป็นที่มาของการโจมตีเรื่องการปกครองที่เกิดขึ้นอย่างมากเป็นประจำ

เหตุการณ์การโจมตีการควบคุม Compound ที่เกิดขึ้นเร็ว ๆ นี้นั้นเป็นหนึ่งในตัวอย่างของการโจมตีชนิดนี้ บทความนี้ได้ทำการวิเคราะห์กลไกที่เกิดขึ้น รูปแบบของการโจมตี และความเสี่ยงที่มากมายที่เกิดขึ้น รวมถึงการสำรวจถึงวิธีการปรับปรุงทางเทคโนโลยีและระดับชุมชนเพื่อรับมือกับความท้าทายที่คล้ายกัน

การปกครองคืออะไร?

ในอุตสาหกรรมการเข้ารหัส คำว่าการปกครองหมายถึงการดำเนินการแก้ไขโปรโตคอลบล็อกเชนผ่านการลงคะแนนเสียง - ในกระบวนการปกครอง มักจะมีนักพัฒนาหรือสมาชิกในชุมชนเสนอข้อเสนอ จากนั้นผู้ถือโทเค็นจะลงคะแนนเพื่อตัดสินใจ ในที่สุด หากข้อเสนอได้รับการสนับสนุนเพียงพอและประสบความสำเร็จในการตอบสนองตามกฎหมาย (Quorum) แล้วการเปลี่ยนแปลงที่เกี่ยวข้องจะมีผล; อย่างไรก็ตามหากไม่ได้รับการสนับสนุนเพียงพอ หรือไม่สามารถบรรลุจำนวนผู้มีสิทธิ์ตามกฎหมาย (Quorum) ตามที่กำหนด ข้อเสนอนั้นจะถูกปฏิเสธ

ในการดำเนินงานขององค์กรที่แต่ละเมือง การปกครองและการปกครองที่เชื่อมโยงกับโครงสร้างการบริหารที่กระจายอำนาจ สถาปัตยกรรมและการกำกับดูแลของโอรกาไนเซชัน (DAO) ที่เกี่ยวข้องกับสัญญาอัจฉริยะและโทเค็นการกำกับดูแล ซึ่งจะทำให้การบริหารที่ไม่มีศูนย์กลางเป็นจริง และเพื่อให้สมาชิกในชุมชนมีส่วนร่วมอย่างแพร่หลายและการปกครองตนเอง

รูปที่ 1: DAO แตกต่างจากองค์กรแบบดั้งเดิม

การโจมตีการปกครองคืออะไร?

ถึงแม้ว่ากลไกการปกครองที่กล่าวมาข้างต้นจะมีประโยชน์ที่มีศักยภาพสำหรับการกระจายอำนาจในอนาคต แต่ก็ยังมีข้อบกพร่องบางอย่างที่อาจถูกนำมาใช้ในทางที่ผิดใจ

ประการแรกเนื่องจากน้ําหนักการลงคะแนนเกี่ยวข้องโดยตรงกับจํานวนการถือครองโทเค็น "วาฬ" ซึ่งมีโทเค็นจํานวนมากสามารถจัดการผลการลงคะแนนได้โดยเสนอข้อเสนอที่เป็นประโยชน์ต่อตัวเอง นอกจากนี้สมาชิกที่มีโทเค็นเพียงพอมีสิทธิ์ที่จะส่งข้อเสนอซึ่งอาจนําไปสู่ข้อเสนอที่มีคุณภาพต่ําหรือเป็นอันตรายจํานวนมาก นอกจากนี้ข้อเสนอด้านการกํากับดูแลมักเกี่ยวข้องกับเทคโนโลยีที่ซับซ้อนส่งผลให้ผู้ใช้โดยเฉลี่ยมีส่วนร่วมต่ําและทําให้คนไม่กี่คนสามารถควบคุมทิศทางการตัดสินใจได้ง่ายขึ้น

การโจมตีด้านการปกครองทำขึ้นโดยการใช้ช่องโหว่เหล่านี้เพื่อควบคุมพฤติกรรมในการลากเส้นของโปรโตคอลการกระจายอำนาจ - ผู้ทำโจมตีสามารถทำการโหวตหรือควบคุมการโหวตของผู้ถือเพื่อดันข้อเสนอที่เป็นประโยชน์ต่อตนเองหรือแม้จะยึดครองความเป็นเจ้าของของโปรโตคอลอย่างกระทันหัน ในปีหลายๆ ที่ผ่านมาวิธีการโจมตีแบบนี้ได้เกิดขึ้นในโครงการสกุลเงินดิจิทัลหลายๆ โครงการ ทำให้เกิดความเสี่ยงต่อความปลอดภัยและความมั่นคงของโปรโตคอล

