A DAO kormányzási támadásai és azok elkerülése

Számos web3-projekt alkalmazza az engedély nélküli szavazást egy helyettesíthető és kereskedhető natív token használatával. Az engedély nélküli szavazás számos előnnyel járhat, a belépési korlátok csökkentésétől a verseny fokozásáig. A tokenek birtokosai számos kérdésről szavazhatnak – az egyszerű paraméter-beállításoktól egészen az irányítási folyamat átalakításáig. (A DAO irányításának áttekintését lásd: „Fénysebességű demokrácia".) De az engedély nélküli szavazás sebezhető kormányzási támadások, amelyben a támadó legitim eszközökkel (pl. tokenek vásárlásával a nyílt piacon) szerez szavazati jogot, de ezt a szavazati jogot arra használja fel, hogy a támadó saját hasznára manipulálja a protokollt. Ezek a támadások tisztán „protokollon belüliek”, ami azt jelenti, hogy nem kezelhetők kriptográfiával. Helyette, megakadályozása átgondolt mechanizmustervezést igényelnek. Ebből a célból kifejlesztettünk egy keretrendszert, amely segíti a DAO-kat a fenyegetés felmérésében és az ilyen támadások esetleges leküzdésében. 

Kormányzási támadások a gyakorlatban

A kormányzási támadások problémája nem csupán elméleti. Nemcsak ők tud megtörténnek a való világban, de már megvannak és a jövőben is fognak. 

In egyik kiemelkedő példa, A Steemit, a Steem nevű blokkláncán decentralizált közösségi hálózatot építő startup egy láncon belüli irányítási rendszerrel rendelkezett, amelyet 20 szemtanú irányított. A szavazók a STEEM tokenek (a platform natív pénzneme) segítségével választották ki a tanúkat. Amíg Steemit és Steem egyre nagyobb teret hódított, Justin Sun terveket dolgozott ki a Steem egyesítésére a Tron-ba, egy blokklánc protokollba, amelyet 2018-ban alapított. Ahhoz, hogy megszerezze a szavazati jogot, Sun megkereste a Steem egyik alapítóját, és a megfelelő tokeneket vásárolta. a teljes kínálat 30 százaléka. Miután az akkori Steem-tanúk felfedezték a vásárlását, lefagyasztották Sun zsetonjait. Ezt követte egy nyilvános oda-vissza találkozó Sun és Steem között, hogy elegendő tokent irányíthassanak a 20 legjobb tanú közül az általuk választott listára. Miután jelentős cseréket bonyolított le, és több százezer dollárt költött tokenekre, a Sun végül győzött, és gyakorlatilag szabad uralmat kapott a hálózaton. 

In egy másik példány, Beanstalk, egy stabilcoin protokoll, érzékenynek találta magát a kormányzási támadásokra flashloan révén. Egy támadó kölcsönt vett fel, hogy megszerezze a Beanstalk irányítási jelzőjét ahhoz, hogy azonnal átadhasson egy rosszindulatú javaslatot, amely lehetővé tette számukra, hogy lefoglalják a Beanstalk tartalékaiból 182 millió dollárt. A Steem támadással ellentétben ez egyetlen blokk alatt történt, ami azt jelentette, hogy vége volt, mielőtt bárkinek ideje lett volna reagálni. 

Míg ez a két támadás nyíltan és a nyilvánosság előtt történt, a kormányzási támadások hosszú időn keresztül titokban is végrehajthatók. A támadó számos névtelen fiókot hozhat létre, és lassan felhalmozhatja az irányítási tokeneket, miközben a gyanú elkerülése érdekében ugyanúgy viselkedik, mint bármely más tulajdonos. Valójában, tekintettel arra, hogy sok DAO-ban milyen alacsony a szavazók részvétele, ezek a fiókok huzamosabb ideig szunnyadhatnak anélkül, hogy gyanút keltenének. A DAO szemszögéből a támadók névtelen fiókjai hozzájárulhatnak a decentralizált szavazóerő egészséges szintjének megjelenéséhez. De végül a támadó elérheti azt a küszöböt, ahol ezek a szibil pénztárcák képesek egyoldalúan irányítani a kormányzást anélkül, hogy a közösség reagálni tudna. Hasonlóképpen, a rosszindulatú szereplők elegendő szavazati jogot szerezhetnek a kormányzás ellenőrzéséhez, ha a részvételi arány kellően alacsony, majd megpróbálhatják átadni a rosszindulatú javaslatokat, amikor sok más tokentulajdonos inaktív.

