簡析美兩州監管法案異同：DAO監管拐點出現？_DAO

2023年2月，猶他州發布了最新DAO監管法案，與2021懷俄明州DAO法案相比，新法在法人資格和有限責任方面更進一步，主要看點如下：猶他州DAO法案亮點概覽

1.法案賦予了DAO一種獨有的、新型的法律認可形式。猶他州決定不采取懷俄明州“舊瓶裝新酒”的監管思路套用有限責任公司模式對DAO進行監管，而是將DAO和LLC做明確區分，以具有開創性的立法思路為DAO單獨創造了一種新型法人實體；2.法案明確DAO組織為有限責任制，解決了在2022年美國商品期貨交易委員會訴bZxDAO案中關于DAO成員是否需以個人資產對外承擔無限連帶責任的爭議；3.建立了DAO的稅收制度；4.明確DAO參與者沒有隱含的信托責任，除非已明確聲明這些義務適用于參與者；5.保護DAO參與者的匿名性；6.納入“技術把關”措施以確保DAO實質上是一個DAO。一、猶他州DAO法案概述

慢霧：GenomesDAO被黑簡析:據慢霧區hacktivist消息，MATIC上@GenomesDAO項目遭受黑客攻擊，導致其LPSTAKING合約中資金被非預期的取出。慢霧安全團隊進行分析有以下原因：

1.由于GenomesDAO的LPSTAKING合約的initialized函數公開可調用且無權限與不可能重復初始化限制，攻擊者利用initialized函數將合約的stakingToken設置為攻擊者創建的虛假LP代幣。

2.隨后攻擊者通過stake函數進行虛假LP代幣的抵押操作，以獲得大量的LPSTAKING抵押憑證。

3.獲得憑證后再次通過initialized函數將合約的stakingToken設置為原先真是的LP代幣，隨后通過withdraw函數銷毀LPSTAKING憑證獲取合約中真實的LP抵押物。

4.最后將LP發送至DEX中移除流動性獲利。

本次事件是因為GenomesDAO的LPSTAKING合約可被任意重復初始化設置關鍵參數而導致合約中的抵押物被惡意耗盡。[2022/8/7 12:07:06]

關于什么是DAO颯姐團隊已經進行過系統的介紹，感興趣的伙伴們可以參考：《原創|DAO，會是未來的新型“公司”嗎？》今天我們就不再贅述。DAO作為一種近些年來剛剛出現的新型商業實體，在人員組成、運營管理、收益分配和稅收等多種層面上與現有的商業架構存在明顯的區別，因此一直以來對DAO的法律性質和監管措施都存在爭議，各國雖然已經有了許多DAO的實案例，但這些DAO在監管措施和法律性質上依然處于“舊瓶裝新酒”的狀態。這一現狀的產生，主要是因為懷俄明州在2021年發布的DAO法案中開了一個先例：將DAO與現實世界中較為相似，且已經發展成熟的LLC進行類比監管，甚至允許懷俄明州的DAO與LLC進行相互轉換。換言之，在這種監管思路下，DAO即是LLC，LLC即是DAO。說實話，面對新科技，類比舊事物進行監管是最為常見的策略，但實質上也是立法機關、監管機構一種不得已的妥協：類比監管雖然可解燃眉之急，卻漠視了新興事物自身的獨特性，不利于長遠發展。因此，經過慎重考慮和激烈的討論，猶他州在虛擬資產監管領域邁出了一大步，以實際的立法行動表達了擁抱虛擬資產的誠心：猶他州去中心化自治組織”法案簡稱“猶他州DAO法案”。這部法案的諸多內容很大程度上參考了加密社區COALA所提出的DAO示范法模板，因此，猶他州法案在關于DAO的法人資格和承擔有限責任上做出了一些非常具有“創新性”的規定。二、懷俄明州VS猶他州，DAO監管有何異同？

慢霧：跨鏈互操作協議Nomad橋攻擊事件簡析:金色財經消息，據慢霧區消息，跨鏈互操作協議Nomad橋遭受黑客攻擊，導致資金被非預期的取出。慢霧安全團隊分析如下：

1. 在Nomad的Replica合約中，用戶可以通過send函數發起跨鏈交易，并在目標鏈上通過process函數進行執行。在進行process操作時會通過acceptableRoot檢查用戶提交的消息必須屬于是可接受的根，其會在prove中被設置。因此用戶必須提交有效的消息才可進行操作。

