حملات حکومتی DAO و نحوه اجتناب از آنها

بسیاری از پروژه های وب 3 از رای گیری بدون مجوز با استفاده از یک توکن بومی قابل تعویض و قابل مبادله استقبال می کنند. رای‌گیری بدون مجوز می‌تواند مزایای بسیاری از کاهش موانع ورود تا افزایش رقابت را به همراه داشته باشد. دارندگان توکن می توانند از توکن های خود برای رای دادن در مورد طیف وسیعی از مسائل استفاده کنند - از تنظیمات ساده پارامترها گرفته تا اصلاحات اساسی در خود فرآیند حاکمیت. (برای بررسی حاکمیت DAO، نگاه کنید به "دموکراسی لایت اسپید".) اما رای دادن بدون مجوز آسیب پذیر است حملات حکومتی، که در آن مهاجم از طریق ابزارهای قانونی (مثلاً خرید توکن ها در بازار آزاد) قدرت رای را به دست می آورد اما از این قدرت رای برای دستکاری پروتکل به نفع خود مهاجم استفاده می کند. این حملات صرفاً "در پروتکل" هستند، به این معنی که نمی توان از طریق رمزنگاری به آنها پرداخت. بجای، جلوگیری آنها نیاز به طراحی مکانیزم متفکرانه دارند. برای این منظور، ما چارچوبی را برای کمک به DAO ها در ارزیابی تهدید و مقابله بالقوه چنین حملاتی ایجاد کرده ایم. 

حملات حکومتی در عمل

مشکل حملات حکومتی فقط تئوری نیست. آنها نه تنها می توان در دنیای واقعی اتفاق می‌افتد، اما آنها قبلاً چنین بوده و خواهند بود. 

In یک نمونه بارزاستیمیت، استارت‌آپی که یک شبکه اجتماعی غیرمتمرکز را در بلاک چین خود، Steem ایجاد می‌کند، دارای یک سیستم مدیریت زنجیره‌ای بود که توسط 20 شاهد کنترل می‌شد. رای دهندگان از توکن های STEEM (ارز اصلی پلتفرم) برای انتخاب شاهدان استفاده کردند. در حالی که Steemit و Steem در حال افزایش بودند، جاستین سان برنامه‌هایی برای ادغام Steem با Tron، پروتکل بلاک چینی که در سال 2018 تأسیس کرده بود، توسعه داد. 30 درصد از کل عرضه. هنگامی که شاهدان فعلی Steem خرید او را کشف کردند، توکن های Sun را مسدود کردند. آنچه که در پی آمد، رفت و برگشت عمومی بین Sun و Steem بود تا توکن‌های کافی برای نصب لیست 20 شاهد برتر خود را کنترل کنند. پس از درگیر شدن صرافی‌های بزرگ و صرف صدها هزار دلار برای توکن‌ها، سان در نهایت پیروز شد و عملاً سلطنت آزاد بر شبکه داشت. 

In یک نمونه دیگرBeanstalk، یک پروتکل استیبل کوین، خود را مستعد حملات حکومتی از طریق فلش وام دید. مهاجمی برای به دست آوردن مقدار کافی از توکن حاکمیتی Beanstalk وام گرفت تا فوراً یک پیشنهاد مخرب را تصویب کند که به آنها اجازه می داد 182 میلیون دلار از ذخایر Beanstalk را تصاحب کنند. برخلاف حمله Steem، این حمله در محدوده یک بلوک اتفاق افتاد، به این معنی که قبل از اینکه کسی فرصت واکنش نشان دهد، تمام شد. 

در حالی که این دو حمله در علنی و در معرض دید عموم اتفاق افتاده است، حملات حکومتی نیز می توانند به صورت مخفیانه در یک دوره زمانی طولانی انجام شوند. یک مهاجم ممکن است حساب‌های ناشناس متعددی ایجاد کند و به آرامی توکن‌های حاکمیتی را جمع‌آوری کند، در حالی که مانند هر دارنده دیگری برای جلوگیری از سوء ظن رفتار می‌کند. در واقع، با توجه به اینکه میزان مشارکت رای دهندگان در بسیاری از DAO ها چقدر کم است، این حساب ها می توانند برای مدت طولانی بدون ایجاد شک و تردید در حالت غیرفعال باشند. از دیدگاه DAO، حساب‌های ناشناس مهاجم می‌تواند به ظاهر سطح سالمی از قدرت رای غیرمتمرکز کمک کند. اما در نهایت مهاجم می‌تواند به آستانه‌ای برسد که این کیف پول‌های سیبیل قدرت کنترل یکجانبه حاکمیت را داشته باشند بدون اینکه جامعه قادر به پاسخگویی باشد. به طور مشابه، بازیگران مخرب ممکن است زمانی که مشارکت به اندازه کافی کم باشد، قدرت رای کافی برای کنترل حاکمیت به دست آورند، و سپس در زمانی که بسیاری از دارندگان توکن دیگر غیرفعال هستند، سعی کنند پیشنهادهای مخرب را تصویب کنند.

