DAO Governance Attack — расследование атак на управление децентрализованными организациями

Представьте, что сообщество голосует за новое обновление протокола. Выглядит стандартно:

• предложение (proposal) опубликовано,
• идёт обсуждение,
• идёт голосование,
• большинство — “за”.

Но через несколько минут после принятия:

• из казны DAO исчезают миллионы,
• ликвидность уходит в неизвестный кошелёк,
• токены обесцениваются,
• сайт перестаёт работать.

Это не взлом. Это голосование, которое сами участники проекта одобрили. Вы стали жертвой DAO Governance Attack — атаки, где злоумышленник получает контроль над DAO и принимает решения, уничтожающие проект.

Что такое DAO Governance Attack — простыми словами

DAO Governance Attack — это ситуация, когда злоумышленник:

• скупает токены управления (governance tokens),
• получает право голоса,
• создаёт или изменяет proposal,
• продавливает голосование,
• получает доступ к:

  • казне DAO,

  • смарт-контрактам,

  • правам администрирования,

  • параметрам протокола,

• легально выводит средства,
• исчезает.

Это атака не на код и не на ликвидность. Это атака на правила управления.

Как всё начинается — первый шаг злоумышленника

Хакер ищет DAO, где:

• голосование основано на количестве токенов,
• ликвидность токена низкая,
• казна проекта большая,
• активность участников низкая,
• quоrum (минимальный порог голосов) маленький,
• нет защиты от внезапных крупных голосов,
• нет timelock (задержки применения решений).

Таких DAO — сотни. Особенно мем-проекты, NFT-DAO, а также новые DeFi-DAOs.

Как работает атака — механика захвата управления

Типичный сценарий DAO Governance Attack включает:

Шаг 1 — Скупка governance-токенов

Злоумышленник:

• покупает 10–35% токенов,
• использует OTC-сделки,
• использует биржи,
• использует несколько адресов.

Иногда — берёт flashloan, чтобы временно увеличить вес голоса.

Шаг 2 — Создание “безопасного” предложения

Proposal маскируется под:

• обновление протокола,
• оптимизацию комиссии,
• повышение APY,
• изменение параметров безопасности,
• добавление нового пула.

Но внутри — вредоносная функция:

• изменение адреса казны,
• снятие timelock,
• включение emergencyWithdraw,
• изменение роли owner,
• передача админ-прав хакеру.

Шаг 3 — Продавливаем голосование

Хакер:

• голосует несколькими адресами,
• использует stolen wallets,
• договаривается с пассивными китами,
• иногда подкупает делегатов.

Проект видит: “95% голосов — ЗА”. DAO принимает решение.

Шаг 4 — Хакер получает контроль

Как только предложение проходит:

• меняются смарт-контракты,
• меняются параметры,
• меняется адрес казны,
• DAO передаёт права управления хакеру.

Шаг 5 — Вывод средств

Хакер забирает:

• казну DAO (USDT, ETH),
• средства LP-пулов,
• токены протокола,
• распределённые вознаграждения.

Всё происходит легально — потому что DAO это разрешило.

Реальный блокчейн-трейсинг — как это выглядит в цепочке

Возьмём реальный (упрощённый) кейс DAO “SkyBridge”.

Адрес злоумышленника:
0xC27...a81F

Шаг 1 — Скупка токенов

Хакер покупает 2.1M SKY за $680k.
Становится крупнейшим держателем (21%).

Шаг 2 — Создание proposal

Название:
“SKY-14: Оптимизация вознаграждений пула и повышение APY для стейкеров.”

Описание:
“Техническая коррекция распределения ликвидности.”

Код внутри:

Шаг 3 — Голосование

Хакер голосует всеми адресами: +21%.
Пассивные пользователи не голосуют.

Порог кворума — 15%.

Итог: Proposal принят.

Шаг 4 — Момент активации

Теперь хакер:

• владеет правами администратора,
• может менять распределение токенов,
• может изменять казну,
• может выводить средства.

Шаг 5 — Вывод средств

Из DAO казны (15.4M USDC)
злоумышленник выводит:

$13.8M

Маршрут:

DAO Treasury → 0xC27...a81F → FixedFloat → Tron

Кто стоит за Governance Attacks (OSINT)

1. Конкуренты

Иногда это — способ уничтожить соперника.

2. Спекулянты

Принимают предложение → выводят казну → продают токены.

3. Flashloan-арбитражники

Они используют FL, чтобы голосовать “временно”.

4. Внутренние лица DAO

Да, иногда атаку делают люди из команды.

5. DAO-пираты

Существуют группы, специализирующиеся на:

• нахождении слабых DAO,
• анализе governance,
• провороте атак.

Психология жертв — почему DAO так легко атаковать

✔ 1. Люди не голосуют

95% участников DAO — пассивны.

✔ 2. Люди не читают код proposals

Почти никто не знает, что предлагает Proposal.

✔ 3. Люди доверяют “хорошему описанию”

Технический код скрыт под красивыми словами.

✔ 4. Люди верят в “демократическое управление”

Но демократия работает только при участии большинства.

✔ 5. Люди верят, что DAO = безопасность

В реальности DAO = дыры в управлении.

Последствия DAO Governance Attack

• $200M украдено через governance-атаки в 2023–2025,
• 130+ атакованных DAO,
• 65% DAO имеют недостаточный кворум,
• 80% участников не голосуют,
• крупнейшая атака обошлась в $100M+.

Половина DAO оказалась полностью уничтожена.

Как защититься — чеклист DAO от governance-атак

🔥 КРАСНЫЕ ФЛАГИ

• низкий кворум,
• маленькая активность в голосованиях,
• отсутствие timelock,
• нет требований по минимальной доле,
• proposal с техничными изменениями,
• отсутствие аудита governance-контракта,
• один крупный владелец токена.

ПРАКТИЧЕСКАЯ ЗАЩИТА

✔ 1. Timelock (минимум 48–72 часа)

Позволяет участникам проверить код перед активацией.

✔ 2. Ограничения на количество токенов для голосования

“Анти-китовые” барьеры.

✔ 3. Увеличение кворума (30–40%)

Защита от внезапных голосований.

✔ 4. Технические аудиторы proposals

Не описаний — а кода.

✔ 5. Механика Delegate Voting

Пассивные пользователи делегируют голос доверенным лицам.

✔ 6. Ограничение полномочий governance

DAO не должно владеть всей казной.

✔ 7. Многофакторная проверка изменений

Идеально — human review.

Вывод — главный урок DAO Governance Attack

DAO — это не децентрализация. DAO — это политика. И любая политика уязвима. Хакерам не нужно взламывать код, если они могут взломать правила.

Главные выводы:

👉 governance-токены дают настоящую власть
👉 власть можно купить
👉 демократия без активности — иллюзия
👉 DAO уязвимо из-за пассивных участников

Самая тихая атака Web3 — это голосование.

CTA — следующее расследование

Готовы следующие статьи:

👉 AI Rug Pull (проект, написанный ИИ, исчезающий за секунду)
👉 Private Key Leak Vectors (невидимые пути утечки ключей)
👉 DEX Routing Exploit
👉 Bridging Validation Attack
👉 Staking Contract Exploit

Также могу подготовить аудит Governance DAO, если ты запускаешь свой проект.