많은 web3 프로젝트는 대체 가능하고 거래 가능한 기본 토큰을 사용하여 무허가 투표를 수용합니다. 무허가 투표는 진입 장벽을 낮추는 것부터 경쟁 심화에 이르기까지 많은 이점을 제공할 수 있습니다. 토큰 보유자는 토큰을 사용하여 간단한 매개변수 조정에서 거버넌스 프로세스 자체의 정밀 검사에 이르기까지 다양한 문제에 대해 투표할 수 있습니다. (DAO 거버넌스에 대한 검토는 "광속 민주주의. ") 그러나 무허가 투표는 거버넌스 공격, 공격자가 합법적인 수단(예: 공개 시장에서 토큰 구매)을 통해 투표권을 획득하지만 공격자 자신의 이익을 위해 프로토콜을 조작하기 위해 해당 투표권을 사용합니다. 이러한 공격은 순전히 "프로토콜 내"이므로 암호화를 통해 해결할 수 없습니다. 대신에, 방지 사려 깊은 메커니즘 설계가 필요합니다. 이를 위해 우리는 DAO가 위협을 평가하고 잠재적으로 그러한 공격에 대응하는 데 도움이 되는 프레임워크를 개발했습니다.
실제 거버넌스 공격
거버넌스 공격의 문제는 이론적인 것만이 아닙니다. 그들은 뿐만 아니라 현실 세계에서 일어나지만, 이미 경험했고 앞으로도 계속될 것입니다.
In 한 가지 두드러진 예, 블록체인에 분산형 소셜 네트워크를 구축하는 스타트업 Steemit인 Steem은 20명의 증인이 제어하는 온체인 거버넌스 시스템을 가지고 있었습니다. 유권자는 STEEM 토큰(플랫폼의 기본 통화)을 사용하여 증인을 선택했습니다. Steemit과 Steem이 주목을 받는 동안 Justin Sun은 Steem을 2018년에 설립한 블록체인 프로토콜인 Tron으로 병합할 계획을 개발했습니다. 그렇게 하기 위한 투표권을 얻기 위해 Sun은 Steem의 설립자 중 한 명에게 접근하여 이에 상응하는 토큰을 구입했습니다. 전체 공급량의 30%. 당시 Steem 목격자들은 그의 구매를 발견하고 Sun의 토큰을 동결했습니다. 그 다음은 상위 20명의 증인이 선호하는 슬레이트를 설치하기에 충분한 토큰을 제어하기 위해 Sun과 Steem 사이의 공개적인 교류였습니다. 주요 교환을 포함하고 토큰에 수십만 달러를 지출한 후 Sun은 결국 승리했고 네트워크를 효과적으로 지배하게 되었습니다.
In 다른 인스턴스, 스테이블코인 프로토콜인 Beanstalk는 플래시론을 통한 거버넌스 공격에 취약한 것으로 나타났습니다. 공격자는 Beanstalk의 거버넌스 토큰을 충분히 확보하기 위해 대출을 받아 182억 XNUMX만 달러의 Beanstalk 보유 자산을 탈취할 수 있는 악의적인 제안을 즉시 통과시켰습니다. 스팀 공격과 달리 이 공격은 단일 블록 범위 내에서 발생했기 때문에 누구도 대응하기 전에 종료되었습니다.
이 두 가지 공격은 공개적으로 공개적으로 발생했지만 거버넌스 공격은 장기간에 걸쳐 은밀하게 수행될 수도 있습니다. 공격자는 의심을 피하기 위해 다른 소유자처럼 행동하면서 수많은 익명 계정을 만들고 천천히 거버넌스 토큰을 축적할 수 있습니다. 실제로 많은 DAO에서 투표자 참여가 얼마나 낮은지 감안할 때 이러한 계정은 의심의 여지 없이 장기간 휴면 상태에 있을 수 있습니다. DAO의 관점에서 볼 때 공격자의 익명 계정은 건강한 수준의 분산된 투표권을 나타내는 데 기여할 수 있습니다. 그러나 결국 공격자는 이러한 sybil 지갑이 커뮤니티가 응답할 수 없는 상태에서 일방적으로 거버넌스를 제어할 수 있는 임계값에 도달할 수 있습니다. 마찬가지로 악의적인 행위자는 투표율이 충분히 낮을 때 거버넌스를 제어할 수 있는 충분한 투표권을 획득한 다음 다른 많은 토큰 보유자가 비활성 상태일 때 악의적인 제안을 전달하려고 할 수 있습니다.
그리고 우리는 모든 거버넌스 조치가 작동하는 시장의 힘의 결과일 뿐이라고 생각할 수 있지만 실제로 거버넌스는 프로토콜 설계의 인센티브 실패 또는 기타 취약성의 결과로 비효율적인 결과를 생성할 수 있습니다. 정부 정책 결정이 이익 집단이나 단순한 관성에 사로잡힐 수 있는 것처럼 DAO 거버넌스는 제대로 구성되지 않으면 열등한 결과를 초래할 수 있습니다.
