Cuộc Tấn Công Quản Trị BonkDAO
Vào ngày 6 tháng 7 năm 2026, một cá nhân đã chi khoảng 4 triệu đô la để mua token BONK, sử dụng chúng để kiểm soát gần như 100% cuộc bỏ phiếu với bảy ví, và hợp pháp rút ra 20 triệu đô la từ kho bạc của DAO. Không có mã nào bị hack; việc bỏ phiếu hoạt động chính xác như thiết kế. Đây là cách mà các cuộc tấn công quản trị diễn ra, lý do tại sao chúng ngày càng trở nên phổ biến, và điều gì thực sự ngăn chặn chúng.
Nội Dung Chính
Hầu hết các vụ trộm tiền điện tử đều liên quan đến việc khai thác một lỗi nào đó: một lỗi trong hợp đồng thông minh, một khóa bị đánh cắp, hoặc một trang web giả mạo. Ngược lại, một cuộc tấn công quản trị không phá vỡ gì cả. Nó sử dụng chính hệ thống bỏ phiếu của một tổ chức phi tập trung, đúng như dự định, để thông qua một đề xuất mà trao cho kẻ tấn công quyền kiểm soát kho bạc. Mã hoạt động hoàn hảo, các quy tắc được tuân thủ đến từng chi tiết, và tiền vẫn ra đi, vì chính các quy tắc cho phép điều đó.
Đó là những gì đã xảy ra với BonkDAO vào ngày 6 tháng 7 năm 2026. Một kẻ tấn công đã âm thầm mua khoảng 4 triệu đô la token BONK trên các sàn giao dịch trong vài ngày, tích lũy một phần lớn quyền bỏ phiếu, và nộp một đề xuất cho kho bạc của DAO. Khi cuộc bỏ phiếu kết thúc, các ví liên kết với kẻ tấn công kiểm soát khoảng 99,878% số phiếu được bỏ, đề xuất đã được thông qua, và khoảng 20 triệu đô la trong token BONK đã được rút từ kho bạc sang các ví do kẻ tấn công kiểm soát. Chỉ có bảy địa chỉ tham gia bỏ phiếu. Không có khai thác theo nghĩa thông thường; đó là một cuộc tiếp quản, được thực hiện qua cửa chính.
Nguyên Nhân và Hậu Quả
Các cuộc tấn công quản trị đang trở nên phổ biến hơn chính vì chúng không yêu cầu kỹ năng kỹ thuật tinh vi; chỉ cần vốn và một hệ thống bỏ phiếu được bảo vệ kém. Nhiều DAO, đặc biệt là các dự án memecoin với kho bạc lớn, giữ kho bạc lớn phía sau chính những hệ thống như vậy. Hướng dẫn này giải thích cuộc tấn công quản trị là gì, đi qua trường hợp BonkDAO một cách chi tiết, đề cập đến các biến thể chính bao gồm phiên bản flash-loan không cần vốn ban đầu, khảo sát hồ sơ lịch sử từ Beanstalk đến Compound đến Tornado Cash, và trình bày các biện pháp phòng thủ thực sự hiệu quả cùng với lý do tại sao chúng hiếm khi được triển khai đầy đủ.
Ý tưởng xuyên suốt là một ý tưởng không thoải mái: trong một hệ thống mà tiền bỏ phiếu, bất kỳ ai có thể thuê đủ phiếu có thể viết lại các quy tắc, một lỗ hổng khác biệt với các khai thác mã và các thỏa hiệp khóa dẫn đến việc rút tiền từ các cầu nối chuỗi chéo.
Đặc Điểm Của DAO
Một tổ chức tự trị phi tập trung, hay DAO, thay thế các giám đốc điều hành và hội đồng quản trị bằng việc bỏ phiếu của các chủ sở hữu token. Những người nắm giữ token quản trị nộp các đề xuất, các chủ sở hữu khác bỏ phiếu, và nếu một đề xuất đạt ngưỡng yêu cầu, một hợp đồng thông minh sẽ tự động thực hiện nó. Các đề xuất có thể điều chỉnh các tham số, nâng cấp mã, hoặc chuyển tiền từ kho bạc, và sức hấp dẫn là không có một cá nhân nào kiểm soát kết quả; cộng đồng làm điều đó, một cách minh bạch và trên chuỗi.