و در حالی که ممکن است فکر کنیم همه اقدامات حاکمیتی فقط نتیجه نیروهای بازار در کار است، در عمل، حاکمیت گاهی اوقات می‌تواند نتایج ناکارآمدی را در نتیجه شکست انگیزه‌ها یا آسیب‌پذیری‌های دیگر در طراحی یک پروتکل ایجاد کند. همانطور که سیاست‌گذاری دولتی می‌تواند توسط گروه‌های ذینفع یا حتی اینرسی ساده تسخیر شود، حاکمیت DAO می‌تواند منجر به نتایج ضعیف‌تری شود اگر به درستی ساختار نیافته باشد.

بنابراین چگونه می توانیم از طریق طراحی مکانیسم چنین حملاتی را برطرف کنیم؟

چالش اساسی: تشخیص ناپذیری

مکانیسم‌های بازار برای تخصیص توکن قادر به تمایز بین کاربرانی که می‌خواهند انجام دهند، نیست با ارزش کمک به یک پروژه و مهاجمانی که ارزش بالایی برای ایجاد اختلال یا کنترل آن قائل هستند. در دنیایی که می‌توان توکن‌ها را در یک بازار عمومی خرید یا فروخت، هر دوی این گروه‌ها، از منظر بازار، از نظر رفتاری قابل تشخیص نیستند: هر دو مایل به خرید مقادیر زیادی توکن با قیمت‌های بالا هستند. 

این مشکل عدم تمایز به این معنی است که حکومت غیرمتمرکز به صورت رایگان ارائه نمی شود. در عوض، طراحان پروتکل با مبادلات اساسی بین غیرمتمرکز کردن آشکار حاکمیت و ایمن سازی سیستم های خود در برابر مهاجمانی که به دنبال بهره برداری از مکانیسم های حاکمیتی هستند، روبرو هستند. هرچه اعضای جامعه برای به دست آوردن قدرت حاکمیتی و نفوذ بر پروتکل آزادتر باشند، برای مهاجمان راحت‌تر می‌شود که از همان مکانیسم برای ایجاد تغییرات مخرب استفاده کنند. 

این مشکل عدم تمایز از طراحی شبکه های بلاک چین اثبات سهام آشناست. در آنجا نیز، الف بازار با نقدینگی بالا در توکن، به دست آوردن سهام کافی برای به خطر انداختن ضمانت‌های امنیتی شبکه برای مهاجمان آسان‌تر می‌شود. با این وجود، ترکیبی از طراحی مشوق و نقدینگی، شبکه‌های اثبات سهام را ممکن می‌سازد. استراتژی‌های مشابه می‌توانند به امنیت پروتکل‌های DAO کمک کنند.

چارچوبی برای ارزیابی و رسیدگی به آسیب پذیری

برای تحلیل آسیب‌پذیری پروژه‌های مختلف، از چارچوبی استفاده می‌کنیم که با معادله زیر گرفته شده است:

برای اینکه یک پروتکل در برابر حملات حکومتی ایمن در نظر گرفته شود، سود مهاجم باید منفی باشد. هنگام طراحی قوانین حاکمیتی برای یک پروژه، این معادله می تواند به عنوان یک راهنمای برای ارزیابی تأثیر انتخاب های مختلف طراحی استفاده شود. برای کاهش انگیزه‌های بهره‌برداری از پروتکل، معادله سه گزینه روشن را نشان می‌دهد: کاهش ارزش حملات, افزایش هزینه کسب قدرت رایو افزایش هزینه اجرای حملات. 

کاهش ارزش حملات 

محدود کردن ارزش یک حمله می‌تواند دشوار باشد، زیرا هر چه پروژه موفق‌تر شود، ممکن است یک حمله موفق ارزشمندتر شود. واضح است که یک پروژه نباید عمداً موفقیت خود را فقط برای کاهش ارزش یک حمله خراب کند. 

