[1IP-80] 前端漏洞用户补偿
摘要
AI 生成本提案授权从 DAO 金库转移约 76.8 万美元 USDC 至 1inch 基金会,用于赔偿在 2024 年 10 月 30 日供应链攻击中受影响的用户。基金会将负责验证受害者身份、处理合规流程并进行分发,以维护用户信任和生态系统韧性。
注:摘要由 AI 自动生成,可能与正文存在差异,仅供参考。
提案内容
AI 翻译简要概述
授权从 DAO 金库向指定的 1inch 基金会地址转移 768,026 美元 USDC,用于赔偿受 10 月 30 日供应链攻击影响的已验证用户。
摘要
2024 年 10 月 30 日,中欧时间晚上 9:12 至 11:22 之间,1inch dApp 因针对 Lottie Player 库的供应链攻击而遭到入侵。此次安全漏洞使攻击者能够用恶意代码替换聚合功能,导致用户代币损失约 768,026 美元。本提案授权 DAO 通过 1inch 基金会的分发基础设施对受影响用户进行赔偿。
动机
DAO 指南明确赋予 DAO 评估和管理战略决策的职责,以确保 1inch 网络及其界面的安全。第 4.3.2 节授予 DAO 指导基金会实施保障网络利益操作的权力。
全面的赔偿有助于维持用户信任,展示生态系统的韧性,并符合 DAO 对社区保护的承诺。基金会既有的合规框架为向用户提供补偿提供了有效渠道,同时满足了监管要求。
具体说明
赔偿包括从 DAO 金库向基金会地址 0x7D2aAE4F4A474e6c040f2E6678B9Ef1FA628C316 单笔转移 768,026 美元 USDC。此金额代表漏洞利用时受影响代币的美元价值。
基金会将管理补偿流程的所有方面:
-
受害者验证要求:
- 资金损失的可验证证明(交易哈希)
- 提交执法报告
- 完成 KYC 合规程序
- 签署补偿协议
-
补偿条款:
- 事件发生时的美元等值价值
- 受害者放弃通过执法部门追回的任何资金的权利
- 任何追回的资金将返还给 DAO
理由
正在进行的刑事调查涉及皇家开曼群岛警察局、区块链调查机构(ZeroShadow、TRM Labs),并可能与 Token Recover 和 Crystal Intelligence 合作。利用基金会既有的法律和合规基础设施,可以创建最高效的执行框架,同时保持必要的保障措施。
考量因素
安全性
此次漏洞利用源于对第三方 UI 库的自动更新,该更新引入了一个危及界面前端的漏洞。基金会已实施增强的依赖管理程序,以防止类似事件发生。
实施
提案批准后,��资金将转移至基金会,基金会将负责所有合规程序、受害者验证和分发工作。基金会承诺提供定期状态更新和最终补偿报告。
如果通过执法部门、交易所或其他方式追回任何被盗资金,基金会将把这些资金返还给 DAO 金库,以维护补偿过程的完整性。