به نظر می‌رسد اکوسیستم COMP تحت یک حمله حاکمیتی (Governance Attack) قرار گرفته است. یک نهنگ COMP، در حال کمک به تصویب یک پروپوزال حاکمیتی است که ۲۴ میلیون دلار از توکن‌های COMP را به یک پروتکل جدید به نام goldCOMP اختصاص می‌دهد. گروه گلدن‌بویز (Golden Boys) با همکاری این نهنگ چند بار دیگر هم پروپوزال مشابهی را ثبت کرده بودند که به دلیل مخالفت جامعه رد شد.

به گزارش میهن بلاکچین، اما این بار این گروه دوباره در پروپوزال ۲۸۹ اختصاص ۵٪ از خزانه COMP به پروتکل goldCOMP را مطرح کرده و موفق به تصویب آن شده‌اند. این پروتکل بازدهی که توسط «پسران طلایی (Golden Boys)» کنترل می‌شود، گروهی به رهبری هامپی (یک نهنگ) است و ظاهرا رفتارهای مشابهی در مورد ربودن DAO در گذشته انجام داده است. اکنون جامعه کامپاند در تلاش است با راه‌اندازی «TimeLock Admin» از سرقت این دارایی‌ها توسط این گروه جلوگیری کند.

حمله حاکمیتی به کامپاند

قیمت COMP، توکن بومی پروتکل وام‌دهی کامپاند (Compound)، پس از اینکه سازمان مستقل غیرمتمرکز (DAO) که این پروتکل را اداره می‌کند، تحت حمله حاکمیتی قرار گرفت، ۶٪ کاهش یافت.

این حمله حاکمیتی زمانی رخ داد که یک مهاجم قدرت رأی‌دهی زیادی در یک سیستم DAO به دست آورد تا قوانین پروتکل را به‌ نفع شخصی خود تغییر دهد و از ماهیت بدون نیاز به مجوز (Permissionless) و قابل معامله بودن توکن‌های حاکمیتی سوء استفاده کند.

طبق پست‌هایی که در انجمن کامپاند منتشر شده است، حمله حاکمیتی کامپاند اینگونه شروع شد که یک نهنگ به نام هامپی (Humpy) طی تلاش‌های هماهنگ‌شده‌ای در صدد دستکاری پروسه تصمیم‌گیری این پلتفرم از طریق نمایندگی مقدار عظیمی از COMP برآمد. وی به دنبال تخصیص ۲۴ میلیون دلار (۴۹۹٬۰۰۰ توکن COMP) به یک پروتکل سوددهی کنترل شده توسط خود به نام goldCOMP است که آن نیز توسط گروهی ناشناس به نام گلدن‌ بویز (Golden Boys) مدیریت می‌شود.

این گروه چندین بار برای انجام این کار تلاش کرد و در نهایت موفق شد. اولین حمله از سوی این گروه از هفته‌ها پیش و در اوایل ماه می آغاز شد. در حمله اول، آن‌ها در پروپوزال ۱۱۸، درخواست انتقال ۵٪ از خزانه COMP را به یک کیف پول چندامضایی (Multi-Sig) تحت کنترل گلدن‌بویز داشتند. اما به دلیل اینکه اعضای جامعه COMP به این مساله مشکوک بودند، این حمله شکست خورد و پروپوزال تصویب نشد.

در تلاش دوم، این گروه رویکردی مشابه حمله اول پیش گرفت و پروپوزال ۲۴۷ را ثبت کرد که مشابه حمله قبل، خواستار سرمایه‌گذاری ۵٪ از توکن‌های COMP در پروتوکل goldCOMP بودند که باز هم به حد نصاب نرسید و لغو شد.

در نهایت، با وجود اینکه بسیاری هشدار دادند که این پروپوزال‌هایی که توسط هامپی و گلدن‌بویز ارسال می‌شود، برای سرقت از خزانه COMP است، این گروه دوباره در پروپوزال ۲۸۹، موفق به تکمیل حمله و تصویب پروپوزال خود شد.

