DAO:薅 DAO 的羊毛？DAO 资金掠夺者是如何榨干国库的？

DAO在加密领域获得了极大的关注和投资，其中有几个DAO在各自的国库中管理着数十亿美元。

然而，并不是所有DAO的参与者都有着高尚的目的。某些贡献者试图操纵系统，从国库中榨取资金，却不提供任何相应的帮助。

这些行为的参与者被称为金钱掠夺者，他们使用各种手法和策略来和操纵DAO的其他成员、管理员和代表。他们经常提出听起来很吸引人但含糊、不切实际或耗资过高的建议。他们还试图在DAO中建立声望和人际网络，以获得信任和影响力。他们甚至可能与其他者串通，贿赂代表、经理或勾结管理员，让他们的提案获得批准。

DAO Times在之前发表了一篇关于DAO黑暗面的文章之后，一位匿名人士联系了DAO Times，自称是一群金钱掠夺者的一员。他同意回答一些问题，并解释他们是如何运作的。

问：你能介绍一些个人情况，以及如何进入DAO的吗？

答：当然。我是一名营销人员，在加密货币和DeFi方面有一些工作经验。大约一年前，当我看到DAO正在筹集和管理大量资金时，我进入了DAO。此外，也有兴趣了解DAO体系。

Worldcoin App登陆出现故障，团队正在维护:金色财经报道，部分Worldcoin用户反应在访问加密钱包时遇到了困难，尝试登录World App时遇到了不同版本的错误消息，包括“发生网络错误：超出速率限制”、“未找到备份”和“即将返回”。

Worldcoin App 的支持团队在X（前身为 Twitter）平台证实了该问题，称该移动应用程序“流量高于平常”，并要求用户如果遇到任何问题“稍后再试”。目前尚不清楚修复该故障需要多长时间，但支持部门在回答有关故障的问题时表示，该应用程序目前正在维护中并且很快就会恢复。[2023/8/8 21:30:34]

问：你什么时候决定成为者（金钱掠夺者）的？

A:嗯，从本质上讲，我不会称自己为子。我更愿意认为自己是一个机会主义者或实用主义者。我意识到DAO领域存在很多低效和浪费资金的情况。许多提案写的不好，执行的不好，或者评估的不好。许多资金处于闲置状态或未被充分利用。很多成员对正在发生的事情都很天真或无知……我只是看到了利用这些认知差距和弱点来赚钱的机会。

数据：Threads每日活跃用户在一周内从4,900万下降到2,360万:金色财经报道，据SimilarWeb数据显示，虽然Threads的强劲开局使Threads成为可能替代Twitter的有力竞争者，但每日活跃用户在一周内从4,900万下降到2,360万。据Similarweb估计，在7月7日这一最好的日子里，Threads在全球Android上的日活跃用户超过4900万。这大约占Twitter使用量的45%，当天Twitter的活跃Android用户超过1.09亿。截至7月14日星期五，Threads的活跃用户已降至2360万，约占Twitter受众的22%。美国的使用情况最为活跃，7月7日该应用程序的使用时间达到峰值，约为21分钟，到7月14日，这一数字下降至6分钟多一点。[2023/7/18 11:01:58]

问：能举例说明你们的运作方式吗？

答：我和我的团队都知道，金钱掠夺者都在致力于为DAO创建内容和工具，他们谋划起草绝妙的提案，并通过媒体、KOL和Twitter spaces等付费渠道开展营销活动。

安全团队：四月攻击事件已共计造成超1亿美元损失:4月30日消息，据CertiK Alert数据显示，四月攻击事件已共计造成约1.036亿美元损失，其中闪电贷攻击造成的损失约1980万美元，Rug Pull造成的损失约930万美元。[2023/4/30 14:35:52]

这就像为推广IC0、IE0、NFT发行和其它打算跑路的人所做的事情一样。他们中的一些人只是为了完成工作而应付差事，并不关心项目的声誉。例如，如果你做了一个工具，可以为DAO代币带来更多的实用性，为了使其良好运行，你需要投入大量的精力来推广和完善。但是为什么要这么做呢？你呈现了技术上的结果，然后离开，并不会被指责为子。

