写在前面
写这篇文章是因为我觉得 Web3 也好还是加密行业也好,目前还是缺少一些反馈机制。我希望写下来的这篇东西可以引起部分人的思考,或许大家有类似的想法,但只是没有沟通的机会。对于文章涉及的组织,我并没有恶意抹黑的意思,仅做记录和陈述。
被黑确实会让心情很复杂,也确实会有丢人的感觉。但你需要明白被黑是 100% 普适现象,绝无例外。没必要五十步笑百步,也没必要觉得丢人就逃避遮掩。
被黑后,如果你仅仅需要对自己负责,那随意;如果你需要对一些人、不少人负责的话,一个透明开放的被黑处理态度及负责任做法就非常之关键了。虽然可能会引来嘲讽、质疑、甚至动辄说你在自导自演这起黑客事件。
一个透明开放且不断更新的被黑处理进度,再加上痛定思痛的引以为戒,你总会引来好运。你也可以这样认为:你的项目如果连知名度都没,谁去黑你?丢人的不是被黑,丢人的是:傲慢。
虽说被黑是 100% 普适现象,因为大量是小坑,踩踩小坑,加速成长,大坑还是得尽量避之。
——余弦
摘要
DAO 由于缺乏中心化领导,在紧急情况下响应不够迅速。
本人于某天发现自己资产因为某 DAO 官方链接被黑而被盗,向该 DAO 成员反馈该问题,但处理进度迟缓。后得知其实在本人之前就有人已经因为该链接资产被盗,也与该 DAO 成员反馈过,但相关原因当时并未得到重视和追查,导致后续依旧有人因此遭受损失。但其实,如果响应迅速(哪怕及时发个通告警示)的话,后面的损失一定程度可以避免。
通常意义上,目前对于危机公关处理的时间有好几个说法,有黄金四小时、八小时、24小时、72小时。但综合来看,最多不会超过 72小时,也就是三天的时间。假设一件突发事件在三天之内,品牌方对外没有一个明确的说话,往往会造成谣言愈演愈烈,伤害其在大众心里的公信力和品牌形象。
短期来看或许不致命,但它带来的是长期且综合性的影响,一旦之后相关事件再次出现,且品牌方依旧没有良好的应对方式,那么玩完是迟早的事,比如 Arthur Andersen,曾经是一家曾经享有盛誉的会计和咨询公司,作为 Enron 的审计师,在 Enron 的财务舞弊丑闻中扮演了关键角色。他们被指控帮助 Enron 掩盖财务问题,并销毁相关文件。在 Enron 丑闻爆发后,Arthur Andersen 未能有效地处理危机,未能及时公开透明地处理其在丑闻中的角色,并未能采取足够的措施恢复其专业声誉。随着调查的深入,Arthur Andersen 的声誉持续受损,客户和员工纷纷离去。其危机公关的失败进一步加剧了公司的衰败。最终,2002年,Arthur Andersen 因妨碍司法公正被判有罪,这导致其失去了审计许可,事实上标志着其作为一个独立实体的结束。虽然后来这个判决被推翻,但公司已无法恢复。
有效的危机公关对于传统的公司是重要,那么对于 DAO 呢?
要思考这个问题,首先要想想为什么传统的公司要重视危机公关?除了法律的强制力约束以外,尤其是当环境问题、消费者安全等方面的疏忽造成的丑闻,公司可能面临法律诉讼和监管处罚。根本来说,是因为市场的竞争,让传统的公司想要通过这样的行为挽留、吸引消费者,获取和保持市场份额。
然而,至少对于 DAO 而言,这两个理由似乎都没有什么意义。
一方面,就法律层面而言,尽管目前少数地区已经将 DAO 划分在立法范围之内(如美国的怀俄明州,已经开始尝试制定特定的法律来认可和规范 DAO,可能提供了关于如何处理 DAO 成员的责任和权利的指导),但是绝大部分的 DAO 依旧处于法外地带。
另一方面,从 DAO 的成员构成来说,DAO 并不存在市场竞争。其一,是因为 DAO 的参与者可以同时在多个 DAO 里担任不同的角色,与传统的公司不一样的是,作为公司雇员,公司买断了你所拥有的时间,甚至是所处的空间,你只能为它工作。而在 DAO 里的成员,本质上是自由人,你可以随意分配的时间和空间。其二,协作和共享资源本就是 DAO 的特色。与传统公司竞争市场份额不同,DAO 成员之间更多地依靠合作、资源共享和集体智慧来实现共同目标。在 DAO 中,参与者可以跨多个项目和组织合作,这种模式鼓励了一种非零和的思维方式,即一个 DAO 的成功不必以牺牲另一个 DAO 的利益为代价。
既然如此,那 DAO 还需要重视危机公关吗?
