Monet web3-projektit hyväksyvät luvattoman äänestämisen käyttämällä vaihdettavaa ja vaihdettavaa natiivitunnusta. Luvaton äänestäminen voi tarjota monia etuja markkinoille pääsyn esteiden alentamisesta kilpailun lisääntymiseen. Tokenin haltijat voivat käyttää tokeneita äänestääkseen useista asioista – yksinkertaisista parametrien muuttamisesta itse hallintoprosessin uudistamiseen. (Katsaus DAO:n hallintoon, katso "Lightspeed-demokratia. ") Mutta luvaton äänestäminen on alttiina hallintohyökkäykset, jossa hyökkääjä hankkii äänivallan laillisin keinoin (esim. ostamalla rahakkeita vapailta markkinoilta), mutta käyttää tätä äänivaltaa manipuloidakseen protokollaa hyökkääjän omaksi hyödyksi. Nämä hyökkäykset ovat puhtaasti "protokollan sisäisiä", mikä tarkoittaa, että niitä ei voida käsitellä kryptografian avulla. Sen sijaan, estää ne edellyttävät harkittua mekanismisuunnittelua. Tätä tarkoitusta varten olemme kehittäneet kehyksen, joka auttaa DAO:ita arvioimaan uhan ja mahdollisesti torjumaan tällaisia hyökkäyksiä.
Hallintohyökkäykset käytännössä
Hallintohyökkäysten ongelma ei ole vain teoreettinen. He eivät vain voida tapahtuu todellisessa maailmassa, mutta ne ovat jo tehneet ja tulevat jatkossakin tapahtumaan.
In yksi näkyvä esimerkkiSteemit, startup, joka rakentaa hajautettua sosiaalista verkostoa lohkoketjussaan Steem, käytti ketjun sisäistä hallintojärjestelmää, jota ohjasi 20 todistajaa. Äänestäjät valitsivat todistajien STEEM-tokeneita (alustan kotivaluutta). Sillä aikaa kun Steemit ja Steem saivat vetoa, Justin Sun oli kehittänyt suunnitelmia Steemin yhdistämiseksi Troniin, lohkoketjuprotokollaan, jonka hän perusti vuonna 2018. Saadakseen äänivallan tehdäkseen Sun lähestyi yhtä Steemin perustajista ja osti rahaa vastaavia tokeneita. 30 prosenttia kokonaistarjonnasta. Kun silloiset Steem-todistajat huomasivat hänen ostonsa, he jäädyttivät Sunin rahakkeet. Siitä seurasi julkinen edestakainen keskustelu Sunin ja Steemin välillä hallitakseen tarpeeksi tokeneita asentaakseen 20 parhaan todistajan joukon. Osallistuttuaan suuriin vaihtoihin ja käytettyään satoja tuhansia dollareita rahakkeisiin Sun voitti lopulta ja sai käytännössä vapaan vallan verkossa.
In toinen esimerkki, Beanstalk, stablecoin-protokolla, havaitsi olevansa alttiina hallintohyökkäykselle flashlainan kautta. Hyökkääjä otti lainan hankkiakseen tarpeeksi Beanstalkin hallintotunnusta, jotta hän välitti välittömästi haitallisen ehdotuksen, jonka ansiosta he saivat haltuunsa 182 miljoonan dollarin Beanstalkin varannot. Toisin kuin Steem-hyökkäys, tämä tapahtui yhden korttelin sisällä, mikä tarkoitti, että se oli ohi ennen kuin kukaan ehti reagoida.
Vaikka nämä kaksi hyökkäystä tapahtuivat julkisesti ja julkisesti, hallintoon kohdistuvia hyökkäyksiä voidaan tehdä myös piilossa pitkän ajan kuluessa. Hyökkääjä voi luoda useita anonyymejä tilejä ja kerätä hitaasti hallintotunnuksia samalla, kun hän käyttäytyy kuten mikä tahansa muu haltija välttääkseen epäilyksiä. Itse asiassa, kun otetaan huomioon, kuinka alhainen äänestäjien osallistuminen yleensä on monissa DAO:issa, nämä tilit voivat olla lepotilassa pidemmän aikaa ilman epäilyksiä. DAO:n näkökulmasta hyökkääjän nimettömät tilit voivat edistää terveen hajautetun äänivallan syntymistä. Mutta lopulta hyökkääjä voi saavuttaa kynnyksen, jossa näillä sybil-lompakoilla on valta hallita yksipuolisesti hallintoa ilman, että yhteisö voi vastata. Samoin pahantahtoiset toimijat voivat hankkia tarpeeksi äänivaltaa hallitakseen hallintoa, kun äänestysprosentti on riittävän alhainen, ja sitten yrittää hyväksyä haitallisia ehdotuksia, kun monet muut merkinhaltijat ovat epäaktiivisia.