问：所以你们基本上不会为DAO创建任何有价值的内容或工具？

答：是的，差不多。但是要确保表面功夫足够好，这样就不会引起过多地质疑。

但有一个问题，如果你想定期获得资金，你必须展示出，你可以以高质量的方式呈现结果，而在创建任何形式的内容或工具的情况下，意味着要从赠款中花费大量资金……所以我们并不会真的去创建些好质量东西。我们的主要目标是从国库定期获得资金，并保持资金流的增加，同时不会失去我们的代表。这就像玩游戏，没有太多责任。而且与付出的努力相比，回报更高。

安全团队：获利约900万美元，Moola协议遭受黑客攻击事件简析:10月19日消息，据Beosin EagleEye Web3安全预警与监控平台监测显示，Celo上的Moola协议遭受攻击，黑客获利约900万美元。Beosin安全团队第一时间对事件进行了分析，结果如下：

第一步：攻击者进行了多笔交易，用CELO买入MOO,攻击者起始资金（182000枚CELO）.

第二步：攻击者使用MOO作为抵押品借出CELO。根据抵押借贷的常见逻辑，攻击者抵押了价值a的MOO，可借出价值b的CELO。

第三步：攻击者用贷出的CELO购买MOO，从而继续提高MOO的价格。每次交换之后，Moo对应CELO的价格变高。

第四步：由于抵押借贷合约在借出时会使用交易对中的实时价格进行判断，导致用户之前的借贷数量，并未达到价值b，所以用户可以继续借出CELO。通过不断重复这个过程，攻击者把MOO的价格从0.02 CELO提高到0.73 CELO。

第五步：攻击者进行了累计4次抵押MOO，10次swap（CELO换MOO），28次借贷，达到获利过程。

本次遭受攻击的抵押借贷实现合约并未开源，根据攻击特征可以猜测攻击属于价格操纵攻击。截止发文时，通过Beosin Trace追踪发现攻击者将约93.1%的所得资金 返还给了Moola Market项目方，将50万CELO 捐给了impact market。自己留下了总计65万个CELO作为赏金。[2022/10/19 17:32:31]

问：你能解释一下你渗透进DAO，并从其国库中获取资金的策略吗？

慢雾安全提醒：Rabby钱包项目Swap合约存在外部调用风险，请迅速取消授权:金色财经报道，据慢雾安全团队情报,2022年10月11号,ETH链上的Rabby钱包项目的Swap合约被攻击,其合约中代币兑换函数直接通过OpenZeppelin Addresslibrary中的functionCallWith Value函数进行外部调用，而调用的目标合约以及调用数据都可由用户传入，但合约中并未对用户传入的参数进行检查，导致了任意外部调用问题。攻击者利用此问题窃取对此合约授权过的用户的资金。慢雾安全团队提醒使用过该合约的用户请迅速取消对该合约的授权并提取资金以规避风险。

截止目前，Rabby Swap事件黑客已经获利超19万美元，资金暂时未进一步转移。黑客地址的手续费来源是Tornado Cash 10 BNB，使用工具有Multichain、ParaSwap、PancakeSwap、Uniswap V3、TraderJoe。慢雾MistTrack将持续监控黑客地址并分析相关痕迹。[2022/10/11 10:31:18]

答：首先，我们要进入一个DAO并参与所有平台的讨论。用户必须相信我们是好人。所以我们必须投入时间和资源来建立信任。我们正在与管理员、社交媒体经理、代表和其他贡献者建立联系。

接下来会集思广益，提出一些提案，标准要符合工作量小、易于采用的廉价帮助，以及没有明确的指标来衡量我们的生产力……这就是为什么行政或管理角色对我们来说是完美的。确保定期“薪水”，可以伪造我们的活动，并且不必报告特定的产量指标。我们在DAO中获得了权力，这有助于我们推动更多的提案。影响力会滚雪球一样......越来越大。

但我们不会就此止步。我们深入研究DAO的治理模型，并弄清楚它们是如何做出决策的。我们学习投票过程、法定人数、委托事项以及选民的激励机制……寻找任何可以利用的漏洞或弱点。这实际上是一项艰难的工作。

