Operar una multisig de protocolo con gobernanza débil es como realizar una operación de alto apalancamiento con riesgo de liquidación inmediata. La única diferencia es que están en juego el dinero de otras personas.

Diez señales de advertencia en Solana DeFi a la vista en la cadena
- Claves de gobernanza de múltiples propósitos. La misma clave que aprueba acciones en multisig también realiza operaciones con memecoins, cultiva airdrops, intercambia NFTs, realiza swaps en DEXs. Cada dapp que toca es otro lugar donde el poder de firma puede ser víctima de phishing.
- Multisigs con un solo firmante. Sin multisig en absoluto, o una con múltiples firmantes pero con umbral establecido en 1. Parece distribuido, pero en realidad es un punto único de fallo.
- Sin separación de roles. Squads V4 divide permisos en proponente, votante y ejecutor. La mayoría de los protocolos otorgan a cada firmante los tres, por lo que una clave puede proponer y ejecutar en una sola acción. La documentación de Squads advierte contra esto.
- Por debajo del umbral recomendado. Squads sugiere 4 de 6 o más. La mayoría de los protocolos no alcanzan esto.
- Sin timelocks. Solo alrededor de 1 de cada 5 protocolos los usa. Son tres pasos en la configuración de multisig. No hay ventana de reacción cuando algo sale mal.
- Actividad concentrada en zonas horarias. Agrupar cambios sensibles en la misma ventana hace que el horario de operación sea predecible. Los atacantes pueden ver cuándo nadie está vigilando.
- Multisigs con autoridad de emisión débil. A menudo menos scrutinadas que las multisigs de actualización o tesorería. Umbrales bajos, sin timelocks, a veces conjuntos de firmantes separados. Entrada suave. Obtén suficientes claves para cumplir ese umbral y podrás emitir una cantidad ilimitada del token que esa autoridad controla.
- Autoridad de configuración externa activa. Elude completamente la multisig. Puede cambiar el umbral, los miembros y el timelock sin una sola votación. El valor predeterminado de Squads es que la multisig se controle a sí misma.
- Radio de explosión interno. Varios programas bajo un mismo paraguas son controlados por una sola multisig. O multisigs de programas divididos comparten los mismos firmantes. Anula el propósito de dividir en primer lugar.
- Radio de explosión externo. Incluso si la gobernanza de un protocolo es sólida, está conectada a otros que no lo son. Agregadores, bóvedas, mercados de préstamos, oráculos, stablecoins. Una falla se convierte en problema de todos.