Хтось ще помітив, що кожна велика атака на управління відбувається за тим самим циклом?


Вразливість виявляється, мільйони втрачаються, індустрія обіцяє навчитися, і через кілька місяців інший протокол повторює ту саму помилку
Атаки на управління не є новими, і страшна частина в тому, що індустрія вже розуміє, як саме вони відбуваються, але складніше питання, на яке ніхто не хоче відповідати, — чому ті самі виправлення продовжують лежати на полиці
Build Finance DAO втратила приблизно $500K у лютому 2022 року і так і не оговталася, Beanstalk втратила $182M через два місяці потому внаслідок governance-атаки через flash loan, Tornado Cash DAO захопили її управління у 2023 році через зловмисний контракт пропозиції, GreenField DAO втратила $31M у 2025 році, повторюючи точний playbook Beanstalk із flash-loan трирічної давності, і буквально кілька днів тому BonkDAO втратила $20M навіть не потребуючи flash loan
Жодного складного експлойту, жодної невідомої вразливості, просто $4.4M на біржові закупівлі та сім гаманців, які отримали достатній вплив, щоб контролювати рішення, що стосується понад 18,000 учасників
Різні протоколи, різні роки, але той самий урок продовжує повторюватися
Незручна частина в тому, що виправлення існували роками
Execution timelocks, казначейські multisigs, голосування на основі snapshot та захист кворуму — не нові ідеї; це базові практики безпеки, які вже використовують провідні DeFi-протоколи на кшталт Compound, Aave та Uniswap
Проблема не в тому, що крипто не знає, як виправити governance
Проблема в тому, що виправлення governance часто конфліктує з інцентивами людей, які керують цими системами
Тому що децентралізація — це також наратив
Багато проєктів хочуть, щоб користувачі вірили, що рішення повністю ухвалюються спільнотою й є trustless, але додавання запобіжників означає визнання того, що люди все ще потрібні, щоб захистити систему
Timelock захищає казначейство від атакувальників, але він також уповільнює фаундерів і команди, які хочуть швидших рішень, і це створює складний компроміс, бо та сама швидкість, яка здається ефективною в добрі часи, може стати причиною того, що мільйони зникають, коли щось іде не так
У традиційних фінансах є ще одна відмінність, бо коли компанія ігнорує відомий ризик і втрачає гроші акціонерів, зазвичай є наслідки: можна поставити під сумнів ради директорів і простежити відповідальність, але в багатьох DAO відповідальність досі залишається нечіткою
Ціна ігнорування безпеки часто дорівнює нулю, аж поки одного дня вона не стане мільйонами
Найбільша іронія в тому, що виправлення в governance потребують самого governance
Вам потрібне голосування, щоб покращити систему голосування; вам потрібна участь, щоб вирішити низьку участь, але багато DeFi-протоколів уже стикаються з проблемою явки виборців, створюючи замкнене коло, де та сама слабкість, що дозволяє атаки, також заважає рішенню
Проблема не лише технічна — це поведінка людей
Багато DAO не оновлюють безпеку, поки вони невеликі, бо вважають, що вони не є мішенню, але коли токен зростає, казначейство стає цінним, і керування governance стає прибутковим, слабкість раптом стає очевидною
Зазвичай безпека приходить після атаки, а не до неї
І кожен успішний експлойт створює blueprint для наступного атакувальника
Справжня шкода — це не лише вкрадені гроші, це урок, який розповсюджується по всій індустрії
Незручна правда в тому, що це ніколи не було питанням про те, які DAO будуть атаковані; це було питанням про те, які DAO ще не атакували
Якщо ваше казначейство коштує більше, ніж витрати на те, щоб контролювати ваше governance, то вас не захищає децентралізація — вас захищає те, що вас не помітили
“Code is law” ніколи не було аргументом проти безпеки; натомість це стало виправданням, щоб ігнорувати людський шар крипто
DAO, які переживуть наступні п’ять років, не будуть тими, що мають найкращий маркетинг децентралізації; це будуть ті, хто розуміє, що governance — це не просто функція
Атака як surface🧘‍♂️
COMP0,59%
AAVE-1,27%
UNI-0,65%
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
  • Нагородити
  • Прокоментувати
  • Репост
  • Поділіться
Прокоментувати
Додати коментар
Додати коментар
Немає коментарів
  • Закріплено