그렇다면 메커니즘 설계를 통해 이러한 공격을 어떻게 해결할 수 있습니까?
근본적인 문제: 구별 불가능
토큰 할당을 위한 시장 메커니즘은 토큰을 만들고자 하는 사용자를 구분하지 못합니다. 가치있는 프로젝트에 대한 기여와 프로젝트를 방해하거나 통제하는 데 높은 가치를 부여하는 공격자. 공개 시장에서 토큰을 사고 팔 수 있는 세상에서 이 두 그룹은 시장 관점에서 행동적으로 구별할 수 없습니다. 둘 다 점점 더 높은 가격으로 많은 양의 토큰을 기꺼이 구매할 의향이 있습니다.
이 구별 불가능성 문제는 분산된 거버넌스가 공짜로 제공되지 않는다는 것을 의미합니다. 대신 프로토콜 설계자는 거버넌스를 공개적으로 탈중앙화하는 것과 거버넌스 메커니즘을 악용하려는 공격자로부터 시스템을 보호하는 것 사이의 근본적인 균형에 직면합니다. 커뮤니티 구성원이 자유롭게 거버넌스 권한을 얻고 프로토콜에 영향을 줄수록 공격자가 동일한 메커니즘을 사용하여 악의적인 변경을 수행하기가 더 쉽습니다.
이 구별 불가능성 문제는 지분 증명 블록체인 네트워크 설계에서 익숙합니다. 거기에도, 유동성이 높은 시장 토큰에서 공격자가 네트워크의 보안 보장을 손상시키기에 충분한 지분을 더 쉽게 획득할 수 있습니다. 그럼에도 불구하고 토큰 인센티브와 유동성 설계의 혼합은 지분 증명 네트워크를 가능하게 합니다. 유사한 전략이 DAO 프로토콜을 보호하는 데 도움이 될 수 있습니다.
취약성 평가 및 해결을 위한 프레임워크
다양한 프로젝트가 직면한 취약성을 분석하기 위해 다음 방정식으로 캡처된 프레임워크를 사용합니다.
프로토콜이 거버넌스 공격에 대해 안전한 것으로 간주되려면 공격자의 이익이 음수여야 합니다. 프로젝트에 대한 거버넌스 규칙을 설계할 때 이 방정식을 다양한 설계 선택의 영향을 평가하기 위한 지침으로 사용할 수 있습니다. 프로토콜을 악용하려는 인센티브를 줄이기 위해 방정식은 세 가지 명확한 선택을 의미합니다. 공격 가치 감소, 투표권 획득 비용 증가및 공격 실행 비용 증가.
공격의 가치 감소
공격의 가치를 제한하는 것은 어려울 수 있습니다. 프로젝트가 더 성공적일수록 성공적인 공격이 더 가치가 있을 수 있기 때문입니다. 분명히 프로젝트는 공격의 가치를 줄이기 위해 의도적으로 자신의 성공을 방해해서는 안 됩니다.
그럼에도 불구하고 설계자는 거버넌스가 수행할 수 있는 범위를 제한하여 공격의 가치를 제한할 수 있습니다. 거버넌스가 프로젝트의 특정 매개변수(예: 대출 프로토콜의 이자율)를 변경할 수 있는 권한만 포함하는 경우, 거버넌스가 거버넌스 스마트 계약을 완전히 일반적으로 제어할 수 있는 경우보다 잠재적 공격 범위가 훨씬 더 좁습니다.
거버넌스 범위는 프로젝트 단계의 기능일 수 있습니다. 초기에 프로젝트는 기반을 찾을 때 더 확장된 거버넌스를 가질 수 있지만 실제로 거버넌스는 창립 팀과 커뮤니티에 의해 엄격하게 제어될 수 있습니다. 프로젝트가 성숙해지고 통제가 분산됨에 따라 거버넌스에 어느 정도 마찰을 도입하는 것이 합리적일 수 있습니다. 최소한 가장 중요한 결정에는 많은 정족수가 필요합니다.
투표권 획득 비용 증가
프로젝트는 또한 공격에 필요한 투표권을 획득하기 어렵게 만드는 조치를 취할 수 있습니다. 토큰의 유동성이 높을수록 투표권을 요구하기가 더 쉬워지므로 거의 역설적으로 프로젝트는 거버넌스를 보호하기 위해 유동성을 줄이고 싶어할 수 있습니다. 토큰의 단기 거래 가능성을 직접 줄이려고 시도할 수 있지만 이는 기술적으로 불가능할 수 있습니다.
