פרויקטים רבים של web3 מאמצים הצבעה נטולת רשות באמצעות אסימון מקורי שניתן להפעיל וסחיר. הצבעה ללא רשות יכולה להציע יתרונות רבים, החל מהורדת חסמי כניסה ועד הגברת התחרות. בעלי אסימונים יכולים להשתמש באסימונים שלהם כדי להצביע על מגוון נושאים - מהתאמות פשוטות של פרמטרים ועד לשיפוץ של תהליך הממשל עצמו. (לסקירה של ממשל DAO, ראה "דמוקרטיה לייטספיד. ") אבל הצבעה ללא רשות היא פגיעה התקפות ממשל, שבו תוקף רוכש כוח הצבעה באמצעים לגיטימיים (למשל, קניית אסימונים בשוק הפתוח) אך משתמש בכוח ההצבעה הזה כדי לתמרן את הפרוטוקול לטובת התוקף עצמו. התקפות אלו הן אך ורק "בפרוטוקול", מה שאומר שלא ניתן לטפל בהן באמצעות קריפטוגרפיה. במקום זאת, מניעה הם דורשים עיצוב מנגנון מתחשב. לשם כך, פיתחנו מסגרת שתעזור ל-DAOs להעריך את האיום ולהתמודד עם התקפות כאלה.
התקפות ממשל בפועל
הבעיה של התקפות ממשל היא לא רק תיאורטית. הם לא רק יכול קורה בעולם האמיתי, אבל הם כבר עשו וימשיכו כך.
In דוגמה בולטת אחת, Steemit, סטארט-אפ שבנה רשת חברתית מבוזרת בבלוקצ'יין שלהם, Steem, הייתה מערכת ממשל על השרשרת שנשלטת על ידי 20 עדים. הבוחרים השתמשו באסימוני ה-STEEM שלהם (המטבע המקומי של הפלטפורמה) כדי לבחור את העדים. בעוד Steemit ו-Steem צברו אחיזה, ג'סטין סאן פיתח תוכניות למזג את Steem לתוך Tron, פרוטוקול בלוקצ'יין שייסד בשנת 2018. כדי לרכוש את כוח ההצבעה לעשות זאת, פנה סאן לאחד ממייסדי Steem ורכש אסימונים השווים ל- 30 אחוז מסך ההיצע. ברגע שהעדים הנוכחיים של Steem גילו את הרכישה שלו, הם הקפיאו את האסימונים של סאן. מה שבא לאחר מכן היה תנועה פומבית הלוך ושוב בין Sun ו-Steem כדי לשלוט על מספיק אסימונים כדי להתקין את הלוח המועדף עליהם של 20 העדים המובילים. לאחר שהשתתפה בבורסות גדולות והוצאה מאות אלפי דולרים על אסימונים, סאן בסופו של דבר ניצחה ולמעשה הייתה לה שלטון חופשי ברשת.
In מופע אחר, Beanstalk, פרוטוקול stablecoin, מצא את עצמו רגיש להתקפת ממשל באמצעות flashloan. תוקף לקח הלוואה כדי לרכוש מספיק אסימון הממשל של Beanstalk כדי להעביר באופן מיידי הצעה זדונית שאפשרה להם לתפוס 182 מיליון דולר מהעתודות של Beanstalk. בניגוד להתקפת Steem, זו התרחשה בטווח של בלוק בודד, מה שאומר שהיא הסתיימה לפני שמישהו הספיק להגיב.