Một cuộc tấn công quản trị biến sự cởi mở đó thành một vũ khí. Thay vì tìm một lỗi trong mã của DAO, kẻ tấn công thu thập đủ quyền bỏ phiếu thông qua các phương tiện hoàn toàn hợp pháp, thường bằng cách mua token quản trị, và sau đó sử dụng quyền lực đó để thông qua một đề xuất có lợi cho kẻ tấn công trên chi phí của mọi người khác, thường là bằng cách chuyển kho bạc cho chính họ. Đây là một cuộc tấn công hoàn toàn kinh tế không cần khai thác theo thứ tự giao dịch hoặc thủ thuật mempool.
Bởi vì việc mua token và bỏ phiếu đều là các hành động được phép, cuộc tấn công là những gì mà các nhà nghiên cứu bảo mật gọi là hoàn toàn trong giao thức: nó không thể bị ngăn chặn bởi mật mã hoặc kiểm toán mã tốt hơn, vì không có gì bị khai thác ngoại trừ cơ chế bỏ phiếu hoạt động như thiết kế.
Thách Thức và Giải Pháp
Điều này làm cho các cuộc tấn công quản trị khác biệt về mặt khái niệm so với mọi vụ trộm tiền điện tử khác. Một lỗi tái nhập hoặc một khóa riêng bị đánh cắp là một sự thất bại trong việc thực hiện; hệ thống đã làm điều gì đó mà nó không nên làm. Một cuộc tấn công quản trị là một sự thất bại trong thiết kế; hệ thống đã làm chính xác những gì nó nên làm, và kết quả vẫn là một vụ cướp. Việc khắc phục nó yêu cầu suy nghĩ lại các quy tắc của cuộc bỏ phiếu, không phải sửa một dòng mã, đó là lý do tại sao những cuộc tấn công này tiếp tục thành công chống lại các giao thức mà hợp đồng thông minh của chúng hoàn hảo.
Lỗ hổng gốc gần như luôn là bỏ phiếu theo trọng số token, mô hình mặc định trong đó một token tương đương với một phiếu. Bỏ phiếu theo trọng số token âm thầm giả định rằng những người nắm giữ lớn có lợi ích gắn bó với sự thành công của giao thức, vì họ có tiền đang bị rủi ro. Giả định đó hoàn toàn thất bại trước một kẻ tấn công không quan tâm đến tương lai của giao thức và chỉ muốn kiểm soát một phiếu đủ lâu để rút kho bạc.
Cuộc tấn công BonkDAO vào tháng 7 năm 2026 là một minh họa gần như hoàn hảo, vì nó không sử dụng bất kỳ khai thác nào và mọi bước đều có thể nhìn thấy trên chuỗi.
Các Biện Pháp Phòng Thủ
Cách thiết lập là tích lũy kiên nhẫn. Trong vài ngày, kẻ tấn công đã mua khoảng 4 triệu đô la token BONK bằng cách sử dụng các ví giao dịch, xây dựng quyền bỏ phiếu dần dần thay vì trong một lần mua sắm nổi bật. Bởi vì BonkDAO đã sử dụng bỏ phiếu theo trọng số token thông thường trên một nền tảng quản trị tiêu chuẩn, số BONK tích lũy được chuyển đổi trực tiếp thành số phiếu tích lũy, và vì việc mua sắm được phân tán và được định tuyến qua các sàn giao dịch, nó không kích hoạt báo động.
