[1IP-80] 前端漏洞用户补偿(重新执行)
摘要
AI 生成本提案请求DAO授权从金库转移约76.8万USDC至1inch基金会,用于补偿在2024年10月30日因供应链攻击(Lottie Player库漏洞)而遭受损失的用户。基金会将负责受害者验证、KYC合规及资金分发,并承诺追回的资金将返还DAO。此举旨在维护用户信任并履行DAO对社区保护的承诺。
注:摘要由 AI 自动生成,可能与正文存在差异,仅供参考。
提案内容
AI 翻译注意: 初始提案缺少必要的链上交易载荷。详细说明见此。
提案方: 1inch基金会
摘要
授权从DAO金库向指定的1inch基金会地址转移768,026 USDC,用于补偿在10月30日供应链攻击中受影响的已验证用户。
概述
2024年10月30日晚上9:12至11:22(�中欧时间),1inch dApp因针对Lottie Player库的供应链攻击而遭到入侵。此次安全漏洞使攻击者得以用恶意代码替换聚合功能,导致用户损失了价值约768,026美元的代币。本提案授权DAO通过1inch基金会的分发基础设施对受影响用户进行补偿。
动机
DAO指南明确赋予DAO评估和执行战略决策的职责,以确保1inch网络及其界面的安全。第4.3.2节授予DAO指导基金会实施保障网络利益行动的权力。
全面的补偿有助于维持用户信任,展示生态系统的韧性,并符合DAO对社区保护的承诺。基金会既有的合规框架为补偿用户提供了有效渠道,同时满足了监管要求。
具体方案
补偿方案包括从DAO金库向基金会地址 0x7D2aAE4F4A474e6c040f2E6678B9Ef1FA628C316 单笔转移768,026 USDC。此金额代表漏洞利用发生时受影响代币的美元价值。
基金会将管理补偿流程的所有方面:
-
受害者验证要求:
- 可验证的资金损失证明(交易哈希)
- 提交执法部门报告
- 完成KYC合规程序
- 签署补偿协议
-
补偿条款:
- 按事件发生时的美元等值价值计算
- �受害者放弃通过执法部门追回的任何资金的索赔权
- 任何追回的资金将返还给DAO
理由
正在进行的刑事调查涉及皇家开曼群岛警察局、区块链调查机构(ZeroShadow、TRM Labs),并可能与Token Recover和Crystal Intelligence合作。利用基金会既有的法律和合规基础设施,可以创建最高效的执行框架,同时保持必要的保障措施。
考量因素
安全性
此次漏洞利用源于对第三方UI库的自动更新,该更新引入了一个危及界面前端安全的漏洞。基金会已实施增强的依赖管理程序,以防止类似事件发生。
实施
提案批准后,资金将转移至基金会,基金会将负责所有合规程序、受害者验证和分发工作。基金会承诺提供定期状态更新和最终补偿报告。
如果通过执法部门、交易所或其他方式追回任何被盗资金,基金会将把这些资金返还给DAO金库,以维护补偿过程的完整性。