Paljud web3 projektid hõlmavad lubadeta hääletamist, kasutades asendatavat ja kaubeldavat algmärki. Lubadeta hääletamine võib pakkuda palju eeliseid alates sisenemisbarjääride langetamisest kuni konkurentsi suurendamiseni. Tokenite omanikud saavad oma märke kasutada mitmesugustel teemadel hääletamiseks – alates lihtsatest parameetrite kohandamisest kuni juhtimisprotsessi enda ümbervaatamiseni. (DAO juhtimise ülevaate saamiseks vaadake "Valguskiiruse demokraatia. ") Kuid loata hääletamine on haavatav valitsemise rünnakud, kus ründaja omandab hääleõiguse legitiimsete vahenditega (nt ostes žetoone avatud turul), kuid kasutab seda hääleõigust protokolliga manipuleerimiseks ründaja enda huvides. Need rünnakud on puhtalt "protokollisisesed", mis tähendab, et neid ei saa krüptograafia abil lahendada. Selle asemel ennetada need nõuavad läbimõeldud mehhanismide kavandamist. Sel eesmärgil oleme välja töötanud raamistiku, mis aitab DAO-del ohtu hinnata ja potentsiaalselt sellistele rünnakutele vastu seista.
Juhtimisrünnakud praktikas
Juhtimisrünnakute probleem ei ole ainult teoreetiline. Nad mitte ainult võimalik juhtuvad reaalses maailmas, kuid need on juba juhtunud ja seda ka edaspidi.
In üks silmapaistev näideSteemit, idufirma, mis loob oma plokiahelas detsentraliseeritud suhtlusvõrgustiku Steem, kasutas ahelasisest juhtimissüsteemi, mida kontrollis 20 tunnistajat. Valijad kasutasid tunnistajate valimiseks oma STEEM-märke (platvormi põhivaluuta). Sel ajal, kui Steemit ja Steem hakkasid jõudu koguma, töötas Justin Sun välja plaanid liita Steem plokiahela protokolliga Tron, mille ta asutas 2018. aastal. Hääleõiguse saamiseks pöördus Sun Steemi ühe asutaja poole ja ostis tokeneid, mis olid samaväärsed 30 protsenti kogu pakkumisest. Kui toonased Steemi tunnistajad tema ostu avastasid, külmutasid nad Suni märgid. Järgnes avalik edasi-tagasi kohtumine Suni ja Steemi vahel, et kontrollida piisavalt žetoone, et paigaldada nende eelistatud 20 parima tunnistaja plaat. Pärast suurte vahetuste kaasamist ja sadade tuhandete dollarite kulutamist žetoonidele oli Sun lõpuks võidukas ja tal oli võrgu üle vaba valitsemisala.
In teine juhtum, Beanstalk, stabiilne mündiprotokoll, leidis end välklaenu kaudu vastuvõtlikuks juhtimisrünnakutele. Ründaja võttis laenu, et omandada piisavalt Beanstalki juhtimismärki, et edastada koheselt pahatahtlik ettepanek, mis võimaldas neil arestida 182 miljonit dollarit Beanstalki reservidest. Erinevalt Steemi rünnakust juhtus see ühe ploki jooksul, mis tähendas, et see oli läbi enne, kui keegi jõudis reageerida.
Kuigi need kaks rünnakut toimusid avalikult ja avalikkuse silme all, saab valitsemisalaseid rünnakuid korraldada ka pika aja jooksul varjatult. Ründaja võib luua palju anonüümseid kontosid ja koguda aeglaselt juhtimismärke, käitudes samal ajal nagu iga teine omanik, et vältida kahtlusi. Arvestades, kui madal valijate osalus paljudes DAO-des kipub olema, võivad need kontod kahtlust tekitamata pikemat aega passida. DAO vaatenurgast võivad ründaja anonüümsed kontod kaasa aidata detsentraliseeritud hääleõiguse tervislikule tasemele. Kuid lõpuks võib ründaja jõuda künnini, kus need rahakotid saavad ühepoolselt juhtida juhtimist, ilma et kogukond saaks reageerida. Samamoodi võivad pahatahtlikud osalejad omandada piisavalt hääleõiguse, et kontrollida juhtimist, kui valimisaktiivsus on piisavalt madal, ja seejärel üritada pahatahtlikke ettepanekuid edastada, kui paljud teised märgiomanikud on passiivsed.
Ja kuigi me võiksime arvata, et kõik valitsemistoimingud on vaid tegutsevate turujõudude tulemus, võib praktikas juhtimine mõnikord anda ebatõhusaid tulemusi stiimulitõrgete või muude protokolli ülesehituse haavatavuste tõttu. Nii nagu valitsuse poliitika võib sattuda huvigruppide või isegi lihtsa inertsuse kätte, võib DAO juhtimine viia kehvemate tulemusteni, kui see pole õigesti üles ehitatud.
