摘要

ENS DAO 的主要任务是治理协议，并根据 DAO 的章程和更广泛的目标分配金库资源。然而，由于经济动态的变化，DAO 越来越容易受到旨在耗尽金库的攻击。

为了保护 DAO 的完整性和长期发展，需要一个有权取消恶意提案的安全委员会。为了避免权力中心化永久化，安全委员会的权力将设有内置的到期日。两年后，任何人都将能够调用一个函数来撤销委员会否决提案的权力，从而确保一个有时限的机制来应对恶意攻击，同时促进更多的委托和治理权力分配。

动机

随着 ENS 的持续发展，其以 ETH 计的金库规模也在不断增长。与此同时，积极委托的代币比例却在下降。

这种不平衡造成了风险，攻击者可能以低于金库总价值的成本获取足够的 $ENS 来控制 DAO。自 2023 年 3 月以来，这已成为一个日益增长的担忧。

过去对 DAO 的攻击利用了类似的漏洞，其中一些被拥有否决权的组件阻止。目前，ENS 治理流程涉及提案通过治理者，依靠委托的投票权获得批准。如果获得批准，治理者会将提案排队到时间锁合约中，将执行延迟两天。虽然治理者可以取消提案，但它遵循与恶意提案相同的路径，引入了潜在风险。

短期解决方案是将 380 万 $ENS 委托给一个只能投“反对”票的合约；有关此事的更多详细信息，请参阅 Nick 的论坛帖子。攻击仍然有利可图，并且根据市场状况，投资回报率可能高达 3 倍，例如在 2023 年 12 月。我们需要一个中期解决方案来阻止攻击，这就是本提案。关于 Blockful 团队所做的这项研究的文章将在提案执行且没有攻击风险后点击查看。

规范

为了增强安全性，将部署一个否决合约。该合约由安全委员会多重签名控制，并将在时间锁中拥有 PROPOSER_ROLE，赋予其取消提案的能力，但无权发起或修改其他 DAO 操作。本提案的范围是将 PROPOSER_ROLE 分配给否决合约。

为确保去中心化，该合约还将具有基于时间的到期机制，允许任何人在两年后撤销 PROPOSER_ROLE。这个窗口期为加强委托和解决当前漏洞提供了时间，有助于 DAO 向更安全的治理模式过渡。

安全考虑

将 PROPOSER_ROLE 分配给时间锁合约内的多重签名地址，对于我们的要求来说权限过于宽泛，因为它允许该地址直接将提案添加到队列中。如果多重签名签署者被攻破，他们可能提出并执行恶意更改。因此，我们的方法是部署一个类似于当前 veto.ensdao.eth 合约的新合约，该合约只能执行一个操作：取消时间锁中的交易。这将是一个非常简单的合约，并且将被硬编码为只接受来自新创建的 SAFE 多重签名的调用。

风险得到了缓解，但一种情况仍然存在：如果整个多重签名被攻破，那么恶意实体可以踢出其他签署者，并通过取消所有交易（包括任何会将该合约从提案角色中移除的交易）来有效阻止 DAO 执行提案。无论如何，两年后，任何人都可以移除提案角色。

有鉴于此，以下考虑对于确保安全委员会多重签名的安全运行至关重要：

签署者的可用性：避免在紧急情况下签署者无法使用的情况至关重要。必须避免像上海攻击那样，现实事件阻止签署者访问其钱包的情况。委员会成员应确保钱包和必要设备随时可用。
安全的钱包实践：安全委员会地址应专门用于 ENS 相关操作。必须使用最佳实践存储私钥，以最小化暴露风险。

为多重签名阈值找到适当的平衡点至关重要。较高的阈值可能会使协调复杂化，但会降低恶意活动的风险。较低的阈值虽然更灵活，但如果少数签署者被攻破，可能会使 DAO 更容易受到攻击或产生意外后果。建议的构成是 4/8 多重签名。

委员会运作

明确 ENS DAO 对委员会成员的期望和责任符合所有人的最佳利益，这些期望和责任由他们在组织中的声誉、其他角色和收益作为支持。

安全委员会仅在紧急情况下，在以下给定情况或类似案例中采取行动：

如果提案违反 ENS 章程
如果提案以恶意意图获得批准，损害 DAO 的长期性/可持续性
如果此类提案被任何投票者群体批准，但投票者直接受到经济激励，为了维护自身经济利益而投票反对 DAO 的利益。
如果任何已批准的提案纯粹为了攻击者的利益而直接损害 DAO。

这些定义并非详尽无遗，寄托于当选委员会成员的信任也包括对他们能力的信任：

透彻理解 ENS DAO
倾听社区在极端情况下的反馈
代表 DAO 迅速采取行动
理解被批准的提案及其影响

安全委员会成员将是 veto.ensdao.eth 的相同签署者，他们的身份已知，已签署了维护 ENS 章程的承诺书，并且居住在拥有健全法律体系的国家。

[EP5.7][社交] 安全委员会

摘要

提案内容

摘要

动机

规范

安全考虑

委员会运作

摘要

动机

规范

安全考虑

委员会运作