És bár azt gondolhatnánk, hogy minden irányítási intézkedés csak a működő piaci erők eredménye, a gyakorlatban a kormányzás néha nem hatékony eredményeket produkál az ösztönzők kudarcai vagy a protokoll felépítésének egyéb sebezhetősége miatt. Ahogy a kormányzati döntéshozatalt érdekcsoportok vagy akár egyszerű tehetetlenség is megragadhatja, a DAO irányítása is rosszabb eredményekhez vezethet, ha nem megfelelően strukturálják.

Tehát hogyan kezelhetjük az ilyen támadásokat mechanizmustervezés révén?

Az alapvető kihívás: a megkülönböztethetetlenség

A jogkivonat-kiosztás piaci mechanizmusai nem tesznek különbséget a keresni kívánó felhasználók között értékes hozzájárulások egy projekthez és támadók, akik nagy értéket tulajdonítanak annak megzavarásának vagy más módon történő irányításának. Egy olyan világban, ahol a tokeneket nyilvános piacon lehet vásárolni vagy eladni, a piac szempontjából mindkét csoport viselkedési szempontból megkülönböztethetetlen: mindkettő hajlandó nagy mennyiségben vásárolni tokeneket egyre magasabb áron. 

Ez a megkülönböztethetetlenségi probléma azt jelenti, hogy a decentralizált kormányzás nem jön ingyen. Ehelyett a protokolltervezők alapvető kompromisszumokkal szembesülnek a kormányzás nyílt decentralizálása és a rendszereik védelme között az irányítási mechanizmusokat kihasználni kívánó támadókkal szemben. Minél több közösségtag szerezhet irányítási hatalmat és befolyásolhatja a protokollt, annál könnyebben használhatják a támadók ugyanezt a mechanizmust rosszindulatú változtatásokra. 

Ez a megkülönböztethetetlenségi probléma a Proof of Stake blokklánc-hálózatok tervezéséből ismert. Ott is a rendkívül likvid piac a tokenben megkönnyíti a támadók számára, hogy elegendő részesedést szerezzenek a hálózat biztonsági garanciáinak veszélyeztetéséhez. Mindazonáltal a token ösztönzők és a likviditási tervezés keveréke lehetővé teszi a Proof of Stake hálózatokat. Hasonló stratégiák segíthetik a DAO protokollok biztonságossá tételét.

A sebezhetőség felmérésének és kezelésének keretrendszere

A különböző projektek sérülékenységének elemzéséhez a következő egyenlettel rögzített keretrendszert használjuk:

Ahhoz, hogy egy protokollt biztonságosnak lehessen tekinteni az irányítási támadásokkal szemben, a támadó nyereségének negatívnak kell lennie. Egy projekt irányítási szabályainak megtervezésekor ez az egyenlet útmutatóként használható a különböző tervezési döntések hatásának értékeléséhez. A protokoll kihasználására irányuló ösztönzők csökkentése érdekében az egyenlet három egyértelmű választást tartalmaz: csökkenti a támadások értékét, növeli a szavazati jog megszerzésének költségeités növeli a támadások végrehajtásának költségeit. 

A támadások értékének csökkentése 

A támadás értékének korlátozása nehéz lehet, mert minél sikeresebb egy projekt, annál értékesebb lehet egy sikeres támadás. Nyilvánvaló, hogy egy projektnek nem szabad szándékosan szabotálnia saját sikerét csak azért, hogy csökkentse a támadás értékét. 