วิธีหลักในการโจมตีการปกครอง

ก. การจัดการคะแนนเสียง

หนึ่งในรูปแบบการโจมตีการจัดการที่พบบ่อยที่สุดคือผู้โจมตีใช้โทเค็นการกำกับดูแลจำนวนมากเพื่อควบคุมการตัดสินใจในการจัดการโปรโตคอล

การดำเนินการที่ผู้ดำเนินการโจมตีปกติจะซื้อโทเค็นจำนวนเพียงพอล่วงหน้า และบางครั้งอาจจะยืมโทเค็นจำนวนมากในบล็อกผ่านการกู้เงินแฟลชเพื่อทำให้ได้สิทธิ์ในการลงคะแนนหรือตัดสินใจทางเฉพาะ แล้วคืนเงินกู้ทันทีหลังจากการซื้อขาย

เมื่อผู้โจมตีควบคุมเสียกว่า 50% ของสิทธิ์โหวตในการตัดสินใจอย่างแน่นอน ผู้โจมตีไม่จำเป็นต้องได้รับการสนับสนุนจากผู้เข้าร่วมอื่น ๆ และสามารถทำลายโปรโตคอลด้วยการเสนอข้อเสนอใด ๆ โดยผ่านกรอบการกำหนดการที่ไม่ได้ใช้การจัดการศูนย์กลาง เช่น การเปลี่ยนแปลงพารามิเตอร์เศรษฐกิจของโปรโตคอลได้อย่างอิสระ หรือทำให้โปรโตคอลตกเป็นโคลนไม่สามารถทำงานได้ นี่เป็นวิธีการโจมตีรูปแบบการจัดการที่ทำลายหายนะ

กลยุทธ์นี้ไม่ต้องการให้ผู้โจมตีถือครองโทเค็นเป็นเวลานาน แต่ใช้สิทธิ์ในการลงคะแนนสูงในระยะเวลาสั้นเพื่อควบคุมการปกครอง ควรระมัดระวังว่าการโจมตีแบบนี้มักเกิดขึ้นเมื่อราคาโทเค็นต่ำ ในขณะนี้ต้นทุนในการเก็บรวมโทเค็นจำนวนมากต่ำ และง่ายต่อการดำเนินการ

b. การลักพาตัวเสนอ

การโจมตีด้วยข้อเสนอหลอกลวงเป็นวิธีการโจมตีที่หลอกลวง โดยผู้โจมตีส่งข้อเสนอที่ดูเหมือนจะเป็นที่เหมาะสม แต่ในความเป็นจริงแล้วมีช่องโหว่ที่เป็นอันตรายต่อระบบหรือข้อเสนอในการปรับแต่งพารามิเตอร์ทางเศรษฐกิจเพื่อสร้างประโยชน์สูงสุดแก่ตนเอง จากนั้นใช้สิทธิ์ในการลงคะแนนเสียงเพื่อมีผลต่อการตัดสินใจ ดำเนินการประชิดใจชุมชนเพื่อให้ข้อเสนอผ่านได้อย่างราบรื่น เรื่องสำคัญของการดำเนินการนี้คือผู้โจมตีไม่เพียงแค่ต้องเข้าใจโปรโตคอลอย่างลึกซึ้ง ยังต้องได้รับการสนับสนุนจากชุมชนเพียงพอเพื่อให้ข้อเสนอผ่านได้

แม้ว่าบางข้อเสนออาจดูเหมือนจะมีวัตถุประสงค์เพื่อเพิ่มประสิทธิภาพของโปรโตคอล แต่เมื่อดำเนินการแล้วอาจเป็นอันตรายต่อการปกครองขององค์กร ผู้โจมตีเล่นเกมตามกลไกความเชื่อมั่นของระบบการปกครอง เพื่อหลีกเลี่ยงมาตรการป้องกันทั่วไป ที่อาจทำให้โปรโตคอลเผชิญกับช่องโหว่ด้านความปลอดภัยและสูญเสียทางเศรษฐกิจ และอาจเสี่ยงต่อการสูญเสียควบคุมอย่างสมบูรณ์ การโจมตีโปรโตคอลของ Compound ในประเด็นการปกครองมูลค่า 25 ล้านดอลลาร์เป็นตัวอย่างที่ชัดเจนของการโจมตีประเภทนี้ ผู้โจมตีส่งข้อเสนอที่ดูเหมือนปกติ แต่เป้าหมายจริงคือโอนเงินของโปรโตคอลไปยังบัญชีที่ควบคุมโดยตนเอง

โปรโตคอล Compound คืออะไร

ข้อมูลพื้นฐานของโครงการ

Compound คือโปรโตคอลการเงินแบบกระจายอำนาจที่สร้างขึ้นบนพื้นฐานของ Ethereum โดย Robert Leshner และ Geoffrey Hayes ในปี 2018 โปรโตคอลนี้อนุญาตให้ผู้ใช้เก็บเข้ารหัสสินทรัพย์ไว้เพื่อรับดอกเบี้ย หรือจำนองสินทรัพย์เพื่อยืมสินทรัพย์อื่น