Ja vaikka saatamme ajatella, että kaikki hallintotoimet ovat vain seurausta toimivista markkinavoimista, käytännössä hallinto voi joskus tuottaa tehottomia tuloksia kannustinvirheiden tai muiden protokollan suunnittelun haavoittuvuuksien seurauksena. Aivan kuten hallituksen päätöksenteko voi joutua eturyhmien tai jopa yksinkertaisen inertian vangiksi, DAO:n hallinto voi johtaa huonompiin tuloksiin, jos sitä ei rakenneta kunnolla.
Joten kuinka voimme käsitellä tällaisia hyökkäyksiä mekanismisuunnittelun avulla?
Perushaaste: Erottamattomuus
Token-allokoinnin markkinamekanismit eivät tee eroa käyttäjien välillä, jotka haluavat tehdä arvokas osallistuminen projektiin ja hyökkääjät, jotka pitävät tärkeänä sen häiritsemistä tai muuten hallitsemista. Maailmassa, jossa rahakkeita voidaan ostaa tai myydä julkisilla markkinoilla, molemmat ryhmät ovat markkinoiden näkökulmasta käyttäytymisensä kannalta erottamattomia: molemmat ovat valmiita ostamaan suuria määriä rahakkeita yhä korkeammalla hinnalla.
Tämä erottamattomuusongelma tarkoittaa, että hajautettu hallinto ei tule ilmaiseksi. Sen sijaan protokollasuunnittelijat kohtaavat perustavanlaatuisia kompromisseja hallinnon avoimen hajauttamisen ja järjestelmiensä suojaamisen välillä hallintomekanismeja hyödyntäviä hyökkääjiä vastaan. Mitä useammat yhteisön jäsenet voivat vapaasti hankkia hallintovaltaa ja vaikuttaa protokollaan, sitä helpompi hyökkääjien on käyttää samaa mekanismia haitallisten muutosten tekemiseen.
Tämä erottamattomuusongelma on tuttu Proof of Stake -lohkoketjuverkkojen suunnittelusta. Myös siellä a erittäin likvidit markkinat tunnuksessa helpottaa hyökkääjien hankkia tarpeeksi osuutta verkon turvallisuustakuiden vaarantamiseksi. Siitä huolimatta token-kannustin- ja likviditeettisuunnittelun sekoitus tekee Proof of Stake -verkostot mahdollisiksi. Samanlaiset strategiat voivat auttaa suojaamaan DAO-protokollia.
Puitteet haavoittuvuuden arvioimiseksi ja käsittelemiseksi
Eri projektien haavoittuvuuden analysoimiseksi käytämme seuraavan yhtälön kaapattua kehystä:
Jotta protokollaa pidettäisiin suojattuna hallinnollisia hyökkäyksiä vastaan, hyökkääjän voiton tulee olla negatiivinen. Projektin hallintosääntöjä suunniteltaessa tätä yhtälöä voidaan käyttää ohjeena arvioitaessa eri suunnitteluvalintojen vaikutusta. Protokollan hyödyntämisen kannustimien vähentämiseksi yhtälö sisältää kolme selkeää vaihtoehtoa: vähentää hyökkäysten arvoa, nostaa äänivallan hankintakustannuksiaja nostaa hyökkäysten toteuttamisen kustannuksia.
Hyökkäysten arvon aleneminen
Hyökkäyksen arvon rajoittaminen voi olla vaikeaa, koska mitä menestyvämmäksi projekti tulee, sitä arvokkaammaksi onnistunut hyökkäys voi tulla. On selvää, että hankkeen ei pidä tarkoituksella sabotoida omaa menestymistään vain vähentääkseen hyökkäyksen arvoa.
