目前情况是这样。dao.ckb.community在使用 Metaforo 平台进行社区治理投票时有一个严重的漏洞。该漏洞允许用户通过重复绑定同一个 NervosDAO 地址到不同的 Metaforo 账户,在同个投票中进行多次投票,即“权重多花”,这严重破坏了投票的公正性。
1. 漏洞描述与复现过程
在投票期间,持有 CKB 锁仓(NervosDAO)地址的用户,可以利用以下步骤重复投票:
账号 A 绑定一个 CKB 地址(例如:addr_1)。账号 A 使用 addr_1 的权重完成投票。
账号 A 在个人设置中解除对 addr_1 的绑定。
账号 B 登录,并绑定同一个 CKB 地址 addr_1。
账号 B 现在可以用 addr_1 的权重再次在同一个投票中投票。
为掩盖这种异常行为,作弊者甚至可能通过增加绑定小额、随机的锁仓来微调投票权重,让每次投票看起来都像是来自不同地址的正常投票,从而逃避社区的监督。
这个过程可以无限重复,导致同一份投票权重被多次计算。我们已经在一个测试投票中完整复现了这个过程:https://metaforo.io/g/ckbfans/thread/64376 。如下图所示,两个不同的账号(David19 和 Allen15)成功使用同一个 CKB 地址投出了两份票,这个CKB地址是:ckb1qzda0cr08m85hc8jlnfp3zer7xulejywt49kt2rr0vthywaa50xwsqfmt46vs7lv5qlju5m9v75gyawn98hdqfstg2vku,里面只锁定了10000CKB,但最终结果产生了20000票的权重。

1 Like