广场
最新
热门
资讯
我的主页
发布
jdscarlett27
2026-07-14 06:08:42
关注
有没有人注意到,所有主要的治理攻击都遵循同一个循环?
暴露出一个弱点,数百万资金被损失,行业承诺会吸取教训,数月之后又有另一个协议重复同样的错误
治理攻击并不新鲜,而可怕的地方在于,行业已经理解它们是如何发生的,但更难的问题是,为什么同样的修复措施总是被搁置在架子上
Build Finance DAO 在 2022 年 2 月大约损失了 $500K ,之后从未恢复;Beanstalk 在两个月后通过一次闪电贷治理攻击损失了 $182M ;Tornado Cash DAO 在 2023 年通过一个恶意提案合约被夺取了治理权;GreenField DAO 在 2025 年损失了 $31M ,重复了 Beanstalk 的精确闪电贷操作,只不过三年之后;就在几天前,BonkDAO 损失了 $20M ,甚至连闪电贷都不需要
没有复杂的漏洞利用,也没有未知的漏洞,仅仅是 440 万美元的交易所买入,以及七个钱包获得了足够的影响力,去控制一个涉及超过 18,000 名成员的决策
不同的协议,不同的年份,但反复出现的都是同一个教训
令人不安的部分在于,这些修复方案已经存在多年
执行时间锁、金库多重签名、基于快照的投票、以及法定人数保护,并不是新想法,它们是像 Compound、Aave 和 Uniswap 这样的主要 DeFi 协议已经在使用的基础安全实践
问题不在于加密世界不知道如何修复治理
问题在于,修复治理往往与运行这些系统的人的激励相冲突
因为去中心化也是一种叙事
许多项目希望用户相信决策完全由社区驱动且无需信任,但加入这些防护措施意味着必须承认仍然需要人类来保护系统
时间锁能保护金库免受攻击者,但它也会减慢那些希望更快做出决策的创始人和团队的速度,而这就形成了一个艰难的取舍:同样那种在好时光里看起来高效的速度,一旦出错就可能成为数百万资金消失的原因
传统金融还有另一个不同之处:当一家公司忽视已知风险并失去股东资金时,通常会有后果;董事会可能会被追问,责任也可以被追溯,但在许多 DAO 中,这种责任仍然不清晰
忽视安全的代价往往在变成数百万之前是 0
最大的讽刺在于,治理层面的修复需要治理本身
你需要一次投票来改进投票系统,你需要参与度来解决低参与问题,但许多 DeFi 协议本就难以提升投票率,从而形成一个循环:既能助长攻击的同一个弱点,也会阻止解决方案的落地
问题不只是技术问题,也是人的行为
许多 DAO 在规模较小时不会升级安全,因为它们认为自己不是目标,但当代币增长后,金库变得更有价值,控制治理也变得有利可图时,弱点就会突然变得显而易见
安全通常是在攻击之后才到来,而不是在之前
而每一次成功的漏洞利用都会为下一位攻击者提供蓝图
真正的损害不仅是被偷走的钱,更是那份教训正在被分发到整个行业
令人不安的真相是,这从来都不是在问哪些 DAO 会遭到攻击,而是在问哪些 DAO 还没有被攻击
如果你的金库价值超过了控制治理的成本,那么你并不是被去中心化所保护,而是被“没有被注意到”所保护
“代码即法律”从来不是反对安全的论点,它只是成了忽视加密人类层面的借口
接下来五年能活下来的 DAO,并不会是那些去中心化营销做得最好的;它们会是那些理解治理不只是一个功能的 DAO
但这也是一个攻击面🧘♂️
COMP
-1.23%
AAVE
-3.56%
UNI
-1.56%
查看原文
此页面可能包含第三方内容,仅供参考(非陈述/保证),不应被视为 Gate 认可其观点表述,也不得被视为财务或专业建议。详见
声明
。
赞赏
点赞
评论
转发
分享
评论
请输入评论内容
请输入评论内容
评论
暂无评论
热门话题
查看更多
#
PreIPOs第二期OpenAI认购
114.02万 热度
#
预测世界杯阿根廷VS英格兰
20.43万 热度
#
USDT充值理财双重奏
151.53万 热度
#
SK海力士ADR溢价超30%
26.87万 热度
#
BTC反弹触及65000美元
1.99亿 热度
置顶
网站地图
有没有人注意到,所有主要的治理攻击都遵循同一个循环?
