Немає нових сповіщень
Більше
Колір підйому / падіння
Час початку та закінчення зміни
- Тема
135k публікації
81k публікації
69k публікації
60k публікації
57k публікації
50k публікації
45k публікації
45k публікації
45k публікації
- 10#MAGA#
45k публікації
- Закріпити
- ✨ gate Post Новорічний розіграш - Покажіть свій криптопрапор 2025 року та виграйте нагороду у розмірі 200 доларів США!
💰 Виберіть 10 високоякісних постерів, кожен з них отримає винагороду у розмірі 10 доларів
Як приєднатися:
1️⃣ Слідкуйте за Gate.io_Post
2️⃣ Пост з хештегом #2025CryptoFlag# , поділіться своїм криптофлагом 2025 року та причинами
3️⃣ Повідомлення повинно містити щонайменше 60 слів і отримати щонайменше 3 лайки
Приклади повідомлень:
🔹 Інвестиційні цілі: Які ваши криптовалютні цілі на 2025 рік?
🔹 Торгова стратегія: Які стратегії ви будете застосовувати в 2025 році?
🔹 Особистий
- 🚀 Gate.io Золота Лихоманка: Новорічний Карнавал
⚡️ Заробляйте золоті боби, розблокуйте 1 BTC винагороду!
🎯 Приєднуйтесь зараз: https://www.gate.io/activities/click-to-earn
➡️ Новий рік розпочинається, і щастя на відстані витягу руки!
Детальніше: https://www.gate.io/announcements/article/42263
- 📢 Виклик відмітки поста Gate.io: #My Bullish Crypto Sectors# Опублікуйте і поділіться, приз - $100!
Які криптосектори ви вважаєте найбільш перспективними - DeFi, AI, Meme чи RWA? Що робить їх особливими для вас?
💰️ Виберіть 10 високоякісних постерів, легко виграйте по $10 за кожен!
💡 Як узяти участь:
1️⃣ Слідуйте за gate_Post
2️⃣ Відкрийте додаток Gate.io, натисніть "Моменти" внизу, щоб увійти на сторінку "Пост-квадрат".
3️⃣ Натисніть кнопку "Опублікувати" в правому нижньому куті, використовуйте хештег #My Bullish Crypto Sectors# та опублікуйте свої висновки.
✍️ Приклад Посту:
1️⃣ Які унік
- 🎆 Новий рік, нова удача! Приєднуйтесь до святкування кінцевого щасливого жеребкування!
🎉 Спільнота Gate.io Community Honor Credits New Year Lucky Draw - Фаза 6 офіційно розпочалася!
Почніть розіграш прямо зараз 👉 https://www.gate.io/activities/creditprize?now_period=6
🌟 Як прийняти участь?
1️⃣ Перейдіть у [Центр кредитів] у gate Post та виконуйте завдання, такі як публікація, коментування та лайкання, щоб заробити кредити Честі.
2️⃣ Нижчий поріг вступу: Заробіть 300 кредитів, щоб отримати один вхід у розіграш!
🎁 Участь у розіграші ноутбука MacBook Air, ексклюзивної продукції, балів, вауче
- 🔥 Задача викладання ексклюзивних постів послів Gate.io — щоденно публікуйте та вигравайте щотижневу винагороду у розмірі 200 доларів на основі рівнів якості постів (2024/12/30-2025/1/5)!
Порожній текст
👉 Розміщуйте та діліться нагородами в розмірі 200 доларів на основі рівнів якості публікацій!
Зареєструйтеся зараз: https://www.Gate.io.io/questionnaire/5673 (Закінчується 30 грудня, 16:00 UTC)
Порожній текст
Якщо ви не є посольством Gate.io Post, зареєструйтесь зараз 👉 https://www.Gate.io.io/questionnaire/4937
Порожній текст
🎁 Винагорода:
1️⃣ Щотижнева нагорода за рейтинг за рівнем S:
Завер
Що таке атака на управління: розбір на прикладі Compound
Попередження
У сучасному розвитку технології Блокчейн, Децентралізація, як ядровий механізм розподіленої мережі, надає членам спільноти рівні можливості для участі та прийняття рішень, надаючи їм вплив на майбутній протокол, але також робить атаки на управління все більш поширеним загрозою безпеки.
Нещодавній випадок атаки на управління Compound є типовим прикладом таких атак. У цій статті докладно розглядається механізм її виникнення, форми атаки та ризики, що вона несе, а також обговорюється, як можна протистояти подібним викликам за допомогою технічних та спільнотських покращень.
Що таке управління?
