Compound bị tấn công quản trị, mô hình token ve có thể tránh được?
Tuyển chọn TechFlowTuyển chọn TechFlow
Compound bị tấn công quản trị, mô hình token ve có thể tránh được?
Cơ chế quản trị 1 token = 1 quyền biểu quyết có khuyết điểm lớn, trong khi mô hình ve đã được kiểm chứng qua thực tiễn.
Chuyên sâu báo cáo Web3Tác giả: Alex Liu, Foresight News
Cuộc tấn công quản trị
Vào ngày 29 tháng 7, giao thức cho vay Compound đã thông qua đề xuất số 289 với tỷ lệ sít sao 682.191 phiếu thuận so với 633.636 phiếu chống —— chuyển 5% quỹ dự trữ của giao thức Compound (tương đương khoảng 24 triệu USD, tương ứng 499.000 token COMP) vào giao thức lợi nhuận «Golden Boys» trong thời hạn một năm.
Kho lợi nhuận Golden Boys
Các thành viên cộng đồng cáo buộc rằng những bên liên quan đứng sau «Golden Boys» đã thúc đẩy việc thông qua đề xuất này. Michael Lewellen, cố vấn an ninh của Compound Finance, cho biết một vài tài khoản đã tích trữ lượng lớn token trên thị trường công khai và đảo ngược kết quả ở giai đoạn cuối cùng. Nhờ chiến thuật thành công, các token liên quan đến «Golden Boys» đã tăng mạnh.
Tuy nhiên, bản thân đề xuất này không mang lại lợi ích nào cho giao thức Compound, mà còn khiến nó mất quyền kiểm soát một phần tài sản dự trữ, do đó sự kiện này bị coi là một «cuộc tấn công quản trị».
Làm thế nào để xảy ra một cuộc tấn công quản trị? Vì sao mô hình token ve có thể làm giảm khả năng xảy ra các sự kiện như vậy?
Lỗ hổng của mô hình «1 token = 1 phiếu bầu»
Đối với mô hình quản trị kiểu «1 token = 1 phiếu bầu» như của Compound, điểm yếu rất rõ ràng. Nếu lợi ích cá nhân thu được từ việc thông qua một đề xuất quản trị vượt quá «chi phí ngắn hạn để nắm giữ số lượng token đủ ảnh hưởng đến kết quả biểu quyết», thì nguy cơ xảy ra tấn công quản trị sẽ rất cao.
Ví dụ đơn giản: Giả sử muốn chiếm đoạt token trị giá 5 triệu USD trong kho bạc của một dự án, bạn cần dùng token quản trị trị giá 30 triệu USD để bỏ phiếu. Quy trình quản trị kéo dài khoảng 2 tuần. Khi đó, chi phí cho hành động «mua 30 triệu USD token quản trị trên thị trường, mở vị thế bán khống tương ứng để phòng ngừa rủi ro, rồi bán token và đóng vị thế khống sau khi kết quả biểu quyết được xác định» có thể chỉ khoảng 500.000 USD.
Giải pháp ve
ve là viết tắt của vote escrow (gửi giữ phiếu bầu). Việc sở hữu trực tiếp token theo mô hình ve, ví dụ như CRV, sẽ không mang lại bất kỳ quyền biểu quyết nào. Để 1 CRV có được 1 phiếu bầu đầy đủ, người dùng phải khóa (lock) token trong 4 năm để nhận được 1 veCRV; nếu khóa 2 năm thì chỉ nhận được 0,5 veCRV.
Kẻ tấn công sẽ không muốn khóa token trong 4 năm — điều này làm tăng đáng kể chi phí thực hiện «cuộc tấn công quản trị», khắc phục điểm yếu của mô hình «1 token = 1 phiếu bầu», đảm bảo chỉ những người nắm giữ token dài hạn, gắn bó sâu sắc với lợi ích của giao thức mới có thể tham gia quản trị.
Đồng thời, vì những người nắm giữ ve token có thể nhận phần thưởng thông qua việc bỏ phiếu quyết định việc phát hành token của giao thức, nên tỷ lệ tham gia các hoạt động quản trị như biểu quyết sẽ cao hơn so với các dự án không áp dụng mô hình ve.
Trọng số theo thời gian
Trong các vụ việc như cuộc «tấn công quản trị» đối với Compound, đề xuất bỗng dưng đạt ngưỡng tối thiểu về phiếu bầu cần thiết ngay trước thời điểm kết thúc. Cơ chế quản trị cho phép kết quả biểu quyết bị đảo ngược đột ngột vào phút chót như vậy là cực kỳ thiếu trưởng thành và bất công —— ngay cả khi vẫn còn người có khả năng thay đổi kết quả, họ cũng không kịp phản ứng và mất đi quyền biểu quyết.
Các giao thức như Curve sử dụng cơ chế vote decay (suy giảm phiếu bầu), theo đó lá phiếu được bỏ vào phút cuối cùng sẽ không có trọng số, nhằm giải quyết chính xác tình trạng đảo ngược kết quả mà không có thời gian phản ứng này.
Cuối cùng, đề xuất liên quan đến «cuộc tấn công quản trị» tại Compound đã được hai bên thương lượng hủy bỏ, đồng thời đưa ra đề xuất phân bổ 30% lợi nhuận dự trữ cho những người stake trong tương lai. Cơ chế quản trị «1 token = 1 phiếu bầu» bộc lộ nhiều khuyết điểm nghiêm trọng, trong khi mô hình ve đã được kiểm chứng qua thực tiễn. Để tránh lặp lại sự việc tương tự, có lẽ veCOMP đã đến rất gần?
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News
Foresight News