Việc thực hiện là một đề xuất cho kho bạc. Kẻ tấn công đã nộp một đề xuất quản trị và để nó tồn tại trong sáu ngày, thời gian bỏ phiếu bình thường. Tại đây, điểm yếu chết người đã xuất hiện: gần như không ai khác bỏ phiếu. Khi thời gian kết thúc, chỉ có bảy địa chỉ ví đã tham gia, và các ví do kẻ tấn công kiểm soát nắm giữ khoảng 99,878% tổng trọng số phiếu. Vị trí token 4 triệu đô la là đủ để chiếm ưu thế trong một cuộc bỏ phiếu mà hầu như không ai khác tham gia. Đề xuất đã được thông qua, và hợp đồng thông minh của DAO đã làm những gì các đề xuất đã được thông qua làm: nó thực hiện, chuyển khoảng 20 triệu đô la trong token BONK từ kho bạc sang các ví của kẻ tấn công.
Ba sự thất bại trong thiết kế đã hội tụ. Không có yêu cầu quorum có ý nghĩa, vì vậy một cuộc bỏ phiếu được quyết định bởi bảy ví được coi là hợp lệ. Không có thời gian khóa đủ mạnh để cho phép cộng đồng nhận thấy và phản ứng với một đề xuất kho bạc bất thường trước khi nó được thực hiện. Và không có kiểm tra khẩn cấp, chẳng hạn như kiểm soát đa chữ ký đối với các chuyển động lớn của kho bạc, để phát hiện một đề xuất sẽ rút kho bạc. Bất kỳ một trong số này, nếu được thiết lập đúng cách, có thể đã ngăn chặn cuộc tấn công; sự thiếu vắng kết hợp của chúng đã khiến một giao dịch 4 triệu đô la đủ để đánh cắp 20 triệu.
Hậu Quả và Bài Học Rút Ra
Hậu quả theo kịch bản quen thuộc. BonkDAO đã truy tìm các ví giao dịch được sử dụng để tích lũy các token và bắt đầu làm việc với các sàn giao dịch, cầu nối chuỗi chéo, quỹ của mạng lưới và cơ quan thực thi pháp luật để theo đuổi việc phục hồi, trong khi ít nhất một sàn giao dịch đã đình chỉ việc chuyển token BONK. Nhưng việc phục hồi từ các cuộc tấn công quản trị thì nổi tiếng khó khăn, chính vì vụ trộm được thực hiện thông qua quy trình hợp pháp của chính DAO, không phải một khai thác có thể đảo ngược, và giá của token đã giảm mạnh khi có tin tức.
Cuộc tấn công cũng không đứng một mình: nó xảy ra trong một khoảng thời gian các sự cố an ninh DeFi đã khiến thị trường lo lắng, nhấn mạnh cách mà giá trị có thể rời đi nhanh chóng khi liên kết yếu nhất là lớp quản trị thay vì mã.
Các cuộc tấn công quản trị chia sẻ một logic nhưng có nhiều hình thức khác nhau, chủ yếu được phân biệt bởi cách mà kẻ tấn công thu thập quyền bỏ phiếu và tốc độ mà họ tấn công.
Các Biến Thể Của Cuộc Tấn Công Quản Trị
Cuộc tấn công tích lũy chậm là mô hình BonkDAO: mua token dần dần trong vài ngày hoặc vài tuần, tránh nghi ngờ, và tấn công khi bạn kiểm soát đủ phiếu và tỷ lệ tham gia thấp. Một kẻ tấn công kiên nhẫn có thể đi xa hơn, phân tán các giao dịch qua nhiều ví ẩn danh để việc tích lũy trông giống như sự tham gia phân phối lành mạnh thay vì một thực thể duy nhất xây dựng một vũ khí. Tỷ lệ tham gia thấp là điều kiện cho phép vì nó làm giảm số lượng token cần thiết để chiếm ưu thế; trong một DAO mà hầu như không ai bỏ phiếu, một vị trí khiêm tốn có thể kiểm soát kết quả.
Cuộc tấn công flash-loan là biến thể kịch tính nhất, vì nó không yêu cầu vốn ban đầu. Một khoản vay flash cho phép người dùng vay một số tiền rất lớn mà không cần tài sản thế chấp, miễn là khoản vay được trả lại trong cùng một giao dịch. Một kẻ tấn công vay một số tiền khổng lồ, sử dụng nó để mua hoặc thu thập một khối lượng kiểm soát các token quản trị, bỏ phiếu để thông qua một đề xuất độc hại, rút kho bạc, và trả lại khoản vay, tất cả trong một giao dịch duy nhất mà hoặc hoàn toàn thành công hoặc hoàn toàn bị đảo ngược.