Ennek ellenére a tervezők korlátozhatják a támadások értékét azáltal, hogy korlátozzák a kormányzás lehetőségeit. Ha az irányítás csak a projekt bizonyos paramétereinek megváltoztatását tartalmazza (pl. hitelezési protokoll kamatai), akkor a potenciális támadások köre sokkal szűkebb, mint amikor az irányítás lehetővé teszi az irányadó intelligens szerződés teljes általános ellenőrzését. 

Az irányítási hatókör a projekt szakaszának függvénye lehet. Életének korai szakaszában egy projektnek kiterjedtebb irányítása lehet, amint megtalálja a lábát, de a gyakorlatban az irányítást szigorúan az alapító csapat és a közösség irányítja. Ahogy a projekt érik és decentralizálja az irányítást, ésszerű lehet bizonyos fokú súrlódásokat bevezetni az irányításban – legalábbis nagy kvórumokat igényel a legjelentősebb döntések meghozatalához.

A szavazati jog megszerzésének költségének növelése

Egy projekt lépéseket is tehet annak érdekében, hogy megnehezítse a támadáshoz szükséges szavazati jog megszerzését. Minél likvidebb a token, annál könnyebb megkövetelni ezt a szavazati jogot – így szinte paradox módon a projektek csökkenteni szeretnék a likviditást a kormányzás védelme érdekében. Megpróbálhatjuk közvetlenül csökkenteni a tokenek rövid távú kereskedhetőségét, de ez technikailag kivitelezhetetlen. 

A likviditás közvetett csökkentése érdekében a projektek olyan ösztönzőket biztosíthatnak, amelyek csökkentik az egyes tokentulajdonosok eladási hajlandóságát. Ez megtehető a kockáztatás ösztönzésével, vagy úgy, hogy a tokeneknek a tiszta kormányzáson túlmutató önálló értéket adnak. Minél több értéket halmoznak fel a tokentulajdonosok, annál jobban igazodnak a projekt sikeréhez. 

Az önálló token előnyök közé tartozhat a személyes eseményekhez vagy közösségi élményekhez való hozzáférés. Létfontosságú, hogy az ilyen előnyök nagy értékűek a projekthez igazodó egyének számára, de haszontalanok a támadó számára. Az ilyen jellegű előnyök biztosítása megemeli a tényleges árat, amellyel a támadónak szembe kell néznie a tokenek megszerzésekor: a jelenlegi birtokosok kevésbé lesznek hajlandók eladni az önálló előnyök miatt, amelyek növelhetik a piaci árat; bár a támadónak magasabb árat kell fizetnie, az önálló funkciók jelenléte nem növeli a támadó értékét a token megszerzéséből. 

A támadások végrehajtási költségeinek növelése

A szavazati jog költségeinek emelése mellett olyan súrlódások is bevezethetők, amelyek megnehezítik a támadók szavazati jogának gyakorlását, még akkor is, ha már megszerezték a tokeneket. Például a tervezők megkövetelhetnek valamilyen felhasználói hitelesítést a szavazásban való részvételhez, például egy KYC-ellenőrzést (Know your customer) vagy a hírnév pontszámának küszöbértékét. Még korlátozni is lehetne egy nem hitelesített szereplő azon képességét, hogy először szavazati jelzőt szerezzenek, esetleg meglévő érvényesítők egy csoportja kellene ahhoz, hogy igazolják az új pártok legitimitását. 

Bizonyos értelemben sok projekt pontosan így osztja ki kezdeti tokenjeit, biztosítva, hogy a megbízható felek a szavazati jog jelentős részét birtokolják. (Sok Proof of Stake megoldás hasonló technikákat használ a biztonsága védelmében – szigorúan ellenőrzi, hogy ki férhet hozzá a korai téthez, majd onnan fokozatosan decentralizálja.) 