Suunnittelijat voivat kuitenkin rajoittaa hyökkäysten arvoa rajoittamalla hallinnon mahdollisuuksia. Jos hallintoon sisältyy vain valtuudet muuttaa projektin tiettyjä parametreja (esim. lainausprotokollan korkoja), mahdollisten hyökkäysten laajuus on paljon kapeampi kuin silloin, kun hallinnointi mahdollistaa hallitsevan älysopimuksen täysin yleisen hallinnan.
Hallintolaajuus voi olla hankkeen vaiheen funktio. Hankkeella voi alkuvaiheessa olla laajempi hallinto, kun se löytää jalansijansa, mutta käytännössä hallinto voi olla tiukasti perustajatiimin ja yhteisön hallinnassa. Projektin kypsyessä ja hajautettua valvontaa voi olla järkevää lisätä hallintaan jonkinasteista kitkaa – vähintäänkin, mikä edellyttää suuria päätösvaltaisuuksia tärkeimpien päätösten tekemiseen.
Äänivallan hankintakustannusten nousu
Projekti voi myös vaikeuttaa hyökkäykseen tarvittavan äänivallan saamista. Mitä likvidimpi token on, sitä helpompi on vaatia sitä äänivaltaa – joten lähes paradoksaalisesti projektit saattavat haluta vähentää likviditeettiä suojellakseen hallintoa. Tokenien lyhyen aikavälin kaupankäyntiä voitaisiin yrittää vähentää suoraan, mutta se saattaa olla teknisesti mahdotonta.
Likviditeetin vähentämiseksi epäsuorasti hankkeet voivat tarjota kannustimia, jotka vähentävät yksittäisten merkinhaltijoiden halukkuutta myydä. Tämä voidaan tehdä kannustamalla panostamista tai antamalla tokeneille itsenäistä arvoa pelkän hallinnon lisäksi. Mitä enemmän arvoa merkin haltijoille kertyy, sitä paremmin he ovat linjassa projektin menestyksen kanssa.
Itsenäiset tunnusetut voivat sisältää pääsyn henkilökohtaisiin tapahtumiin tai sosiaalisiin kokemuksiin. Olennaista on, että tällaiset edut ovat arvokkaita henkilöille, jotka ovat mukana projektissa, mutta ne ovat hyödyttömiä hyökkääjälle. Tällaisten etujen tarjoaminen nostaa hyökkääjän todellista hintaa hankkiessaan tokeneita: nykyiset haltijat ovat vähemmän halukkaita myymään itsenäisten etujen vuoksi, minkä pitäisi nostaa markkinahintaa; vaikka hyökkääjän on maksettava korkeampi hinta, itsenäisten ominaisuuksien läsnäolo ei nosta hyökkääjän arvoa tunnuksen hankkimisesta.
Nostaa hyökkäysten toteuttamiskustannuksia
Äänivallan kustannusten nostamisen lisäksi on mahdollista saada aikaan kitkaa, joka vaikeuttaa hyökkääjän äänivallan käyttöä, vaikka hän on hankkinut rahakkeita. Suunnittelijat voivat esimerkiksi vaatia jonkinlaista käyttäjän todennusta äänestämiseen osallistumiseen, kuten KYC (Know your customer) -tarkistus tai mainepisteiden kynnys. Voidaan jopa rajoittaa todentamattoman toimijan kykyä hankkia äänestysmerkkejä, mikä ehkä edellyttää olemassa olevia validaattoreita todistamaan uusien puolueiden legitiimiys.
Jossain mielessä juuri tällä tavalla monet projektit jakavat alkuperäiset tunnuksensa varmistaen, että luotettavat osapuolet hallitsevat merkittävää osaa äänivallasta. (Monet Proof of Stake -ratkaisut käyttävät samanlaisia tekniikoita turvallisuuden puolustamiseen – valvovat tiukasti, kenellä on pääsy varhaiseen panokseen, ja hajauttavat sitten asteittain sieltä.)
