DAO:簡析美兩州監管法案異同：DAO監管拐點出現？

2023年2月，猶他州發布了最新DAO監管法案，與2021懷俄明州DAO法案相比，新法在法人資格和有限責任方面更進一步，主要看點如下：猶他州DAO法案亮點概覽

1.法案賦予了DAO一種獨有的、新型的法律認可形式。猶他州決定不采取懷俄明州“舊瓶裝新酒”的監管思路套用有限責任公司模式對DAO進行監管，而是將DAO和LLC做明確區分，以具有開創性的立法思路為DAO單獨創造了一種新型法人實體；2.法案明確DAO組織為有限責任制，解決了在2022年美國商品期貨交易委員會訴bZxDAO案中關于DAO成員是否需以個人資產對外承擔無限連帶責任的爭議；3.建立了DAO的稅收制度；4.明確DAO參與者沒有隱含的信托責任，除非已明確聲明這些義務適用于參與者；5.保護DAO參與者的匿名性；6.納入“技術把關”措施以確保DAO實質上是一個DAO。一、猶他州DAO法案概述

Beosin：Skyward Finance項目遭受攻擊事件簡析:金色財經報道，根據區塊鏈安全審計公司Beosin旗下Beosin EagleEye 安全風險監控、預警與阻斷平臺監測顯示，Near鏈上的Skyward Finance項目遭受漏洞攻擊，Beosin分析發現由于skyward.near合約的redeem_skyward函數沒有正確校驗token_account_ids參數，導致攻擊者5ebc5ecca14a44175464d0e6a7d3b2a6890229cd5f19cfb29ce8b1651fd58d39傳入相同的token_account_id，并多次領取了WNear獎勵。本次攻擊導致項目損失了約108萬個Near，約320萬美元。Beosin Trace追蹤發現被盜金額已被攻擊者轉走。[2022/11/3 12:12:36]

關于什么是DAO颯姐團隊已經進行過系統的介紹，感興趣的伙伴們可以參考：《原創|DAO，會是未來的新型“公司”嗎？》今天我們就不再贅述。DAO作為一種近些年來剛剛出現的新型商業實體，在人員組成、運營管理、收益分配和稅收等多種層面上與現有的商業架構存在明顯的區別，因此一直以來對DAO的法律性質和監管措施都存在爭議，各國雖然已經有了許多DAO的實案例，但這些DAO在監管措施和法律性質上依然處于“舊瓶裝新酒”的狀態。這一現狀的產生，主要是因為懷俄明州在2021年發布的DAO法案中開了一個先例：將DAO與現實世界中較為相似，且已經發展成熟的LLC進行類比監管，甚至允許懷俄明州的DAO與LLC進行相互轉換。換言之，在這種監管思路下，DAO即是LLC，LLC即是DAO。說實話，面對新科技，類比舊事物進行監管是最為常見的策略，但實質上也是立法機關、監管機構一種不得已的妥協：類比監管雖然可解燃眉之急，卻漠視了新興事物自身的獨特性，不利于長遠發展。因此，經過慎重考慮和激烈的討論，猶他州在虛擬資產監管領域邁出了一大步，以實際的立法行動表達了擁抱虛擬資產的誠心：猶他州去中心化自治組織”法案簡稱“猶他州DAO法案”。這部法案的諸多內容很大程度上參考了加密社區COALA所提出的DAO示范法模板，因此，猶他州法案在關于DAO的法人資格和承擔有限責任上做出了一些非常具有“創新性”的規定。二、懷俄明州VS猶他州，DAO監管有何異同？

Beosin：UVT項目被黑客攻擊事件簡析，被盜資金已全部轉入Tornado Cash:金色財經報道，據Beosin EagleEye 安全預警與監控平臺檢測顯示，UVT項目被黑客攻擊，涉及金額為150萬美元。攻擊交易為0x54121ed538f27ffee2dbb232f9d9be33e39fdaf34adf993e5e019c00f6afd499

經Beosin安全團隊分析，發現攻擊者首先利用開發者部署的另一個合約的具有Controller權限的0xc81daf6e方法，該方法會調用被攻擊合約的0x7e39d2f8方法，因為合約具有Controller權限，所以通過驗證直接轉走了被攻擊合約的所有UVT代幣，Beosin安全團隊通過Beosin Trace進行追蹤，發現被盜資金已全部轉入Tornado Cash。[2022/10/27 11:48:46]

