“前有狼后有虎”,去中心化的区块链治理的安全思路和考虑

撰文:CertiK

去中心化区块链网络的主要核心之一治理,指的是「用户就去中心化协议的管理达成共识,或达成多数同意」。基于区块链的治理系统的独特功能为其带来了诸多优势,但也伴随着众多安全风险

本文将主要为大家讲解关于区块链治理系统的一些常见安全问题,但在这之前,我们需要先了解一下它的具体功能。

区块链治理系统是一个基于规则的决策过程。它允许社区提出建议、讨论和实施更改及改进。在区块链世界中,有两种主要的治理类型:链层面治理和 dApp 层面的治理。

链层面治理

链层面治理旨在管理和实施对区块链本身的更改。在这种类型的治理中,进行更改的规则会嵌入在区块链协议中。开发人员通过代码更新提出更改,由每个节点投票决定是接受还是拒绝。

dApp 层面治理

应用程序层面(或是去中心化应用程序 dApp 层面)治理类似于链层面治理,但范围仅限于dApp 类的项目,处理时间通常要短得多。

下方是一个 dApp 治理项目的简述。

在查看这一简述前,我们先了解一下主要术语

abstain:弃权,是一种计入法定人数但不计入阈值的投票类型。在大多数协议中并不常见。

Deposit:存款,是一种旨在避免恶意用户破坏治理的机制。提议者(以及对提案感兴趣的社区用户)需要在存款期间向提案存入一定数量的 token。虽然某些提案可能需要检查用户的 token 余额,但这也验证了用户的意图——如果提案失败,用户的 token 将面临无法取回的风险。一旦提案筹集到确定数量的 token,提案就可以进入投票阶段。

Proposal:提案,是一个治理系统组件,旨在对系统进行更改并由用户投票。用户通过提交提案、存款和投票来与提案进行交互。每个用户都可以提交提案。提案可以是参数更改、代码升级更改、分发算法更改、新功能请求等。

Proposer:提议者,是提交提案的用户。提案人可以但非必要提供全额存款资金。

Quorum:法定人数,是在投票期结束时需要投票的 token 总数的百分比。

Tally:记录,是计算提案结果的过程。确定提案是否通过的等式是:Pass = Quorum && Threshold (&& Veto)。例如,对于法定人数=40% 且阈值=66.7% 的协议,提案的「通过」要求至少有 40% 的治理 token 持有者参与提案,并且他们中至少⅔的人投了赞成票。

Threshold:阈值,是提案通过则需要「for/yes」投票的参与 token 所占的百分比。

Veto:否决,是一种投票类型,当否决票的百分比超过特定阈值时,会导致提案被拒绝。可以看作是更强烈的「against/no」。在大多数协议中并不常见。在某些协议中,提案的「否决」结果可能会导致一些惩罚。

Vote:投票,是治理参与者(token 持有者)与提案互动的方式。每个参与者都可以在投票期间对提案进行投票。投票可以是「for/yes」和「against/no」,但是一些协议也有「abstain」和「no-with-veto」这样的选项。

来源:Lucid

首先,任何持有治理 token 的用户都可以提交一个提案,该提案需要一个持续两天的审查期。在两天的时间内,创建者可以无代价取消提案。之后,该提案将进入为期三天的投票期。在投票期间,治理 token 持有用户可以根据其投票权对活跃提案投「for/yes」或「against/no」票。持有的治理 token 数量决定投票权及其投票的总权重。投票期结束后,治理系统将开始统计投票结果。系统将根据预先配置的法定人数和阈值得出「拒绝」或「通过」的结果。如果提案被拒绝,它将被取消,如果通过,则在 timelock 后由系统执行。timelock 有助于留出时间来通知用户即将发生的更改。

上图底部是一个带有存款步骤和「否决」投票选项的版本。这是一些链采用的稍微复杂的解决方案。存款期有点像审查期的延长版。每个提案都有最小所需存款的要求,包括提案人在内的任何用户都可以向提案存款。如果提案在两周的存款期限内没有收集到足够的存款,它将被取消。投票周期类似于上图中顶部位置的系统,但现在的投票期更长。这里的区别在于投票选项。第一种机制只有「or/yes」和「against/no」两个选项,现在增加了两个选项,分别是「abstain」和「no-with-veto」。

选择「abstain」即代表弃权,会被计入法定人数检查,但不计入阈值和否决检查。因此,在计票结束时,除了「拒绝」或「通过」以外,还会多出一个结果,称为「rejected with veto」,意味着投给「no-with-veto」的有效票数超过了否决检查。