유동성을 간접적으로 줄이기 위해 프로젝트는 개별 토큰 보유자가 판매를 덜 하게 만드는 인센티브를 제공할 수 있습니다. 이것은 스테이킹을 장려하거나 토큰에 순수한 거버넌스 이상의 독립된 가치를 부여함으로써 수행할 수 있습니다. 토큰 보유자에게 더 많은 가치가 누적될수록 프로젝트의 성공에 더 잘 부합하게 됩니다.
독립형 토큰 혜택에는 대면 이벤트 또는 사회적 경험에 대한 액세스가 포함될 수 있습니다. 결정적으로, 이와 같은 이점은 프로젝트와 연계된 개인에게 높은 가치를 제공하지만 공격자에게는 쓸모가 없습니다. 이러한 종류의 혜택을 제공하면 공격자가 토큰을 획득할 때 직면하는 유효 가격이 높아집니다. 그러나 공격자는 더 높은 가격을 지불해야 하지만 독립 실행형 기능의 존재는 공격자의 토큰 획득 가치를 높이지 않습니다.
공격 실행 비용 증가
투표권 비용을 높이는 것 외에도 공격자가 토큰을 획득한 후에도 투표권을 행사하기 어렵게 만드는 마찰을 도입할 수 있습니다. 예를 들어 디자이너는 KYC(고객 알기) 확인 또는 평판 점수 임계값과 같이 투표에 참여하기 위해 일종의 사용자 인증을 요구할 수 있습니다. 인증되지 않은 행위자가 먼저 투표 토큰을 획득하는 능력을 제한할 수도 있으며, 아마도 일부 기존 검증인이 새로운 당사자의 정당성을 증명해야 할 수도 있습니다.
어떤 의미에서 이것은 많은 프로젝트가 초기 토큰을 배포하는 방식과 정확히 일치하여 신뢰할 수 있는 당사자가 투표권의 상당 부분을 제어하도록 합니다. (많은 지분 증명 솔루션은 보안을 방어하기 위해 유사한 기술을 사용합니다. 즉, 초기 지분에 대한 액세스 권한이 있는 사람을 엄격하게 제어한 다음 거기에서 점진적으로 탈중앙화합니다.)
또는 공격자가 상당한 양의 투표 권한을 제어하더라도 악의적인 제안을 통과하는 데 여전히 어려움을 겪도록 프로젝트를 만들 수 있습니다. 예를 들어, 일부 프로젝트에는 코인이 교환된 후 일정 기간 동안 투표에 사용할 수 없도록 시간 잠금이 있습니다. 따라서 많은 양의 토큰을 구매하거나 차용하려는 공격자는 실제로 투표하기 전에 대기하는 추가 비용과 투표 회원이 잠정적으로 예상 공격을 알아차리고 저지할 위험에 직면하게 됩니다. 대표단 또한 도움이 될 수 있습니다 여기. 적극적이지만 악의가 없는 참가자에게 자신을 대신하여 투표할 수 있는 권리를 부여함으로써 거버넌스에서 특히 적극적인 역할을 하고 싶지 않은 개인도 시스템 보호를 위해 투표권을 계속 기여할 수 있습니다.
일부 프로젝트는 잠재적으로 위험한 제안에 대해 비활성 유권자에게 경고하기 위해 일정 기간 동안 투표를 연기할 수 있는 거부권을 사용합니다. 이러한 방식에서는 공격자가 악의적인 제안을 하여도 유권자가 응답하여 차단할 수 있습니다. 이러한 디자인과 유사한 디자인의 이면에 있는 아이디어는 공격자가 악의적인 제안을 몰래 통과하는 것을 막고 프로젝트 커뮤니티에 응답을 공식화할 시간을 제공하는 것입니다. 이상적으로는 프로토콜의 장점과 분명히 일치하는 제안이 이러한 장애물에 직면할 필요가 없습니다.
At 명사, 예를 들어 거부권은 DAO 자체가 승인될 때까지 명사 재단에 의해 유지됩니다. 대체 스키마를 구현할 준비가 되었습니다. 그들이 웹사이트에 쓴 것처럼 "명사 재단은 명사 DAO 또는 명사 재단에 사소한 법적 또는 실존적 위험을 도입하는 제안에 거부권을 행사할 것입니다."
* * *
프로젝트는 커뮤니티 변경(때로는 인기가 없을 수도 있음)에 대해 일정 수준의 개방성을 허용하는 동시에 악의적인 제안이 틈을 통해 빠져나가는 것을 허용하지 않는 균형을 유지해야 합니다. 프로토콜을 중단시키는 데는 종종 하나의 악의적인 제안이 필요하므로 제안 수락과 거부의 위험 트레이드오프를 명확하게 이해하는 것이 중요합니다. 물론 거버넌스 보안을 보장하는 것과 거버넌스를 가능하게 하는 것 사이에는 높은 수준의 절충안이 존재합니다. 잠재적인 공격자를 차단하기 위해 마찰을 유발하는 모든 메커니즘은 물론 거버넌스 프로세스를 사용하기 더 어렵게 만듭니다.