懷俄明和猶他州，對于大部分不熟悉美國的伙伴們來說，存在感非常低，既沒有叫得出口的大城市也沒有享譽全球的好大學，甚至連知名的土特產都數不出來幾個。除了知名度外，懷俄明和猶他州還有非常多類似的地方：同樣的風景秀麗、礦產資源豐富，但經濟發展卻相對落后；同樣以農業和礦產加工業為主要支柱產業；同樣的土地遼闊卻人煙稀少；同樣對虛擬資產行業持積極歡迎的態度......而在DAO監管上，懷俄明和猶他州也是前后腳出臺了相關法案，關于懷俄明的答案颯姐團隊已經介紹過今天，我們在對比的基礎上，為大家講一講猶他州的創新。

慢霧：Avalanche鏈上Zabu Finance被黑簡析:據慢霧區情報，9月12日，Avalanche上Zabu Finance項目遭受閃電貸攻擊，慢霧安全團隊進行分析后以簡訊的形式分享給大家參考：

1.攻擊者首先創建兩個攻擊合約，隨后通過攻擊合約1在Pangolin將WAVAX兌換成SPORE代幣，并將獲得的SPORE代幣抵押至ZABUFarm合約中，為后續獲取ZABU代幣獎勵做準備。

2.攻擊者通過攻擊合約2從Pangolin閃電貸借出SPORE代幣，隨后開始不斷的使用SPORE代幣在ZABUFarm合約中進行`抵押/提現`操作。由于SPORE代幣在轉賬過程中需要收取一定的手續費(SPORE合約收取)，而ZABUFarm合約實際接收到的SPORE代幣數量是小于攻擊者傳入的抵押數量的。分析中我們注意到ZABUFarm合約在用戶抵押時會直接記錄用戶傳入的抵押數量，而不是記錄合約實際收到的代幣數量，但ZABUFarm合約在用戶提現時允許用戶全部提取用戶抵押時合約記錄的抵押數量。這就導致了攻擊者在抵押時ZABUFarm合約實際接收到的SPORE代幣數量小于攻擊者在提現時ZABUFarm合約轉出給攻擊者的代幣數量。

3.攻擊者正是利用了ZABUFarm合約與SPORE代幣兼容性問題導致的記賬缺陷，從而不斷通過`抵押/提現`操作將ZABUFarm合約中的SPORE資金消耗至一個極低的數值。而ZABUFarm合約的抵押獎勵正是通過累積的區塊獎勵除合約中抵押的SPORE代幣總量參與計算的，因此當ZABUFarm合約中的SPORE代幣總量降低到一個極低的數值時無疑會計算出一個極大的獎勵數值。

4.攻擊者通過先前已在ZABUFarm中有進行抵押的攻擊合約1獲取了大量的ZABU代幣獎勵，隨后便對ZABU代幣進行了拋售。

此次攻擊是由于ZabuFinance的抵押模型與SPORE代幣不兼容導致的，此類問題導致的攻擊已經發生的多起，慢霧安全團隊建議：項目抵押模型在對接通縮型代幣時應記錄用戶在轉賬前后合約實際的代幣變化，而不是依賴于用戶傳入的抵押代幣數量。[2021/9/12 23:19:21]

Harvest.Finance被黑事件簡析:10月26號，據慢霧區消息 Harvest Finance 項目遭受閃電貸攻擊，損失超過 400 萬美元。以下為慢霧安全團隊對此事件的簡要分析。

1. 攻擊者通過 Tornado.cash 轉入 20ETH 作為后續攻擊手續費；

2. 攻擊者通過 UniswapV2 閃電貸借出巨額 USDC 與 USDT；

3. 攻擊者先通過 Curve 的 exchange_underlying 函數將 USDT 換成 USDC，此時 Curve yUSDC 池中的 investedUnderlyingBalance 將相對應的變小；

4. 隨后攻擊者通過 Harvest 的 deposit 將巨額 USDC 充值進 Vault 中，充值的同時 Harvest 的 Vault 將鑄出 fUSDC，而鑄出的數量計算方式如下：

amount.mul(totalSupply()).div(underlyingBalanceWithInvestment());