Bởi vì mọi thứ xảy ra trong một khối, không có khoảng thời gian nào cho bất kỳ ai phản ứng. Biến thể này là lý do tại sao thời gian khóa lại quan trọng như vậy, vì một khoảng thời gian bắt buộc giữa việc một cuộc bỏ phiếu được thông qua và việc thực hiện của nó phá vỡ yêu cầu giao dịch đơn mà các cuộc tấn công flash-loan phụ thuộc vào.
Các con đường khác để có quyền bỏ phiếu tồn tại. Một kẻ tấn công có thể khai thác một lỗi trong cách mà giao thức phân phối hoặc đúc các token quản trị, thu thập phiếu mà không phải trả giá thị trường. Họ có thể thao túng một oracle giá để thu thập token một cách rẻ, khai thác sự trượt giá và tác động giá của một giao dịch để di chuyển một thị trường mỏng theo hướng có lợi cho họ. Hoặc họ có thể sử dụng chiến lược sybil, phân chia tài sản giữa nhiều tài khoản để xuất hiện như nhiều cử tri độc lập trong khi hành động như một.
Điều gắn kết tất cả các biến thể là mục tiêu: tập hợp đủ trọng số phiếu, bằng bất kỳ phương tiện nào, để thông qua một đề xuất mà phần còn lại của cộng đồng sẽ không bao giờ chấp thuận, sau đó chuyển đổi đề xuất đó thành tiền bị đánh cắp trước khi bất kỳ ai có thể ngăn chặn nó.
Hồ Sơ Lịch Sử Các Cuộc Tấn Công Quản Trị
Cuộc tấn công BonkDAO là nghiêm trọng nhưng không phải là lần đầu tiên, và hồ sơ lịch sử cho thấy cả sự kiên trì của mô hình và cách mà các biện pháp phòng thủ đã phát triển để đáp ứng.
Cuộc tấn công Beanstalk vào năm 2022 là trường hợp flash-loan điển hình. Một kẻ tấn công đã thực hiện một khoản vay flash khổng lồ, sử dụng nó để thu thập một siêu đa số các token quản trị của giao thức stablecoin, thông qua một đề xuất đã rút kho bạc, và trả lại khoản vay, tất cả trong một giao dịch duy nhất. Số tiền thu được vượt quá 100 triệu đô la, và toàn bộ hoạt động chỉ kéo dài một khối.
Beanstalk đã trở thành ví dụ điển hình về lý do tại sao bất kỳ hệ thống quản trị nào cho phép các token mới được thu thập bỏ phiếu ngay lập tức, mà không có sự trì hoãn trước khi thực hiện, đều bị phơi bày nguy hiểm trước các khoản vay flash.
Sự cố Compound vào năm 2024 cho thấy một hình thức tinh tế hơn. Một nhóm liên quan đến một cá voi nổi tiếng đã thông qua một đề xuất chỉ đạo hàng chục triệu token của giao thức đến một phương tiện mà họ kiểm soát, sau khi ủy quyền đủ token để đạt quorum. Cộng đồng đã chia rẽ về việc có nên gọi đó là một cuộc tấn công hay quản trị hợp pháp nhưng quyết liệt, và sự giải quyết đến một phần thông qua mối đe dọa can thiệp tập trung và một phần thông qua thương lượng, một lời nhắc nhở rằng nhiều DAO vẫn giữ một điểm dừng tập trung chính xác vì bỏ phiếu bằng token thuần túy có thể dẫn đến việc bị chiếm đoạt.
Nó cũng minh họa rằng các cuộc tấn công quản trị không phải lúc nào cũng là những kẻ bên ngoài ẩn danh; chúng có thể là những người bên trong tinh vi khai thác sự tham gia thấp và các động lực không đồng nhất ngay trước mắt, cùng với sự mong manh mà bóng đen các token staking lỏng khi một nhà cung cấp chiếm ưu thế.