问：你寻找什么样的漏洞？

答：有很多。例如，一些DAO的参与率或法定人数门槛较低，这意味着我们可以轻松地通过少数支持者或贿赂来影响投票结果。

一些DAO的身份验证或反女巫措施较弱，这意味着我们可以创建多个账户来影响选民和受众。一些DAO非常依赖管理员，并且很容易以这样或那样的方式贿赂他们……我们还尝试利用我们的声誉和人际网络来获得成员或代表的认可。我们有时会向他们提供部分利润或其他一些好处，以换取他们的支持……例如，如果他们愿意公开为我们担保，我们可以在Twitter spaces中为他们宣传或支持他们的提案。

问：你们在实施这个战略的过程中遇到过什么挑战吗？

答：当然。有几次我们的提议因为太贪婪而落空了，但你要在实践中不断“反思成长”，对吧？随着时间的推移，我们变得越来越好。我们还想出了一个技巧来代替那些有希望通过的提案。通过不断监控具有潜力的新提案，对其进行完善，然后在同一个DAO中发布我们自己的版本。我们要求管理员搁置最初的提案，让我们的提案首先获得投票。我们也可以在他们的讨论中提出一些负面意见，这样就显得他们的提案不太成熟……但总的来说，是寻找管理职位和“教育”之类的废话。人们乐于接受管理和指导，即使在DAO中也是如此，因此我们正在为他们提供他们想要和应得的东西。

在一个DAO中，我们甚至使用伪造的KYC成为管理员角色。这实际上是正在控制至少一个不错的国库。

问：所以你可以影响管理员，甚至可以将你的成员提升到这样的角色。你能否详细说明如何影响社交媒体经理吗？

答：当然可以。让DAO的社交媒体经理站在我们这边，就像中大奖一样。如果他们照我们说的做，一切都会变得容易得多。除了上述潜层影响外，我们甚至为此支付酬劳，让他不断以积极的方式发布关于我们活动的推文，并直接忽略其他类似的请求。这一策略对我们的选举也有很大帮助。

问：你通过DAO，赚了多少钱？

答：我不能给你一个确切的数字，但我们已经做了一年多，已经赚了超过100万美元了。赚钱一开始很慢，但后面越来越快。我们的目标是控制一个或两个国库，把资金一点一点转移到我们的钱包里。最好的情况是成员真的为此感谢我们。

问：你是否对欺诈DAO感到懊悔或内疚？

答：我只是在利用系统和市场。我没有伤害任何人或偷窃任何东西。再说一次，不要说我是子。我们和他们一起玩治理游戏，他们欠我们的。

问：你认为DAO可以阻止或阻止像你这样的贡献者吗？

答：我不这么认为。DAO本质上是脆弱和有缺陷的，因为它们依赖于人类对合作的信任。但是人类是贪婪的、自私的、非理性的和情绪化的。它们很容易被操纵。这有点有趣，但我们的团队比那里的任何DAO都更加去中心化，哈哈。我们只是一群随机合作的人。

问：你如何为你的行为辩护？有什么道德或伦理原则可以指导你吗？

答：我不需要为我的行为辩护……但我相信加密的理念是无需许可和无需信任的。我没有违反任何法律，我只是在利用它们。

这篇采访充分展示了DAO在确保其安全性和完整性方面面临的挑战。虽然DAO为创新和协作带来了许多优势和机会，但它们也为操纵和带来了许多风险和威胁。

随着DAO变得越来越流行和强大，需要找到方法来防止或阻止像他这样的子贡献者耗费DAO资金。否则，DAO可能最终会失去信任、声誉和价值。不幸的是，这种情况正在发生。

PANews

媒体专栏

阅读更多

金色荐读

金色财经 善欧巴

Chainlink预言机

区块律动BlockBeats

白话区块链

金色早8点

Odaily星球日报

欧科云链

MarsBit

深潮TechFlow

标签：DAOCELOCELMOOBeglobalDAOWrapped Celo DollarCAPITAL X CELLCeo Moo

Luna热门资讯