簡析美兩州監管法案異同：DAO監管拐點出現？_RIM

2023年2月，猶他州發布了最新DAO監管法案，與2021懷俄明州DAO法案相比，新法在法人資格和有限責任方面更進一步，主要看點如下：猶他州DAO法案亮點概覽

1.法案賦予了DAO一種獨有的、新型的法律認可形式。猶他州決定不采取懷俄明州“舊瓶裝新酒”的監管思路套用有限責任公司模式對DAO進行監管，而是將DAO和LLC做明確區分，以具有開創性的立法思路為DAO單獨創造了一種新型法人實體；2.法案明確DAO組織為有限責任制，解決了在2022年美國商品期貨交易委員會訴bZxDAO案中關于DAO成員是否需以個人資產對外承擔無限連帶責任的爭議；3.建立了DAO的稅收制度；4.明確DAO參與者沒有隱含的信托責任，除非已明確聲明這些義務適用于參與者；5.保護DAO參與者的匿名性；6.納入“技術把關”措施以確保DAO實質上是一個DAO。一、猶他州DAO法案概述

LendHub被黑簡析：系LendHub中存在新舊兩市場:金色財經報道，據慢霧安全區情報，2023 年 1 月 13 日，HECO 生態跨鏈借貸平臺 LendHub 被攻擊損失近 600 萬美金。慢霧安全團隊以簡訊的形式分享如下：

此次攻擊原因系 LendHub 中存在兩個 lBSV cToken，其一已在 2021 年 4 月被廢棄但并未從市場中移除，這導致了新舊兩個 lBSV 都存在市場中。且新舊兩個 lBSV 所對應的 Comptroller 并不相同但卻都在市場中有價格，這造成新舊市場負債計算割裂。攻擊者利用此問題在舊的市場進行抵押贖回，在新的市場進行借貸操作，惡意套取了新市場中的協議資金。

目前主要黑客獲利地址為 0x9d01..ab03，黑客攻擊手續費來源為 1 月 12 日從 Tornado.Cash 接收的 100 ETH。截至此時，黑客已分 11 筆共轉 1,100 ETH 到 Tornado.Cash。通過威脅情報網絡，已經得到黑客的部分痕跡，慢霧安全團隊將持續跟進分析。[2023/1/13 11:11:00]

關于什么是DAO颯姐團隊已經進行過系統的介紹，感興趣的伙伴們可以參考：《原創|DAO，會是未來的新型“公司”嗎？》今天我們就不再贅述。DAO作為一種近些年來剛剛出現的新型商業實體，在人員組成、運營管理、收益分配和稅收等多種層面上與現有的商業架構存在明顯的區別，因此一直以來對DAO的法律性質和監管措施都存在爭議，各國雖然已經有了許多DAO的實案例，但這些DAO在監管措施和法律性質上依然處于“舊瓶裝新酒”的狀態。這一現狀的產生，主要是因為懷俄明州在2021年發布的DAO法案中開了一個先例：將DAO與現實世界中較為相似，且已經發展成熟的LLC進行類比監管，甚至允許懷俄明州的DAO與LLC進行相互轉換。換言之，在這種監管思路下，DAO即是LLC，LLC即是DAO。說實話，面對新科技，類比舊事物進行監管是最為常見的策略，但實質上也是立法機關、監管機構一種不得已的妥協：類比監管雖然可解燃眉之急，卻漠視了新興事物自身的獨特性，不利于長遠發展。因此，經過慎重考慮和激烈的討論，猶他州在虛擬資產監管領域邁出了一大步，以實際的立法行動表達了擁抱虛擬資產的誠心：猶他州去中心化自治組織”法案簡稱“猶他州DAO法案”。這部法案的諸多內容很大程度上參考了加密社區COALA所提出的DAO示范法模板，因此，猶他州法案在關于DAO的法人資格和承擔有限責任上做出了一些非常具有“創新性”的規定。二、懷俄明州VS猶他州，DAO監管有何異同？