با این حال، اعضای جامعه ادعا کرده‌اند که پشت این پروپوزال‌ها مسائل بیشتری وجود دارد. مایکل لیولن (Michael Lewellen)، معمار راه‌حل‌های امنیتی اوپن‌زپلین (OpenZeppelin) که به عنوان مشاور امنیتی کامپاند فایننس کار می‌کند، در حساب کاربری خود در صفحه اجتماعی X نوشت که بین چندین حساب که دست به جمع‌آوری COMP زده‌اند و پروپوزال‌هایی مربوط به انتقال دارایی‌ها به goldCOMP ایجاد کرده‌اند، ارتباطی پیدا کرده است. او پس از ثبت پروپوزال ۲۸۹ نوشت:

به نظر من، اگر هامپی و گلدن بویز به تلاش‌های خود برای گرفتن بودجه از پروتکل COMP ادامه دهند، می‌توان تلاش‌های آن‌ها را یک حمله حاکمیتی در نظر گرفت. به‌خصوص زمانی که به وضوح برخلاف تصمیم دیگر نمایندگان Compound DAO عمل می‌کنند.

هامپی به این اتهامات پاسخ داده و گفته است که صندوق goldCOMP از یک ساختار «Trust Setup» همراه با محدودیت‌هایی در اجرای دستورات استفاده می‌کند که اجازه سرقت این وجوه را نمی‌دهد. وی در واکنش به صحبت‌های لیولن بیان کرد:

سرقت وجوه یک عبارت اشتباه و گمراه‌کننده است؛ به خصوص زمانی که کارشناس ریسک و امنیت کامپاند بگوید. سرمایه‌گذاری درخواست داده شده باید از Trust Setup رد شود که محدودیت‌هایی در اجرای درخواست دارد و اجازه سرقت و انتقال وجوه را نمی‌دهد.

تلاش جامعه کامپاند برای جلوگیری از حمله حاکمیتی

با این حال، پس از تایید شدن پروپوزال گلدن بویز، جامعه COMP یک طرح برای محدود کردن اقدامات این گروه ارائه داده است.

پروپوزال ۲۹۰ که رای‌گیری آن در کمتر از یک روز شروع خواهد شد، با هدف انتقال Timelock Admin قرارداد هوشمندی که اقدامات حاکمیتی را در صف انتظار قرار می‌دهد نیاز به تاخیر دو روزه قبل از اجرا دارد و به جامعه زمان بیشتری برای واکنش می‌دهد.

در حالی که این قرارداد ممکن است در حملات حاکمیتی آینده اختلال ایجاد کند، مشخص نیست که آیا جلوی گلدن‌بویز را از جابجایی توکن‌های COMP که دنبال آن بودند خواهد گرفت، یا نه.

هامپی چه کسی است و آیا قدرت به دست گرفتن کنترل حاکمیت کامپاند را دارد؟

هامپی یکی از مهمترین نهنگ‌ها در فضای دیفای است که نام آن برای بسیاری آشنا نیست. داستان وی از سال‌ها پیش روی چندین پروتکل دیفای و با میلیون‌ها دلار آغاز شد.

هامپی یکی از بازیگران اصلی در چندین پروتکل است. وی از طراحی‌های جذاب برای بدست آوردن توکن‌های حاکمیتی در حجم عظیم استفاده می‌کند. روش‌های او باعث شده است بتواند مقدار عظیمی ثروت و حتی کنترلی بحث‌برانگیز روی پلتفرم بلنسر (Balancer) در سال ۲۰۲۲ نیز بدست آورد.

در سال ۲۰۲۲، بلنسر به مدت ۸ ماه با یکی از آموزنده‌ترین و بحث‌برانگیزترین داستان‌های حاکمیتی روبرو شد. این پروتکل دیفای درگیر یک مبارزه طولانی با هامپی بر سر پروپوزال‌هایی بود که این نهنگ توانست با جمع آوری سهم زیادی از آرا از آنها عبور کند. اگرچه گروه هامپی و پروتکل بلنسر در نهایت بر سر یک معاهده صلح به توافق رسیدند، این نبرد شامل ماه‌ها استفاده از کیف پول هامپی برای کنترل بیش از ۵۰٪ از آرا و تصویب پرورپوزال‌ها به طور یکجانبه بود.