Niisiis, kuidas me saame selliseid rünnakuid mehhanismi kavandamise kaudu lahendada?
Põhiline väljakutse: eristamatus
Tokenide jaotamise turumehhanismid ei erista kasutajaid, kes soovivad teha väärtuslik panused projekti ja ründajad, kes väärtustavad selle häirimist või muul viisil kontrollimist. Maailmas, kus žetoone saab osta või müüa avalikul turul, on turu vaatenurgast mõlemad rühmad käitumise poolest eristamatud: mõlemad on valmis ostma suuri koguseid märke üha kõrgemate hindadega.
See eristamatuse probleem tähendab, et detsentraliseeritud valitsemine ei tule tasuta. Selle asemel seisavad protokolli kujundajad silmitsi fundamentaalsete kompromissidega valitsemise avaliku detsentraliseerimise ja oma süsteemide kaitsmise vahel valitsemismehhanisme ära kasutada püüdvate ründajate eest. Mida rohkem kogukonna liikmed saavad valitsemisvõimet ja protokolli mõjutada, seda lihtsam on ründajatel kasutada sama mehhanismi pahatahtlike muudatuste tegemiseks.
See eristamatuse probleem on tuttav Proof of Stake plokiahela võrkude disainist. Ka seal on a väga likviidne turg märgis muudab ründajatel lihtsamaks piisava osaluse hankimise, et ohustada võrgu turvagarantiid. Sellegipoolest teeb sümboolsete stiimulite ja likviidsuskujunduse segu Proof of Stake võrgustikud võimalikuks. Sarnased strateegiad võivad aidata DAO-protokolle kaitsta.
Raamistik haavatavuse hindamiseks ja käsitlemiseks
Erinevate projektide haavatavuse analüüsimiseks kasutame raamistikku, mis on fikseeritud järgmise võrrandiga:
Selleks, et protokolli saaks pidada turvaliseks juhtimisrünnakute vastu, peaks ründaja kasum olema negatiivne. Projekti juhtimisreeglite koostamisel saab seda võrrandit kasutada juhisena erinevate disainivalikute mõju hindamisel. Protokolli kasutamise stiimulite vähendamiseks hõlmab võrrand kolme selget valikut: vähendada rünnakute väärtust, tõsta hääleõiguse omandamise kulusidja suurendada rünnakute sooritamise kulusid.
Rünnakute väärtuse vähendamine
Rünnaku väärtuse piiramine võib olla keeruline, sest mida edukamaks projekt läheb, seda väärtuslikumaks võib edukas rünnak muutuda. On selge, et projekt ei tohiks tahtlikult saboteerida oma edu, et vähendada rünnaku väärtust.
Sellegipoolest saavad disainerid piirata rünnakute väärtust, piirates juhtimisvõimalusi. Kui valitsemine hõlmab ainult õigust muuta projekti teatud parameetreid (nt laenuprotokolli intressimäärasid), on potentsiaalsete rünnakute ulatus palju kitsam kui siis, kui valitsemine võimaldab valitseva nutika lepingu üle täielikult üldist kontrolli.
Juhtimisulatus võib olla projekti etapi funktsioon. Oma eluea alguses võib projektil olla ulatuslikum juhtimine, kui see aluse leiab, kuid praktikas võivad valitsemist rangelt kontrollida asutajameeskond ja kogukond. Kuna projekt küpseb ja detsentraliseerib kontrolli, võib olla mõttekas tekitada juhtimisse teatud hõõrdumisi, mis nõuavad vähemalt suuri kvoorumeid kõige olulisemate otsuste tegemiseks.
Hääleõiguse omandamise kulude suurendamine
Projekt võib samuti võtta meetmeid rünnakuks vajaliku hääleõiguse omandamise raskendamiseks. Mida likviidsem on märk, seda lihtsam on seda hääleõigust nõuda – nii et peaaegu paradoksaalselt võivad projektid soovida likviidsust vähendada valitsemise kaitsmise nimel. Võiks proovida žetoonide lühiajalist kaubeldavust otse vähendada, kuid see võib olla tehniliselt teostamatu.
Likviidsuse kaudseks vähendamiseks võivad projektid pakkuda stiimuleid, mis vähendavad üksikute žetoonide omanike müügivalmidust. Seda saab teha panustamist stimuleerides või žetoonidele eraldiseisva väärtuse andmisega, mis on suurem kui puhas valitsemine. Mida rohkem väärtust märgiomanikud koguvad, seda paremini nad projekti eduga ühtlustuvad.