如果这一提案的结果是「rejected with veto」,那么将会进行一定的惩罚,例如押金将可能被直接销毁,不予退还。

链上与链下治理

链上和链下治理的一个直观区别是去中心化程度。链下治理通常取决于开发或管理组织的决策。诚然,在区块链世界,或者说是在开源项目世界,链下治理也可以通过社区会议和公共代码审查变得更加透明。

透明度不等于去中心化。在很多情况下,数量更多但话语权较小的社区用户并没能积极有效地参与治理。

但是对区块链或应用层面项目的更改,并非由核心开发社区来评估利弊进行。相反,每个节点都可以对提议的更改进行投票,并可以探讨它们的优缺点——它是去中心化的,依靠社区来达成共识。

链下治理系统需要验证者之间花费时间和精力来达成共识;而由于基于规则的决策制定反馈循环,链上治理可以在相对较短的时间内就提议的变更达成共识。链下操作可能导致情况混乱,某些节点可以允许不同意且不运行提议的更改。算法投票机制相对较快,因为其实现的测试结果可以通过代码更新看到。

基于规则的决策可以自动化并加快变化速度,但它不能减少冲突

例如,如果一群社区用户坚持必须修改分配算法以增加其 token 的流动性和供应,这可能会造成通货膨胀;而另一派坚持认为,流动性较低的货币带来的金融代价是抵御通货膨胀危害的必要条件。

在这些情况下,为了推进这个项目,需要有一个人或一个团体站出来推翻规则从而做出决定。当然,这与区块链的去中心化精神背道而驰。

尽管踏入链上治理仍然存在障碍,但与链下治理相比,链上治理的门槛通常较低。

针对几乎所有应用层项目的链上治理,唯一的门槛就是成为治理 token 的持有者。一些项目的治理 token可以购买或交易,而另一些项目只能通过参与项目获得。

大多数区块链项目不要求用户进行 KYC 认证,以便投票和参与治理。再加上社区池提供的一些投票奖励,或者一些项目的奖励分配,链上投票可以极大地激发用户的参与和积极性。

链层面与 dApp 层面

对于链层面治理,token 持有者的投票有时用于决定谁操作运行网络的验证节点(例如 EOS、Cosmos 等中的权益委托证明(DPoS)),有时用于对协议参数(例如以太坊 gas 限制)进行投票,有时用于投票并直接批量实现协议升级(例如 Tezos)。在所有这些情况下,执行都是自动的——协议本身包含更改验证器集或更新其自己的规则所需的所有逻辑,并根据投票结果自动执行。

dApp层面治理的理念源自链层面治理。同时,由于 dAppp 没有区块链那么复杂,因此提案涵盖了更多方面。

其中一些提案与链层面治理提案类似,如重新选举管理委员会或更新参数。有些提案并非设计为自动触发,比如:偿还采用新发布功能的费用、与其他项目建立合作伙伴关系,甚至建立合资项目等。

常见安全问题

缺乏防御闪电贷机制

部分项目的治理 token 可以被任何用户通过闪电贷借出。因此如果在投票时没有对持有时间进行限制,用户可以随时借出治理 token,创建或投票给恶意提案并执行提案。这一类型的典型案例是Beanstalk漏洞利用事件,稍后将深入探讨。

提案缺少审查期

为了简化流程,一些项目选择跳过审查或存款期,这意味着无论提案是否合法,所有提案都将直接进入投票期。这将增加用户对这些恶意提议投「拒绝」票的工作量,或者更会发生更糟糕的情况:恶意提案以某种方式通过并被执行。

配置错误

治理系统中的参数很敏感,需要谨慎设置。一些项目分配了不适当的值,这可能会导致攻击。例如,如果提案通过的门槛太低,攻击者就更容易控制提案的结果。如果恶意提案通过但是timelock/delay 时间太短,合法用户将没有足够的时间做出反应。他们无法在提案执行前及时解决这一恶意提案。

治理系统的错误实现

不正确的系统设计和实现也会导致协议出现严重问题。与传统 token 不同,治理 token 的核心功能是对提案进行投票。一些项目使用他们的项目 token 进行治理,这使得治理 token 可以像普通的 ERC 20 token 一样自由交易。这将可能导致下列严重问题

  • 同一地址重复投票
  • 当投票权被取消时,投票不会被清除
  • 取消委托调用不会删除委托的投票权

为了解决上述问题,一些项目要求用户在投票时将 token 转移到合约中,这将导致另一个常见问题:投票权不能重复用于不同的提案。在这种情况下,治理 token 在同一时期只能对一个提案进行投票。这里的问题是,如果在投票期间有多个提案,一些提案很难达到阈值,导致一些合法的提案被拒绝。