با این وجود، طراحان می توانند ارزش حملات را با محدود کردن دامنه کاری که حاکمیت می تواند انجام دهد، محدود کنند. اگر حاکمیت فقط شامل قدرت تغییر پارامترهای خاص در یک پروژه باشد (مثلاً نرخ بهره در پروتکل وام دهی)، در این صورت دامنه حملات بالقوه بسیار محدودتر از زمانی است که حاکمیت اجازه می دهد تا کنترل کلی قرارداد هوشمند حاکم را کنترل کند. 

دامنه حاکمیت می تواند تابعی از مرحله پروژه باشد. در اوایل عمر خود، یک پروژه ممکن است با پیدا کردن پایه های خود، حکمرانی گسترده تری داشته باشد، اما در عمل ممکن است حکومت به شدت توسط تیم و جامعه موسس کنترل شود. از آنجایی که پروژه بالغ می شود و کنترل را غیرمتمرکز می کند، ممکن است معقول باشد که درجاتی از اصطکاک در حکمرانی ایجاد شود - حداقل، که نیاز به حد نصاب های زیادی برای مهم ترین تصمیمات دارد.

افزایش هزینه کسب قدرت رای

یک پروژه همچنین می تواند اقداماتی را انجام دهد تا کسب قدرت رای مورد نیاز برای حمله را دشوارتر کند. هرچه نقدینگی بیشتر باشد، نیاز به آن قدرت رای آسان‌تر است – بنابراین تقریباً به طرز متناقضی، پروژه‌ها ممکن است بخواهند نقدینگی را به خاطر حفاظت از حاکمیت کاهش دهند. می توان تلاش کرد تا تجارت کوتاه مدت توکن ها را به طور مستقیم کاهش دهد، اما این ممکن است از نظر فنی غیرممکن باشد. 

برای کاهش نقدینگی به طور غیرمستقیم، پروژه‌ها می‌توانند مشوق‌هایی را فراهم کنند که دارندگان توکن‌های فردی تمایل کمتری به فروش داشته باشند. این کار را می توان با انگیزه دادن به سهام یا با دادن ارزش مستقل به توکن ها فراتر از حکومت خالص انجام داد. هرچه ارزش بیشتری به دارندگان توکن تعلق گیرد، آنها با موفقیت پروژه هماهنگ تر می شوند. 

مزایای توکن مستقل ممکن است شامل دسترسی به رویدادهای حضوری یا تجربیات اجتماعی باشد. مهمتر از همه، مزایایی مانند این برای افراد همسو با پروژه بسیار ارزشمند است، اما برای یک مهاجم بی فایده است. ارائه این نوع مزایا باعث افزایش قیمت موثر مهاجم در هنگام به دست آوردن توکن ها می شود: دارندگان فعلی به دلیل مزایای مستقل، تمایل کمتری به فروش خواهند داشت، که باید قیمت بازار را افزایش دهد. با این حال، در حالی که مهاجم باید قیمت بالاتری را بپردازد، وجود ویژگی‌های مستقل ارزش مهاجم را از دستیابی به توکن افزایش نمی‌دهد. 

افزایش هزینه اجرای حملات

علاوه بر افزایش هزینه قدرت رای دادن، می‌توان اصطکاک‌هایی را ایجاد کرد که استفاده از قدرت رای مهاجم را حتی پس از به دست آوردن توکن‌ها سخت‌تر می‌کند. به عنوان مثال، طراحان می‌توانند برای شرکت در رای‌گیری به نوعی احراز هویت کاربر نیاز داشته باشند، مانند چک KYC (مشتری خود را بشناسید) یا آستانه امتیاز شهرت. حتی می‌توان در وهله اول توانایی یک بازیگر غیرقانونی را برای به دست آوردن نشانه‌های رای محدود کرد، شاید نیاز به مجموعه‌ای از اعتبارسنجی‌های موجود برای تأیید مشروعیت احزاب جدید باشد. 

به نوعی، این دقیقاً روشی است که بسیاری از پروژه‌ها توکن‌های اولیه خود را توزیع می‌کنند و مطمئن می‌شوند که احزاب مورد اعتماد بخش قابل‌توجهی از قدرت رای را کنترل می‌کنند. (بسیاری از راه‌حل‌های Proof of Stake از تکنیک‌های مشابه برای دفاع از امنیت خود استفاده می‌کنند – کنترل شدید افرادی که به سهام اولیه دسترسی دارند و سپس به تدریج از آنجا متمرکز می‌شوند.) 

