התקפות ממשל DAO וכיצד למנוע אותן

זמן קריאה: 6 דקות

מכיוון שבלוקצ'יין ראה שפע של יישומים לאחרונה, המתיחה הזו יצרה הייפ סביב ה-DLT (טכנולוגיית ספר מבוזר). בלוקצ'יין נחשב לאבן הבניין של הקריפטו ולכן הגיע עם הצעות המשרתות מטרות שונות. זה דחף ביזור עם NFTs, dApps, DeFi וחוזים חכמים.

הופעת ה-DAOs נתנה הוכחה מוחשית לאפשרויות העצומות שבלוקצ'יין יכול לספק. לאחרונה ראינו כיצד DAOs, או ארגונים אוטונומיים מבוזרים, התפתחו. מאמר זה בא עם הסבר קצר על התקפות ממשל על DAOs וכיצד אתה יכול לעמוד בטוח מפניהם.

מודל ממשל של DAO

זה היה מאתגר עבור המשתמשים לאמץ את מודל הממשל החדש לאחר הופעת הבלוקצ'יין, מכיוון שכמה גורמים היו מעורבים. ובכל זאת, כל הרעיון מאחורי בלוקצ'יין היה להימנע ממשתמשים מכל ישות מרכזית. בשלב זה עלה הצורך ליצור בהירות לממשל. 

הממשל של DAO נשלט על ידי חבריו, המשתמשים במערכת הצבעה כדי להחליט כיצד הארגון צריך לפעול ולהקצות את כספיו.

חברי DAO מחזיקים בדרך כלל באסימונים המייצגים את חלקם בארגון ומאפשרים להם להצביע על הצעות. ניתן לקנות ולמכור את האסימונים הללו בשוק הפתוח, מה שמאפשר לחברים להצטרף ולצאת כאוות נפשם.

ניתן להציע את הצעות הממשל מסיבות שונות, לרבות שדרוג הרשת, קבלת החלטות קריטיות לעתיד הרשת וכדומה. חברי ה-DAO מגישים הצעות, שעליהן מצביעים כל החברות. אם מניין חברים מצביע בעד הצעה, החוזה החכם של הארגון מיישם אותה באופן אוטומטי.

התקפות ממשל DAO

התקפת שלטון על DAO מתרחשת כאשר תוקף מנצל פגמים במבנה הממשל של ה-DAO כדי להשיג כוח ולקבל החלטות המעדיפות את התוקף על חשבון חברים אחרים.

סוג זה של התקפה יכול ללבוש צורות רבות ושונות. ובכל זאת, לרוב מדובר בתוקף באמצעות כוח ההצבעה שלו או באמצעים אחרים כדי להשיג שליטה על תהליך קבלת ההחלטות של הארגון ולשנות את התקנות שלו לטובתו.

להלן כמה סוגים של התקפות ממשל ב-DAOs

1. התקפת רוב: מתקפת רוב היא מתקפת ממשל שבה לתוקף יש את רוב כוח ההצבעה בארגון אוטונומי מבוזר (DAO). עם מידת הכוח הזו, התוקף יכול להציע כל הצעה ל-DAO שתועיל לו על חשבון חברים אחרים.
2. מתקפת סיביל: בהתקפת סיביל, התוקף יוצר זהויות מזויפות רבות, הידועות בכינויו "סיבילים", בהן הם יכולים להשתמש כדי להצביע בתהליך קבלת ההחלטות של ה-DAO מספר פעמים. התוקף יכול להשיג השפעה משמעותית בתוך הארגון על ידי יצירת סיבילים רבים, גם אם הם אינם מחזיקים ברוב האסימונים.
3. הפעלת חזית: לפני שהצעה תיחשף בפומבי לשאר הקהילה, ייתכן שתוקף יוכל לצפות בה. לאחר מכן הם יכולים להשתמש במידע זה כדי להצביע בעד ההצעה או לרכוש אסימונים לפני שהיא מתפרסמת, מה שיאפשר להם להשפיע על תוצאות ההצבעה או להרוויח ממחיר האסימון המוגדל. תהליך קבלת החלטות מוגדר ושקוף הוא חיוני להפחתת הסיכון של ריצה קדמית ב-DAO, תהליך קבלת החלטות מוגדר ושקוף הוא קריטי. הצעות יכולות להתפרסם לפני ההצבעה כדי שכל החברים יוכלו להעריך ולדון בהן באופן שווה.
4. החלטות מושפעות: זה הנפוץ ביותר מכיוון שכל כך הרבה דברים יכולים להשפיע בקלות על המחזיקים. זה יכול להתבצע כאשר לחברים או קבוצות מסוימות יש מידה לא פרופורציונלית של השפעה על קבלת החלטות, בין אם באמצעות מספר רב של אסימונים, שליטה בכוח ההצבעה, יוזמות יחסי ציבור בתשלום, שיווק משפיעים, או אפילו שוחד לאנשים כדי שתהיה להם דעה מוטה על התוכנית.
5. הצעות ספאם: הפעולה של הגשה מתמשכת של מספר רב של הצעות בעלות ערך מועט או ללא ערך כדי להעמיס על הארגון ולהקשות על קבלת רעיונות תקפים נקראת הצעות דואר זבל. מתקפה זו עלולה לשבש את קבלת ההחלטות, ולהקשות על הקהילה להגיע לקונצנזוס ולהעביר רעיונות מכריעים.