בעוד ששתי התקפות אלו התרחשו בגלוי ותחת עין הציבור, התקפות שלטון יכולות להתבצע גם בחשאי לאורך תקופה ארוכה. תוקף עשוי ליצור חשבונות אנונימיים רבים ולאט לאט לצבור אסימוני ממשל, תוך שהוא מתנהג בדיוק כמו כל בעל אחר כדי למנוע חשד. למעשה, בהתחשב במידת הנמוכה של השתתפות הבוחרים ב-DAOs רבים, חשבונות אלה עלולים לשכב רדומים למשך תקופה ממושכת מבלי לעורר חשד. מנקודת המבט של ה-DAO, החשבונות האנונימיים של התוקף יכולים לתרום להופעת רמה בריאה של כוח הצבעה מבוזר. אבל בסופו של דבר התוקף יכול להגיע לסף שבו לארנקים אלה של סיביל יש את הכוח לשלוט באופן חד צדדי בממשל מבלי שהקהילה תוכל להגיב. באופן דומה, שחקנים זדוניים עלולים לרכוש מספיק כוח הצבעה כדי לשלוט בממשל כאשר אחוז ההצבעה נמוך מספיק, ולאחר מכן לנסות להעביר הצעות זדוניות כאשר מחזיקי אסימונים רבים אחרים אינם פעילים.
ולמרות שאנו עשויים לחשוב שכל פעולות הממשל הן רק תוצאה של כוחות השוק הפועלים, בפועל ממשל יכול לפעמים לייצר תוצאות לא יעילות כתוצאה מכשלים בתמריצים או נקודות תורפה אחרות בתכנון הפרוטוקול. בדיוק כפי שקביעת מדיניות ממשלתית יכולה להיתפס על ידי קבוצות אינטרסים או אפילו אינרציה פשוטה, ממשל DAO יכול להוביל לתוצאות נחותות אם הוא לא מובנה כראוי.
אז איך נוכל לטפל בהתקפות כאלה באמצעות עיצוב מנגנון?
האתגר הבסיסי: חוסר הבחנה
מנגנוני השוק להקצאת אסימונים אינם מצליחים להבחין בין משתמשים שרוצים לבצע רב ערך תרומות לפרויקט ותוקפים המייחסים ערך גבוה לשיבוש או שליטה אחרת בו. בעולם שבו ניתן לקנות או למכור אסימונים בשוק ציבורי, מנקודת המבט של השוק אין להבחין בין שתי הקבוצות הללו מבחינה התנהגותית: שתיהן מוכנות לקנות כמויות גדולות של אסימונים במחירים הולכים וגוברים.
בעיית חוסר ההבחנה הזו פירושה שממשל מבוזר אינו מגיע בחינם. במקום זאת, מתכנני פרוטוקולים עומדים בפני פשרות מהותיות בין ביזור של ממשל בגלוי לבין אבטחת המערכות שלהם מפני תוקפים המבקשים לנצל מנגנוני ממשל. ככל שחברי הקהילה יהיו חופשיים יותר להשיג כוח שלטון ולהשפיע על הפרוטוקול, כך קל יותר לתוקפים להשתמש באותו מנגנון כדי לבצע שינויים זדוניים.
בעיית חוסר ההבחנה הזו מוכרת מהעיצוב של רשתות בלוקצ'יין Proof of Stake. גם שם, א שוק נזיל ביותר ב-token מקל על התוקפים לרכוש מספיק מניות כדי לסכן את ערבויות האבטחה של הרשת. עם זאת, תערובת של תמריצים סמליים ועיצוב נזילות מאפשרת רשתות של Proof of Stake. אסטרטגיות דומות יכולות לסייע באבטחת פרוטוקולי DAO.
מסגרת להערכה וטיפול בפגיעות
כדי לנתח את הפגיעות שעומדים בפני פרויקטים שונים, אנו משתמשים במסגרת הנלכדת במשוואה הבאה:
כדי שפרוטוקול ייחשב בטוח מפני התקפות ממשל, הרווח של התוקף צריך להיות שלילי. בעת תכנון כללי הממשל של פרויקט, משוואה זו יכולה לשמש כמדריך להערכת ההשפעה של בחירות עיצוב שונות. כדי להפחית את התמריצים לניצול הפרוטוקול, המשוואה מרמזת על שלוש אפשרויות ברורות: להוריד את הערך של התקפות, להגדיל את העלות של רכישת כוח הצבעה, ו להגדיל את העלות של ביצוע התקפות.
