Compound Finance thông qua đề xuất mới, nghi vấn bị tấn công quản trị
Tổ chức tự trị phi tập trung (Decentralised Autonomous Organisation) của giao thức Compound Finance vừa thông qua bản đề xuất tài chính số 289. Tuy phù hợp với tiêu chuẩn của DAO, bản đề xuất này vẫn vấp phải sự phản đối của cộng đồng, cùng với lo ngại Compound Finance vừa bị tấn công quản trị (governance attack).
Cộng đồng cáo buộc “cá mập" Humpy tấn công quản trị Compound Finance
Đề xuất 289 đề nghị phân bổ 5% kho bạc của Compound, tương đương 499,000 token COMP trị giá khoảng 24 triệu USD, cho giao thức sinh lợi goldCOMP do nhóm "Golden Boys" quản lý.
Trong đề xuất, giao thức goldCOMP DeFi Vault đảm bảo APR 5% cho người dùng nắm giữ token COMP. Khi người dùng gửi token COMP vào giao thức goldCOMP, họ sẽ nhận về lượng token goldCOMP tương ứng, đại diện cho khoản tiền gửi của mình. Sau đó, những token goldCOMP này có thể được stake vào pool goldCOMP trên giao thức Balancer, nhận về APR 5%.
Đề xuất này đã được thông qua với 682,191 phiếu thuận và 633,636 phiếu chống vào chủ nhật (ngày 28/07/2024). Cuộc bỏ phiếu bắt đầu vào tối thứ năm (ngày 25/07/2024) và kéo dài đến hết ngày 28/07/2024.
Tuy nhiên, các thành viên cộng đồng đã cáo buộc rằng có nhiều điều khuất tất đằng sau đợt bỏ phiếu này. Michael Lewellen, chuyên gia bảo mật tại OpenZeppelin và cố vấn an ninh của chính Compound Finance, đã phát hiện nhiều tài khoản tích lũy lượng lớn token COMP đã bỏ phiếu thuận cho đề xuất 289 thuộc sở hữu của nhóm Golden Boys.
Bên cạnh đó, Wintermute Governance, Columbia Blockchain, Penn Blockchain và StableLab đã bày tỏ lo ngại tương tự. Trước đó, nhóm Golden Boys, dẫn đầu bởi cá mập Humpy, đã từng cố gắng thông qua các đề xuất tương tự vào tháng 05 (đề xuất 247) nhưng bất thành.
Lewellen cho rằng hành động của cá mập Humpy và nhóm Golden Boys "có thể coi là một cuộc tấn công quản trị nếu họ tiếp tục cố gắng lấy tiền từ giao thức, đi ngược lại với ý chí của DAO".
Trước cáo buộc trên, cá mập Humpy đã lên tiếng bảo vệ đề xuất 289, cho rằng "lấy cắp tiền" là một cụm từ sai lệch và gây hiểu nhầm. Humpy cũng bổ sung rằng lượng token được phân bổ sẽ qua một "Trust Setup", một biện pháp kiểm soát nhằm hạn chế việc lạm dụng, thoái vốn của quỹ.
Tài khoản của Wintermute Governance đã đặt câu hỏi liệu 'Trust Setup' có thực sự ngăn chặn việc chuyển hướng và thoái vốn quỹ hay không. Trong bản đề xuất, mọi hoạt động liên quan đến quỹ đều được kiểm soát độc quyền bởi ví Multi-sig của Golden Boys (GoldenBoyzMultisig).
Điều này có nghĩa là DAO của Compound Finance đã đánh mất quyền kiểm soát đối với 499,000 token COMP đã phân bổ và sẽ không thể thu hồi trong trường hợp khẩn cấp.
Bryan Colligan, nhà sáng lập và CEO của đội ngũ phát triển của Compound Finance, lưu ý rằng ngoài các rủi ro, mức APR 5% của đề xuất này không mang lại lợi ích đáng kể cho Compound Finance.
Ông cho biết, trên thị trường “không thiếu” các giao thức sinh lợi với mức APR hấp dẫn hơn nhiều, dao động trong khoảng 15-20% và một số lên tới 40% APR.
Mặc dù có các cáo buộc về hành động “thông đồng" của các thành viên nắm giữ ví multi-sig, một vài thành viên của ví multisig Golden Boys tuyên bố rằng họ hoàn toàn không biết về đề xuất này.
Theo Ogle, một thành viên khác của multisig, nhóm Golden Boys không có ý định gây hại hay chiếm quyền quản trị của Compound Finance. Thay vào đó, Ogle “phỏng đoán" rằng đề xuất nói trên nhằm mang lại lợi ích cho cả nhóm Golden Boys lẫn Compound Finance.
Giá token của Compound đã giảm gần 5% trong vòng 24 giờ sau khi đề xuất được thông qua. Hiện tại, token COMP được giao dịch ở mức 48.3 USD.
Lịch sử tấn công quản trị của Humpy
Humpy đã từng có tiền sử lợi dụng quy trình quản trị của DAO để kiếm lợi cá nhân quá mức. Năm 2022, giao thức DeFi Balancer đã cáo buộc Humpy “tấn công quản trị" khi tích lũy lượng lớn phiếu bầu để bỏ phiếu thông qua các đề xuất có lợi cho bản thân.
Sau đó, nhóm của Humpy và giao thức Balancer đã đồng ý một hiệp ước hòa bình, kết thúc cuộc đấu tranh kéo dài hàng tháng trời.
Humpy cũng bị cáo buộc tấn công SushiSwap hồi tháng 3 năm nay bởi Jared Grey, “bếp trưởng" của SushiSwap. Sau khi biết tin đề xuất 289 được thông qua, Grey cũng chia sẻ rằng bản thân "cảm thấy tiếc cho Compound Finance khi hứng chịu cuộc tấn công quản trị của Humpy."