У шифруванні, управління означає акти змін, що здійснюються через голосування, до протоколів блокчейну - під час процесу управління, зазвичай, розробники або члени спільноти подають пропозиції, після чого Токенходлери приймають рішення щодо голосування згідно з вмістом пропозицій. Наступним кроком є ефективність відповідних змін, якщо пропозиція отримала достатню підтримку та відповідає вимогам правової кількості (Quorum); в іншому випадку пропозиція буде відхилена.
Відмінно від традиційного управління централізованою структурою організації, механізм управління пов'язаний з концепцією Децентралізованої Автономної Організації (DAO), тобто досягнення безцентрального управління через смартконтракти та токени управління, щоб забезпечити широку участь та автономію членів спільноти.
Що таке атака на управління?
Незважаючи на потенційні переваги в майбутньому Децентралізація зазначених механізмів управління, існують деякі недоліки, які легко можуть бути зловживані,
Перш за все, оскільки вага голосу безпосередньо пов'язана з кількістю Токен-активів, "Кит", який володіє великою кількістю Токенів, може маніпулювати результатами голосування, висуваючи пропозиції на свою користь. Крім того, будь-який учасник, який володіє достатньою кількістю Токенів, має право подавати пропозиції, що може призвести до великої кількості неякісних або навіть шкідливих пропозицій; Крім того, пропозиції щодо управління часто пов'язані зі складними технологіями, що призводить до низької участі пересічного користувача та полегшує кільком людям контроль над напрямком прийняття рішень.
Атаки на управління, як правило, використовують ці уразливості для контролю над протоколом Децентралізація - атакувальник збирає достатньо голосів або маніпулює голосами hодлер, щоб примусити підтримати свої пропозиції або навіть захопити контроль над протоколом. Останнім часом цей тип атаки неодноразово виявлявся в Криптовалюта проектах, загрожуючи безпеці та стабільності протоколу.
Основні способи боротьби з атаками
a. Маніпуляція голосування
Один з найпоширеніших видів атак на управління полягає в тому, що зловмисник маніпулює рішеннями щодо управління протоколом, маючи велику кількість Токенів у своєму володінні.
Оператор, який здійснює такий тип атаки, зазвичай передчасно придбає достатню кількість Токен, навіть можливо шляхом отримання великої кількості Токен у межах одного Блоку шляхом швидкого кредитування, для швидкого отримання права голосу або прийняття конкретного рішення, а потім негайно повертає кредит після завершення угоди.
Як тільки загарбник здобуває абсолютну перевагу в прийнятті рішень, контролюючи більше 50% голосів, він може обійти дизайн рамок децентралізованого управління, не потребуючи підтримки інших учасників, шляхом будь-якого пропозиції, безпосередньо здійснюючи централізований контроль над протоколом, наприклад, довільно змінюючи економічні параметри протоколу, навіть призводячи до паралізу всього протоколу, що є дуже руйнівною формою управлінського нападу.
Ця стратегія не вимагає від зловмисника тривалого утримання великої кількості Токенів, але використовує короткий термін високого голосування для контролю над управлінням. Слід пильнувати, що такі атаки часто відбуваються, коли ціна Токенів низька, коли вартість отримання великої кількості Токенів є низькою та реалізація більш легкими.
b. Перехоплення пропозиції
Зловживання пропозицією - це хибний спосіб атаки, коли зловмисник подає видимо обґрунтовану пропозицію, яка насправді містить шкідливі вразливості для системи або пропонує налаштування економічних параметрів, що максимізують його вигоду, а потім використовує своє право голосу для впливу на прийняття рішень. Основна суть таких дій полягає в тому, що зловмисник повинен не тільки міцно розуміти протокол, але й здобути достатню підтримку спільноти, щоб пропозиція була успішно прийнята.
Хоча деякі пропозиції на перший погляд можуть здатися оптимізацією протоколу, їх впровадження може становити серйозну загрозу управлінню організації. Зловмисники вдало використовують механізм довіри системи управління, обхід звичайних захисних засобів, що може призвести до вразливості протоколу перед безпековими загрозами та економічними втратами, навіть до ризику повного втрати контролю. Напад на управління на суму 25 мільйонів доларів, який випав на Compound, є типовим прикладом цього типу атаки, де зловмисник подав видимо нормальну пропозицію, але насправді мета полягала в перекладі коштів протоколу на свій фактично контрольований рахунок.
