作者:Biteye;出典:X、@BiteyeCN
何?攻撃者が400万ドルで2000万ドルのDAO国庫を動かせる?
昨日未明、BONK DAOがガバナンス攻撃に遭いました。攻撃者はBONKの低いガバナンス参加障壁、単純多数決方式、およびTimelock遅延実行の欠如といった設計上の欠陥を悪用し、悪意ある提案を通じて国庫資産の移転を試みました。
では、成熟したDAOのガバナンスプロセスはどのように設計されるべきなのでしょうか?なぜAave、ENS、Lidoなどのプロトコルは多層ガバナンスでリスクを低減しているのに、BONKはガバナンス攻撃を受けやすいのでしょうか?
本記事ではDAOガバナンスプロセスを5つのフェーズに分解します:提案 → コミュニティ議論 → Snapshot温度確認 → オンチェーン投票 → Timelock実行
DAOエコシステムにおいて、提案フェーズは全てのガバナンス行動の起点です。
正式な提案の核心的な内容は通常、プロトコルパラメータ調整、新規資産上場、国庫(Treasury)資金配分、コントラクトアップグレード、インセンティブ計画の変更、ガバナンスルールの再構築などをカバーします。
ガバナンス効率のバランスをとりつつスパム提案を防ぐため、主要プロトコルは提案者に対して異なるトークン保有または委任の閾値を設定しています:
コミュニティ議論は正式投票前の事前審査段階です。ほとんどの成熟DAOは、提案がまず公式ガバナンスフォーラムに提出され、公開議論を通じて以下を完了することを要求します:
しかし、全てのDAOにこの段階があるわけではありません。BONK DAOを例にとると、BONKには正式なGovernance Forumプロセスがなく、主にSolana Realmsを通じてBIP提案を直接提出し投票します。
成熟DAOは通常、Governance Forum、Snapshot、Timelockなどの多層メカニズムでガバナンスの防火壁を形成しますが、BONKのようなMeme DAOは直接投票を好み、意思決定の効率を高める一方で、攻撃のハードルも下げています。
正式なオンチェーン投票の前に、多くのDAOはまずSnapshotを通じてオフチェーン投票を行い、コミュニティの意向を確認します。
この段階は通常 Temperature Check(温度確認) と呼ばれます。
主な役割:
Snapshot温度確認が通過しなければ、通常はコミュニティに十分なコンセンサスがないとみなされ、提案は直接中止されるか修正に戻され、正式なオンチェーン投票段階には進みません。
BONK DAOがまさにこのSnapshotという重要な防犯保険を設計していなかったため、「泥棒」に容易に侵入されたのです。
コミュニティ議論とSnapshot温度確認(採用している場合)を経て、提案は正式なオンチェーンガバナンス段階に入ります。
この段階は、以下のようなオンチェーンガバナンスフレームワークによって実行されます:
オンチェーン投票の厳粛性と安全性を確保するため、スマートコントラクトは決済時に以下の2つの核心指標を厳格に検証します。
最低参加閾値:DAOガバナンスの安全ラインとして、Quorumは提案が法定有効性を持つために必要な最低投票参加総量を規定します。
参加投票トークン総数が閾値に達しない場合、賛成票が100%でも提案は直接否決されます。
例えば総供給量1億トークンのモデルでQuorumを5%に設定した場合、少なくとも500万トークンの投票参加が必要です。主要DAOのQuorum設定は様々です:
投票成立条件:Quorum(最低参加閾値)に達した後、提案はさらに必要な賛成比率を満たさなければ正式に成立しません。
ほとんどのDAOの日常ガバナンスでは単純多数決(Simple Majority)、すなわち賛成票(YES)>反対票(NO)を採用しています。
しかし、プロトコルの中核ルールの変更(ENS憲法の修正、重要なガバナンスパラメータの調整、基盤プロトコルのアップグレードなど)に関わる重大な変更には、通常スーパー過半数(Super Majority)を採用します。
より高い賛成票比率を要求します。例:2/3(約66.7%)以上の賛成、またはそれ以上。
このメカニズムにより、少数の大口保有者が単純多数決でプロトコル全体に影響する重大な変更を推し進めるのを防ぎます。
BONKがガバナンス攻撃を受けたもう一つの重要な理由は、そのDAOガバナンスパラメータが比較的緩かったことです。
最低参加閾値は総供給量のわずか1%のBONK投票権で有効投票を成立させることができ、投票成立条件も単純多数決(YES > NO)でした。
つまり攻撃者はBONKの過半数を取得する必要はなく、約1%の供給量を掌握し、自身の提案を過半数の支持を得られるようにすれば、ガバナンス実行を推進できたのです。
成熟DAOは通常、投票成立後すぐに提案を実行するのではなく、Timelock(タイムロック) メカニズムを追加します:投票成立 → Timelock待機 → オンチェーン実行。
Timelockの役割は、コミュニティにバッファ時間を提供し、メンバーが以下を行えるようにすることです:
待機期間終了後、提案はガバナンスフレームワークによって自動実行されます。
BONKがガバナンス攻撃を受けた重要な理由の一つは、そのガバナンスプロセスに標準的なTimelock遅延実行段階が欠けていたことです:投票成立 → 直接実行
BIP #76ガバナンス攻撃事件では、攻撃者はまさにBONKガバナンスプロセスに遅延実行メカニズムがないことを悪用し、提案成立後に迅速に悪意ある操作を実行しました。
BONKのガバナンス攻撃事件は、DeFiにおける長年の問題を浮き彫りにしました:もし誰もガバナンスに参加しなければ、DAOは本当に存在する必要があるのか?