מחקרי מקרה אמיתי

1. מתקפת ממשל BeanStalk: Beanstalk, פלטפורמת stablecoin מבוססת Ethereum, הייתה קורבן למתקפה על פרוטוקול הממשל שלה באפריל 2022. התוקף גנב 181 מיליון דולר מהפרויקט אך שמר על 76 מיליון דולר בלבד. התוקף יכול לבצע הפקדה גדולה לחוזה באמצעות הלוואת הבזק. זה נתן להם 79% מהקולות בפרוטוקול הממשל, וההצעה אושרה בסופו של דבר.
2. בניית השתלטות על ממשל פיננסי: ב-14 בפברואר 2022, Build Finance DAO היה יעד לפריצת שלטון שאפשרה לתוקף להטביע ולמכור אסימונים. ככל הנראה התוקף השיג סכום שווה ערך ל-160 ETH, או 470,000 דולר, מהאסימונים הגנובים. התוקף הצליח בהשתלטות מכיוון שהיה מספר משמעותי מספיק של הצבעות בעד התוכנית ולא מספיק הצבעות נגד כדי למנוע את התרחשות ההשתלטות.

מניעת התקפות ממשל DAO

1. הגבלת סמכויות הממשל: על ידי הגבלת ההיקף של מה שממשל יכול לבצע, פרויקטים יכולים להפחית את הערך של התקפות. אם הממשל פשוט כולל את היכולת לשנות רק תכונות מסוימות של הפרויקט, היקף ההתקפות הפוטנציאליות מוגבל באופן מהותי מאשר כאשר הממשל מאפשר שליטה מלאה בחוזה החכם השולט.
2. כיבוי חירום: במקרה של בעיית אבטחה חמורה, ניתן ליישם מנגנון כיבוי חירום בקוד החוזה החכם כדי לעצור את כל העסקאות ולמנוע נזקים נוספים באופן זמני.
3. שקיפות ותקשורת: ארגוני DAO פתוחים ושקופים לגבי הפעילות ותהליכי קבלת ההחלטות שלהם נוטים יותר ליצור ביטחון ולמשוך קהילה ייעודית של מחזיקי אסימונים המחויבים להצלחת הארגון בטווח הארוך.
4. הגבלת ההצעות ב-DAO: DAOs יכולים להגביל את מספר ההצעות שניתן להציע בפרק זמן מסוים, ולהפחית דואר זבל או הצעות הונאה. הם צריכים גם לשלב צורה כלשהי של אימות משתמש, כגון בדיקת KYC (הכר את הלקוח שלך) או סף ציון מוניטין להגשת הצעות.

אלו הן רק כמה מהדרכים השונות שניתן להשתמש בהן כדי להגן על DAOs מפני התקפות, והפתרון הטוב ביותר יהיה תלוי בצרכים הספציפיים של הארגון.

גזר דין סופי

חיוני להיות מודע לאפשרות של התקפות ממשל ולנקוט אמצעי מניעה, כגון תהליך קבלת החלטות מוגדר ושקוף, ביקורת קבועה של החוזה החכם של DAO, תוכניות פרס באגים וקהילה של מומחים שיכולים לשמש כלבי שמירה על כל פעילות חשודה.

שאלות נפוצות:

ש: כיצד התקפות ממשל משפיעות על הבריאות הכללית של רשת בלוקצ'יין?

הם עלולים להוביל לאובדן אמון ברשת, וכתוצאה מכך ירידה בהשתתפות ואימוץ. הם יכולים גם לגרום לירידה בערך האסימון המקורי של הרשת, מה שהופך אותו לפחות אטרקטיבי למשקיעים.

ש: כיצד פועלת התקפת סיביל ב-DAO?

בהתקפת סיביל, תוקף יוצר מספר זהויות מזויפות ומשתמש בהן כדי להצביע מספר פעמים, למעשה מכריע הצבעות לגיטימיות ושולט בתוצאות ההצבעה.

ש: כיצד פועלת התקפת ריצה קדמית ב-DAO?

בהתקפה חזיתית, תוקפים משתמשים בגישה או בידע המועדפים שלהם כדי לתמרן הצעות לפני שהן מבוצעות, לרוב באמצעות קנייה ומכירה של אסימונים.

ש: כיצד אוכל להגן על עצמי מפני התקפת שלטון?

למד את עצמך על הסיכונים והפגיעויות הספציפיות של הרשת שבה אתה משתתף.

היזהר בעת מעקב או תמיכה בהצעות, וודא שאתה מבין את ההשלכות האפשריות של ההצעה לפני שאתה מצביע.

לפקוח עין על תהליך קבלת ההחלטות ברשת ולדווח לרשויות המתאימות על כל פעילות חשודה.

4 צפיות

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• Platoblockchain. Web3 Metaverse Intelligence. ידע מוגבר. גישה כאן.
• מקור: https://blog.quillhash.com/2023/01/11/dao-governance-attacks-and-how-to-prevent-them/