Alternatív megoldásként a projektek úgy is megvalósíthatják, hogy még ha egy támadó jelentős szavazati jogot is birtokol, akkor is nehézségekbe ütközik a rosszindulatú javaslatok továbbítása során. Egyes projektek például időzárral rendelkeznek, így az érmét a csere után bizonyos ideig nem lehet szavazásra használni. Így annak a támadónak, aki nagy mennyiségű tokent szeretne vásárolni vagy kölcsönözni, további költségekkel kell szembenéznie, ha ki kell várnia, mielőtt ténylegesen szavazhat – valamint annak a kockázatával, hogy a szavazásra jogosult tagok közben észreveszik és meghiúsítják leendő támadásukat. Delegáció is hasznos lehet itt. Azáltal, hogy az aktív, de nem rosszindulatú résztvevők szavazati jogot biztosítanak a nevükben, azok a személyek, akik nem kívánnak különösebben aktív szerepet vállalni a kormányzásban, továbbra is hozzájárulhatnak szavazati jogukkal a rendszer védelméhez.

Egyes projektek vétójogot alkalmaznak, amely lehetővé teszi a szavazás egy bizonyos ideig történő elhalasztását, hogy figyelmeztesse az inaktív szavazókat egy potenciálisan veszélyes javaslatra. Egy ilyen rendszer szerint még ha egy támadó rosszindulatú javaslatot tesz is, a választók képesek válaszolni és leállítani. Az ilyen és hasonló tervek mögött meghúzódó ötlet az, hogy megakadályozzák a támadót abban, hogy egy rosszindulatú javaslatot átlopjanak, és hogy a projekt közössége időt hagyjon a válasz megfogalmazására. Ideális esetben azoknak a javaslatoknak, amelyek egyértelműen összhangban vannak a protokoll előnyeivel, nem kell szembenézniük ezekkel az akadályokkal. 

At DAO főnevekvétójogot például a Nouns Foundation birtokolja egészen a DAO-ig készen áll egy alternatív séma megvalósítására. Amint azt a weboldalukon írták: "A Nouns Foundation megvétózza azokat a javaslatokat, amelyek nem triviális jogi vagy egzisztenciális kockázatokat jelentenek a Nouns DAO vagy a Nouns Foundation számára."

* * *

A projekteknek egyensúlyt kell teremteniük, hogy lehetővé tegyék bizonyos szintű nyitottságot a közösségi változásokra (amelyek időnként népszerűtlenek lehetnek), miközben nem engedik, hogy a rosszindulatú javaslatok átcsúszjanak a réseken. Gyakran csak egyetlen rosszindulatú javaslatra van szükség egy protokoll lebontásához, ezért kulcsfontosságú, hogy világosan megértsük a javaslatok elfogadása és elutasítása közötti kockázati kompromisszumot. És természetesen magas szintű kompromisszum létezik az irányítás biztonságának biztosítása és a kormányzás lehetővé tétele között – minden olyan mechanizmus, amely súrlódást okoz a potenciális támadók blokkolása érdekében, természetesen az irányítási folyamatot is nagyobb kihívást jelentő használatot tesz lehetővé. 

Az itt felvázolt megoldások a teljesen decentralizált kormányzás és a decentralizáció néhány eszményének részleges feláldozása közötti spektrumra esnek a protokoll általános egészsége érdekében. Keretrendszerünk rávilágít arra, hogy a projektek különböző utakat választhatnak, mivel igyekeznek biztosítani, hogy az irányítási támadások ne legyenek nyereségesek. Reméljük, hogy a közösség a keret segítségével továbbfejleszti ezeket a mechanizmusokat saját kísérletei révén, hogy a jövőben még biztonságosabbá tegyék a DAO-kat. 

***

Pranav Garimidi a Columbia Egyetem feltörekvő fiatalja, és nyári kutatógyakornok a Columbia Egyetemen a16z rejtjel. 