Trường hợp Tornado Cash vào năm 2023 đã mang đến một khúc quanh lạnh lẽo: một kẻ tấn công đã thông qua một đề xuất độc hại mà cấp cho chính mình một số phiếu kiểm soát, hiệu quả là chiếm đoạt toàn bộ hệ thống quản trị, sau đó, sau khi rút giá trị, đã sử dụng quyền lực đã chiếm đoạt để đặt lại các thay đổi độc hại.
Quản trị của giao thức bảo mật đã tạm thời ngừng tồn tại như một thực thể phi tập trung vì một đề xuất đã trao cho một tác nhân quyền kiểm soát hoàn toàn. Các trường hợp nhỏ hơn, từ Build Finance đến các DAO memecoin khác nhau, lặp lại mô hình với mức cược thấp hơn.
Bài học nhất quán từ tất cả chúng là kho bạc chỉ an toàn như các quy tắc bỏ phiếu bảo vệ chúng, và một hợp đồng thông minh hoàn hảo không cung cấp sự bảo vệ khi chính cuộc bỏ phiếu là bề mặt tấn công.
Tại Sao Các Cuộc Tấn Công Quản Trị Vẫn Tiếp Tục Thành Công?
Nếu các biện pháp phòng thủ đã được biết đến, một câu hỏi hợp lý là tại sao các cuộc tấn công quản trị vẫn tiếp tục thành công. Câu trả lời là mỗi biện pháp phòng thủ đều đánh đổi một cái gì đó mà một DAO coi trọng, và các sự đánh đổi thực sự không thoải mái, đó là lý do tại sao nhiều dự án trì hoãn chúng cho đến khi một cuộc tấn công buộc vấn đề phải được giải quyết.
Xem xét sự căng thẳng trung tâm. Toàn bộ tiền đề của một DAO là sự tham gia mở, không cần sự cho phép: bất kỳ ai cũng có thể nắm giữ token, bất kỳ ai cũng có thể đề xuất, bất kỳ ai cũng có thể bỏ phiếu, và kết quả phản ánh cộng đồng thay vì một người kiểm soát. Mỗi biện pháp phòng thủ mạnh mẽ chống lại các cuộc tấn công quản trị đều làm giảm chính sự cởi mở đó.
Một yêu cầu quorum cao có thể làm tê liệt một DAO mà các thành viên của nó hiếm khi bỏ phiếu, khiến nó không thể thông qua ngay cả những đề xuất vô hại. Một thời gian khóa dài làm chậm khả năng của tổ chức trong việc phản ứng với các tình huống khẩn cấp thực sự, chính tốc độ mà quản trị trên chuỗi được cho là cải thiện. Một ủy ban đa chữ ký khẩn cấp hoặc ủy quyền tái giới thiệu một nhóm đáng tin cậy, điều này là một hình thức tập trung mà các DAO tồn tại để thoát khỏi.
Mỗi biện pháp bảo vệ làm cho DAO an toàn hơn và ít phi tập trung hơn cùng một lúc, và các cộng đồng hoàn toàn có lý do để không muốn từ bỏ lý tưởng đã thu hút họ lại với nhau.
Sự tham gia thấp làm trầm trọng thêm vấn đề và kháng cự giải pháp dễ dàng. Hầu hết các DAO đều chịu đựng tình trạng tỷ lệ bỏ phiếu thấp mãn tính, với các nghiên cứu cho thấy rằng một tỷ lệ lớn chỉ có một vài cử tri hoạt động, và tỷ lệ tham gia thấp là điều kiện duy nhất khiến các cuộc tấn công quản trị trở nên rẻ, vì nó làm giảm ngưỡng token mà một kẻ tấn công phải đạt được.