慢霧：Harmony Horizon bridge遭攻擊簡析:據慢霧安全團隊消息，Harmony Horizon bridge 遭到黑客攻擊。經慢霧 MistTrack 分析，攻擊者（0x0d0...D00）獲利超 1 億美元，包括 11 種 ERC20 代幣、13,100 ETH、5,000 BNB 以及 640,000 BUSD，在以太坊鏈攻擊者將大部分代幣轉移到兩個新錢包地址，并將代幣兌換為 ETH，接著將 ETH 均轉回初始地址（0x0d0...D00），目前地址（0x0d0...D00）約 85,837 ETH 暫無轉移，同時，攻擊者在 BNB 鏈暫無資金轉移操作。慢霧 MistTrack 將持續監控被盜資金的轉移。[2022/6/24 1:28:30]

懷俄明和猶他州，對于大部分不熟悉美國的伙伴們來說，存在感非常低，既沒有叫得出口的大城市也沒有享譽全球的好大學，甚至連知名的土特產都數不出來幾個。除了知名度外，懷俄明和猶他州還有非常多類似的地方：同樣的風景秀麗、礦產資源豐富，但經濟發展卻相對落后；同樣以農業和礦產加工業為主要支柱產業；同樣的土地遼闊卻人煙稀少；同樣對虛擬資產行業持積極歡迎的態度......而在DAO監管上，懷俄明和猶他州也是前后腳出臺了相關法案，關于懷俄明的答案颯姐團隊已經介紹過今天，我們在對比的基礎上，為大家講一講猶他州的創新。

安全公司：Starstream Finance被黑簡析:4月8日消息，據Agora DeFi消息，受 Starstream 的 distributor treasury 合約漏洞影響，Agora DeFi 中的價值約 820 萬美金的資產被借出。慢霧安全團隊進行分析后以簡訊的形式分享給大家。

1. 在 Starstream 的 StarstreamTreasury 合約中存在 withdrawTokens 函數，此函數只能由 owner 調用以取出合約中儲備的資金。而在 April-07-2022 11:58:24 PM +8UTC 時，StarstreamTreasury 合約的 owner 被轉移至新的 DistributorTreasury 合約(0x6f...25)。

2. 新的 DistributorTreasury 合約中存在 execute 函數，而任意用戶都可以通過此函數進行外部調用，因此攻擊者直接通過此函數調用 StarstreamTreasury 合約中的 withdrawTokens 函數取出合約中儲備的 532,571,155.859 個 STARS。

3. 攻擊者將 STARS 抵押至 Agora DeFi 中，并借出大量資金。一部分借出的資金被用于拉高市場上 STARS 的價格以便借出更多資金。[2022/4/8 14:12:38]

Grim Finance 被黑簡析：攻擊者通過閃電貸借出 WFTM 與 BTC 代幣:據慢霧區情報，2021 年 12 月 19 日，Fantom 鏈上 Grim Finance 項目遭受攻擊。慢霧安全團隊進行分析后以簡訊的形式分享給大家。

1. 攻擊者通過閃電貸借出 WFTM 與 BTC 代幣，并在 SpiritSwap 中添加流動性獲得 SPIRIT-LP 流動性憑證。

2. 隨后攻擊者通過 Grim Finance 的 GrimBoostVault 合約中的 depositFor 函數進行流動性抵押操作，而 depositFor 允許用戶指定轉入的 token 并通過 safeTransferFrom 將用戶指定的代幣轉入 GrimBoostVault 中，depositFor 會根據用戶轉賬前后本合約與策略池預期接收代幣(預期接收 want 代幣，本次攻擊中應為 SPIRIT-LP)的差值為用戶鑄造抵押憑證。

3. 但由于 depositFor 函數并未檢查用戶指定轉入的 token 的合法性，攻擊者在調用 depositFor 函數時傳入了由攻擊者惡意創建的代幣合約地址。當 GrimBoostVault 通過 safeTransferFrom 函數調用惡意合約的 transferFrom 函數時，惡意合約再次重入調用了 depositFor 函數。攻擊者進行了多次重入并在最后一次轉入真正的 SPIRIT-LP 流動性憑證進行抵押，此操作確保了在重入前后 GrimBoostVault 預期接收代幣的差值存在。隨后 depositFor 函數根據此差值計算并為攻擊者鑄造對應的抵押憑證。