コミュニティガバナンスが一種のパフォーマンスに成り下がったとき、DAOは本当に必要なのか?実際、ガバナンス参加の低調さは、DAOの構造をプロトコルの保障ではなく、非効率な負担にしています。
真のガバナンス権がごく少数の手に握られ、大多数のユーザーはただの沈黙の傍観者に過ぎないとき、名目上の分散化を追求することは、意思決定コストを増やすだけでなく、プロトコルに巨大なセキュリティホールを露呈させます。
おそらく、我々は認めるべきです。全てのプロジェクトにDAOが必要なわけではないと。成熟したビジネスの世界のように、中核的な意思決定者に大局を任せることで、より効率的な実行力とより強いリスク耐性を得られることが多いのです。分散化の熱狂の後、我々は本質に立ち返る必要があります:プロトコルの堅牢性は、しばしば明確な責任体制と集中した実行チームに依存しており、見せかけの全員投票ではないのです。
828.27K 人気度
1.01M 人気度
70.12K 人気度
125.24K 人気度
186.34K 人気度
Web3 DAOは疑似命題か?Bonkがガバナンス攻撃を受けた理由を深掘りする
作者:Biteye;出典:X、@BiteyeCN
何?攻撃者が400万ドルで2000万ドルのDAO国庫を動かせる?
昨日未明、BONK DAOがガバナンス攻撃に遭いました。攻撃者はBONKの低いガバナンス参加障壁、単純多数決方式、およびTimelock遅延実行の欠如といった設計上の欠陥を悪用し、悪意ある提案を通じて国庫資産の移転を試みました。
では、成熟したDAOのガバナンスプロセスはどのように設計されるべきなのでしょうか?なぜAave、ENS、Lidoなどのプロトコルは多層ガバナンスでリスクを低減しているのに、BONKはガバナンス攻撃を受けやすいのでしょうか?
本記事ではDAOガバナンスプロセスを5つのフェーズに分解します:提案 → コミュニティ議論 → Snapshot温度確認 → オンチェーン投票 → Timelock実行
1. 提案フェーズ(Proposal)
DAOエコシステムにおいて、提案フェーズは全てのガバナンス行動の起点です。
正式な提案の核心的な内容は通常、プロトコルパラメータ調整、新規資産上場、国庫(Treasury)資金配分、コントラクトアップグレード、インセンティブ計画の変更、ガバナンスルールの再構築などをカバーします。
ガバナンス効率のバランスをとりつつスパム提案を防ぐため、主要プロトコルは提案者に対して異なるトークン保有または委任の閾値を設定しています:
2. コミュニティ議論フェーズ(Governance Forum)
コミュニティ議論は正式投票前の事前審査段階です。ほとんどの成熟DAOは、提案がまず公式ガバナンスフォーラムに提出され、公開議論を通じて以下を完了することを要求します:
しかし、全てのDAOにこの段階があるわけではありません。BONK DAOを例にとると、BONKには正式なGovernance Forumプロセスがなく、主にSolana Realmsを通じてBIP提案を直接提出し投票します。
成熟DAOは通常、Governance Forum、Snapshot、Timelockなどの多層メカニズムでガバナンスの防火壁を形成しますが、BONKのようなMeme DAOは直接投票を好み、意思決定の効率を高める一方で、攻撃のハードルも下げています。
3. Snapshot温度確認(Off-chain Voting)
正式なオンチェーン投票の前に、多くのDAOはまずSnapshotを通じてオフチェーン投票を行い、コミュニティの意向を確認します。
この段階は通常 Temperature Check(温度確認) と呼ばれます。
主な役割:
Snapshot温度確認が通過しなければ、通常はコミュニティに十分なコンセンサスがないとみなされ、提案は直接中止されるか修正に戻され、正式なオンチェーン投票段階には進みません。
BONK DAOがまさにこのSnapshotという重要な防犯保険を設計していなかったため、「泥棒」に容易に侵入されたのです。
4. 正式なオンチェーン投票(On-chain Governance)