Vaihtoehtoisesti projektit voivat tehdä sen niin, että vaikka hyökkääjä hallitsee huomattavaa määrää äänivaltaa, heillä on silti vaikeuksia välittää haitallisia ehdotuksia. Esimerkiksi joissakin projekteissa on aikalukot, jotta kolikolla ei voi äänestää vähään aikaan sen vaihdon jälkeen. Näin ollen hyökkääjälle, joka pyrkii ostamaan tai lainaamaan suuren määrän tokeneita, aiheutuisi lisäkustannuksia odottaessaan ennen kuin he voivat todella äänestää – samoin kuin riskin, että äänestävät jäsenet huomaavat mahdollisen hyökkäyksensä ja estävät sen tällä välin. valtuuskunta voi myös olla apua tässä. Antamalla aktiivisille, mutta ei-ilkeämielisille osallistujille äänioikeus heidän puolestaan, henkilöt, jotka eivät halua ottaa erityisen aktiivista roolia hallinnossa, voivat edelleen antaa äänivaltansa järjestelmän suojelemiseen.
Joissakin hankkeissa käytetään veto-oikeuksia, jotka mahdollistavat äänestyksen viivästymisen jonkin aikaa varoittaakseen passiivisia äänestäjiä mahdollisesti vaarallisesta ehdotuksesta. Tällaisessa järjestelmässä äänestäjät voivat vastata ja sulkea sen, vaikka hyökkääjä tekisi haitallisen ehdotuksen. Näiden ja vastaavien suunnitelmien taustalla on ideana estää hyökkääjää hiipistämästä haitallista ehdotusta läpi ja antaa projektille yhteisölle aikaa vastauksen muotoiluun. Ihannetapauksessa ehdotusten, jotka ovat selkeästi pöytäkirjan edun mukaisia, ei tarvitse kohdata näitä tiesulkuja.
At Substantiivit DAOEsimerkiksi Nouns Foundationilla on veto-oikeus DAO:lle itseensä asti on valmis toteuttamaan vaihtoehtoisen skeeman. Kuten he kirjoittivat verkkosivuillaan, "Substantiivisäätiö käyttää veto-oikeuttaan ehdotuksille, jotka tuovat ei-triviaaleja oikeudellisia tai eksistentiaalisia riskejä Substantiivien DAO:lle tai Substantiivisäätiölle."
* * *
Hankkeissa on löydettävä tasapaino, jotta se sallii tietyn tason avoimuuden yhteisön muutoksille (joka voi toisinaan olla epäsuosittua), mutta ei sallita haitallisten ehdotusten luisua halkeamien läpi. Protokollan purkaminen vaatii usein vain yhden haitallisen ehdotuksen, joten ehdotusten hyväksymisen ja hylkäämisen riskin kompromissi on erittäin tärkeä. Ja tietysti korkeatasoinen kompromissi on olemassa hallintoturvallisuuden varmistamisen ja hallinnan mahdollistamisen välillä – mikä tahansa mekanismi, joka aiheuttaa kitkaa mahdollisen hyökkääjän estämiseksi, tekee myös hallintoprosessista tietysti haastavamman käyttää.
Tässä luonnostelemamme ratkaisut sijoittuvat täysin hajautetun hallinnon ja joidenkin hajauttamisen ihanteiden osittaiseen uhraamiseen pöytäkirjan yleisen terveyden vuoksi. Viitekehyksemme korostaa erilaisia polkuja, joita projektit voivat valita, kun ne pyrkivät varmistamaan, että hallintohyökkäykset eivät ole kannattavia. Toivomme, että yhteisö käyttää puitteita kehittääkseen edelleen näitä mekanismeja oman kokeilunsa avulla tehdäkseen DAO:ista entistä turvallisempia tulevaisuudessa.
***
Pranav Garimidi on nouseva juniori Columbian yliopistossa ja kesätutkimusharjoittelija a16z-salaus.
Scott Duke Kominers on liiketalouden professori Harvard Business Schoolissa, Harvardin taloustieteen laitoksen tiedekunnan tytäryhtiö ja tutkimuskumppani a16z-salaus.
Tim Roughgarden on tietojenkäsittelytieteen professori ja Columbian yliopiston Data Science Instituten jäsen sekä tutkimusjohtaja a16z-salaus.
***
Kiitokset: Arvostamme hyödyllisiä kommentteja ja ehdotuksia Andy Hall. Erityiset kiitokset myös toimittajallemme, Tim Sullivan.