2. 項目方在進行Replica合約部署初始化時，先將可信根設置為0，隨后又通過update函數對可信根設置為正常非0數據。Replica合約中會通過confirmAt映射保存可信根開始生效的時間以便在acceptableRoot中檢查消息根是否有效。但在update新根時卻并未將舊的根的confirmAt設置為0，這將導致雖然合約中可信根改變了但舊的根仍然在生效狀態。

3. 因此攻擊者可以直接構造任意消息，由于未經過prove因此此消息映射返回的根是0，而項目方由于在初始化時將0設置為可信根且其并未隨著可信根的修改而失效，導致了攻擊者任意構造的消息可以正常執行，從而竊取Nomad橋的資產。

綜上，本次攻擊是由于Nomad橋Replica合約在初始化時可信根被設置為0x0，且在進行可信根修改時并未將舊根失效，導致了攻擊可以構造任意消息對橋進行資金竊取。[2022/8/2 2:52:59]

懷俄明和猶他州，對于大部分不熟悉美國的伙伴們來說，存在感非常低，既沒有叫得出口的大城市也沒有享譽全球的好大學，甚至連知名的土特產都數不出來幾個。除了知名度外，懷俄明和猶他州還有非常多類似的地方：同樣的風景秀麗、礦產資源豐富，但經濟發展卻相對落后；同樣以農業和礦產加工業為主要支柱產業；同樣的土地遼闊卻人煙稀少；同樣對虛擬資產行業持積極歡迎的態度......而在DAO監管上，懷俄明和猶他州也是前后腳出臺了相關法案，關于懷俄明的答案颯姐團隊已經介紹過今天，我們在對比的基礎上，為大家講一講猶他州的創新。

安全公司：Starstream Finance被黑簡析:4月8日消息，據Agora DeFi消息，受 Starstream 的 distributor treasury 合約漏洞影響，Agora DeFi 中的價值約 820 萬美金的資產被借出。慢霧安全團隊進行分析后以簡訊的形式分享給大家。

1. 在 Starstream 的 StarstreamTreasury 合約中存在 withdrawTokens 函數，此函數只能由 owner 調用以取出合約中儲備的資金。而在 April-07-2022 11:58:24 PM +8UTC 時，StarstreamTreasury 合約的 owner 被轉移至新的 DistributorTreasury 合約(0x6f...25)。

2. 新的 DistributorTreasury 合約中存在 execute 函數，而任意用戶都可以通過此函數進行外部調用，因此攻擊者直接通過此函數調用 StarstreamTreasury 合約中的 withdrawTokens 函數取出合約中儲備的 532,571,155.859 個 STARS。

3. 攻擊者將 STARS 抵押至 Agora DeFi 中，并借出大量資金。一部分借出的資金被用于拉高市場上 STARS 的價格以便借出更多資金。[2022/4/8 14:12:38]

慢霧：Avalanche鏈上Zabu Finance被黑簡析:據慢霧區情報，9月12日，Avalanche上Zabu Finance項目遭受閃電貸攻擊，慢霧安全團隊進行分析后以簡訊的形式分享給大家參考：

1.攻擊者首先創建兩個攻擊合約，隨后通過攻擊合約1在Pangolin將WAVAX兌換成SPORE代幣，并將獲得的SPORE代幣抵押至ZABUFarm合約中，為后續獲取ZABU代幣獎勵做準備。

2.攻擊者通過攻擊合約2從Pangolin閃電貸借出SPORE代幣，隨后開始不斷的使用SPORE代幣在ZABUFarm合約中進行`抵押/提現`操作。由于SPORE代幣在轉賬過程中需要收取一定的手續費(SPORE合約收取)，而ZABUFarm合約實際接收到的SPORE代幣數量是小于攻擊者傳入的抵押數量的。分析中我們注意到ZABUFarm合約在用戶抵押時會直接記錄用戶傳入的抵押數量，而不是記錄合約實際收到的代幣數量，但ZABUFarm合約在用戶提現時允許用戶全部提取用戶抵押時合約記錄的抵押數量。這就導致了攻擊者在抵押時ZABUFarm合約實際接收到的SPORE代幣數量小于攻擊者在提現時ZABUFarm合約轉出給攻擊者的代幣數量。