Вступ до протоколу Compound
Основна інформація про проект
Compound - це інноваційний протокол Децентралізованих фінансів на основі Ethereum, заснований Робертом Лешнером та Джеффрі Хейсом у 2018 році. Протокол дозволяє користувачам заробляти Відсоток, вкладаючи активи, або заставляючи активи для отримання інших активів у кредит.【1】
Як провідна світова платформа позик, Compound ґрунтуючись на принципах подання та попиту, встановлює процентну ставку, що дозволяє користувачам обмінювати часову вартість ефірних активів без тертя, що привертає значні грошові кошти користувачів та значно сприяє розвитку децентралізованого ринку позик, який називають "банком світу блокчейн".
Принципи роботи Compound протоколу
Роль Compoundпротоколу полягає в заповненні фінансової прогалини між кредиторами, які мають вільні кошти, та позичальниками, які потребують позики. Спочатку вкладники зберігають свої цифрові активи у фонді активів протоколу, а потім позичальники отримують кошти шляхом застави з цього фонду у певному відношенні.
Наприклад, після того, як користувач заставив цифровий актив, він отримає еквівалентну токену як депозитний сертифікат, який можна використовувати для майбутнього викупу. Як тільки вкладник поміщає свій цифровий актив до активного пулу Compound, він починає заробляти відсоток, який накопичується на основі внесеної суми і обчислюється та оновлюється кожного блоку Ethereum, тому загальний дохід користувача постійно зростає з кожним згенерованим блоком.
Вступ до токена COMP
Функція Токен
COMP - це Токен управління ERC-20, запроваджений Compound, а також нативна Криптовалюта цього протоколу, що дозволяє користувачам здійснювати управління Compoundпротоколом у Децентралізація, а власники токенів мають право обговорювати, пропонувати та голосувати за зміни протоколу.【2】
У розподілі COMPТокенів COMPТокенів через механізм "позика = Майнінг" COMPТокенів безкоштовно розподіляються користувачам, які використовують Compoundпротокол. Кожен раз, коли користувач взаємодіє з протоколом (збереження або позика), він отримує COMPТокенів, і чим більша сума позики, тим більше COMPТокенів отримується.
На етапі випуску протоколу, 4,229,949 COMP Токенів були заблоковані в «басейні», смартконтракті, кожен блок ETH випускає 0.5 COMP (приблизно 2880 COMP щоденно), очікується, що вони будуть розподілені протягом 4 років. Ці токени розподіляються відповідно до відсоткового співвідношення виплат, що генеруються кожним ринком позик (таким як ETH, DAI тощо), 50% розподіляється серед постачальників активів, 50% - серед позичальників, для підвищення ліквідності ринку.
У справах управління, власники токенів COMP мають право брати участь у управлінні протоколом, включаючи подання пропозицій, голосування та налаштування параметрів протоколу, причому вага голосування прямо залежить від кількості володіння токенами — чим більше COMP у власності, тим більший вплив має користувач у голосуванні.
Механізм прийняття рішень Токен
Пропозиція та впровадження рішень Compound протоколу зазвичай проходять через наступні процеси:
Спочатку автономний пропозиція дозволяє будь-якій особі з менш ніж 1% загальної кількості COMP розгорнути пропозицію; якщо пропозиція отримує достатню підтримку та досягає порогу у 100 000 делегованих голосів, вона може перетворитися на офіційну пропозицію управління (всі пропозиції повинні бути подані у виконавчому коді);
Потім період голосування триває зазвичай 3 дні, протягом якого користувачі з COMP-токенами можуть голосувати за пропозиції;
Якщо пропозиція отримала понад 50% підтримки голосів і перевищила мінімальний поріг голосів, пропозиція вважається прийнятою;
Після схвалення пропозиції вона потрапить у етап виконання Timelock контракту з затримкою на 2 дні, що забезпечить достатньо часу спільноті для реакції.
Переваги та недоліки механізму Compound
Ⅰ. Переваги:
Compound реалізував повністю Децентралізація управління, що дозволяє власникам тисяч COMP приймати рішення щодо позик, ліквідації, голосування та інших аспектів протоколу, забезпечуючи, що рішення залежать від спільноти, а не від команди розробників.
Токен COMP тісно пов'язує інтереси користувачів з розвитком Compound, механізм застави робить більшість ходлерів одночасно користувачами. Коли ціна COMP пампиться, користувачі отримують прибуток і більш активно беруть участь, що сприяє збільшенню обсягу фондів і підвищенню вартості COMP, утворюючи позитивний цикл.
Ⅱ. Недоліки
Децентралізація управління означає відсутність однієї відповідальної особи, що ускладнює перехід відповідальності за помилки в прийнятті рішень або неправомірні дії, що призводить до потенційного розподілу відповідальності та невизначеності в управлінні.