当然,并且像传统公司一样重视危机公关应该是 DAO 治理要点之一,因为这是难能可贵的建立信任的有效方式。具体的治理方向直接可以问 ChatGPT 老师,作为 DAO,可以没钱没人,但我认为两点尤其重要:
-
勇气和真诚,正视而非逃避,具体表现为对事情的态度、信息的及时同步、实际的行动等;
-
信任和尊重,与相关当事人保持友好的沟通非常必要
其实我关注那个 DAO 很久了,只是一直没有很强的加入愿望。正巧那天来到了线下活动,所以开始了解,也花了真金白银购买了他们的产品,做出正式了解的决定。一切都是从官方给的渠道进入,同时依旧保持警惕,并没有丢失「Don’t trust,verify.」的意识。但即便如此,隔了一周后发现资产被盗了,找了安全专家做了链上数据分析,源头即是该官方 Discord 链接。
我理解 DAO 的去中心化和分散,所以我阐述了我的遭遇,并尽可能提供我的建议和追查方向,默默等待,希望我的反馈得到重视,该 DAO 的相关成员和负责人可以给我对于该事件的一个说法。
事实上在我反映之前已经有其他受害人向他们反馈,但他们当时并未找人追查源头并立刻下架被黑链接,但是让我逐渐生气的是,我们的沟通过程里,我并没有感受到他们的实际行动,尽管口头表示「我们会调查」:
信息的不同步
陆续找了该 DAO 的一个管事成员、账号负责人、创始人
管事成员只负责把他们内部协商的结果丢给我,但具体这个内容是否是他们一致表决的结果,还是敷衍的回应,我无法得知;
创始人一开始不知此事,让我去找账号负责人,后来由于账号负责人经常不回我消息,我又去找创始人,创始人提出友情补贴我补分资金后会去追查此事,但之后就杳无音讯,信息不再回复;
账号负责人接收到我的反馈和诉求后,只说会重视相关的安全事件,但后续也并未主动更新进度,我主动问询,回复时间也极长,后来干脆没有回复。
回应的骚操作
该 DAO 后续修改并锁定被黑链接后像是突然翻脸不认人,我联系的该 DAO 成员突然甩了我一系列的链接,并附「只有以下链接才是 XXXDAO 官方链接」,其中独独没有我反馈的他们的 Notion 链接,尽管他们这个 Notion 链接还在他们官方公众号每篇文章底下,掩耳盗铃之举;
除了甩我的一系列链接以外,并甩我该 DAO 不愿赔偿相关损失的三点理由:
该 DAO 本身也声誉受损,也是受害者
社区共识是倾向 可以帮助社区成员联系Web3安全公司,比如厦门慢雾,浙大的BlockSec等向黑客追回被盗
社区金库不兜底,一这里本来就是黑暗森林,二无法鉴别黑客也点一下盗链,过来说自己被盗了,无法判断
该 DAO 成员告知我这是社区大会表决的结果,并认为「这很 DAO」,我表示质疑后给了我一个他们已经结束的社区大会的链接,在我不解后告知我他们每周日都有社区大会,如果我有问题,可以自行去参加
在上述期间,从受害者角度而言,我遭受损失的部分原因是该 DAO 官方链接,该 DAO 负有责任。但从整体沟通主观感受来说,我认为该 DAO 并没有体现出对该事件的重视,并且在此过程里,我觉得我没有得到尊重。客观上,该 DAO 的信息披露、行动和结果,也并未有什么实质性的呈现。
作为一个 DAO 治理早期探索者,因为该 DAO 蒙受损失的受害者,以及对于他们危机处理方式感到不解者,苦于得不到有效回复,我主动参与了他们社区大会并直接提出我的问题,要他们做一个明确的回复。
这系列的感受,我确信该 DAO 的治理机制也逃不开陷入愈发繁杂、教条怪圈的宿命,即便它外包装看起来非常完美,叙事宏大。我做了这个拿鞭子的人,驱使他们形成对该事件的共识。至少我认为一个要做出点成绩来的 DAO,有效的危机公关是无法逃避的课题,这不仅是一种态度,更是一种建立信任的有效途径,在黑暗丛林里,尤是。
曾经和一些刚接触 DAO 的新人聊过,部分反馈参与过 DAO 治理最大的感受就是 —— 一直在投票。没错,因为 DAO 所提倡的去中心化的方式,现有的决策方式最多地表现为大家一起投票决定,只是具体投票通过的衡量标准、能参与投票的具体的人、怎么投票每个 DAO 不尽相同。暂且不论它究竟是否真的能够达到公平,还是仅仅表现形式上的公平。拿我的例子来说,
从我开始向那个 DAO 提出赔偿,他们开始讨论、投票,看似很讲究公平、透明的流程,但其实对于受害者来说,你能获得的数值其实早就已经被明码标好了。因为现有 DAO 的投票机制看的是投票数量,遵循的是大部分人的意愿,但是这大部分人,未必就代表真理。 假设你是这个 DAO 的成员,新进入这个 DAO 的成员因为这个 DAO 的官方链接被黑,哪怕 TA 对这个链接产生过怀疑而最终因为相信这个 DAO 才点了「确认」造成财产损失,当下几个赔偿选项里,你会选择哪一个呢?100% 的赔偿? 50%的赔偿?不赔偿?
大部分人都会选择中间。事实也是如此,不是所有人都会认真去看提案内容,也不是所有人都掌握同等的信息(就像一部分投票者认为,我与其他受害人遭受损失是我们的自我安全意识不够,不关该 DAO 的事,尽管我们在提案里已经明确说明是从官方提供的链接里进入,并且并不是没有风险意识,只是出于对该组织的信任才有了后续的情况)。
光从这点来看,DAO 难以有变革生产力的力量,它有辅助性但不具备主导性。
以及,我认为 DAO 的生长应该是:向死而生。DAO 是由共识组成的,一个 DAO 究竟要走多远,拥有什么样的格局和定位,在最初基本上就已经被定好,后续的发展只是在原有的基础上的完善和更新。从我自身将近五年在 DAO 里参与的协作感受是:DAO 有其魅力所在,区别与传统公司和组织 —— 它是先有的共识,再有的组织,而一旦共识破碎,组织基本也无意义。但这并不是一场悲剧。相反,强行拖着破碎的组织再去寻找共识,才是一场浪费时间的镜花水月。
提到共识,是因为很想强调 DAO 的核心是人,而非运行的机制。我见到的很多在探索 DAO 的模式的组织,很多陷入了为治理治理,为机制而机制的怪圈里。但我觉得 DAO 最重要的是因为要关注「人」,建立信任。在这片黑暗丛林里,DAO 如何建立对内和对外的信任呢?重视对于危机事件的处理,建立好反馈机制,是一个非常好的切入点。