เป็นแพลตฟอร์มการกู้ยืมระดับโลกชั้นนำซึ่งมีเทคโนโลยีอัลกอริทึ่มที่พื้นฐานอยู่บนการตั้งค่าอัตราดอกเบี้ยโดยพิจารณาซื้อขายเทียบกับการต้องการและการจำหน่าย อนุญาตให้ผู้ใช้แลกเปลี่ยนค่าเวลาของสินทรัพย์เช่นเอเธอร์เรียมอย่างสม่ำเสมอ ดึงดูดเงินทุนของผู้ใช้มากมาย ส่งผลกระทบอย่างมหาศาลต่อการพัฒนาตลาดการกู้ยืมที่กระจายอำนาจ ถูกเรียกว่า "ธนาคารของโลกบนบล็อกเชน"

รูปที่ 2: โลโก้ Compound โปรโตคอล

Compoundโปรโตคอล运行原理

Compoundโปรโตคอลมีบทบาทที่สำคัญในการเติมเต็มช่องว่างทางการเงินระหว่างผู้ให้สินเชื่อที่ไม่ได้ใช้เงินไปแล้วและผู้กู้ที่ต้องการสินเชื่อ โดยผู้ฝากจะวางสินทรัพย์ดิจิทัลของตนในกองทุนของโปรโตคอลก่อน และผู้กู้สามารถยืมเงินจากกองทุนดังกล่าวผ่านการมีสิทธิ์เรียกร้องอัตราส่วนบางส่วน

ตัวอย่างเช่น หลังจากผู้ใช้จำนองสินทรัพย์ดิจิทัล จะได้รับโทเค็นที่เทียบเท่าเป็นหลักทรัพย์เงินฝาก ที่ใช้สำหรับการแลกเงินในอนาคต ที่เก็บไว้ได้ตลอดเวลา หากผู้เก็บฝากซึ่งเป็นผู้จำนองสินทรัพย์ดิจิทัลนำสินทรัพย์ดิจิทัลของตนมาใส่ในกองทุนสินทรัพย์ดิจิทัลของ Compound จะเริ่มเก็บดอกเบี้ย โดยดอกเบี้ยจะถูกคำนวณตามจำนวนเงินที่ฝาก และจะถูกคำนวณและอัปเดตทุกครั้งเมื่อบล็อก ETH ถูกสร้างขึ้น ดังนั้น รายได้รวมของผู้ใช้จะเพิ่มขึ้นตลอดเวลาเมื่อบล็อกถูกสร้างขึ้น

รูปที่ 3: การทำงานของโปรโตคอล Compound อย่างสรุป

บทนำเกี่ยวกับโทเค็น COMP

โทเค็น功能

COMPคือโทเค็นการกำกับดูแล ERC-20 ที่ถูกเปิดตัวโดย Compound ซึ่งเป็นสกุลเงินดิจิทัลต้นเดิมของโปรโตคอลนี้ ทำให้ผู้ใช้สามารถมีอำนาจในการกระจายเกี่ยวกับโปรโตคอล Compound และผู้ถือโทเค็นสามารถมีสิทธิในการอภิปรายเรื่องการเปลี่ยนแปลงของโปรโตคอล และเสนอและลงคะแนน

ในการกระจายโทเค็น COMP โดยใช้เครื่องมือ 'การยืมเงินเทียบเท่ากับกระบวนการขุดเหมือง' ทำให้ผู้ใช้ Compound Protocol ได้รับการกระจายโทเค็น COMP ฟรี ผู้ใช้จะได้รับโทเค็น COMP ทุกครั้งที่เข้าถึงโปรโตคอล (ฝากเงินหรือยืมเงิน) ยิ่งยืมเงินมากเท่าไหร่ ยิ่งได้รับโทเค็น COMP มากเท่านั้น

ในระยะแรกของโปรโตคอลการออก, มีโทเค็น COMP จำนวน 4,229,949 ตัวถูกล็อคใน 'สระน้ำ' ของสัญญาอัจฉริยะ และทุกๆ บล็อกของ ETH จะมีการโอน COMP 0.5 ตัว (ประมาณ 2880 COMP ต่อวัน) โดยคาดว่าจะแจกจ่ายให้เสร็จภายใน 4 ปี โทเค็นเหล่านี้จะถูกแจกจ่ายตามอัตราดอกเบี้ยที่สร้างขึ้นโดยตลาดการกู้ยืมแต่ละราย (เช่น ETH, DAI) โดยมีส่วนแบ่ง 50% จ่ายให้ผู้ให้สินทรัพย์และ 50% จ่ายให้ผู้กู้ยืมเพื่อเสริมสภาพคล่องของตลาด