Великі інвестори та команди володіють майже 50% токенів COMP, що призводить до високої концентрації голосування та прийняття рішень, що може підривати принципи децентралізації управління та сприяти нахилу вирішення на користь Великі інвестори.
У режимі повної Децентралізації, кожен пропозицію потрібно обговорити та прийняти рішення шляхом голосування в спільноті, що займає багато часу та має низьку ефективність, що може призвести до втоми ходлерів та відмови від активної участі у процесі управління.
Початок і кінець хвилювання в Compound
Ядро конфліктної події
29 липня 2024 року відомий протокол Compound заснований на позику пройшов 289-й пропозицію, переклав 499 000 токенів COMP (приблизно вартістю 25 мільйонів доларів, що становить 5% від казначейських коштів Compound) на невідому і неконтрольовану мультипідписні адреси Адреса, що викликало широке обговорення у спільноті.
Згідно з пропозицією, ці токени COMP будуть розподілені протягом року до протоколу прибуткових протоколів goldCOMP, який контролює команда «Золоті хлопці». Спірна точка полягає в тому, що члени спільноти звинувачують зацікавлених осіб, що стоять за командою «Золоті хлопці», у спонуканні до прийняття цієї пропозиції.
Основним маніпулятором цього нападу був Humpy, відомий у Децентралізовані фінанси громадськості як великий "Кит" Токенходлер, який намагався захопити право управління вільними COMPТокенами в Compound Treasury. На щастя, хоча ця пропозиція отримала підтримку на початковому етапі голосування, після 48 годин напружених переговорів та обговорень у громади, вона була скасована, і було оголошено нову схему повторного розподілу прибутку, що допомогла громаді розробити більш ефективний протокол та принесла прибуток.
Часова лінія: виноски за подіями за кулісами
У середині травня: Компанія з безпеки OpenZeppelin попереджає на форумі спільноти, що ця пропозиція може бути атакою на управління, оскаржувач невідомий і не обговорювався спільнотою заздалегідь; управліннярахунок; Wintermute також висловив протест, піддавши сумнівам прозорість та законність цієї пропозиції.
15 липня: Пропозиція 279 знову внесла пропозицію щодо створення довірчого фонду для інвестицій у DAO в goldCOMP, рекомендується перемістити 92 тис. монет COMP в протокол goldCOMP на один рік. Ця пропозиція також була скасована через недостатню кількість голосів відповідно до законодавства.
Остаточний результат обробки: досягнення мирової угоди
Наразі суперечка вирішена, спільнота Compound уклала протокол з Humpy. Конкретно, Humpy відмовиться від вимог до токену COMP, які були включені до попередньої пропозиції; як компенсацію, протокол Compound розподілить 30% загального прибутку, отриманого від щорічного зростання, між власниками токену COMP, в той час, як раніше цей прибуток контролювався командою як резерв для ринку.
Через успішну атаку "Golden Boys" пов'язана Токен ціна швидкопампнулася, в той же час COMP Токен офіційно перетворився на "актив з прибутковістю", проте, беручи до уваги, що цей пропозиція не принесла Compound протоколу жодних суттєвих переваг, навпаки, вона позбавила його контролю за частиною резервних активів, тому її визнано атакою на управління, і Humpy в цій грі управління сприяв перетворенню Compound протоколу.
Багатовимірні ризики ліквідації атак
Панорама ризиків, пов'язаних з атаками на управління, включає дві виміри: короткостроковий і довгостроковий, зокрема, загальний підсумок такий:
Ⅰ. Короткострокова загроза
a. Порушення безпеки протоколу
Прямим наслідком атак на управління є загроза безпеці протоколу, особливо в контексті пропозицій з розподілу коштів, де такі атаки здебільшого здійснюються шляхом подання зловісних пропозицій або маніпулювання процесом голосування, що може призвести до введення шкідливих вразливостей у протокол, втручання у код смарт-контрактів та навіть призвести до паралізу системи або заморожування активів, що шкодить ринковому довір'ю та створює великий тиск на користувачів та розробників.
b.Погіршення активів користувачів
Іншим негайним наслідком є велике дампінг ціни Токену, що призводить до швидкого падіння вартості активів користувача. Коли ринок усвідомлює, що структура управління протоколом атакована, інвестори часто панікують і демпінгують Токени, що призводить до різких коливань цін на ринку і впливає на вартість активів користувача. Наприклад, в ході події з перекладом Compound Токену, ціна COMP протягом семи днів впала майже на 30%, з 53,6 долара до 37,9 долара. Крім того, деякі атакувальники навіть можуть безпосередньо маніпулювати смарт-контрактом, переказуючи або втрачаючи кошти користувача, що призводить до значних економічних збитків.