داستان از آنجا شروع شد که veBAL برای همسو کردن هولدرهای توکن بومی با اهداف DAO و درآمدهای پروتکل راه‌اندازی شد. اما وقتی سیستم تشویقی با عواقب ناخواسته‌ای روبرو شود، اتفاقات ناگواری رخ می‌دهد.

اینجا بود که نقش هامپی آشکار شد. بلنسر در تلاش برای هماهنگی سیستم خود با فعالیت‌های یک نهنگ veBAL به نام هامپی در مضیقه قرار گرفت. زمانی که طرح تشویقی آنان شکست خورد، بلنسر به بازی موش و گربه برای کنترل رفتار سودجویانه این نهنگ از طریق حاکمیت، وارد شد.

استراتژی هامپی ساده بود: تسلط بر نقدینگی استخر، رای دادن فعال به متریک و جمع‌آوری BALهای صادر شده. تنها مشکل این بود که متریک‌های ایجاد شده توسط وی، درآمد بسیار کمی برای بلنسر ایجاد می‌کرد.

استراتژی هامپی توسط بلنسر تعدیل شد تا آنها را از فارم استخرهای کم درآمد منصرف کند. اما هامپی با هر به روز رسانی چارچوب متریک مشوق، باگ‌های جدیدی پیدا می‌کرد.

متأسفانه، هامپی به طور تصادفی سرمایه آنها را در استخر ایلیکیوید تتوبال (tetuBAL) به دام انداخت و آنها را مجبور کرد که موقعیتشان را حفظ کرده و به هر قیمتی از استراتژی متریک خود محافظت کنند.

رویدادهایی که رخ دادند را فقط می‌توان به عنوان یک مسابقه تسلیحاتی توصیف کرد؛ زیرا استیک‌هولدرهای بلنسر، هامپی، و استیک‌هولدرهای بزرگ مانند اورا (Aura) برای به دست آوردن قدرت کافی حاکمیتی و دفاع از منافع خود جنگیدند.

تنشها با تشدید فعالیت‌های حاکمیتی هامپی بالا گرفت و رقابت حاکمیت به دلیل قدرت رای بالای او دشوار شد و در نهایت منجر به رای‌گیری مجدد چند پروپوزال و یک استراتژی بحث برانگیز برای کاهش موانع در فعال‌سازی قدرت حاکمیت اورا شد.

خوشبختانه، این DAO توانست با نهنگ‌ها در پیشنهاد پیمان صلح (Peace Treaty Proposal) به توافق برسد و رای‌گیری امروز به پایان رسید.

راه برون رفت از حاکمیت غیرمتمرکز کجاست؟

هامپی در جدیدترین حمله حاکمیتی، از قدرت رای خود برای واریز ۲۵ میلیون دلار از خزانه کامپاند به طور مستقیم به صندوق goldCOMP خود استفاده کرد. این کار به کاربران اجازه می‌دهد تا در COMP خود بازدهی کسب کنند و در عین حال نفوذ هامپی تقویت شود. در حالی که این حرکت قانونی است، سؤالاتی در رابطه با حاکمیت غیرمتمرکز ایجاد می‌کند.

نفوذ هامپی فراتر از حاکمیت است. او توکن مخصوص به خود را دارد که از آن برای جامعه «گلدن‌بویز» خود استفاده می‌کند. ارزش آن پس از رویداد کامپاند امروز دو برابر شده است؛ زیرا سفته‌بازان به توانایی هامپی برای ادامه یافتن راهبردهای مدیریتی یا فارمینگ «بسیار سودآور» ایمان دارند.

هامپی همچنین در ماه مارس سال جاری توسط «سرآشپز» خود جرد گری ((Jared Grey)) متهم به حمله به سوشی سواپ شد. جرد گری در صفحه X خود بیان کرد:

اکنون که این اتفاق رخ داده است، برنامه هامپی برای سوشی‌سواپ (SushiSwap) نیز مشخص شد. اگر وی در این حمله حاکمیتی پیروز شود، می‌تواند ارزش سوشی را با فارم تورمش به منظور حمایت از عملکرد و توزیع ضعیف توکن‌های GOLD خود، استخراج کند.

برای کامپاند و حمله حاکمیتی اجرا شده توسط هامپی ناراحت هستم.