از طرف دیگر، پروژه‌ها می‌توانند آن را به گونه‌ای انجام دهند که حتی اگر مهاجم مقدار قابل‌توجهی از قدرت رای‌گیری را کنترل کند، همچنان در تصویب پیشنهادهای مخرب با مشکل مواجه می‌شود. به عنوان مثال، برخی از پروژه ها دارای قفل زمانی هستند به طوری که یک سکه نمی تواند برای مدتی پس از مبادله برای رای دادن استفاده شود. بنابراین مهاجمی که به دنبال خرید یا قرض گرفتن مقدار زیادی توکن است، با هزینه‌های اضافی ناشی از انتظار قبل از اینکه بتواند واقعاً رای دهد، مواجه می‌شود – و همچنین این خطر که اعضای رای‌دهنده متوجه شوند و حمله احتمالی خود را در این مدت خنثی کنند. هیئت نمایندگی نیز می تواند مفید باشد اینجا. با دادن حق رای دادن به شرکت‌کنندگان فعال، اما غیرمشخص، افرادی که نمی‌خواهند نقش فعال خاصی در حکومت داشته باشند، همچنان می‌توانند قدرت رای خود را در حفاظت از سیستم سهیم کنند.

برخی از پروژه ها از اختیارات وتو استفاده می کنند که اجازه می دهد رای گیری برای مدتی به تعویق بیفتد تا رای دهندگان غیرفعال را در مورد یک پیشنهاد بالقوه خطرناک آگاه کنند. تحت چنین طرحی، حتی اگر یک مهاجم پیشنهاد مخربی ارائه دهد، رای دهندگان توانایی پاسخگویی و بستن آن را دارند. ایده پشت این طرح‌ها و طرح‌های مشابه این است که مانع از نفوذ مخفیانه یک پیشنهاد مخرب توسط مهاجم شود و زمان جامعه پروژه را برای فرمول‌بندی پاسخ فراهم کند. در حالت ایده آل، پیشنهادهایی که به وضوح با حسن پروتکل مطابقت دارند، با این موانع روبرو نخواهند شد. 

At اسامی DAOبه عنوان مثال، حق وتو تا زمانی که خود DAO در اختیار Nouns Foundation است آماده اجرای یک طرح جایگزین است. همانطور که آنها در وب سایت خود نوشتند، "بنیاد اسامی پیشنهادهایی را که خطرات قانونی یا وجودی غیر پیش پا افتاده را برای Nouns DAO یا Nouns Foundation معرفی می کند وتو خواهد کرد."

* * * *

پروژه ها باید تعادلی ایجاد کنند تا سطح مشخصی از باز بودن نسبت به تغییرات جامعه (که ممکن است گاهی اوقات نامطلوب باشد) را فراهم کنند، در حالی که اجازه ندهند پیشنهادات مخرب از بین بروند. برای از بین بردن یک پروتکل، اغلب فقط یک پیشنهاد مخرب لازم است، بنابراین داشتن درک روشنی از معاوضه ریسک پذیرش در مقابل رد پیشنهادها بسیار مهم است. و البته یک مبادله در سطح بالایی بین تضمین امنیت حاکمیت و امکان حاکمیت وجود دارد - هر مکانیسمی که اصطکاک را برای جلوگیری از یک مهاجم بالقوه ایجاد کند، همچنین البته استفاده از فرآیند حاکمیت را چالش‌برانگیزتر می‌کند. 

راه‌حل‌هایی که در اینجا ترسیم کرده‌ایم در طیفی بین حکمرانی کاملاً غیرمتمرکز و قربانی کردن بخشی از ایده‌آل‌های تمرکززدایی برای سلامت کلی پروتکل قرار دارند. چارچوب ما مسیرهای مختلفی را که پروژه‌ها می‌توانند انتخاب کنند برجسته می‌کند، زیرا آنها به دنبال اطمینان از عدم سودآوری حملات حکومتی هستند. ما امیدواریم که جامعه از این چارچوب برای توسعه بیشتر این مکانیسم ها از طریق آزمایش های خود استفاده کند تا DAO ها در آینده ایمن تر شوند. 

***

پراناو گاریمیدی دانشجوی جوان در حال رشد در دانشگاه کلمبیا و کارآموز پژوهشی تابستانی در دانشگاه است رمزنگاری a16z. 

اسکات دوک کومینرز استاد مدیریت بازرگانی در مدرسه بازرگانی هاروارد، وابسته به دانشکده گروه اقتصاد هاروارد، و شریک تحقیقاتی در رمزنگاری a16z.