ในด้านการกำหนดนโยบาย ผู้ถือ COMP มีสิทธิ์ในการมีส่วนร่วมในการกำหนดนโยบายของโปรโตคอล ซึ่งรวมถึงการเสนอข้อเสนอ ลงคะแนนเสียง และปรับเปลี่ยนพารามิเตอร์ของโปรโตคอล โดยสิทธิ์ในการลงคะแนนเสียงจะเชื่อมโยงกับปริมาณของโทเค็นที่ถืออยู่โดยตรง - โดยสิทธิ์ในการลงคะแนนเสียงจะมีอิทธิพลมากขึ้นตามจำนวน COMP ที่ถือได้

รูปที่ 4: ราคาเหรียญ COMP ล่าสุด

โทเค็น决策机制

ข้อเสนอและการใช้งานโปรโตคอล Compound มักจะแบ่งออกเป็นกระบวนการต่อไปนี้:

เริ่มต้นโดยการเสนอให้ให้สิทธิให้บุคคลใด ๆ ที่มีจำนวน COMP น้อยกว่า 1% ของผลรวมสามารถสร้างข้อเสนอ หากข้อเสนอได้รับการสนับสนุนเพียงพอและมีค่าโหวตที่ถึงขีดจำกัด 10,000 คะแนน จึงสามารถเปลี่ยนเป็นข้อเสนอการปกครองที่เป็นทางการ

จากนั้นระยะเวลาการลงคะแนนมักจะเป็นเวลา 3 วันในระหว่างที่ผู้ใช้ที่ถือโทเค็น COMP สามารถลงคะแนนในข้อเสนอได้

หากข้อเสนอได้รับโหวตสนับสนุนมากกว่า 50% และเกินขีดจำกัดของจำนวนโหวตต่ำสุด ข้อเสนอจะถือว่าผ่าน

หลังจากเห็นด้วยกับข้อเสนอ จะเข้าสู่ขั้นตอนการดำเนินการของสัญญา Timelock 2 วันเพื่อให้มั่นใจว่ามีเวลามากพอสำหรับชุมชนในการตอบสนอง

รูปที่ 5: กระบวนการตัดสินใจของโปรโตคอล Compound

กลไก Compound ข้อดีและข้อเสีย

Ⅰ. ข้อดี:

1. การกระจายอำนาจ治理

Compound ได้สร้างโมเดลการบริหารจัดการที่กระจายอำนาจอย่างสมบูรณ์ ทำให้สิทธิ์ในการบริหารจัดการอยู่ในมือของเจ้าของ COMP ที่มีเป็นพันๆ ราย รวมถึงการตัดสินใจเกี่ยวกับการยืมเงิน การจัดเตรียมการผลิตและการลงคะแนนเสียง เพื่อให้มั่นใจว่าการตัดสินใจของโปรโตคอลจะไม่ขึ้นอยู่กับทีมพัฒนา แต่จะเป็นผลมาจากการร่วมมือกันของชุมชน

2. ผู้ใช้ผูกโปรโตคอลความลึก

COMP 代币จะผูกพันประโยชน์ของผู้ถือกับการพัฒนาของ Compound อย่างใกล้ชิด กลไกการจำนองทำให้ส่วนใหญ่ของผู้ถือเป็นผู้ใช้งานพร้อมกัน เมื่อราคา COMP ดันขึ้น ผู้ใช้จะได้รับประโยชน์และมีส่วนร่วมอย่างเต็มที่ ส่งเสริมการขยายขนาดของเงินทุนและค่าของ COMP ที่สูงขึ้น เป็นวงจรที่ดี

II.. ข้อเสีย

1. ไม่มีผู้รับผิดชอบที่ชัดเจน

การกระจายอำนาจหมายความว่าไม่มีผู้รับผิดชอบเดียว การตัดสินผิดพลาดหรือการกระทำผิดกฎหมายจะเป็นเรื่องยากที่จะรับผิดชอบตามเวลา ทำให้มีความไม่แน่นอนในการแบ่งปันความรับผิดชอบและการปกครอง

2. โทเค็นการกำกับดูแลที่จัดกลุ่ม

นักลงทุนรายใหญ่และทีมครอง COMP ราว ๆ 50% ของโทเค็น ทำให้สิทธิโหวตและการตัดสินใจเกี่ยวกับการบริหารจัดการมีการรวมกันอย่างสูง ที่อาจทำให้การกระจายอำนาจในการบริหารไม่เป็นธรรม และทำให้การตัดสินใจมีแนวโน้มในการให้ประโยชน์แก่นักลงทุนรายใหญ่

3. ประสิทธิภาพในการตัดสินใจต่ำ

ในโหมดการควบคุมที่กระจายอำนาจอย่างสมบูรณ์โดยการตัดสินใจโดยชุมชนและการลงคะแนเสียงทุกคำเสนอ จะใช้เวลานาน มีประสิทธิภาพต่ำ อาจทำให้ผู้ถือเหนื่อยล้าและไม่มีส่วนร่วมอย่างเต็มที่ในกระบวนการควบคุม