3.攻擊者正是利用了ZABUFarm合約與SPORE代幣兼容性問題導致的記賬缺陷，從而不斷通過`抵押/提現`操作將ZABUFarm合約中的SPORE資金消耗至一個極低的數值。而ZABUFarm合約的抵押獎勵正是通過累積的區塊獎勵除合約中抵押的SPORE代幣總量參與計算的，因此當ZABUFarm合約中的SPORE代幣總量降低到一個極低的數值時無疑會計算出一個極大的獎勵數值。

4.攻擊者通過先前已在ZABUFarm中有進行抵押的攻擊合約1獲取了大量的ZABU代幣獎勵，隨后便對ZABU代幣進行了拋售。

此次攻擊是由于ZabuFinance的抵押模型與SPORE代幣不兼容導致的，此類問題導致的攻擊已經發生的多起，慢霧安全團隊建議：項目抵押模型在對接通縮型代幣時應記錄用戶在轉賬前后合約實際的代幣變化，而不是依賴于用戶傳入的抵押代幣數量。[2021/9/12 23:19:21]

總的來說，懷俄明州的DAO法案規定較為粗糙，且沒有針對DAO的諸多技術特征做出規定，而是簡單的以LLC作為參考進行類比監管；而猶他州的DAO法案則更為詳細，不僅嘗試性的對虛擬資產征稅這一老大難問題給出了自己的解答，甚至還對硬分叉等技術做出了規定。但是，懷俄明雖然偷懶，但其DAO法案卻比較接地氣且與現有的商業制度匹配度高，猶他州DAO法案充滿著理想主義，但實際執行效果如何，颯姐團隊卻難以預測。三、猶他州DAO法案，妥協還是寬容？

颯姐團隊認為，雖然猶他州的DAO法案為虛擬資產行業的從業者們提供了一個更新更具前瞻性的監管框架，但是同樣也存在不少現實問題有待解決。首先就是法案的可執行性。過于新穎的法人格創新和有限責任制規定在美國當前的公司法制度體系下不一定具有足夠的規范供給，執法機關也不一定具備法案所要求的監管能力。通俗講，就是猶他州DAO法案的高尚理想難以在現實世界中找到落地的支點，這是因為過于前沿的制度創新與美國現有的商業規則不匹配，從而可能破壞了一個已經形成且相對穩定的規則體系。目前這種矛盾已經逐漸產生，一方面，猶他州DAO法案關于稅收的規定與以往慣例不同且與聯邦稅收制度存在一定的出入，如何解決稅收矛盾并創建一種適用于虛擬資產和DAO組織的計稅和征稅規則是未來需要考慮的重點；另一方面，猶他州作為一個以傳統畜牧業和制造業為支柱行業的州，本身對于金融、商業監管就缺乏經驗，相關執法機關缺乏法案所要求的相關監管執法能力。其次，猶他州在參考懷俄明州DAO法案和COALA模范法后出臺的法案過于倉促，缺乏相關規范的實踐。該法案雖然在具體規定中凸顯了區塊鏈技術的特性，且對硬分叉、區塊鏈升級等方面做出了看似具有可操作性的規定，但實際是否可行還有待后續考察。當前世界各國、各地區選擇暫緩對NFT、DAO等新興事物進行立法，并不是因為缺乏相關立法經驗或技術，而是因為這些新興事物依然處于快速發展期，過于倉促的立法很可能會不當的限制了新技術的發展。因此，與其說猶他州的DAO法案是在現有制度下對加密行業的一種“寬容”，不如說是該州急迫想要通過加密行業實現振興和發展的一種“妥協”。四、寫在最后

如果一個理想化的法案不僅不能解決現實中的問題，甚至還會對金融安全和社會穩定產生消極影響，那不如回到舊瓶裝新酒的時代。但是，我們同樣非常肯定猶他州在DAO法案中對虛擬資產行業展示的善意和包容，以及讓DAO的歸DAO、LLC的歸LLC這一制度上的創新。但是，人類的商業制度和爭議解決機制已經歷了千百年的演變，形成了一套既定的規則體系，短期內想要做出改變是一件非常困難的事，在此期間，虛擬資產從業者們保持足夠的耐心和信心才是關鍵。

Tags：DAOABUSTAPORFintraDaoAbura FarmSTARKCEASports

Filecoin