在Discord社区聊天中,社区成员询问了创始人关于闪电贷的脆弱性问题,但基本上全被创始人忽略了。
4月17日,去中心化金融(DeFi)项目Beanstalk Farms被闪电贷攻击了1.82亿美元:一名攻击者进行了闪电般的恶意收购,他购买了代币的控股权,并立即用投票提案给自己发送了所有的资金。
该事件引发了围绕“治理攻击”的讨论,这是一种通过获得足够的投票权来重塑规则来操纵使用分散治理结构的区块链项目的方式。
攻击发生后,聊天记录和视频证据显示,创始人被社区成员警告过可能存在闪电贷攻击的风险,但创始人忽略了社区成员的担忧。
Beanstalk的漏洞是由另一个被称为 "闪电贷 "的DeFi机制实现的,它允许用户在很短的时间内借用大量的加密货币。在最近的黑客事件中,攻击者通过一个名为Aave的服务借入了近10亿美元的加密货币资产,用它们换取了Beanstalk项目67%的股份,通过自己的提案投票,提取了整个库房,并归还了借入的资金--这一切都发生在不到13秒内。
尽管这次攻击震惊了Beanstalk的用户--其中一些人声称损失了六位数的资金--但在几个月前,Beanstalk的Discord社区服务器和该项目背后的开发团队Publius举行的至少一次公开AMA会议上,就有社区成员提出了治理攻击的威胁。
2月12日,在一个围绕 "Silo"(Beanstalk的中央资金储备)接受更多种类的加密货币代币的建议的讨论室中,一个网名为Mr Mochi的用户写道:
由于治理攻击、贿赂和选民操纵,治理并不总是像它应该的那样进行。这是我们愿意承担的风险,还是也会有一个紧急DAO(如Curve的)预案可以阻止潜在的攻击发生呢?
后来他们又说:
绝对有办法以优雅的方式减轻一些这种风险发生...... 据我所知,目前的规则集并没有考虑到闪电贷款治理攻击或rugpull代币。
在回复该评论时,Publius的一个管理员账户写道,这种操纵行为 "在Stalk[治理代币]流通之前,不存在任何身份上的问题"。
在4月12日由Publius主持的AMA式会议上,也有社区成员提出了对闪电贷款的担忧,该会议的视频可在YouTube上找到。在视频的6分钟左右,一个参与者通过聊天问道。"团队能不能深入研究......为什么协议不容易受到闪存贷款类型的攻击?"
作为回应,Publius的一名成员讨论了对通过闪电贷款操纵价格的保护措施,但并没有解决闪电贷款驱动的治理攻击的可能性。
随着Beanstalk的资产被攻击者完全耗尽,该项目已经启动了为期10天的筹款活动,试图弥补损失的资金。由于没有风险投资的资助,该公司缺乏那种帮助其他被黑客攻击的协议抵御更大损失的雄厚财力。但是,由于公司的命运悬而未决,筹款的成功将主要取决于社区成员对创始团队的信任,他们应该不会再犯这种轻信项目方的错误了。