作者@Web3Mario(https://x.com/web3_mario)

摘要:随着上周末的比特币大会的结束,相关的会议细节持续曝光,基本上与我之前的判断相差不大,比如特朗普的以能源政策切入来讨好比特币爱好者的策略,以及通过渲染一些官方态度的变化,特指所谓的战略储备那个说辞,着重凸显其作为一种商品的价值。让我没有想到的可能是其本次演讲又变成了一场典型的“特朗普式”竞选集会了,很喜欢使用一些没有经过逻辑论证的观点和信息来攻击对手,这就不免让人对其抛出的一些承诺的真实性表示观望。不过基本上这个事情也算尘埃落定,因此笔者就关注了一些别的事件,看到了一个很有趣的信息,Compound遭遇了治理攻击,因为笔者之前做过很长一段时间的DeFi,所以对这个信息很感兴趣,就深入研究了下这件事情背后的始末,并拆解一下其背后的实施细节,与诸君分享。总的来说,Compound遭遇到的治理攻击是一个DeFi巨鲸通过对治理投票,试图强行夺取Compound Treasury中闲置Comp代币的治理权,使其可以完全控制Compound协议。

成功夺舍Balancer的传奇巨鲸Humpy再次出手

其实这并不是这位传奇巨鲸的第一次杰作,在此之前,该巨鲸与2022年DeFi Summer时代,就对Balancer实施了治理攻击,通过把控大量的BAL治理token,并依托于Balancer的veBAL机制掌控了大部分BAL对流动性池的激励释放,从而形成对Balancer的控制,截止到目前为止,humpy已经成为了BAL token的第二大持有人,仅次于官方团队。

深度解析Compound治理攻击背后细节及其目的:巨鲸再夺舍老牌DeFi

关于这个经典的事件,Messari有一篇非常精彩的研报,感兴趣的小伙伴可以去详细阅读一下。不知道有多少小伙伴熟悉Balancer的veBAL机制,我在这里简单带大家回顾一下,当时正值DeFi Summer,各家产品的创新方向都在围绕如何通过设计一个好的tokenomics实现增长,Curve当时作为一个stablecoin的核心DEX,率先推出了veCRV的机制作为自己的tokenomics,而后取得了不小的成果,所以当时veToken成为了一种流行的DEX产品tokenomics的设计范式。

同类型的明星项目之一Balancer当时恰逢遇到了创新瓶颈,因此也选择了跟进,推出了自己的veBAL机制。这种机制的本质在于将产品内的某个具有竞争性的资源通过投票治理的方式来调整分配,进而广泛的创建贿选场景,为参与治理带来收益,进而激发社区积极参与产品共建的热情,也为治理代币找到了合适的价值支撑,当时市场上普遍用“治理提取价值”来形容。

而在DEX这个赛道中,这个竞争性资源特指官方为其上运行的流动性池所分配的治理代币的流动性激励奖励,不同的流动性池被分配的奖励的比例由投票治理的方式决定,若想获得投票权,则必须将自己的治理代币锁定一个很长的周期,这样也就降低了市场中的流通量,有利于市值的成长。而哪个流动池获得更多的投票,将被分配更多的BAL激励,这样就可以引导第三方项目为了刺激自己token的流动性增长,选择用其token贿赂拥有veBAL票权的用户,当然这个过程一般是依托于专门DAPP实现的。然而Balancer的veBAL设计中存在一个隐患被Humpy发掘并利用。

我们知道对于DEX来说,其核心的商业模式就是交易手续费,为了吸引更多的交易者使用自己的产品,DEX才想方设法的做大自身的流动性,通过低滑点交易体验来吸引用户。因此veBAL的设计不能脱离这个核心目标,即做大手续费。然而在其最初的设计中,其对流动性池的类型并没有做限制,只依赖于池子获得的总票数,这就带来一个问题,只要一个池子可以通过某种手段获得足够多的veBAL投票,其就可以获得较大比例的BAL流动性激励的分配,即便是这个池子没有任何交易量也可以。这就为巨鲸带来了空间,因此Humpy来了。

Humpy的核心攻击思路分为两部分,第一需要获得对某个池子流动性的绝对控制权,这样就可以在流动性挖矿过程中获得大部分奖励,第二需要为自己掌控的池子获得巨量的票,掌握大部分的BAL激励分配。这样就可以实现对协议的控制。因此其首先选择的就是那些交投不活跃的,但市值虚高的项目的token建仓,降低潜在的竞争者,第二建立一个手续费超高的流动池(1%),降低用户的交易意愿,这样就可以压低潜在的被手续费吸引的LP的参与意愿。通过这样的手段,其完成了对某个流动池的绝对控制,接下来,其通过二级市场购买大量的BAL token,并将其质押获得veBAL,并为自己的流动池投票,从而获得大部分的BAL分配,但是这样的激励释放并没有让Balancer变得更好,因为没有更多的手续费被激发出来,只是便宜了Humpy,这就是所谓巨鲸的利益和项目长远发展的方向产生了背离,带来的只能是矛盾。

在实际的执行中,Balancer的官方团队也没有坐以待毙,而是通过新的Proposal来反制Humpy的吸血鬼攻击。例如为指定获得流动性激励的池子的范围,且扩大该范围的操作需要经过官方申请并认可后方才可以通过、为单个池子可被分配的奖励比例设置上限等。但是最终通过一系列的对抗,Balancer与Humpy迎来了和解,但是从结果来看,其并没有能够阻止Humpy通过该手段,逐步实现了对Balancer 的控制,个人是第二大持有者就是最直接的结果。这也为其最近对Compound发起的攻击埋下了伏笔。