4. 由于攻擊者對 GrimBoostVault 合約重入了多次，因此 GrimBoostVault 合約為攻擊者鑄造了遠多于預期的抵押憑證。攻擊者使用此憑證在 GrimBoostVault 合約中取出了遠多于之前抵押的 SPIRIT-LP 流動性憑證。隨后攻擊者使用此 SPIRIT-LP 流動性憑證移除流動性獲得 WFTM 與 BTC 代幣并歸還閃電貸完成獲利。

此次攻擊是由于 GrimBoostVault 合約的 depositFor 函數未對用戶傳入的 token 的合法性進行檢查且無防重入鎖，導致惡意用戶可以傳入惡意代幣地址對 depositFor 進行重入獲得遠多于預期的抵押憑證。慢霧安全團隊建議：對于用戶傳入的參數應檢查其是否符合預期，對于函數中的外部調用應控制好外部調用帶來的重入攻擊等風險。[2021/12/19 7:49:04]

總的來說，懷俄明州的DAO法案規定較為粗糙，且沒有針對DAO的諸多技術特征做出規定，而是簡單的以LLC作為參考進行類比監管；而猶他州的DAO法案則更為詳細，不僅嘗試性的對虛擬資產征稅這一老大難問題給出了自己的解答，甚至還對硬分叉等技術做出了規定。但是，懷俄明雖然偷懶，但其DAO法案卻比較接地氣且與現有的商業制度匹配度高，猶他州DAO法案充滿著理想主義，但實際執行效果如何，颯姐團隊卻難以預測。三、猶他州DAO法案，妥協還是寬容？

颯姐團隊認為，雖然猶他州的DAO法案為虛擬資產行業的從業者們提供了一個更新更具前瞻性的監管框架，但是同樣也存在不少現實問題有待解決。首先就是法案的可執行性。過于新穎的法人格創新和有限責任制規定在美國當前的公司法制度體系下不一定具有足夠的規范供給，執法機關也不一定具備法案所要求的監管能力。通俗講，就是猶他州DAO法案的高尚理想難以在現實世界中找到落地的支點，這是因為過于前沿的制度創新與美國現有的商業規則不匹配，從而可能破壞了一個已經形成且相對穩定的規則體系。目前這種矛盾已經逐漸產生，一方面，猶他州DAO法案關于稅收的規定與以往慣例不同且與聯邦稅收制度存在一定的出入，如何解決稅收矛盾并創建一種適用于虛擬資產和DAO組織的計稅和征稅規則是未來需要考慮的重點；另一方面，猶他州作為一個以傳統畜牧業和制造業為支柱行業的州，本身對于金融、商業監管就缺乏經驗，相關執法機關缺乏法案所要求的相關監管執法能力。其次，猶他州在參考懷俄明州DAO法案和COALA模范法后出臺的法案過于倉促，缺乏相關規范的實踐。該法案雖然在具體規定中凸顯了區塊鏈技術的特性，且對硬分叉、區塊鏈升級等方面做出了看似具有可操作性的規定，但實際是否可行還有待后續考察。當前世界各國、各地區選擇暫緩對NFT、DAO等新興事物進行立法，并不是因為缺乏相關立法經驗或技術，而是因為這些新興事物依然處于快速發展期，過于倉促的立法很可能會不當的限制了新技術的發展。因此，與其說猶他州的DAO法案是在現有制度下對加密行業的一種“寬容”，不如說是該州急迫想要通過加密行業實現振興和發展的一種“妥協”。四、寫在最后

如果一個理想化的法案不僅不能解決現實中的問題，甚至還會對金融安全和社會穩定產生消極影響，那不如回到舊瓶裝新酒的時代。但是，我們同樣非常肯定猶他州在DAO法案中對虛擬資產行業展示的善意和包容，以及讓DAO的歸DAO、LLC的歸LLC這一制度上的創新。但是，人類的商業制度和爭議解決機制已經歷了千百年的演變，形成了一套既定的規則體系，短期內想要做出改變是一件非常困難的事，在此期間，虛擬資產從業者們保持足夠的耐心和信心才是關鍵。

Tags：DAOREARIMGRIMSDAO價格The Reaper CoinRimsofLegendGRIM幣

酷幣交易所