最后但同样重要的是,我们在某些系统中看到,投票提案在计票过程之后仍然可以更新或投票。这将扰乱系统的工作流程,并根据系统的实施情况产生不可预测的后果。例如,如果一项提案从未最终确定,则存款 token 将保留在合约中,何时应将其返还给存款人或销毁,具体取决于提案的投票结果。

案例分析:Beanstalk Finance

Beanstalk 是一个「去中心化的基于信用的稳定币协议」,于 2021 年上线。

Beanstalk 的主要目标是激励独立市场参与者以可持续的方式定期将1 Bean 的价格与美元挂钩。它的治理机制由两个不同的部分组成:BeanstalkDAO 和 Stalk 系统。

BeanstalkDAO 是协议的管理机构,对软件升级的执行提出建议和投票。要加入,用户必须存入任何列入白名单的资产。此外,还存在参与 Silo 以赚取被动收益的激励。

Stalk 系统是 Silo 的经济激励。当列入白名单的资产存入 Silo 时,Beanstalk 会用 Stalk 和 Seed 奖励存款人。Stalk 是允许用户参与 DAO 投票和投提案的治理 token。

每一季,Seed产量为新Stalk的 1/10000。Stalk 持有者有权参与 Beanstalk 治理并获得一部分 Bean 铸币。治理权和 Bean mints 的分配与每个 Stalk持有者的 Stalk 余额相对于未偿还的 Stalk 总量成正比。

准备阶段

为了发起这个特殊的攻击,攻击者为他们的账户注资,将 token 交换为 BEAN 并将其存入 Silo 以获得 Stalk,这使他们能够创建提案并为提案投票。然后他们在两个交易中创建了两个提案,Beanstalk 改进提案 18(BIP-18)和 19(BIP-19)。

BIP-18 最初是空白的,BIP-19 则包含一份经过验证的合约,提议向乌克兰钱包地址捐赠 25 万美元,并向提议者捐赠 1 万美元。该提案用于将资产转移给攻击者,并需要 24 小时才能进行调用emergencyCommit()。

攻击流程

1. 攻击者通过闪电贷借取了 3.5 亿枚 Dai、5 亿枚 USDC、1.5 亿枚 USDT、3200 万枚 Bean 和 1160 万枚 LUSD

2. 闪电贷资产转换为 795,425,740 枚 BEAN3Crv-f 和 58,924,887 枚 BEANLUSD-f:

a. 10 亿(约 3.5 亿 Dai、5 亿 USDC、1.5 亿 USDT)作为流动性被添加到 Curve.fi 池中,获得了 979,691,328 枚 DAI/USDC/USDT 3Crv token。

b. 将上述步骤中的 1500 万 3Crv 替换为 15,251,318 LUSD,将剩余 Crv兑换为95,425,740 BEAN3Crv-f。

c. 添加 32,100,950BEAB 和 26,894,383LUSD 作为流动性,并获得 58,924,887 BEANLUSD-f 作为回报。

3. 攻击者将从闪电贷中获得的所有资产存入 Diamond 合约,并投票支持 BIP-18 提案。

4. 立即调用emergencyCommit()来执行 BIP-18 提案。

5. 在步骤 3 和步骤 4 之后,攻击者能够耗尽 36,084,584 枚BEAN、0.54 UNIV2(BEAN-WETH)、874,663,982 枚BEAN3Crv 和60,562,844 枚 BEANLUSD-f。

6. 攻击者使用耗尽的资产(在步骤 5 中)偿还闪电贷款并获得剩余的利润:

a. 874,663,982 枚 BEAN3Crv 因 1,007,734,729枚3Crv 而从流动性中移除

b. 60,562,844枚BEANLUSD-f 从流动性中移除,换取 28,149,504枚LUSD

c. 返还 11,678,100枚LUSD 和 32,197,543枚BEAN 到相应的矿池

d. 16,471,404枚LUSD 兑换成 16,184,690枚3Crv

e. 销毁所有 3Crv 以获得 522,487,380枚USDC、365,758,059枚DAI 和 156,732,232枚USDT

f. 偿还 350,315,000 枚 DAI、500,450,000 枚 USDC 和 150,135,000USDT 到相应的资金池

g. 0.54枚UNIV2(BEAN-WETH) 从流动性中移除,获得 10,883枚WETH 和 32,511,085枚BEAN

h. 250,000枚USDC 被转移到乌克兰数字货币捐赠

i. 15,443,059枚DAI 兑换成 11,822枚WETH,37,228,637枚USDC 兑换成 2,124枚WETH

j. 最后,24,830枚WETH 被转移给了攻击者。

但是攻击者如何使协议将 token 转移给自己呢?要回答这个问题,我们需要深入研究一下emergencyCommit() 函数。

emergencyCommit()

