Безопасность DAO: методика оценки контрактов управления
Вы заходите в DAO, голосуете за предложение, и всё кажется простым и прозрачным. Блокчейн же, всё автоматически, без посредников — что может пойти не так? Открою вам неприятную правду: примерно всё.
Прежде чем делегировать свой voting power или вкладывать средства в новую DAO, нужно понять, что именно вы доверяете. А доверяете вы не людям в чате и не красивому питчу на демо-дне. Вы доверяете коду.
Как работает управление через смарт-контракты
Управление в DAO — это набор смарт-контрактов, которые превращают правила сообщества в исполняемый код. Схеработала так: любой участник может вынести предложение, сообщество голосует, а результат автоматически исполняется на блокчейне. Никаких «мы обсудим на следующем совете» — транзакция проходит или не проходит, и это видят все.
Контракт управления — это буквально сердце системы. Он определяет, кто может выносить предложения, как считаются голоса, что происходит после голосования и через какое время решение вступает в силу. Если в этом сердце есть дыра — дыра во всей DAO.
Звучит как теория? Вспомните инцидент с Beanstalk в 2022 году: атакующий занял через flash loan огромную сумму governance-токенов, проголосовал за злонамеренное предложение и вывел криптовалюту на $182 миллиона. Всё за одну транзакцию. Контракт работал точно так, как был написан — просто в нём не было защиты от этого сценария.
Если вы не проверили контракт управления — вы не участник DAO. Вы донор.
Пять проверок, которые я провожу перед тем, как доверить DAO свой голос
За последние пару лет я протестировала десятки децентрализованных проектов — от свежих гильдий до мейнстримных протоколов. На этом опыте я составила чек-лист из пяти ключевых проверок. Это не полный аудит безопасности — для этого нужны специалисты и недели работы. Это минимальная экспресс-диагностика, которая отсеивает откровенно опасные проекты.
Проверка 1: открытость кода
Первое и самое базовое — исходный код контракта управления должен быть опубликован и верифицирован на блокчейн-эксплорере. Если вы видите на Etherscan только байт-код без зелёной галочки «Contract Source Code Verified» — это серьёзный красный флаг.
Без доступа к исходному коду невозможно проверить ни один из следующих пунктов. Вы буквально голосуете вслепую. Ищите читаемый код на Solidity или Vyper — не компилированный, а оригинальный, с комментариями и структурой.
Проверка 2: защита от flash loan voting
Flash loan voting — это атака, при которой кто-то берёт мгновенный кредит на огромную сумму токенов через протокол вроде Aave или dYdX, использует эти токены для голосования, а потом возвращает кредит — всё в рамках одной транзакции. Атакующий получает контроль над голосованием без реальных инвестиций в проект.
В контракте управления я ищу snapshot-механизм — фиксацию балансов токенов на определённом блоке до начала голосования. Это стандартный способ: если ваши токены были на балансе на блоке №15 000 000, а голосование началось на блоке №15 000 100, то мгновенные займы, полученные после снимка, просто не учитываются.
Некоторые проекты используют альтернативный подход: требуют блокировки токенов (lock) на период голосования. Тоже рабочий вариант — главное, чтобы механизм был прописан в коде, а не только в документации.
Проверка 3: timelock — задержка исполнения
Timelock — это обязательная пауза между голосованием и исполнением решения. Обычно от 24 до 48 часов. Зачем она нужна? Если сообщество проголосовало за что-то злонамеренное (или просто ошибочное), у участников есть время заметить проблему и вывести свои средства из протокола.
При проверке timelock я обращаю внимание на три вещи:
- Длительность задержки. Менее 24 часов — слишком мало. Вы можете не заметить проблему за выходные.
- Возможность обхода. Есть ли в контракте экстренные функции (emergency functions), которые позволяют администратору обойти timelock? Если да — это централизация риска.
- Прозрачность. Можно ли отслеживать pending-транзакции в timelock? Удобно, когда проект использует визуализаторы вроде того, что есть у OpenZeppelin.
Проверка 4: мультиподпись для критических операций
Мультиподпись (multisig) — это требование нескольких подписей для выполнения критических операций. Обновление контракта, экстренная пауза протокола, изменение параметров — всё это должно проходить через multisig, а не через один приватный ключ.
Рекомендуемый минимум — формат 3 из 5 (три подписи из пяти для подтверждения). Но количество — это только половина вопроса. Вторая половина: кто именно контролирует ключи? Если все пять подписантов — это люди из одной команды, а их кошельки пополнялись с одного адреса, то мультиподпись не защищает от сговора.
Также проверяю, что произойдёт, если один из подписантов потеряет доступ к ключу. Есть ли процедура замены? Не заблокирует ли это критические операции протокола навсегда?
Проверка 5: делегирование голосов
Делегирование — полезный механизм: вы можете передать свой voting power тому, кому доверяете, если не хотите разбираться в каждом предложении. Но делегирование открывает и дополнительные векторы атаки.
Я проверяю три момента:
1. Нет двойного голосования. Если я делегировала голоса Алисе, а потом переделегировала Бобу — система должна корректно обнулить мои голоса у Алисы. Ошибка здесь позволяет проголосовать дважды.
2. Учёт по снимку. Voting power должен считаться по балансу на определённом блоке, а не в реальном времени.