여기에서 스케치한 솔루션은 완전히 탈중앙화된 거버넌스와 프로토콜의 전반적인 상태를 위해 탈중앙화의 일부 이상을 부분적으로 희생하는 것 사이의 스펙트럼에 속합니다. 우리의 프레임워크는 거버넌스 공격이 수익성이 없는지 확인하기 위해 프로젝트가 선택할 수 있는 다양한 경로를 강조합니다. 우리는 커뮤니티가 프레임워크를 사용하여 미래에 DAO를 더욱 안전하게 만들기 위해 자체 실험을 통해 이러한 메커니즘을 더욱 발전시키기를 바랍니다.
***
Pranav Garimidi는 Columbia University의 떠오르는 주니어이자 a16z 암호화.
스콧 듀크 코마이너스 하버드 경영대학원의 경영학 교수이자 하버드 경제학부의 교수이자 연구 파트너입니다. a16z 암호화.
팀 러프가든 Columbia University의 컴퓨터 과학 교수이자 데이터 과학 연구소의 회원이며, a16z 암호화.
***
감사의 말: 도움이 되는 의견과 제안에 감사드립니다. 앤디 홀. 편집자님께도 특별히 감사드립니다. 팀 설리반.
***
공개: Kominers는 다수의 암호화 토큰을 보유하고 있으며 많은 NFT 커뮤니티의 일부입니다. 그는 다양한 시장 비즈니스, 신생 기업 및 암호화 프로젝트에 조언을 제공합니다. NFT 관련 문제에 대한 전문가로도 활동하고 있습니다.
여기에 표현된 견해는 인용된 개별 AH Capital Management, LLC("a16z") 직원의 견해이며 16z 또는 그 계열사의 견해가 아닙니다. 여기에 포함된 특정 정보는 16z가 관리하는 펀드의 포트폴리오 회사를 포함하여 제16자 출처에서 얻은 것입니다. 신뢰할 수 있다고 여겨지는 출처에서 가져왔지만 16z는 그러한 정보를 독립적으로 검증하지 않았으며 정보의 지속적인 정확성이나 주어진 상황에 대한 적절성에 대해 어떠한 진술도 하지 않습니다. 또한 이 콘텐츠에는 타사 광고가 포함될 수 있습니다. XNUMXz는 그러한 광고를 검토하지 않았으며 여기에 포함된 광고 콘텐츠를 보증하지 않습니다.
이 콘텐츠는 정보 제공의 목적으로만 제공되며 법률, 비즈니스, 투자 또는 세금 관련 조언에 의존해서는 안 됩니다. 그러한 문제에 관해서는 자신의 고문과 상의해야 합니다. 증권 또는 디지털 자산에 대한 언급은 설명을 위한 것일 뿐이며 투자 추천이나 투자 자문 서비스 제공을 의미하지 않습니다. 또한, 이 콘텐츠는 투자자 또는 예비 투자자를 대상으로 하거나 사용하도록 의도되지 않았으며, 어떤 상황에서도 a16z가 관리하는 펀드에 투자하기로 결정할 때 의존할 수 없습니다. (16z 펀드에 대한 투자 제안은 사모 투자 각서, 청약 계약서 및 해당 펀드의 기타 관련 문서에 의해서만 이루어지며 전체 내용을 읽어야 합니다.) 언급되거나 언급된 모든 투자 또는 포트폴리오 회사 설명된 내용은 16z가 관리하는 차량에 대한 모든 투자를 대표하는 것은 아니며 투자가 수익성이 있거나 미래에 수행되는 다른 투자가 유사한 특성 또는 결과를 가질 것이라는 보장이 없습니다. Andreessen Horowitz가 관리하는 펀드의 투자 목록(발행자가 16z가 공개적으로 공개하도록 허가하지 않은 투자 및 공개적으로 거래되는 디지털 자산에 대한 미고지 투자 제외)은 https://a16z.com/investments에서 볼 수 있습니다. /.
내부에 제공된 차트와 그래프는 정보 제공의 목적으로만 사용되며 투자 결정을 내릴 때 의존해서는 안 됩니다. 과거의 성과는 미래의 결과를 나타내지 않습니다. 내용은 표시된 날짜 현재만 말합니다. 이 자료에 표현된 모든 예측, 추정, 예측, 목표, 전망 및/또는 의견은 예고 없이 변경될 수 있으며 다른 사람이 표현한 의견과 다르거나 반대될 수 있습니다. 추가 중요 정보는 https://a16z.com/disclosures를 참조하십시오.