Ⅱ.Тривалі пошкодження
a. Глибина порушення репутації платформи
Атаки на управління призводять не лише до короткострокових втрат активів, але й, що ще серйозніше, вони підривають довіру користувачів та спільноти до протоколу, загрожуючи тривалому виживанню та розвитку протоколу. Успіх Децентралізаціяпротоколу залежить від довіри та широкої участі користувачів, і якщо виникне маніпулювання, користувачі та інвестори будуть сумніватися у справедливості та прозорості протоколу, що може призвести до зменшення їхньої активності на платформі або виведення інвестицій, що спричинить зниження ринкового становища протоколу та утворення тривалих негативних наслідків для його майбутнього розвитку.
B.危害Децентралізовані фінанси生态系统稳定
З більш глибокого погляду, успішна атака на управління виявляє внутрішні дефекти в структурі управління та механізмах дизайну протоколу, розкриває потенційні недоліки у довгостроковій безпеці та надійності, і якщо їх не ефективно запобігати, то це може призвести до подібних атак у майбутньому, що ставить під сумнів статус Децентралізовані фінанси протоколу в екосистемі в цілому. Крім того, часті атаки на управління стимулюють регуляторів для посилення нагляду та втручання, що додатково збільшує відповідність та ризики управління, якщо ці ризики спонукають спільноту не довіряти ефективності їхнього управління, це може подальшої підрив стабільності всієї екосистеми та створити постійну загрозу для довгострокового розвитку проекту.
Стратегії протидії атакам на управління
Незважаючи на те, що Кит Humpy діє відповідно до правил спільноти, ця подія все ще викриває глибокі проблеми у ДецентралізаціяDAO управлінні: окремі користувачі можуть зловживати голосуванням для неправомірного збагачення, що підкреслює важливість розробки більш міцної стратегії управління для запобігання зловживань.
Для цього документ наводить наступні стратегії як посилання для втручання у ризики таких атак на управління.
Покращення управління: використання механізму мультипідпису та затримки виконання, щоб запобігти швидкому набуттю чинності злочинними пропозиціями без належного розгляду та обговорення; крім того, проведення аудиту смарт-контрактів та перевірки безпеки, щоб вчасно виявляти та усувати потенційні уразливості у системі управління.
Механізм зниження голосів: введення механізму зниження голосів для обмеження ваги голосів, відданих в останній момент, щоб запобігти раптовому зміні результатів і забезпечити справедливість процесу управління; або введення механізму часових затримок, щоб нової купівлі Токен не можна було використовувати для голосування протягом певного періоду часу
Введення права вето: надання певним членам спільноти права вету пропозицій, щоб спільнота мала достатньо часу на реагування та протидію зловмисним пропозиціям.
Підвищення прозорості управління: спільнота повинна посилити відкритість та прозорість інформації, зменшити можливості зловживання, а також допомогти членам спільноти повністю розуміти зміст та вплив пропозицій, збільшити активність учасників і зміцнити здатність спільноти контролювати.
Оптимізація процесу прийняття рішень: використання механізму часової ваги для запобігання маніпулюванню голосуванням в останній момент. Також можна створити "комітет управління" або "арбітражний орган" для проведення перегляду перед прийняттям важливого пропозиції, що гарантує справедливість та обґрунтованість пропозиції.
Заключення
Часті випадки атак на управління свідчать про виклики, з якими стикається Децентралізація в процесі демократизації. Незважаючи на те, що автономність надає членам спільноти рівні можливості управління, її відкритість також робить механізм управління Децентралізації легким мішенню для зловживань.
Створення більш комплексних заходів запобігання стало важливим завданням децентралізованих автономних організацій у відповідь на такі атаки на управління, як впровадження механізмів мультипідпису, голосування зі зменшенням ваги тощо. Однак вдосконалення управлінської структури — це складний процес, який вимагає постійного дослідження та інновацій з боку розробників протоколів, членів спільноти та всього екосистеми блокчейну, з метою постійного сприяння довгостроковому здоровому розвитку майбутнього світу блокчейну.
Зверніться до
1.https://decrypt.co/resources/compound-defi-ethereum-explained-guide-how-to 2.https://coinmarketcap.com/currencies/compound/ 3.https://compound.finance/governance/proposals 4.https://x.com/Titanium_32