Scott Duke Kominers a Harvard Business School üzleti adminisztráció professzora, a Harvard Közgazdaságtudományi Tanszékének kari leányvállalata, és kutatási partner a a16z rejtjel.

Tim Roughgarden a számítástechnika professzora és a Columbia Egyetem Adattudományi Intézetének tagja, valamint a kutatás vezetője a16z rejtjel.

***

Köszönetnyilvánítás: Nagyra értékeljük a hasznos megjegyzéseket és javaslatokat Andy Hall. Külön köszönet szerkesztőnknek is, Tim Sullivan.

***

Közzétételek: A Kominers számos kripto tokennel rendelkezik, és számos NFT közösség tagja; tanácsot ad különféle piaci vállalkozásoknak, startupoknak és kriptoprojekteknek; és szakértőként is szolgál az NFT-vel kapcsolatos ügyekben.

Az itt kifejtett nézetek az AH Capital Management, LLC („a16z”) egyes alkalmazottainak nézetei, és nem az a16z vagy leányvállalatai nézetei. Az itt található bizonyos információk harmadik féltől származnak, többek között az a16z által kezelt alapok portfólióvállalataitól. Noha megbízhatónak vélt forrásokból származnak, az a16z nem ellenőrizte önállóan ezeket az információkat, és nem nyilatkozik az információk tartós pontosságáról vagy adott helyzetre való megfelelőségéről. Ezenkívül ez a tartalom harmadik féltől származó hirdetéseket is tartalmazhat; az a16z nem vizsgálta át az ilyen hirdetéseket, és nem támogatja az abban található reklámtartalmat.

Ez a tartalom csak tájékoztatási célokat szolgál, és nem támaszkodhat rá jogi, üzleti, befektetési vagy adótanácsadásként. Ezekkel a kérdésekkel kapcsolatban konzultáljon saját tanácsadójával. Bármely értékpapírra vagy digitális eszközre történő hivatkozások csak illusztrációs célt szolgálnak, és nem minősülnek befektetési ajánlásnak vagy ajánlatnak befektetési tanácsadási szolgáltatások nyújtására. Ezen túlmenően ez a tartalom nem befektetőknek vagy leendő befektetőknek szól, és nem is szánható felhasználásra, és semmilyen körülmények között nem támaszkodhat rá az a16z által kezelt alapokba történő befektetésről szóló döntés meghozatalakor. (A16z alapba történő befektetésre vonatkozó ajánlatot csak az ilyen alap zártkörű kibocsátási memoranduma, jegyzési szerződése és egyéb vonatkozó dokumentációja tesz, és azokat teljes egészében el kell olvasni.) Minden említett, hivatkozott befektetés vagy portfóliótársaság, ill. A leírtak nem reprezentatívak az a16z által kezelt járművekbe történő összes befektetésre, és nem garantálható, hogy a befektetések nyereségesek lesznek, vagy a jövőben végrehajtott egyéb beruházások hasonló tulajdonságokkal vagy eredménnyel járnak. Az Andreessen Horowitz által kezelt alapok befektetéseinek listája (kivéve azokat a befektetéseket, amelyek esetében a kibocsátó nem adott engedélyt az a16z számára a nyilvánosságra hozatalra, valamint a nyilvánosan forgalmazott digitális eszközökbe történő be nem jelentett befektetéseket) a https://a16z.com/investments oldalon érhető el. /.

A benne található diagramok és grafikonok kizárólag tájékoztató jellegűek, és nem szabad rájuk hagyatkozni befektetési döntések meghozatalakor. A múltbeli teljesítmény nem jelzi a jövőbeli eredményeket. A tartalom csak a feltüntetett dátum szerint beszél. Az ezekben az anyagokban megfogalmazott előrejelzések, becslések, előrejelzések, célok, kilátások és/vagy vélemények előzetes értesítés nélkül változhatnak, és mások véleményétől eltérhetnek vagy ellentétesek lehetnek. További fontos információkért látogasson el a https://a16z.com/disclosures oldalra.