コミュニティ議論とSnapshot温度確認(採用している場合)を経て、提案は正式なオンチェーンガバナンス段階に入ります。
この段階は、以下のようなオンチェーンガバナンスフレームワークによって実行されます:
オンチェーン投票の厳粛性と安全性を確保するため、スマートコントラクトは決済時に以下の2つの核心指標を厳格に検証します。
最低参加閾値:DAOガバナンスの安全ラインとして、Quorumは提案が法定有効性を持つために必要な最低投票参加総量を規定します。
参加投票トークン総数が閾値に達しない場合、賛成票が100%でも提案は直接否決されます。
例えば総供給量1億トークンのモデルでQuorumを5%に設定した場合、少なくとも500万トークンの投票参加が必要です。主要DAOのQuorum設定は様々です:
投票成立条件:Quorum(最低参加閾値)に達した後、提案はさらに必要な賛成比率を満たさなければ正式に成立しません。
ほとんどのDAOの日常ガバナンスでは単純多数決(Simple Majority)、すなわち賛成票(YES)>反対票(NO)を採用しています。
しかし、プロトコルの中核ルールの変更(ENS憲法の修正、重要なガバナンスパラメータの調整、基盤プロトコルのアップグレードなど)に関わる重大な変更には、通常スーパー過半数(Super Majority)を採用します。
より高い賛成票比率を要求します。例:2/3(約66.7%)以上の賛成、またはそれ以上。
このメカニズムにより、少数の大口保有者が単純多数決でプロトコル全体に影響する重大な変更を推し進めるのを防ぎます。
BONKがガバナンス攻撃を受けたもう一つの重要な理由は、そのDAOガバナンスパラメータが比較的緩かったことです。
最低参加閾値は総供給量のわずか1%のBONK投票権で有効投票を成立させることができ、投票成立条件も単純多数決(YES > NO)でした。
つまり攻撃者はBONKの過半数を取得する必要はなく、約1%の供給量を掌握し、自身の提案を過半数の支持を得られるようにすれば、ガバナンス実行を推進できたのです。
5. Timelock遅延実行とオンチェーン実行(Execution)
成熟DAOは通常、投票成立後すぐに提案を実行するのではなく、Timelock(タイムロック) メカニズムを追加します:投票成立 → Timelock待機 → オンチェーン実行。
Timelockの役割は、コミュニティにバッファ時間を提供し、メンバーが以下を行えるようにすることです:
待機期間終了後、提案はガバナンスフレームワークによって自動実行されます。
BONKがガバナンス攻撃を受けた重要な理由の一つは、そのガバナンスプロセスに標準的なTimelock遅延実行段階が欠けていたことです:投票成立 → 直接実行
BIP #76ガバナンス攻撃事件では、攻撃者はまさにBONKガバナンスプロセスに遅延実行メカニズムがないことを悪用し、提案成立後に迅速に悪意ある操作を実行しました。
最後に
BONKのガバナンス攻撃事件は、DeFiにおける長年の問題を浮き彫りにしました:もし誰もガバナンスに参加しなければ、DAOは本当に存在する必要があるのか?
コミュニティガバナンスが一種のパフォーマンスに成り下がったとき、DAOは本当に必要なのか?実際、ガバナンス参加の低調さは、DAOの構造をプロトコルの保障ではなく、非効率な負担にしています。
真のガバナンス権がごく少数の手に握られ、大多数のユーザーはただの沈黙の傍観者に過ぎないとき、名目上の分散化を追求することは、意思決定コストを増やすだけでなく、プロトコルに巨大なセキュリティホールを露呈させます。
おそらく、我々は認めるべきです。全てのプロジェクトにDAOが必要なわけではないと。成熟したビジネスの世界のように、中核的な意思決定者に大局を任せることで、より効率的な実行力とより強いリスク耐性を得られることが多いのです。分散化の熱狂の後、我々は本質に立ち返る必要があります:プロトコルの堅牢性は、しばしば明確な責任体制と集中した実行チームに依存しており、見せかけの全員投票ではないのです。