ความเรื่องราวของคอมปาวด์

เหตุการณ์โต้แย้งสำคัญ

ในวันที่ 29 กรกฎาคม 2024 โปรโตคอลการยืมในชื่อเรื่องที่ 289 ได้ผ่านการเสนอแนะโดยการโอน COMP จำนวน 499,000 เหรียญ (มูลค่าประมาณ 25 ล้านเหรียญสหรัฐ, ครอบครองเงินสำรองของ Compound 5%) ไปยังที่อยู่แบบหลายลายเซ็นที่ไม่คุ้มครองและไม่สามารถควบคุมได้ ทำให้เกิดความสงสัยอย่างกว้างขวางในชุมชน

ตามเนื้อหาของข้อเสนอนี้ โทเค็น COMP ชุดนี้จะถูกแจกจ่ายให้กับโปรโตคอล goldCOMP ที่ถูกควบคุมโดยทีม 'Golden Boys' ภายใน 1 ปี จุดโต้แย้งคือสมาชิกในชุมชนกล่าวว่าข้อเสนอนี้ได้รับการสนับสนุนจากผู้มีส่วนได้ส่วนเสียที่เป็นผู้ก่อการร้ายของ 'Golden Boys'

รูปที่ 6: หน้าต่างผู้ใช้ GoldCOMP

ผู้ควบคุมหลักในการโจมตีครั้งนี้ Humpy เป็น”วาฬ”โทเค็นขนาดใหญ่ที่มีชื่อเสียงในชุมชนการเงินแบบกระจายอำนาจ ในการโจมตี Compound ผู้ควบคุมหลักพยายามจะเอาชนะสิทธิ์ในการควบคุมโทเค็น COMP ที่ว่างเปล่าใน Compound Treasury อย่างไรก็ตาม สิ่งที่ทำให้ผู้ควบคุมหลักตกใจคือ ถึงแม้ว่าข้อเสนอนี้จะได้รับการผ่านหลังจากการโหวตเบื้องต้น แต่หลังจากการเจรจาและการอภิปรายกันอย่างเคร่งครัดเป็นเวลา 48 ชั่วโมง ข้อเสนอนี้ถูกยกเลิก และมีการประกาศแผนการแบ่งปันผลกำไรใหม่ที่สุดท้าย ซึ่งช่วยให้ชุมชนสามารถดำเนินโปรโตคอลที่มีประสิทธิภาพมากขึ้น และได้รับผลตอบแทน

การสรุปเหตุการณ์ในอดีต: การเตรียมความพร้อมของพายุหลังจากเหตุการณ์

• 6 พฤษภาคม: ข้อเสนอ 247 ได้เสนอครั้งแรกว่า "จะลงทุน 5% ของ COMP (โทเค็น 499,000 เหรียญ) ในกองทุนของรัฐบาลในโปรโตคอล goldCOMP ที่ออกแบบโดยทีม Golden Boys" แต่เนื่องจากจำนวนผู้เข้าร่วมโหวตไม่ถึงจำนวนที่กฎหมายกำหนด ข้อเสนอถูกยกเลิก 【3】

ภาพที่ 7: ภาพหน้าจอของข้อเสนอหมายเลข 247

• กลางเดือนพฤษภาคม: บริษัทรักษาความปลอดภัย OpenZeppelin ได้เตือนในฟอรั่มชุมชนว่าการเสนอข้อเสนอนี้อาจเป็นการโจมตีการปกครองและไม่ทราบตัวผู้เสนอและไม่ได้รับการพูดคุยกับชุมชนล่วงหน้าเกี่ยวกับบัญชีการปกครอง และ Wintermute ก็แสดงความไม่เห็นด้วยโดยสงสัยความโปร่งใสและความถูกต้องของข้อเสนอนี้

• 15 กรกฎาคม: ข้อเสนอที่ 279 เสนอให้ "สร้างความไว้วางใจสําหรับการลงทุน DAO ใน goldCOMP" อีกครั้งโดยเสนอการโอนโทเค็น COMP 92,000 รายการไปยังโปรโตคอล goldCOMP เป็นเวลาหนึ่งปี ข้อเสนอก็ถูกยกเลิกเพราะองค์ประชุมไม่ครบ

รูปที่ 8: 279 รูปถ่ายของข้อเสนอหมายเลข

• 24 กรกฎาคม: ข้อเสนอที่ 289 ทําซ้ําวลี "ลงทุน 499,000 COMP โทเค็นใน goldCOMP โปรโตคอลเป็นเวลาหนึ่งปี" ทําให้ที่ปรึกษาด้านความปลอดภัยของ Compound และสมาชิกในชุมชนยังคงแสดงความกังวลว่าข้อเสนอนี้อาจก่อให้เกิดการโจมตีด้านธรรมาภิบาล