Tuy nhiên, tỷ lệ tham gia không thể đơn giản được quy định; nó phản ánh thực tế rằng hầu hết các chủ sở hữu token là thụ động, nắm giữ vì giá cả thay vì sự tham gia, và có ít thời gian hoặc chuyên môn để đánh giá các đề xuất. Việc ủy quyền, nơi các chủ sở hữu giao phiếu của họ cho các đại diện tham gia, giúp ích, nhưng nó tập trung quyền lực vào các đại diện và giới thiệu các rủi ro chiếm đoạt riêng của nó.
Sự thụ động cho phép các cuộc tấn công là một đặc điểm cấu trúc của quyền sở hữu token, không phải là một lỗi mà một cơ chế đơn lẻ có thể loại bỏ.
Giải Pháp Thiết Kế
Còn có vấn đề sâu hơn rằng một thị trường token không thể phân biệt một người ủng hộ với một kẻ tấn công. Cả hai đều đơn giản là những người mua sẵn sàng trả tiền cho token, và từ quan điểm của thị trường, họ không thể phân biệt cho đến khi đề xuất độc hại được thực hiện. Bỏ phiếu theo trọng số token giả định sự liên kết kinh tế, rằng bất kỳ ai nắm giữ nhiều token đều muốn giao thức thành công, nhưng một kẻ tấn công có kế hoạch rút kho bạc và vứt bỏ các token không có sự liên kết như vậy, và không có tín hiệu thời gian mua nào tiết lộ sự khác biệt.
Đây là lý do tại sao một số nhà nghiên cứu lập luận rằng bỏ phiếu bằng token một mình không bao giờ có thể hoàn toàn an toàn và rằng các giải pháp bền vững yêu cầu các đầu vào không phải token, danh tiếng, danh tính, hoặc lịch sử đóng góp, mà thị trường không thể đơn giản mua.
Những cách tiếp cận đó còn mới và khó thực hiện mà không tái giới thiệu các người kiểm soát. Kết luận không thoải mái là an ninh quản trị không phải là một vấn đề đã được giải quyết với một danh sách kiểm tra để áp dụng, mà là một biên giới thiết kế sống động nơi mỗi sửa chữa đều tốn một chút phi tập trung, và nơi cấu hình rẻ nhất, mở nhất, mà nhiều DAO mặc định vào, chính là cấu hình mà các kẻ tấn công thấy hấp dẫn nhất.
Biện Pháp Phòng Thủ Hiệu Quả
Bởi vì các cuộc tấn công quản trị khai thác thiết kế, không phải mã, các biện pháp phòng thủ là vấn đề của thiết kế cơ chế, và một DAO được cấu hình tốt có thể làm cho một cuộc tấn công không có lợi nhuận ngay cả khi không thể làm cho nó không thể xảy ra.
Thời gian khóa là biện pháp phòng thủ quan trọng nhất. Một thời gian khóa áp đặt một sự trì hoãn bắt buộc giữa việc một đề xuất được thông qua và việc thực hiện của nó, và nó làm hai điều cùng một lúc. Nó hoàn toàn phá vỡ các cuộc tấn công flash-loan, vì các token đã vay không thể được giữ qua thời gian trì hoãn, làm thất bại yêu cầu giao dịch đơn. Và nó cho cộng đồng một khoảng thời gian để nhận thấy một đề xuất bất thường và phản ứng trước khi kho bạc di chuyển.
Cuộc tấn công BonkDAO, với khoảng thời gian sống sáu ngày nhưng dường như không có sự trì hoãn thực hiện hoặc phản ứng hiệu quả, cho thấy rằng một khoảng thời gian bỏ phiếu không giống như một thời gian khóa; điều quan trọng là một sự trì hoãn cứng giữa việc phê duyệt và thực hiện trong đó các người bảo vệ có thể hành động.
Yêu cầu quorum nâng cao tiêu chuẩn cho tính hợp lệ. Một quorum đặt ra một số lượng tối thiểu của sự tham gia bỏ phiếu để một đề xuất được thông qua, vì vậy một cuộc bỏ phiếu được quyết định bởi một vài ví không được tính. Nếu BonkDAO yêu cầu một quorum đáng kể, một cuộc bỏ phiếu với bảy ví sẽ thất bại bất kể cách mà các token của kẻ tấn công được phân phối.