تیم راغگاردن استاد علوم کامپیوتر و عضو موسسه علوم داده در دانشگاه کلمبیا و رئیس بخش تحقیقات در رمزنگاری a16z.

***

تشکر و قدردانی: ما از نظرات و پیشنهادات مفید قدردانی می کنیم اندی تالار. همچنین تشکر ویژه از سردبیر ما تیم سالیوان.

***

افشاها: کومینرز تعدادی توکن رمزنگاری را در اختیار دارد و بخشی از بسیاری از جوامع NFT است. او به مشاغل مختلف بازار، استارت آپ ها و پروژه های رمزنگاری مشاوره می دهد. و او همچنین به عنوان یک متخصص در امور مربوط به NFT خدمت می کند.

نظرات بیان شده در اینجا نظرات پرسنل AH Capital Management, LLC ("a16z") نقل شده است و نظرات a16z یا شرکت های وابسته به آن نیست. برخی از اطلاعات موجود در اینجا از منابع شخص ثالث، از جمله از شرکت‌های سبد سرمایه‌ای که توسط a16z مدیریت می‌شوند، به‌دست آمده است. در حالی که a16z از منابعی گرفته شده است که معتقدند قابل اعتماد هستند، a16z به طور مستقل چنین اطلاعاتی را تأیید نکرده است و هیچ اظهارنظری در مورد صحت پایدار اطلاعات یا مناسب بودن آن برای یک موقعیت خاص ارائه نمی کند. علاوه بر این، این محتوا ممکن است شامل تبلیغات شخص ثالث باشد. aXNUMXz چنین تبلیغاتی را بررسی نکرده و محتوای تبلیغاتی موجود در آن را تایید نمی کند.

این محتوا فقط برای مقاصد اطلاعاتی ارائه شده است و نباید به عنوان مشاوره حقوقی، تجاری، سرمایه گذاری یا مالیاتی به آن اعتماد کرد. شما باید در مورد این موارد با مشاوران خود مشورت کنید. ارجاع به هر گونه اوراق بهادار یا دارایی دیجیتال فقط برای مقاصد توضیحی است و به منزله توصیه یا پیشنهاد سرمایه گذاری برای ارائه خدمات مشاوره سرمایه گذاری نیست. علاوه بر این، این محتوا برای هیچ سرمایه‌گذار یا سرمایه‌گذار بالقوه‌ای هدایت نشده و برای استفاده از آن در نظر گرفته نشده است، و تحت هیچ شرایطی نمی‌توان هنگام تصمیم‌گیری برای سرمایه‌گذاری در هر صندوقی که توسط a16z مدیریت می‌شود، به آن اعتماد کرد. (پیشنهاد سرمایه گذاری در یک صندوق a16z فقط توسط یادداشت قرار دادن خصوصی، قرارداد اشتراک و سایر اسناد مربوط به هر صندوق انجام می شود و باید به طور کامل خوانده شود.) هر گونه سرمایه گذاری یا شرکت پرتفوی ذکر شده، ارجاع شده، یا شرح داده شده نشان دهنده همه سرمایه گذاری ها در وسایل نقلیه تحت مدیریت a16z نیست، و نمی توان اطمینان داشت که سرمایه گذاری ها سودآور هستند یا سایر سرمایه گذاری های انجام شده در آینده ویژگی ها یا نتایج مشابهی خواهند داشت. فهرستی از سرمایه‌گذاری‌های انجام‌شده توسط صندوق‌های تحت مدیریت آندریسن هوروویتز (به استثنای سرمایه‌گذاری‌هایی که ناشر مجوز افشای عمومی a16z و همچنین سرمایه‌گذاری‌های اعلام‌نشده در دارایی‌های دیجیتالی عمومی را ارائه نکرده است) در https://a16z.com/investments موجود است. /.

نمودارها و نمودارهای ارائه شده در داخل صرفاً برای مقاصد اطلاعاتی هستند و هنگام تصمیم گیری برای سرمایه گذاری نباید به آنها اعتماد کرد. عملکرد گذشته نشان دهنده نتایج آینده نیست. محتوا فقط از تاریخ مشخص شده صحبت می کند. هر گونه پیش بینی، تخمین، پیش بینی، هدف، چشم انداز، و/یا نظرات بیان شده در این مطالب بدون اطلاع قبلی ممکن است تغییر کند و ممکن است متفاوت یا مغایر با نظرات بیان شده توسط دیگران باشد. لطفاً برای اطلاعات مهم بیشتر به https://a16z.com/disclosures مراجعه کنید.