ภาพที่ 9: สมาชิกชุมชน Compound โต้วาทีเปิดเผยคำถาม

• 29 กรกฎาคม: เสนอข้อสรุป 289 เช่น ผลลัพธ์ที่ได้รับการอนุมัติในที่สุดคือ 68.2 ล้านโหวตเห็นด้วยและ 63.3 ล้านโหวตไม่เห็นด้วย เนื่องจากข้อเสนอนี้ไม่ได้รับการสนับสนุนและมีความเสี่ยงต่อความปลอดภัยของทรัพย์สินเป็นเรื่องที่เกิดความโต้แย้งอย่างแพร่หลาย ที่ปรึกษาด้านความปลอดภัยของ Compound Michael Lewellen ได้ชี้แจงว่าพบบัญชีหลายบัญชีที่ซื้อโทเค็น COMP จำนวนมากในตลาดและก่อให้เกิดการต่อต้านที่สำคัญในการลงคะแนนเสียง สงสัยว่าบางผู้ใช้ได้ใช้กระบวนการบริหาร DAO เพื่อแสวงหาประโยชน์ส่วนบุคคล

ภาพที่ 10: สกรีนช็อตข้อเสนอเลขที่ 289

• 30 กรกฎาคม: วาฬHumpyถูกกล่าวหาใช้สิทธิ์ในการลงคะแนนเพื่อโอน COMP มูลค่า 25 ล้านเหรียญสหรัฐ จากคลังของ Compound ไปยังคลังทองของ goldCOMP ที่ควบคุมโดยโปรโตคอล Golden Boys ทำให้ราคาโทเค็น GOLD ที่ชุมชน Golden Boys ออกมาเพิ่มขึ้นสองเท่า และเพิ่มขึ้นมากกว่า 46%

ผลลัพธ์การดำเนินการสุดท้าย: การตกลงประนีประนอม

ขณะนี้เหตุการณ์ที่เกี่ยวข้องได้สิ้นสุดลงแล้ว ชุมชน Compound ยังได้ทำการตกลงความตกลงกับ Humpy โปรโตคอล โดยเนื้อหาเป็นดังนี้: Humpy จะละทิ้งความต้องการของตัวแทน COMP ที่เกี่ยวข้องในข้อเสนอก่อนหน้านี้; ในการแลกเปลี่ยน Compound โปรโตคอล จะแบ่งปัน 30% ของรายได้ทั้งหมดที่เพิ่มขึ้นในแต่ละปีให้กับผู้ถือ COMP โดยที่รายได้เหล่านี้ก่อนหน้านี้ได้เป็นส่วนหนึ่งของสำรองตลาดที่ถูกควบคุมโดยทีมงาน

ด้วยความสำเร็จของการโจมตี "Golden Boys" ราคาโทเค็นเพิ่มขึ้นอย่างรวดเร็ว ในเวลาเดียวกัน COMP โทเค็นก็เปลี่ยนเป็นทรัพย์สินที่ให้รายได้ อย่างไรก็ตาม เนื่องจากเสนอข้อเสนอนี้ไม่ได้นำมาสู่ประโยชน์ที่เกิดขึ้นจริงสำหรับ Compound Protocol แต่กลับทำให้กระทบความเป็นเจ้าของทรัพย์สินส่วนหนึ่งได้ ดังนั้นถูกจัดเป็นการโจมตีการบริหารจัดการ และ Humpy ก็เป็นผู้เน้นการเปลี่ยนแปลงของ Compound Protocol ในเกมการบริหารจัดการนี้

รูปที่ 11: หลังเกิดเหตุการณ์ ฮัมปี กล่าวออกมาในสื่อสังคม

การควบคุมความเสี่ยงทางหลายมิติของการโจมตี

ภัยที่มาจากการโจมตีควบคุมมีมุมมองทั้งในระยะสั้นและระยะยาว สรุปได้ดังนี้:

Ⅰ. อุปสรรคระยะสั้น

a.危及โปรโตคอล安全

ผลกระทบโดยตรงจากการโจมตีครอบครองคือการล้มเหลวของโปรโตคอลทางการเงิน โดยเฉพาะอย่างยิ่งเมื่อเกี่ยวข้องกับข้อเสนอที่เกี่ยวข้องกับการจัดสรรเงิน ผู้โจมตีเช่นนี้มักจะใช้การยื่นข้อเสนอที่ไม่ดีหรือควบคุมกระบวนการลงคะแนนเสียงเพื่อสร้างช่องโหว่ที่เป็นอันตรายสำหรับโปรโตคอล การเปลี่ยนแปลงโค้ดสัญญาอัจฉริยะที่เป็นอันตราย หรือแม้กระทั้งทำให้ระบบล้มลงหรือทำให้สินทรัพย์ถูกตรึงไว้ ทำให้สั่นสะเทือนใจความเชื่อของตลาด และสร้างความดันให้กับผู้ใช้และนักพัฒนา