הורדת ערך התקפות
הגבלת הערך של התקפה יכולה להיות קשה מכיוון שככל שפרויקט מצליח יותר, כך עשויה להיות יותר ערך מתקפה מוצלחת. ברור שפרויקט לא צריך לחבל בכוונה בהצלחתו שלו רק כדי להקטין את הערך של התקפה.
עם זאת, מעצבים יכולים להגביל את הערך של התקפות על ידי הגבלת היקף מה שממשל יכול לעשות. אם הממשל כולל רק את הכוח לשנות פרמטרים מסוימים בפרויקט (למשל, שיעורי ריבית על פרוטוקול הלוואות), אז היקף ההתקפות הפוטנציאליות מצומצם בהרבה מאשר כאשר הממשל מאפשר שליטה כללית מלאה בחוזה החכם השולט.
היקף הממשל יכול להיות פונקציה של שלב הפרויקט. בתחילת חייו, לפרויקט עשוי להיות ממשל רחב יותר ככל שהוא מוצא את בסיסו, אך בפועל הממשל עשוי להיות בשליטה הדוקה על ידי הצוות המייסד והקהילה. ככל שהפרויקט מתבגר ומבזר את השליטה, ייתכן שיהיה הגיוני להכניס מידה מסוימת של חיכוך בממשל - לכל הפחות, לדרוש מניינים גדולים עבור ההחלטות המשמעותיות ביותר.
הגדלת עלות רכישת כוח ההצבעה
פרויקט יכול גם לנקוט בצעדים כדי להקשות על רכישת כוח ההצבעה הדרוש למתקפה. ככל שהאסימון נזיל יותר, כך קל יותר לדרוש את כוח ההצבעה הזה - כך שבאופן כמעט פרדוקסלי, פרויקטים עשויים לרצות לצמצם את הנזילות למען הגנה על המשילות. אפשר לנסות לצמצם את הסחירות בטווח הקצר של אסימונים ישירות, אבל זה עשוי להיות בלתי אפשרי מבחינה טכנית.
כדי לצמצם את הנזילות בעקיפין, פרויקטים יכולים לספק תמריצים שגורמים למחזיקי אסימונים בודדים להיות פחות מוכנים למכור. זה יכול להיעשות על ידי תמריץ הימור, או על ידי מתן ערך עצמאי לאסימונים מעבר לממשל טהור. ככל שנצבר יותר ערך למחזיקי אסימונים, כך הם מתואמים יותר עם הצלחת הפרויקט.
הטבות אסימון עצמאיות עשויות לכלול גישה לאירועים אישיים או חוויות חברתיות. באופן מכריע, הטבות כאלה הן בעלות ערך גבוה עבור אנשים המקושרים עם הפרויקט, אך הן חסרות תועלת עבור תוקף. מתן הטבות מסוג זה מעלה את המחיר האפקטיבי שעומד בפני התוקף בעת רכישת אסימונים: המחזיקים הנוכחיים יהיו פחות מוכנים למכור בגלל ההטבות העצמאיות, שאמורות להעלות את מחיר השוק; עם זאת, בעוד שהתוקף חייב לשלם את המחיר הגבוה יותר, הנוכחות של התכונות העצמאיות אינה מעלה את הערך של התוקף מרכישת האסימון.
הגדלת עלות ביצוע התקפות
בנוסף להעלאת העלות של כוח ההצבעה, אפשר להכניס חיכוכים שמקשים על התוקף להפעיל כוח הצבעה גם לאחר שרכש אסימונים. לדוגמה, מעצבים יכולים לדרוש סוג כלשהו של אימות משתמש כדי להשתתף בהצבעות, כגון בדיקת KYC (הכר את הלקוח שלך) או סף ציון מוניטין. אפשר אפילו להגביל את היכולת של שחקן לא מאומת לרכוש אסימוני הצבעה מלכתחילה, אולי לדרוש קבוצה כלשהי של מאמתים קיימים כדי להעיד על הלגיטימיות של מפלגות חדשות.
