Compound 治理攻击事件复盘：DeFi 协议为何屡遭 DAO 攻击？

随着 Compound 推出 COMP 代币质押产品 stCOMP，这场持续数日的治理攻击风波终于告一段落。

7 月 29 日，Compound 社区投票通过了一项引发广泛争议的提案：将价值约 2500 万美元的 49.9 万枚 COMP 代币从国库转移至一个由匿名团队控制的多签地址。这一事件迅速被社区质疑为一起典型的“治理攻击”，并导致 COMP 价格短时间内下跌近 7%。

次日，Compound 增长负责人 Bryan Colligan 与提案背后的巨鲸进行沟通后，宣布推出 COMP 质押产品 stCOMP，并以取消该提案作为交换条件。这一解决方案得到社区认可，COMP 价格随之反弹超过 13%。

事件回顾：三次提案与社区质疑

本次治理攻击风波并非突然发生，而是经过多次提案和社区辩论后才最终通过。

前期提案尝试

5 月 6 日，提案 247 首次提出将 Compound 国库中 5% 的 COMP 代币投资到 Golden Boys 团队创建的 goldCOMP 协议中。由于投票参与人数不足，该提案被取消。

7 月 15 日，提案 279 再次提出类似建议，提议转移 9.2 万枚 COMP 至 goldCOMP 协议，同样因未达到法定人数而失败。

最终通过的提案

7 月 24 日，提案 289 提出将 49.9 万枚 COMP 代币转入 goldCOMP 协议，为期一年。这一提案于 7 月 29 日以 68.2 万票赞成、63.3 万票反对的结果获得通过。

安全警告与社区质疑

早在 5 月份，安全公司 OpenZeppelin 就在社区论坛发出警告，指出这可能是一场治理攻击。他们强调，提案方未向社区表明身份，且提案事先未经过论坛讨论，这些特征符合治理攻击的模式。

Wintermute 的治理账户也表示反对，认为未经充分讨论就直接提出链上提案是不合适的，而且没有充分理由解释为何需要将 COMP 转移到多签地址并脱离 DAO 的控制。

攻击背后的操纵机制

OpenZeppelin 的安全解决方案架构师 Michael Lewellen 在 X 平台上指出，多个账户在公开市场上大量购买 COMP 代币，并提出多个意图将 COMP 转移到 goldCOMP 产品的提案，通过控制 COMP 代币数量来强行通过审批程序。

后续调查发现，Compound 社区的 289 提案是由巨鲸 Humpy 在背后操纵投票方向，企图利用 DAO 的治理流程获取个人利益。Humpy 通过自己的投票权将价值 2500 万美元的 COMP 从国库转入自己的 goldCOMP 金库中。

这一操作还带来了额外收益：Golden Boys 社区发行的治理代币 GOLD 在事件后价值翻倍，当日涨幅超过 46%。

DeFi 协议为何屡遭治理攻击？

尽管 Humpy 的行为在技术上是“合法”的（符合 Compound 的治理规则），但它暴露了去中心化 DAO 治理的系统性漏洞。

两种主要的治理攻击形式

据加密用户 Esk3nder 分析，目前 DeFi DAO 治理攻击主要有两种形式：

• 金融性质攻击：主要目的是从国库中获取资金
• 治理形式攻击：主要通过增加投票权来控制治理方向

Humpy 对 Balancer 和 SushiSwap 的攻击属于前者，试图通过控制协议代币发行量来获利；而对 Compound 的攻击则属于后者，通过控制投票权影响决策，对协议的影响更为深远。

代币经济学设计缺陷

用户 SOSE 指出，DeFi 协议的治理攻击更多与失败代币经济学策略有关。以 COMP 为例，代币价格自 2021 年以来持续下跌，使得代币更容易被大户控制。由于 DeFi 协议的治理权往往通过代币持有量权重决定，这自然成为了大户逐利的游戏。

👉 深入了解代币经济学设计原则

DAO 参与度不足问题

DeFi 资深玩家 DefiIgnas 认为，DeFi 协议官方 DAO 组织的不作为更令人担忧。他指出，Compound 上的多个提案都是悄悄通过的，甚至官方社交媒体都没有转发相关提案信息，导致许多 DAO 代表错过了投票机会。

如何防范治理攻击？

针对屡屡发生的治理攻击事件，社区提出了多种防范措施：

改进提案流程

• 要求所有提案必须先在论坛进行充分讨论
• 建立提案者身份验证机制
• 设置提案门槛，防止明显恶意的提案进入投票阶段

优化代币经济学设计

• 避免代币过度集中化
• 设计抗操纵的投票机制
• 考虑时间加权投票模型，减少短期投机行为的影响

提高社区参与度

• 建立更有效的提案通知机制
• 鼓励更广泛的社区参与治理
• 设立专门的安全委员会监督可疑提案

常见问题

什么是 DeFi 治理攻击？

DeFi 治理攻击是指通过合法但违反协议初衷的方式，利用去中心化治理机制的漏洞获取不正当利益的行为。攻击者通常通过大量积累治理代币来获得投票权优势，进而推动对自身有利的提案。

Compound 事件如何解决的？

Compound 通过推出 COMP 质押产品 stCOMP 解决了这次危机。根据协议，未来每年新增市场储备金的 30% 将分配给 COMP 质押者，这一提议得到了社区支持，导致原提案被取消。

普通用户如何参与治理并防止攻击？

普通用户可以通过以下方式参与治理：

• 积极参与社区讨论和投票
• 关注协议官方公告和治理提案
• 委托投票给可信的代表
• 学习识别可疑提案的特征

👉 探索更多治理参与策略

治理攻击是否违法？

治理攻击通常在技术上是“合法”的，因为它遵循了协议的治理规则。然而，这种行为往往违反协议精神和社区利益，属于灰色地带。目前还没有明确的法律法规针对这类行为。

哪些协议容易遭受治理攻击？

代币流动性低、投票参与度低、代币分配集中的协议更容易遭受治理攻击。此外，那些国库资金雄厚但治理活跃度不高的协议也是攻击者的主要目标。

如何识别潜在的治理攻击？

可疑提案通常具有以下特征：

• 提案前缺乏社区讨论
• 提案者身份匿名或不明
• 资金流向不透明的地址
• 提案理由不充分或明显不合理

结语

Compound 的这次治理攻击事件虽然得到了解决，但它暴露了 DeFi 治理系统的深层次问题。随着去中心化金融的不断发展，如何平衡去中心化与安全性，如何防止大户操纵，如何提高社区参与度，这些都是需要持续探索和解决的挑战。

协议开发者和社区需要从这些事件中吸取教训，改进治理机制，设计更稳健的代币经济学模型，才能真正实现去中心化治理的初衷。