b. การประมูลสินทรัพย์ของผู้ใช้ลดค่า

ผลกระทบทันทีอีกอย่างคือการลดราคาโทเค็นอย่างมาก ทำให้มูลค่าสินทรัพย์ของผู้ใช้ลดลงอย่างรวดเร็ว เมื่อตลาดตระหนักถึงการโจมตีโครงสร้างการบริหารโปรโตคอล นักลงทุนมักจะขาดใจและทิ้งขายโทเค็นอย่างกะทันหัน ทำให้ราคาตลาดขึ้นลงอย่างรุนแรงและส่งผลกระทบต่อมูลค่าสินทรัพย์ของผู้ใช้ ตัวอย่างเช่นในเหตุการณ์โอนโทเค็น Compound ครั้งนี้ ราคา COMP ลดลงเกือบ 30% ในระยะเวลา 7 วัน จาก 53.6 ดอลลาร์ ลงไปเหลือ 37.9 ดอลลาร์ นอกจากนี้ บางผู้โจมตีอาจจะสร้างสรรค์สัญญาอัจฉริยะโดยตรง เพื่อย้ายหรือสูญเสียเงินทุนของผู้ใช้ ซึ่งส่งผลให้เกิดความเสียหายทางเศรษฐกิจอย่างมาก

รูปที่ 12: ราคา token COMP ลดราคาครั้งใหญ่ 30% ภายในหนึ่งสัปดาห์

Ⅱ. ความเสียหายในระยะยาว

a. ความลึกเสียหายกับชื่อเสียงของแพลตฟอร์ม

การโจมตีการปกครองไม่เพียงทำให้เสียหายทรัพย์สินในช่วงสั้น ๆ เท่านั้น มันยิ่งสำคัญมากที่มันจะทำลายความไว้วางใจของผู้ใช้และชุมชนต่อโปรโตคอล ทำให้การอยู่รอดและการเจริญเติบโปรโตคอลนั้นเสี่ยงต่อการถูกขัดขวาง ความสำเร็จของโปรโตคอลการกระจายอำนาจจำเป็นต้องขึ้นอยู่กับความไว้วางใจและการมีส่วนร่วมอย่างแพร่หลายของผู้ใช้ หากมีการกระทำการควบคุมเกิดขึ้นผู้ใช้และนักลงทุนจะสงสัยถึงความเป็นธรรมและความโปร่งใสของโปรโตคอล อาจลดกิจกรรมของพวกเขาบนแพลตฟอร์มหรือถอนการลงทุน ทำให้ตำแหน่งทางการตลาดของโปรโตคอลลดลง และสร้างผลกระทบลบโตต่อการเจริญของมันในอนาคต

B. การเงินแบบกระจายอำนาจเป็นอันตรายต่อความเสถียรของระบบนิเวศศาสตร์

จากมุมมองที่ลึกซึ้งยิ่งขึ้น การโจมตีการปฏิบัติตามที่ประสบความสำเร็จอย่างหนึ่งจะเปิดเผยข้อบกพร่องทางภูมิสูตรและการออกแบบกลไกการปฏิบัติตามของโปรโตคอลภายใน โปรโตคอลที่สามารถเปิดเผยข้อบกพร่องทางความปลอดภัยและความเชื่อถือได้ในระยะยาว หากไม่มีการป้องกันอย่างมีประสิทธิภาพ จะส่งผลให้เกิดการโจมตีที่คล้ายกันมากขึ้นในอนาคต โดยที่การปฏิบัติตามที่เกี่ยวข้องจะถูกเสี่ยงต่อการถูกตรวจสอบและเข้ามีการแทรกแซงโดยหน่วยงานกำกับ ทำให้เพิ่มเสี่ยงทางการปฏิบัติตามและการดำเนินงาน ครั้งหนึ่งที่ความเสี่ยงเหล่านี้เกิดขึ้น อาจกระทบต่อความเชื่อถือในโหมดการปฏิบัติตามของชุมชน ซึ่งในที่สุดจะทำให้เสื่อมค่าความมั่นคงของระบบนิเวศทั้งหมด และเป็นอันตรายต่อการพัฒนาโครงการในระยะยาว

วางยางที่จะต่อสู้กับการโจมตีในการปกครอง

แม้ว่าการกระทําของวาฬฮัมปี้จะสอดคล้องกับกฎของชุมชน แต่เหตุการณ์นี้ยังคงเปิดเผยปัญหาที่ลึกซึ้งยิ่งขึ้นในการกํากับดูแลการกระจายอํานาจ DAO: ผู้ใช้แต่ละรายสามารถจัดการคะแนนเสียงเพื่อผลกําไรที่ไม่เหมาะสมโดยเน้นความสําคัญของการพัฒนากลยุทธ์การกํากับดูแลที่แข็งแกร่งขึ้นเพื่อป้องกันการละเมิด