במובן מסוים, זו בדיוק הדרך שבה פרויקטים רבים מפיצים את האסימונים הראשוניים שלהם, ומוודאים שגורמים מהימנים שולטים בחלק ניכר מכוח ההצבעה. (הרבה פתרונות Proof of Stake משתמשים בטכניקות דומות כדי להגן על אבטחתם - שליטה הדוקה למי יש גישה להימור מוקדם, ואז מבוזרת בהדרגה משם.)
לחלופין, פרויקטים יכולים לגרום לכך שגם אם תוקף שולט בכמות ניכרת של כוח הצבעה, הוא עדיין נתקל בקשיים בהעברת הצעות זדוניות. לדוגמה, לפרויקטים מסוימים יש נעילות זמן כך שלא ניתן להשתמש במטבע להצבעה במשך תקופה מסוימת לאחר החלפתו. לפיכך, תוקף המבקש לקנות או ללוות כמות גדולה של אסימונים יעמוד בפני עלויות נוספות מהמתנה לפני שיוכלו להצביע בפועל - כמו גם הסיכון שחברי הצבעה יבחינו ויסכלו את המתקפה הפוטנציאלית שלהם בזמן הביניים. מִשׁלַחַת יכול גם להועיל כאן. על ידי מתן הזכות למשתתפים פעילים, אך לא זדוניים, להצביע בשמם, אנשים שאינם רוצים לקחת תפקיד פעיל במיוחד בממשל עדיין יכולים לתרום את כוח ההצבעה שלהם להגנה על המערכת.
חלק מהפרויקטים משתמשים בסמכויות וטו המאפשרות דחיית הצבעה לפרק זמן מסוים כדי להתריע בפני מצביעים לא פעילים על הצעה שעלולה להיות מסוכנת. במסגרת תוכנית כזו, גם אם תוקף מציע הצעה זדונית, לבוחרים יש את היכולת להגיב ולסגור אותה. הרעיון מאחורי עיצובים אלה ודומים להם הוא למנוע מתוקף להגניב הצעה זדונית ולספק זמן לקהילה של הפרויקט לגבש תגובה. באופן אידיאלי, הצעות שמתאימות בבירור לטובת הפרוטוקול לא יצטרכו להתמודד עם מחסומים אלה.
At שמות עצם DAO, למשל, כוח הווטו מוחזק על ידי קרן העצם עד ל-DAO עצמו מוכן ליישם סכימה חלופית. כפי שהם כתבו באתר האינטרנט שלהם, "קרן העצם תטיל וטו על הצעות שמציגות סיכונים משפטיים או קיומיים לא טריוויאליים ל-DAO של העצם או לקרן העצם".
* * *
פרויקטים חייבים להגיע לאיזון כדי לאפשר רמה מסוימת של פתיחות לשינויים בקהילה (שעשויים להיות לא פופולריים לפעמים), תוך שהם לא מאפשרים להצעות זדוניות לחמוק בין הסדקים. לעתים קרובות נדרשת רק הצעה זדונית אחת כדי להפיל פרוטוקול, ולכן יש חשיבות מכרעת להבנה ברורה של הפשרה בסיכון של קבלת הצעות לעומת דחייה. וכמובן שקיימת פשרה ברמה גבוהה בין הבטחת אבטחת הממשל והפיכת הממשל לאפשרי - כל מנגנון שמכניס חיכוך לחסימת תוקף פוטנציאלי גם הופך את תהליך הממשל למאתגר יותר לשימוש.
הפתרונות ששרטטנו כאן נופלים על ספקטרום בין ממשל מבוזר לחלוטין לבין הקרבה חלקית של כמה אידיאלים של ביזור למען הבריאות הכללית של הפרוטוקול. המסגרת שלנו מדגישה דרכים שונות שפרויקטים יכולים לבחור כשהם מבקשים לוודא שהתקפות ממשל לא יהיו רווחיות. אנו מקווים שהקהילה תשתמש במסגרת כדי לפתח עוד יותר את המנגנונים הללו באמצעות ניסויים משלהם כדי להפוך את ה-DAOs בטוח עוד יותר בעתיד.