Các biện pháp liên quan bao gồm bỏ phiếu thuyết phục, nơi quyền bỏ phiếu tăng lên càng lâu các token được cam kết, phạt việc tích lũy đột ngột mà các cuộc tấn công dựa vào, và các hệ thống ủy quyền nâng cao tỷ lệ tham gia tổng thể, điều này cơ học làm tăng số token mà một kẻ tấn công phải thu thập.
Các biện pháp kiểm soát khẩn cấp cung cấp một hàng rào cuối cùng. Một kiểm soát đa chữ ký đối với các chuyển động lớn của kho bạc, hoặc một cơ chế phủ quyết cho phép các tác nhân đáng tin cậy tạm dừng hoặc từ chối một đề xuất rõ ràng độc hại, có thể ngăn chặn một cuộc rút tiền ngay cả sau khi một cuộc bỏ phiếu đã được thông qua.
Những biện pháp này làm giảm sự phi tập trung, điều này là một sự đánh đổi thực sự mà các DAO phải cân nhắc, nhưng chúng tồn tại chính vì bỏ phiếu bằng token thuần túy đã nhiều lần chứng minh là có thể bị rút tiền. Nhiều giao thức giữ một biện pháp bảo vệ tập trung cho chính kịch bản mà Compound đã đối mặt.
Cuối cùng, việc giới hạn những gì mà quản trị có thể làm thu hẹp phần thưởng. Nếu một đề xuất đơn lẻ không thể đơn phương di chuyển toàn bộ kho bạc, và nếu các khoản chi lớn yêu cầu các bước hoặc phê duyệt bổ sung, giá trị mà một kẻ tấn công có thể rút giảm xuống, và với nó là động lực để tấn công.
Nguyên tắc thống nhất trong mọi biện pháp phòng thủ là làm cho chi phí thu thập đủ phiếu vượt quá giá trị có thể bị đánh cắp, hoặc chèn đủ sự trì hoãn và ma sát để cộng đồng có thể can thiệp trước khi vụ trộm hoàn tất. Một DAO không thực hiện cả hai điều này, giữ một kho bạc lớn phía sau bỏ phiếu bằng token rẻ, ngay lập tức, với tỷ lệ tham gia thấp, không phải là một hệ thống quản trị mà là một kho tiền không khóa với một hộp gợi ý.
Bài học 20 triệu đô la của BonkDAO là hộp gợi ý, trong tay sai lầm và với đủ token phía sau nó, mở kho tiền.
Bối Cảnh Rộng Hơn
Bối cảnh rộng hơn là quản trị đang trở thành một mục tiêu lớn hơn khi các DAO nắm giữ nhiều giá trị hơn. Các cộng đồng memecoin đặc biệt đã tích lũy được các kho bạc đáng kể, thường được định giá bằng các token biến động mà giá trị có thể dao động mạnh, trong khi vận hành các hệ thống bỏ phiếu đơn giản nhất có thể, và sự kết hợp của một phần thưởng phong phú phía sau một khóa yếu chính là điều mà các kẻ tấn công tìm kiếm.
Khi quản trị trên chuỗi lan rộng từ các giao thức thử nghiệm đến các tổ chức quản lý tiền nghiêm túc, khoảng cách giữa các DAO đã củng cố bỏ phiếu của họ và những DAO chưa làm như vậy trở thành một trong những ranh giới rõ ràng nhất trong an ninh tiền điện tử. Các cuộc tấn công sẽ không biến mất, vì động lực là cấu trúc và cấu hình rẻ nhất là cấu hình dễ bị tổn thương nhất.
Điều thay đổi, từng DAO một, là liệu kho bạc có nằm sau các biện pháp phòng thủ tương xứng với kích thước của nó, hay nằm sau một cuộc bỏ phiếu mà 4 triệu đô la và một căn phòng trống có thể giành chiến thắng.