เพื่อเหตุนี้ เอกสารฉบับนี้จึงให้กลยุทธ์ต่อไปนี้เป็นตัวอย่างในการแก้ไขความเสี่ยงของการโจมตีในการควบคุมปฏิบัติประการนี้

1. การป้องกันทางเทคนิค：

ปรับปรุงกลไกการปกครอง: การใช้หลายลายเซ็นและค่าเครือข่ายเวลาแฝงในการดำเนินการเพื่อป้องกันการดำเนินการที่ไม่เจตนาจากการเป็นการที่ได้รับการตรวจสอบและพิจารณาอย่างเพียงพอโดยรวดเร็ว นอกจากนี้ยังมีการตรวจสอบสัญญาอัจฉริยะและการตรวจสอบความปลอดภัยเพื่อค้นพบและแก้ไขข้อบกพร่องภายในกลไกการปกครองที่เป็นไปได้

ขั้นตอนการลดคะแนนโหวต: การนำเข้าขั้นตอนการลดคะแนนโหวตเพื่อจำกัดน้ำหนักของการโหวตที่ถูกโหวตในช่วงเวลาสุดท้ายเพื่อป้องกันการเปลี่ยนแปลงผลลัพธ์อย่างกะทันหันและให้ความยุติธรรมในกระบวนการการบริหารจัดการ; หรือนำเข้ากระบวนการล็อกเวลาเพื่อให้โทเค็นที่ซื้อใหม่ไม่สามารถใช้ในการลงคะแนนในระยะเวลาหนึ่ง

การนำเสนอสิทธิการปฏิเสธ: ให้สมาชิกในชุมชนที่เฉพาะเจาะจงมีสิทธิที่จะปฏิเสธข้อเสนอโดยมีเวลาเพียงพอให้กับชุมชนเพื่อตอบสนองและจัดการกับข้อเสนอที่ไม่เหมาะสม

2. มาตรการปรับปรุงระดับชุมชน:

เพิ่มความโปร่งใสในการบริหาร: ชุมชนควรเสริมความโปร่งใสและโปร่งใสในการเปิดเผยข้อมูลเพื่อลดโอกาสในการควบคุมอย่างไม่สุจริต พร้อมช่วยสมาชิกในชุมชนเข้าใจเนื้อหาและผลกระทบของข้อเสนอ โดยเพิ่มความกระตุ้นให้สมาชิกมีส่วนร่วมมากขึ้น และเสริมความสามารถในการตรวจสอบของชุมชน

ปรับปรุงกระบวนการตัดสิน: ใช้กลไกน้ำหนักเวลาเพื่อป้องกันการควบคุมการลงคะแนในช่วงเวลาสุดท้าย ในขณะเดียวกันยังสามารถสร้าง "คณะกรรมการการปกครอง" หรือ "หน่วยงานอิสระ" เพื่อตรวจสอบก่อนที่ข้อเสนอสำคัญจะผ่าน ผู้ลงทุนที่คาดหวังว่าราคาจะขึ้น ให้การรับรองความเป็นธรรมและยุติธรรมของข้อเสนอ

สรุป

การบุกรุกที่บ่อยครั้งของเหตุการณ์การปกคริบเปิดเผยถึงความท้าทายที่องค์การการกระจายอำนาจเผชิญหน้าในขั้นตอนการค้นหาประชาธิปไตย แม้ว่าโมเดลการปกคริบที่แสดงออกจากการปกคริบอาจให้สมาชิกในชุมชนสิทธิในการปกคริบที่เท่าเทียม ความเปิดเผยของมันยังทำให้การกระจายอำนาจมีโอกาสเป็นเป้าหมายของการโจมตีอันมีชัยช่วย

เพื่อต่อต้านการโจมตีด้านการปกครองเหล่านี้ การพัฒนามาตรการป้องกันที่ครอบคลุมมากขึ้นได้เป็นหน้าที่สำคัญขององค์กรอิสระแบบกระจายอำนาจ เช่น เช่นการใช้หลายลายเซ็น การลดคะแนนโหวต ฯลฯ อย่างไรก็ตาม การปรับปรุงโครงสร้างการปกครองไม่ใช่เรื่องง่าย ต้องการการสำรวจและนวัตกรรมอย่างต่อเนื่องจากผู้พัฒนาโปรโตคอล สมาชิกชุมชน และระบบนิเวศบล็อกเชนโดยรวม เพื่อสนับสนุนการพัฒนายาวนานของโลกบล็อกเชนในอนาคต

อ้างอิง

1.https://decrypt.co/resources/compound-defi-ethereum-explained-guide-how-to 2.https://coinmarketcap.com/currencies/compound/ 3.https://compound.finance/governance/proposals 4.https://x.com/Titanium_32