3. Прозрачность. Должна быть возможность посмотреть, кому делегированы ваши токены и как ваш делегат голосовал.
| Параметр проверки | Что ищем в коде | Тревожный сигнал |
|---|---|---|
| Открытость кода | Верификация на Etherscan, читаемый Solidity | Только байт-код или отсутствие верификации |
| Flash loan защита | Snapshot по блоку, lock-механизм | Нет фиксации балансов до голосования |
| Timelock | Задержка 24–48 часов без обхода | Функции emergency без timelock |
| Мультиподпись | 3/5 или выше, независимые подписи | Один ключ или связанные адреса |
| Делегирование | Корректный revoke, учёт по блоку | Возможность двойного голосования |
Права доступа и owner-привилегии
Важно понимать, кто именно контролирует контракт. Если у одного адреса есть право менять правила голосования, отключать timelock, обновлять контракт без мультиподписи — это не децентрализованное управление, а мультисиг с extra steps.
Проверяю:
- Кто указан как owner контракта? EOA (externally owned account) или контракт?
- Какие функции доступны только owner'у? Нет ли среди них возможности drain-а токенов?
- Есть ли план (и код!) по отказу от owner-привилегий (renounce ownership)?
Отдельный плюс, если проект использует модифицированные OpenZeppelin Governor — это стандартные контракты, которые прошли множество аудитов и содержат встроенные проверки безопасности. Версия 5.x, актуальная в 2024 году, включает улучшенные механизмы защиты голосования.
Прозрачность процессов
Даже идеальный код бесполезен, если сообщество не может отслеживать, что происходит. Я смотрю, есть ли:
- Публичный dashboard с текущими и завершёнными предложениями
- Доступ к timelock-транзакциям в ожидании исполнения
- Документация с объяснением, как работает governance
Если всё это есть — проект хотя бы пытается быть прозрачным. Если governance спрятан в десяти слоях абстракций и undocumented функциях — задайте себе вопрос: для кого это сделано?
Инструменты и ресурсы для оценки
Полноценный аудит смарт-контрактов — работа для специалистов, и стоят такие проверки от $10 000 до $100 000+ в зависимости от сложности. Но для экспресс-оценки естьдоступные ресурсы.
Immunefi — крупнейшая платформа баунти-программ. Если проект запустил программу поиска уязвимостей через Immunefi, это хороший знак: команда готова платить за найденные баги. Публичные отчёты о найденных и исправленных уязвимостях дают представление о зрелости проекта.
Consensys Diligence — команда аудиторов, которая публикует материалы по безопасности смарт-контрактов. Их блог и гайдлайны — отличная отправная точка для понимания common pitfalls.
OpenZeppelin — библиотека стандартных контрактов. Если проект использует OpenZeppelin Governor, вы хотя бы знаете, что базовый код прошёл аудит. Но модификации поверх — это уже зона риска, и её нужно проверять отдельно.
Один аудит не заменяет постоянного мониторинга. Даже после проверки кода находят критические баги — проект развивается, и уязвимости появляются вместе с новым функционалом.
Для тех, кто интересуется бизнес-стороной Web3-проектов — как устроены инвестиции, какие метрики важны при оценке стартапов — рекомендую заглянуть в Бизнес-информер, ресурс о малом бизнесе и стартапах, где разбирают не только крипту, но и классические бизнес-модели.
Ограничения методики: честно о том, что вы не проверите
Я намеренно начинала этот материал с позиции «я попробовала — теперь вам проще». Но есть вещи, которые даже опытный пользователь не покроет экспресс-проверкой.
Экономические атаки. Код может быть технически безупречным, но экономическая модель — дырявой. Манипуляции с ценой governance-токена, атаки на оракулы, изъятие ликвидности — всё это выходит за рамки аудита смарт-контракта.
Социальная инженерия. Самый защищённый контракт бесполезен, если администраторы становятся жертвами phishing-атаки. В 2022 году DAO Ronin потеряла $625 миллионов потому, что злоумышленники скомпрометировали ключи валидаторов — не через код, а через социальную инженерию.
Неопределённость стандартов. Унифицированной международной методики оценки — такой, как ISO для классических систем — не существует. Каждая команда использует свои внутренние гайдлайны, и сравнивать проекты между собой приходится на основе здравого смысла и опыта.
Один аудит — не гарантия. Даже после множества аудитов находят критические баги. Проект развивается, обновляется, и каждое изменение потенциально вносит новые уязвимости. Нужно не просто проверять один раз, а мониторить постоянно.
Вердикт: как принимать решение
Вот моя позиция, основанная на тестах и наблюдениях за проектами разной зрелости.
Зрелые DAO вроде Compound, Aave, Uniswap используют модифицированные OpenZeppelin Governor с тщательными проверками, формальными процедурами голосования и множеством аудитов. Это не значит, что они идеальны — в них находят баги. Но рискованных shortcuts в них обычно нет.
Средние проекты могут иметь непроверенный код, отсутствие timelock и чрезмерные права администратора. Здесь ваша экспресс-проверка действительно критична: она может выявить проблемы, которые делают участие небезопасным.
Новые DAO — самый рискованный сегмент. Код мог написать один разработчик за выходные, аудит не проводился, а governance — это по сути мультисиг из друзей основателя. Здесь правило простое: не вкладывайте больше, чем готовы потерять.
И самое главное: если на каком-то этапе проверки вы обнаружили нечто тревожное — непрозрачный код, отсутствие timelock, подозрительные owner-права — просто отойдите. Не пытайтесь «разобраться потом». Потом может не наступить. Потратьте время на поиск проекта, который соблюдает базовые стандарты безопасности.
Децентрализованное управление — это эксперимент. Увлекательный, перспективный, но всё ещё эксперимент. Относитесь к нему соответственно.