***
Ilmoitukset: Kominersilla on useita salaustokeneita ja se on osa monia NFT-yhteisöjä; hän neuvoo erilaisia markkinapaikkayrityksiä, startup-yrityksiä ja kryptoprojekteja; ja hän toimii myös asiantuntijana NFT:hen liittyvissä asioissa.
Tässä esitetyt näkemykset ovat yksittäisen AH Capital Management, LLC:n ("a16z") lainaaman henkilöstön näkemyksiä, eivätkä ne ole a16z:n tai sen tytäryhtiöiden näkemyksiä. Tietyt tähän sisältyvät tiedot on saatu kolmansien osapuolien lähteistä, mukaan lukien a16z:n hallinnoimien rahastojen kohdeyrityksiltä. Vaikka a16z on otettu luotettaviksi uskotuista lähteistä, se ei ole itsenäisesti tarkistanut tällaisia tietoja eikä esitä tietojen pysyvää tarkkuutta tai sen soveltuvuutta tiettyyn tilanteeseen. Lisäksi tämä sisältö voi sisältää kolmannen osapuolen mainoksia; a16z ei ole tarkistanut tällaisia mainoksia eikä tue mitään niiden sisältämää mainossisältöä.
Tämä sisältö on tarkoitettu vain tiedoksi, eikä siihen tule luottaa lainopillisena, liike-, sijoitus- tai veroneuvona. Näissä asioissa kannattaa kysyä neuvojanne. Viittaukset arvopapereihin tai digitaaliseen omaisuuteen ovat vain havainnollistavia, eivätkä ne ole sijoitussuositus tai tarjous tarjota sijoitusneuvontapalveluita. Lisäksi tämä sisältö ei ole suunnattu eikä tarkoitettu sijoittajien tai mahdollisten sijoittajien käytettäväksi, eikä siihen voida missään olosuhteissa luottaa tehdessään sijoituspäätöstä mihinkään a16z:n hallinnoimaan rahastoon. (A16z-rahastoon sijoitustarjous tehdään vain minkä tahansa tällaisen rahaston suunnatun osakeannin muistion, merkintäsopimuksen ja muiden asiaankuuluvien asiakirjojen perusteella, ja ne tulee lukea kokonaisuudessaan.) Kaikki mainitut sijoitukset tai kohdeyritykset, joihin viitataan, tai kuvatut eivät edusta kaikkia investointeja a16z:n hallinnoimiin ajoneuvoihin, eikä voi olla varmuutta siitä, että investoinnit ovat kannattavia tai että muilla tulevaisuudessa tehtävillä investoinneilla on samanlaisia ominaisuuksia tai tuloksia. Luettelo Andreessen Horowitzin hallinnoimien rahastojen tekemistä sijoituksista (lukuun ottamatta sijoituksia, joiden osalta liikkeeseenlaskija ei ole antanut a16z:lle lupaa julkistaa, sekä ennalta ilmoittamattomat sijoitukset julkisesti noteerattuihin digitaalisiin omaisuuseriin) on saatavilla osoitteessa https://a16z.com/investments /.
Kaaviot ja kaaviot ovat vain tiedoksi, eikä niihin tule luottaa sijoituspäätöstä tehtäessä. Aiempi kehitys ei kerro tulevista tuloksista. Sisältö puhuu vain ilmoitetun päivämäärän mukaan. Kaikki näissä materiaaleissa esitetyt ennusteet, arviot, ennusteet, tavoitteet, näkymät ja/tai mielipiteet voivat muuttua ilman erillistä ilmoitusta ja voivat poiketa tai olla ristiriidassa muiden ilmaisemien mielipiteiden kanssa. Tärkeitä lisätietoja on osoitteessa https://a16z.com/disclosures.
- a16z-salaus
- Andreessen Horowitz
- Bitcoin
- blockchain
- lohkoketjun noudattaminen
- blockchain-konferenssi
- coinbase
- coingenius
- Yhteisymmärrys
- Crypto & Web3
- salauskonferenssi
- kryptointi
- kryptovaluutta
- hajautettu
- defi
- Digitaaliset varat
- ethereum
- koneoppiminen
- ei korvattava tunnus
- verkkoyhteisöt
- Platon
- plato ai
- Platonin tietotieto
- Platoblockchain
- PlatonData
- platopeliä
- Monikulmio
- todiste panoksesta
- W3
- zephyrnet