Câu Hỏi Thường Gặp
1. Cuộc tấn công quản trị là gì?
Một cuộc tấn công quản trị là khi ai đó thu thập đủ quyền bỏ phiếu trong một DAO, thường bằng cách mua token quản trị của nó, và sử dụng quyền lực đó để thông qua một đề xuất có lợi cho họ trên chi phí của cộng đồng, thường là rút kho bạc. Nó khai thác cơ chế bỏ phiếu hoạt động như thiết kế, không phải một lỗi trong mã, điều này làm cho nó khác biệt với một cuộc tấn công hợp đồng thông minh điển hình.
2. Có mã nào bị hack không?
Không. Trong một cuộc tấn công quản trị, các hợp đồng thông minh hoạt động chính xác như thiết kế. Vụ trộm xảy ra vì chính các quy tắc bỏ phiếu cho phép một đề xuất độc hại được thông qua và thực hiện. Đây là lý do tại sao các cuộc tấn công quản trị không thể được ngăn chặn chỉ bằng việc kiểm toán mã tốt hơn; chúng yêu cầu thay đổi cơ chế bỏ phiếu, chẳng hạn như thời gian khóa, quorum, và các kiểm soát khẩn cấp.
3. Cuộc tấn công flash-loan là gì?
Đó là một biến thể không cần vốn ban đầu. Kẻ tấn công vay một khoản tiền lớn mà không cần tài sản thế chấp, sử dụng nó để thu thập một khối lượng kiểm soát các token quản trị, thông qua một đề xuất độc hại, rút kho bạc, và trả lại khoản vay, tất cả trong một giao dịch duy nhất. Cuộc tấn công Beanstalk năm 2022, đã lấy đi hơn 100 triệu đô la, là ví dụ điển hình, và thời gian khóa là biện pháp phòng thủ chính vì chúng ngăn chặn việc thực hiện trong một giao dịch duy nhất.
4. Tại sao các cuộc tấn công quản trị vẫn tiếp tục thành công?
Chúng yêu cầu vốn và một hệ thống bỏ phiếu yếu thay vì kỹ năng kỹ thuật tinh vi, điều này làm giảm rào cản so với việc tìm kiếm các khai thác mã. Nhiều DAO, đặc biệt là các dự án memecoin, giữ kho bạc lớn phía sau bỏ phiếu theo trọng số token đơn giản với tỷ lệ tham gia thấp, khiến chúng trở thành mục tiêu hấp dẫn. Tích lũy đủ token để kiểm soát một cuộc bỏ phiếu có tỷ lệ tham gia thấp thường rẻ hơn so với kho bạc mà nó có thể chiếm đoạt.
5. Việc phục hồi từ các cuộc tấn công quản trị có dễ không?
Việc phục hồi là khó khăn vì vụ trộm được thực hiện thông qua quy trình hợp pháp của chính DAO thay vì một khai thác có thể đảo ngược. Các dự án thường truy tìm các ví, phối hợp với các sàn giao dịch, cầu nối, và cơ quan thực thi pháp luật, và hy vọng đóng băng các quỹ trước khi chúng bị rửa, nhưng thành công là không chắc chắn. BonkDAO đã bắt đầu những nỗ lực như vậy sau cuộc tấn công của nó, với việc phục hồi vẫn chưa được giải quyết.
6. Các biện pháp phòng thủ chính là gì?
Các biện pháp phòng thủ chính là thời gian khóa làm chậm việc thực hiện sau khi một cuộc bỏ phiếu được thông qua, yêu cầu quorum vô hiệu hóa các cuộc bỏ phiếu có tỷ lệ tham gia thấp, bỏ phiếu thuyết phục phạt việc tích lũy token đột ngột, các kiểm soát đa chữ ký khẩn cấp hoặc cơ chế phủ quyết đối với các chuyển động lớn của kho bạc, và giới hạn những gì mà một đề xuất đơn lẻ có thể làm. Cùng nhau, chúng nhằm mục đích làm cho một cuộc tấn công tốn kém hơn so với giá trị mà nó có thể đánh cắp hoặc để cho cộng đồng thời gian can thiệp.