通常情况下,一旦 BIP 被提出,它需要至少 7 天的投票时间才能在链上执行。

这被认为是一种伪时间锁定机制,以允许适当的时间来验证提案的安全性。然而,emergencyCommit()函数允许在等待 1 天而不是 7 天后立即在链上执行提案,emergencyCommit()的阈值为⅔。

当达到阈值时,该emergencyCommit()函数允许人们「执行指定的 BIP、创建与 BIP 相关的 diamond cut、暂停 BIP、并以未经证明的奖励奖励提议者」。

执行emergencyCommit()的提议者创建了一个diamond cut,并可以委托给一个地址,该地址将被_init()执行并执行其逻辑。这允许提议者执行他们想要的任何代码。

提案通过后,攻击者创建了另一个合约,其中包含将 Silo 存放的白名单资产转移给自己的代码。

由于 Diamond在合约上执行_init()(在上图的cutBip()函数中),底层代码通过_calldata执行其函数,攻击者能够取出价值大约 7600 万美元的 token。

漏洞分析

有两个问题为漏洞利用打开了大门。第一个是 Silo 系统中的 BEAN3Crv-f 和 BEANLUSD-f(用于投票)可以被闪电贷。

由于 Beanstalk 协议中缺少防御闪电贷机制,攻击者可以借用协议支持的大量 token,并对恶意提案进行投票。

第二个问题是emergencyCommit()函数过于强大。如上所述,当提案通过时,治理系统允许提案人为所欲为,而无需任何形式的验证。该emergencyCommit()功能允许提案立即执行,导致没有留下任何时间来检查提案的有效性。

接下来的两个事件并没有直接利用治理系统中的漏洞,但治理系统在利用中仍起到了「关键」作用。

其他治理漏洞案例

Audius

Audius 治理合约利用 OpenZeppelin proxy upgradability pattern,并重写 AudiusAdminUpgradabilityProxy 合约中的标准实现。

在其实现中,AudiusAdminUpgradebilityProxy 使用 slot 0 作为 proxyAdmin 的地址。Audius 协议的 proxyAdmin 设置为治理系统地址 0x4deca517d6817b6510798b7328f2314d3003abac。

这导致 proxyAdmin 地址中的最后两个字节与 OpenZeppelin 的 Initializable 合约中的两个布尔状态变量发生冲突。也就是说,最后两个字节和两个布尔值「initialized」和「initializing」都存储在 slot 0 中(第一个和第二个字节)。鉴于 proxyAdmin 地址的最后一个字节是 0xac,由于冲突,initialized 被赋予了 true。同样,因为 proxyAdmin 地址的第二个字节是 0xab,所以 `initializing`也被赋予了 true。这导致了 initializer() 总是返回 true:

require(initializing || isConstructor() || !initialized, "Contract instance has already been initialized");

攻击者能够调用已部署的 Audius 合约的初始化方法,这些合约实现了 Initializable 并更改了本应在初始化中仅设置一次的存储状态。攻击者随后提交恶意提案并从合约中窃取 1800 万枚 AUDIO,当时价值 705 枚 ETH。

Fortress协议

Fortress 是一种具有链上治理系统的借贷协议。治理合约可以执行修改借贷相关配置的成功提案(即添加抵押品及其对应的抵押品因素)。但是,要成功执行提案,投票所需的最低 FTS 数量为400,000。

由于 FTS 代币的价格较低,攻击者在攻击发生时只需要用约 11 枚 ETH 兑换超过 400,000 枚 FTS。攻击者使用超过 400,000 个 FTS 创建恶意提案并将其成功执行。

另一个问题是链合约的「submit」功能存在允许任何人更新价格

攻击者在这里所做的是将这两个问题联系在一起。他们先是借出大量的 ETH,购买 FTS 用于投票和抵押,然后提交了一份恶意提案,并对其进行了投票,该提案因门槛较低而改变了抵押因素。

随后在预言机中更新了 FTS 的价格,并从合约中借入大量其他 token,获利约 300 万美元。

写在最后

自被引入区块链系统以来,治理系统发生了巨大的变化,但安全挑战仍然存在。

作为高获利的攻击渠道,治理系统是攻击者的主要目标之一,因此项目在开发过程中应格外注意其安全性。

CertiK 建议智能合约开发人员审查并采用成熟的开源治理框架,以「避免 reinventing the wheel」(指代避免重复创造一个已经存在的基本方法,要充分利用已有的经验和成果,避免不必要的投入和浪费)。

本文链接:https://www.8btc.com/article/6799476

转载请注明文章出处

上一篇:

下一篇:

发表评论

登录后才能评论