通过强行夺取Compound Treasury中大量闲置的COMP的治理权,夺舍Compound

上述事件发生在2022年,在沉寂了两年后,Humpy开启了对另一个老牌DeFi的夺舍。这就是最近发生的事件。这次和veBAL无关,而是盯上了Compound Treasury中大量闲置的COMP所对应的治理权。

这次其并没有直接下场参与整个博弈,而是通过包装了一个叫做Golden Boys的项目(当然也可以叫做组织)来进行操盘,该项目实际上是一个带有金融属性的Meme,什么意思呢,其核心产品是一个被称为$GOLD的ERC-20 token,然而官方为其持有者赋予了一些除了文化属性以外的期待,整个官网和blog的介绍中都强调一个点,就是$GOLD的价值是由Humpy这个巨鲸,凭借着多年的经验以及大量的资金与资源优势来维护的。持有$GOLD就相当于站在了巨鲸背上。但实际上,并他也并没有一些结构化理财,或是收益聚合等产品设计,只是为$GOLD和一些主流代币分配了一些流动性激励,这些激励有的直接就是增发出来的$GOLD,当然还有一部分是BAL奖励。这自然是因为Humpy之于Balancer的影响力,通过其拥有的天量veBAL为其分配相对较高的流动性挖矿(研究到这实在有点感叹被夺舍的不易)。

深度解析Compound治理攻击背后细节及其目的:巨鲸再夺舍老牌DeFi

在准备好这一切后,其创建了一个新的Vault产品,叫做goldCOMP Vault,简单来讲,就是用户可以将自己的COMP质押到这个Vault中出让自己的治理权给Golden Boys,并获得一个质押凭证,叫做goldCOMP,这是一个可流通的凭证,用户可以将这个凭证作为流动性提供到Balancer中的99goldCOMP-1WETH流动池中,其中99和1值得是对应的权重,这基本上代表了goldCOMP的交易滑点极低,基本没有无常损失。

深度解析Compound治理攻击背后细节及其目的:巨鲸再夺舍老牌DeFi

质押流动性后就可以获得$GOLD的流动性激励,注意这里的奖励并不是BAL,而是GOLD,这自然是因为选择GOLD作为激励更有利于Golden Boys们控制该池子的利率,反正都是自己控制的。目前的利率水平为180%,当然TVL还不高。但是我不太清楚的是,Balancer什么时候支持第三方Token直接作为staking激励在官网中展示。因为有一段时间没有跟进项目进展了。如果不是官方的一种可以公开设置的操作的话,就只能再次感慨被夺舍的无奈!

深度解析Compound治理攻击背后细节及其目的:巨鲸再夺舍老牌DeFi

在准备好这些后,GoldenBoys开始了对Compound的治理攻击,其首先在今年5月的时候就发起了第一次提案,提案的内容就是申请将Compound Treasury中控制的COMP的5%,也就是92,000个 COMP转移到Golden boys的多签钱包中,并通过多签钱包质押到goldCOMP Vault中,并赚取流动性挖矿收益,锁仓一年。当然这个过程Golden Boys就是冲着这些Token背后出让的治理权去得。毫无疑问该提案并没有被通过,因为这个互操作对象实在有点简陋,并没有实际的业务支持,而且整个token被分配后的操作都是基于多签钱包,这就显得人为作恶的可能性更大。因此在社区里也引起了广泛的否定,

深度解析Compound治理攻击背后细节及其目的:巨鲸再夺舍老牌DeFi

但Humpy并不气馁,而是选择和社区成员对线,其认为只要将整个过程通过Compound timelock合约来批准任何多签钱包对这笔Token的使用,就可以缓解这些问题,因此在7月20日发起了第二次提案,这次申请的金额还是不变,但补充了一个额外的操作,通过设置一个Trust Setup合约来实现上述效果,从而实现对多签钱包的监督,但笔者实际去阅读了该合约的代码,只是简单的设置了三个状态,当Compound timelock修改该合约的状态为允许投资时,多签钱包就可以任意动用这些token。当然这个提案也被否决了,但是可以看到赞成票明显增多。这好像带给人一个错觉,Golden Boys们真的是在不断的优化提案,并取得了越来越多的同意,直到今天,第三次提案的通过,让所有人傻眼了。

深度解析Compound治理攻击背后细节及其目的:巨鲸再夺舍老牌DeFi

大家要注意,今天被通过的提案有一个核心的差别,本次提案申请的COMP资金量已经不是92,000个,而是夸张的499000个,然而这一次,社区本来很自信将会轻易的打败Humpy的“阴谋”,但是结果令人大跌眼镜,该提案以微弱的优势被通过,支持票在短短十天内暴增了6倍,这显然是社区所未预料到的。而这也显然是Humpy精心计划好的操作。如果不出意外,随着该提案的通过,Humpy将实际成为Compound的所有者,主导任何提案。考虑到其当前的筹码量已经足以超过对手,再加上新获得的499000个COMP对应的投票权,Compound将毫无疑问的被夺舍。

深度解析Compound治理攻击背后细节及其目的:巨鲸再夺舍老牌DeFi

这件事情造成的影响是空前的,任何DeFi产品都需要重新监视自己的治理模型,以防遇到类似问题,我也会持续关注接下来的动态。我相信Compound社区也会奋起抗争,最终矛盾将如何发展,有了Balancer的前车之鉴,实在不好说。