計算方式中的 underlyingBalanceWithInvestment 一部分取的是 Curve 中的 investedUnderlyingBalance 值，由于 Curve 中 investedUnderlyingBalance 的變化將導致 Vault 鑄出更多的 fUSDC；

5. 之后再通過 Curve 把 USDC 換成 USDT 將失衡的價格拉回正常；

6. 最后只需要把 fUSDC 歸還給 Vault 即可獲得比充值時更多的 USDC；

7. 隨后攻擊者開始重復此過程持續獲利；

其他攻擊流程與上訴分析過程類似。參考交易哈希：0x35f8d2f572fceaac9288e5d462117850ef2694786992a8c3f6d02612277b0877。

此次攻擊主要是 Harvest Finance 的 fToken(fUSDC、fUSDT...) 在鑄幣時采用的是 Curve y池中的報價(即使用 Curve 作為喂價來源)，導致攻擊者可以通過巨額兌換操控預言機的價格來控制 Harvest Finance 中 fToken 的鑄幣數量，從而使攻擊者有利可圖。[2020/10/26]

總的來說，懷俄明州的DAO法案規定較為粗糙，且沒有針對DAO的諸多技術特征做出規定，而是簡單的以LLC作為參考進行類比監管；而猶他州的DAO法案則更為詳細，不僅嘗試性的對虛擬資產征稅這一老大難問題給出了自己的解答，甚至還對硬分叉等技術做出了規定。但是，懷俄明雖然偷懶，但其DAO法案卻比較接地氣且與現有的商業制度匹配度高，猶他州DAO法案充滿著理想主義，但實際執行效果如何，颯姐團隊卻難以預測。三、猶他州DAO法案，妥協還是寬容？

颯姐團隊認為，雖然猶他州的DAO法案為虛擬資產行業的從業者們提供了一個更新更具前瞻性的監管框架，但是同樣也存在不少現實問題有待解決。首先就是法案的可執行性。過于新穎的法人格創新和有限責任制規定在美國當前的公司法制度體系下不一定具有足夠的規范供給，執法機關也不一定具備法案所要求的監管能力。通俗講，就是猶他州DAO法案的高尚理想難以在現實世界中找到落地的支點，這是因為過于前沿的制度創新與美國現有的商業規則不匹配，從而可能破壞了一個已經形成且相對穩定的規則體系。目前這種矛盾已經逐漸產生，一方面，猶他州DAO法案關于稅收的規定與以往慣例不同且與聯邦稅收制度存在一定的出入，如何解決稅收矛盾并創建一種適用于虛擬資產和DAO組織的計稅和征稅規則是未來需要考慮的重點；另一方面，猶他州作為一個以傳統畜牧業和制造業為支柱行業的州，本身對于金融、商業監管就缺乏經驗，相關執法機關缺乏法案所要求的相關監管執法能力。其次，猶他州在參考懷俄明州DAO法案和COALA模范法后出臺的法案過于倉促，缺乏相關規范的實踐。該法案雖然在具體規定中凸顯了區塊鏈技術的特性，且對硬分叉、區塊鏈升級等方面做出了看似具有可操作性的規定，但實際是否可行還有待后續考察。當前世界各國、各地區選擇暫緩對NFT、DAO等新興事物進行立法，并不是因為缺乏相關立法經驗或技術，而是因為這些新興事物依然處于快速發展期，過于倉促的立法很可能會不當的限制了新技術的發展。因此，與其說猶他州的DAO法案是在現有制度下對加密行業的一種“寬容”，不如說是該州急迫想要通過加密行業實現振興和發展的一種“妥協”。四、寫在最后

如果一個理想化的法案不僅不能解決現實中的問題，甚至還會對金融安全和社會穩定產生消極影響，那不如回到舊瓶裝新酒的時代。但是，我們同樣非常肯定猶他州在DAO法案中對虛擬資產行業展示的善意和包容，以及讓DAO的歸DAO、LLC的歸LLC這一制度上的創新。但是，人類的商業制度和爭議解決機制已經歷了千百年的演變，形成了一套既定的規則體系，短期內想要做出改變是一件非常困難的事，在此期間，虛擬資產從業者們保持足夠的耐心和信心才是關鍵。

Tags：DAOABUANCUSDunitteddaoABUSDWhirl FinanceUSDSP

FIL