暴露出一个弱点,数百万资金被损失,行业承诺会吸取教训,数月之后又有另一个协议重复同样的错误
治理攻击并不新鲜,而可怕的地方在于,行业已经理解它们是如何发生的,但更难的问题是,为什么同样的修复措施总是被搁置在架子上
Build Finance DAO 在 2022 年 2 月大约损失了 $500K ,之后从未恢复;Beanstalk 在两个月后通过一次闪电贷治理攻击损失了 $182M ;Tornado Cash DAO 在 2023 年通过一个恶意提案合约被夺取了治理权;GreenField DAO 在 2025 年损失了 $31M ,重复了 Beanstalk 的精确闪电贷操作,只不过三年之后;就在几天前,BonkDAO 损失了 $20M ,甚至连闪电贷都不需要
没有复杂的漏洞利用,也没有未知的漏洞,仅仅是 440 万美元的交易所买入,以及七个钱包获得了足够的影响力,去控制一个涉及超过 18,000 名成员的决策
不同的协议,不同的年份,但反复出现的都是同一个教训
令人不安的部分在于,这些修复方案已经存在多年
执行时间锁、金库多重签名、基于快照的投票、以及法定人数保护,并不是新想法,它们是像 Compound、Aave 和 Uniswap 这样的主要 DeFi 协议已经在使用的基础安全实践
问题不在于加密世界不知道如何修复治理
问题在于,修复治理往往与运行这些系统的人的激励相冲突
因为去中心化也是一种叙事
许多项目希望用户相信决策完全由社区驱动且无需信任,但加入这些防护措施意味着必须承认仍然需要人类来保护系统
时间锁能保护金库免受攻击者,但它也会减慢那些希望更快做出决策的创始人和团队的速度,而这就形成了一个艰难的取舍:同样那种在好时光里看起来高效的速度,一旦出错就可能成为数百万资金消失的原因
传统金融还有另一个不同之处:当一家公司忽视已知风险并失去股东资金时,通常会有后果;董事会可能会被追问,责任也可以被追溯,但在许多 DAO 中,这种责任仍然不清晰
忽视安全的代价往往在变成数百万之前是 0
最大的讽刺在于,治理层面的修复需要治理本身
你需要一次投票来改进投票系统,你需要参与度来解决低参与问题,但许多 DeFi 协议本就难以提升投票率,从而形成一个循环:既能助长攻击的同一个弱点,也会阻止解决方案的落地
问题不只是技术问题,也是人的行为
许多 DAO 在规模较小时不会升级安全,因为它们认为自己不是目标,但当代币增长后,金库变得更有价值,控制治理也变得有利可图时,弱点就会突然变得显而易见
安全通常是在攻击之后才到来,而不是在之前
而每一次成功的漏洞利用都会为下一位攻击者提供蓝图
真正的损害不仅是被偷走的钱,更是那份教训正在被分发到整个行业
令人不安的真相是,这从来都不是在问哪些 DAO 会遭到攻击,而是在问哪些 DAO 还没有被攻击
如果你的金库价值超过了控制治理的成本,那么你并不是被去中心化所保护,而是被“没有被注意到”所保护
“代码即法律”从来不是反对安全的论点,它只是成了忽视加密人类层面的借口
接下来五年能活下来的 DAO,并不会是那些去中心化营销做得最好的;它们会是那些理解治理不只是一个功能的 DAO
但这也是一个攻击面🧘♂️