Eraldiseisvad märgihüved võivad hõlmata juurdepääsu isiklikele sündmustele või sotsiaalsetele kogemustele. Ülioluline on see, et sellised eelised on projektiga seotud isikute jaoks väärtuslikud, kuid ründaja jaoks kasutud. Seda tüüpi hüvede pakkumine tõstab tõhusat hinda, millega ründaja žetoonide omandamisel silmitsi seisab: praegused omanikud on vähem valmis müüma eraldiseisvate hüvede tõttu, mis peaksid turuhinda tõstma; kuigi ründaja peab maksma kõrgemat hinda, ei tõsta eraldiseisvate funktsioonide olemasolu ründaja väärtust märgi hankimisel.
Rünnakute sooritamise kulude suurendamine
Lisaks hääleõiguse kulude tõstmisele on võimalik tekitada hõõrdumisi, mis raskendavad ründajal hääleõiguse kasutamist isegi pärast žetoonide omandamist. Näiteks võivad disainerid nõuda hääletamisel osalemiseks mingit kasutaja autentimist, näiteks KYC (tunda oma klienti) kontrolli või maine skoori lävi. Võiks isegi piirata autentimata osaleja võimet hankida hääletusmärke, võib-olla nõuda olemasolevate valideerijate komplekti, et kinnitada uute parteide legitiimsust.
Mõnes mõttes jagavad paljud projektid oma esialgseid žetoone täpselt nii, tagades, et usaldusväärsed osapooled kontrollivad märkimisväärset osa hääleõigusest. (Paljud Proof of Stake lahendused kasutavad oma turvalisuse kaitsmiseks sarnaseid tehnikaid – kontrollitakse täpselt, kellel on juurdepääs varajasele panusele, ja seejärel järk-järgult detsentraliseeritakse.)
Teise võimalusena võivad projektid muuta selle nii, et isegi kui ründajal on märkimisväärne hulk hääleõigust, on neil ikkagi raskusi pahatahtlike ettepanekute edastamisega. Näiteks on mõnel projektil ajalukud, nii et pärast mündi vahetamist ei saa mõnda aega hääletamiseks kasutada. Seega tekiks ründajale, kes soovib osta või laenata suures koguses žetoone, lisakulud, kui nad ootavad, enne kui nad saavad tegelikult hääletada, ning ka oht, et hääleõigusega liikmed märkavad ja nurjavad vahepeal oma tulevase rünnaku. Delegatsioon võib ka abiks olla siin. Andes aktiivsetele, kuid mittepahatahtlikele osalejatele õiguse nende nimel hääletada, saavad isikud, kes ei soovi valitsemises eriti aktiivset rolli võtta, siiski panustada oma hääleõigusega süsteemi kaitsmisse.
Mõned projektid kasutavad vetoõigust, mis võimaldab hääletamist mõneks ajaks edasi lükata, et hoiatada mitteaktiivseid valijaid potentsiaalselt ohtliku ettepaneku eest. Sellise skeemi kohaselt on valijatel võimalik reageerida ja see sulgeda, isegi kui ründaja teeb pahatahtliku ettepaneku. Nende ja sarnaste kujunduste idee on takistada ründajal pahatahtlikku ettepanekut läbi hiilimast ja anda projekti kogukonnale aega vastuse sõnastamiseks. Ideaalis ei pea ettepanekud, mis on selgelt kooskõlas protokolli eelistega, nende teetõketega silmitsi seisma.
At Nimisõnad DAONäiteks vetoõigus on Nouns Foundationil kuni DAO enda käes on valmis rakendama alternatiivset skeemi. Nagu nad oma veebisaidil kirjutasid, paneb nimisõnade sihtasutus veto ettepanekutele, mis toovad nimisõnadele DAO või nimisõnade sihtasutusele mittetriviaalseid juriidilisi või eksistentsiaalseid riske.
* * *
Projektid peavad leidma tasakaalu, et võimaldada teatud avatust kogukonna muudatustele (mis võib kohati olla ebapopulaarne), samas ei lase pahatahtlikel ettepanekutel läbi libiseda. Protokolli tühistamiseks kulub sageli vaid üks pahatahtlik ettepanek, seega on oluline selgelt mõista ettepanekute vastuvõtmise ja tagasilükkamise riskide kompromissi. Ja loomulikult eksisteerib kõrgetasemeline kompromiss valitsemise turvalisuse tagamise ja valitsemise võimalikuks muutmise vahel – mis tahes mehhanism, mis tekitab hõõrdumist potentsiaalse ründaja blokeerimiseks, muudab loomulikult ka juhtimisprotsessi kasutamise keerulisemaks.
Siin visandatud lahendused jäävad täielikult detsentraliseeritud valitsemise ja mõne detsentraliseerimise ideaalide osalise ohverdamise vahele protokolli üldise tervise nimel. Meie raamistik tõstab esile erinevad teed, mida projektid saavad valida, kui nad püüavad tagada, et juhtimisrünnakud ei oleks tulusad. Loodame, et kogukond kasutab raamistikku nende mehhanismide edasiarendamiseks oma katsete kaudu, et muuta DAO-d tulevikus veelgi turvalisemaks.
