DAO: разработка управления на смарт-контрактах
Протокол поднят, ликвидность есть, токен распределён. Следующий шаг — передача управления сообществу. На практике это означает: кто-то должен написать контракты, которые не позволят 5% холдеров слить казну через одно голосование, и при этом не заблокируют легитимные апгрейды на 18 месяцев. Баланс нетривиальный.
Где ломается большинство DAO
Типичный сценарий: форкают OpenZeppelin Governor, деплоят, запускают Snapshot — и получают DAO, которым на практике управляют 3 адреса. Проблема не в коде, а в токеномике и параметрах.
Quorum слишком высокий или слишком низкий. Compound установил quorum в 400 000 COMP. При низкой явке пропозалы не проходят месяцами. При низком quorum — один крупный холдер закрывает любой вопрос. Правильный quorum зависит от реального распределения токенов и среднего turnout, а не от красивой цифры.
Flash loan governance attack. Классика: атакующий берёт flash loan, получает voting power на один блок, создаёт и проводит пропозал. Защита — votingDelay минимум 1-2 блока плюс snapshot на блоке создания пропозала, а не на блоке голосования. OpenZeppelin's GovernorVotes делает snapshot корректно, но если пишешь кастомный контракт — легко промахнуться.
Timelock без executor whitelist. Если TimelockController не ограничивает список разрешённых target-контрактов, через принятый пропозал можно вызвать произвольную функцию. В 2022 году Beanstalk потерял $182M именно потому, что timelock был настроен с нулевой задержкой для экстренных пропозалов, а список target'ов не проверялся.
Архитектура on-chain управления
Стандартный стек: OpenZeppelin Governor + TimelockController + ERC-20Votes (или ERC-721Votes для NFT-based governance).
ERC-20Votes token
│
▼
GovernorBravo / OZ Governor ──→ TimelockController ──→ Treasury / Protocol
│
▼
Snapshot (off-chain signaling)
Governor отвечает за логику голосования: propose, castVote, queue, execute. Timelock добавляет задержку между принятием пропозала и его исполнением — это окно для выхода несогласных. Минимальная задержка для протоколов с TVL > $10M — 48 часов. Для крупных — 7 дней.
Delegated voting. ERC-20Votes поддерживает делегирование: холдер делегирует voting power другому адресу, сам не участвуя в голосованиях. Это критично для протоколов с большим количеством пассивных держателей. Без делегирования quorum физически недостижим.
Snapshot + on-chain: гибридная модель
Полностью on-chain голосования стоят газа. Для протоколов с активным комьюнити это означает либо высокий барьер участия, либо L2. Гибридная модель: Snapshot для сигнального голосования (off-chain, gasless через EIP-712 подписи), on-chain только для исполнения.
Механика: пропозал создаётся на Snapshot, голосование проходит off-chain. Если принят — мультисиг исполняет on-chain транзакцию. Это вводит доверие к мультисигу, что противоречит идее DAO. Более продвинутый вариант — SafeSnap (Zodiac module от Gnosis): Snapshot-результат верифицируется через Reality.eth (optimistic oracle) и автоматически исполняется через Safe без доверенной стороны.
Multi-sig: Gnosis Safe как операционный слой
Большинство DAO используют Gnosis Safe (теперь просто Safe) для казны. Стандартная конфигурация: M-of-N, где N — 7-9 подписантов из разных временных зон, M — 4-5. Меньше — небезопасно. Больше — операционный ад при срочных транзакциях.
Safe поддерживает модули: Zodiac, Delay, Roles. Через Roles модуль можно дать конкретному адресу право вызывать только определённые функции казны — например, только transfer до определённой суммы, без права на delegatecall.
Важно: Safe мультисиг и Governor — разные уровни. Governor управляет протоколом (апгрейды, параметры). Safe управляет казной (выплаты, гранты). Смешивать их в один контракт — ошибка архитектуры.
Governor Extensions: что нужно почти всегда
| Расширение | Для чего | Примечание |
|---|---|---|
GovernorTimelockControl |
Задержка исполнения | Обязательно при TVL > $1M |
GovernorVotesQuorumFraction |
Динамический quorum | Лучше фиксированного числа |
GovernorPreventLateQuorum |
Защита от last-minute votes | EIP-4824 рекомендует |
GovernorSettings |
On-chain изменение параметров | Без него — только апгрейд |
GovernorPreventLateQuorum продлевает voting period, если quorum достигнут в последние блоки. Без этого расширения крупный холдер может дождаться окончания периода и одним голосом изменить исход.
Процесс разработки и аудит параметров
Работа начинается не с кода, а с токеномики: текущее распределение токенов, реальный turnout аналогичных протоколов, список операций, которые должны требовать governance, и которые — нет.
После параметризации: реализация Governor на основе OZ с кастомными расширениями, интеграция с существующим токеном (или деплой нового с ERC-20Votes), конфигурация Safe мультисига, настройка Snapshot space с правильной стратегией (часто erc20-balance-of недостаточно — нужна delegation стратегия).
Тестирование включает симуляцию governance attacks: flash loan quorum, proposal spam, malicious executor. Foundry позволяет fork mainnet и прогнать атаки против реального состояния контрактов.
Деплой Governor без аудита параметров — стандартная ошибка. Аудиторы смотрят код. Но никто не проверит, что quorum в 10% от totalSupply недостижим при текущем locked/circulating ratio.
Сроки
Базовая DAO-система (Governor + Timelock + Safe + Snapshot) — от 3 до 6 недель. С кастомными модулями Zodiac, нестандартной стратегией голосования, интеграцией с существующим протоколом — от 6 до 12 недель. Аудит занимает отдельно 2-4 недели.