***
פראנב גארימידי הוא זוטר עולה באוניברסיטת קולומביה ומתמחה במחקר קיץ ב קריפטו a16z.
סקוט דיוק קומינרס הוא פרופסור למנהל עסקים בבית הספר לעסקים של הרווארד, שלוחה בפקולטה של המחלקה לכלכלה של הרווארד, ושותף מחקר ב- קריפטו a16z.
טים ראגארדן הוא פרופסור למדעי המחשב וחבר במכון למדעי הנתונים באוניברסיטת קולומביה, וראש מחקר ב קריפטו a16z.
***
תודות: אנו מעריכים הערות והצעות מועילות מאת אנדי הול. תודה מיוחדת גם לעורך שלנו, טים סאליבן.
***
גילויים: Kominers מחזיק במספר אסימוני קריפטו והוא חלק מקהילות NFT רבות; הוא מייעץ לעסקים שונים בשוק, סטארט-אפים ופרויקטי קריפטו; והוא גם משמש כמומחה בנושאים הקשורים ל-NFT.
הדעות המובעות כאן הן אלה של אנשי AH Capital Management, LLC ("a16z") המצוטטות ואינן הדעות של a16z או החברות הקשורות לה. מידע מסוים הכלול כאן התקבל ממקורות צד שלישי, כולל מחברות פורטפוליו של קרנות המנוהלות על ידי a16z. למרות שנלקחה ממקורות האמינים כאמינים, a16z לא אימתה מידע כזה באופן עצמאי ואינה מציגה מצגים לגבי הדיוק המתמשך של המידע או התאמתו למצב נתון. בנוסף, תוכן זה עשוי לכלול פרסומות של צד שלישי; a16z לא סקרה פרסומות כאלה ואינה תומכת בתוכן פרסומי כלשהו הכלול בהן.
תוכן זה מסופק למטרות מידע בלבד, ואין להסתמך עליו כייעוץ משפטי, עסקי, השקעות או מס. עליך להתייעץ עם היועצים שלך באשר לעניינים אלה. הפניות לניירות ערך או לנכסים דיגיטליים כלשהם נועדו למטרות המחשה בלבד, ואינן מהוות המלצת השקעה או הצעה לספק שירותי ייעוץ השקעות. יתר על כן, תוכן זה אינו מכוון ואינו מיועד לשימוש על ידי משקיעים או משקיעים פוטנציאליים כלשהם, ואין להסתמך עליו בשום פנים ואופן בעת קבלת החלטה להשקיע בקרן כלשהי המנוהלת על ידי a16z. (הצעה להשקעה בקרן a16z תתבצע רק על ידי מזכר ההנפקה הפרטית, הסכם המנוי ותיעוד רלוונטי אחר של כל קרן כזו ויש לקרוא אותה במלואה). המתוארים אינם מייצגים את כל ההשקעות בכלי רכב המנוהלים על ידי a16z, ואין כל ודאות שההשקעות יהיו רווחיות או שלהשקעות אחרות שיבוצעו בעתיד יהיו מאפיינים או תוצאות דומות. רשימה של השקעות שבוצעו על ידי קרנות המנוהלות על ידי אנדריסן הורוביץ (למעט השקעות שעבורן המנפיק לא נתן אישור ל-a16z לחשוף בפומבי וכן השקעות בלתי מוקדמות בנכסים דיגיטליים הנסחרים בבורסה) זמינה בכתובת https://a16z.com/investments /.
תרשימים וגרפים המסופקים בתוכן הם למטרות מידע בלבד ואין להסתמך עליהם בעת קבלת החלטת השקעה כלשהי. ביצועי העבר אינם מעידים על תוצאות עתידיות. התוכן מדבר רק לתאריך המצוין. כל תחזיות, אומדנים, תחזיות, יעדים, סיכויים ו/או דעות המובעות בחומרים אלו כפופים לשינויים ללא הודעה מוקדמת ועשויים להיות שונים או מנוגדים לדעות שהובעו על ידי אחרים. אנא ראה https://a16z.com/disclosures למידע חשוב נוסף.