***
Pranav Garimidi on Columbia ülikooli kasvav juunior ja suveuuringute praktikant a16z krüpto.
Scott Duke Kominers on Harvard Business Schooli ärijuhtimise professor, Harvardi majandusosakonna teaduskonna sidusettevõte ja teaduspartner a16z krüpto.
Tim Roughgarden on arvutiteaduse professor ja Columbia ülikooli andmeteaduse instituudi liige ning teadusuuringute juht a16z krüpto.
***
Tänuavaldused: hindame kasutajalt kasulikke kommentaare ja soovitusi Andy Hall. Erilised tänud ka meie toimetusele, Tim Sullivan.
***
Avalikustamine: Kominersil on mitmeid krüptomärke ja ta on osa paljudest NFT kogukondadest; ta nõustab erinevaid turuettevõtteid, idufirmasid ja krüptoprojekte; ja ta on ka NFT-ga seotud küsimuste ekspert.
Siin väljendatud seisukohad on tsiteeritud AH Capital Management, LLC (“a16z”) üksikute töötajate seisukohad, mitte a16z ega tema sidusettevõtete seisukohad. Teatud siin sisalduv teave on saadud kolmandate osapoolte allikatest, sealhulgas a16z hallatavate fondide portfelliettevõtetelt. Kuigi a16z on võetud usaldusväärsetest allikatest, ei ole a16z sellist teavet sõltumatult kontrollinud ega kinnita teabe püsivat täpsust ega selle sobivust antud olukorras. Lisaks võib see sisu sisaldada kolmandate isikute reklaame; aXNUMXz ei ole selliseid reklaame üle vaadanud ega toeta neis sisalduvat reklaamisisu.
See sisu on esitatud ainult informatiivsel eesmärgil ja sellele ei tohiks tugineda kui juriidilisele, äri-, investeerimis- ega maksunõustamisele. Nendes küsimustes peaksite konsulteerima oma nõustajatega. Viited mis tahes väärtpaberitele või digitaalsetele varadele on illustratiivse tähendusega ega kujuta endast investeerimissoovitust ega investeerimisnõustamisteenuste pakkumist. Lisaks ei ole see sisu suunatud ega mõeldud kasutamiseks ühelegi investorile ega potentsiaalsetele investoritele ning sellele ei tohi mingil juhul tugineda, kui tehakse otsus investeerida a16z hallatavasse fondi. (A16z fondi investeerimise pakkumine tehakse ainult sellise fondi erainvesteeringute memorandumi, märkimislepingu ja muu asjakohase dokumentatsiooni alusel ning neid tuleks lugeda tervikuna.) Kõik mainitud, viidatud investeeringud või portfelliettevõtted või kirjeldatud ei esinda kõiki a16z hallatavatesse sõidukitesse tehtud investeeringuid ning ei saa olla kindlust, et investeeringud on tulusad või et teised tulevikus tehtavad investeeringud on sarnaste omaduste või tulemustega. Andreessen Horowitzi hallatavate fondide tehtud investeeringute loend (v.a investeeringud, mille kohta emitent ei ole andnud A16z-le luba avalikustada, samuti etteteatamata investeeringud avalikult kaubeldavatesse digitaalvaradesse) on saadaval aadressil https://a16z.com/investments /.
Siin esitatud diagrammid ja graafikud on üksnes informatiivsel eesmärgil ja neile ei tohiks investeerimisotsuse tegemisel tugineda. Varasemad tulemused ei näita tulevasi tulemusi. Sisu räägib ainult märgitud kuupäeva seisuga. Kõik nendes materjalides väljendatud prognoosid, hinnangud, prognoosid, eesmärgid, väljavaated ja/või arvamused võivad muutuda ilma ette teatamata ning võivad erineda või olla vastuolus teiste väljendatud arvamustega. Olulist lisateavet leiate aadressilt https://a16z.com/disclosures.
- a16z krüpto
- Andreessen Horowitz
- Bitcoin
- blockchain
- plokiahela vastavus
- blockchain konverents
- coinbase
- coingenius
- üksmeel
- Krüpto ja veeb3
- krüptokonverents
- krüpto mineerimine
- cryptocurrency
- Detsentraliseeritud
- Defi
- Digitaalsed varad
- ethereum
- masinõpe
- mitte vahetatav märk
- veebikogukonnad
- Platon
- plato ai
- Platoni andmete intelligentsus
- Platvormplokk
- PlatoData
- platogaming
- hulknurk
- tõend osaluse kohta
- W3
- sephyrnet
