Veel web3-projecten omarmen stemmen zonder toestemming met behulp van een vervangbare en verhandelbare native token. Stemmen zonder toestemming kan veel voordelen bieden, van het verlagen van de toetredingsdrempels tot het vergroten van de concurrentie. Houders van tokens kunnen hun tokens gebruiken om te stemmen over een reeks kwesties, van eenvoudige parameteraanpassingen tot de herziening van het governanceproces zelf. (Voor een overzicht van DAO-governance, zie โLichtsnelheid Democratie. ") Maar stemmen zonder toestemming is kwetsbaar voor bestuursaanvallen, waarbij een aanvaller op legitieme wijze stemkracht verwerft (bijvoorbeeld door tokens op de open markt te kopen), maar die stemkracht gebruikt om het protocol te manipuleren in het voordeel van de aanvaller. Deze aanvallen zijn puur 'in-protocol', wat betekent dat ze niet kunnen worden aangepakt door middel van cryptografie. In plaats van, het voorkomen van ze vereisen een doordacht mechanismeontwerp. Daarom hebben we een raamwerk ontwikkeld om DAO's te helpen de dreiging te beoordelen en mogelijk dergelijke aanvallen tegen te gaan.
Bestuursaanvallen in de praktijk
Het probleem van bestuursaanvallen is niet alleen theoretisch. ze niet alleen wel gebeuren in de echte wereld, maar dat hebben ze al gedaan en zullen dat blijven doen.
In een prominent voorbeeld, Steemit, een startup die een gedecentraliseerd sociaal netwerk bouwde op hun blockchain, Steem, had een on-chain governancesysteem gecontroleerd door 20 getuigen. Kiezers gebruikten hun STEEM-tokens (de eigen valuta van het platform) om de getuigen te kiezen. Terwijl Steemit en Steem aan kracht wonnen, had Justin Sun plannen ontwikkeld om Steem samen te voegen met Tron, een blockchain-protocol dat hij in 2018 had opgericht. 30 procent van het totale aanbod. Toen de toenmalige Steem-getuigen zijn aankoop ontdekten, bevroor ze de tokens van Sun. Wat volgde was een publiek heen en weer tussen Sun en Steem om genoeg tokens te controleren om hun favoriete lijst van top 20-getuigen te installeren. Na het betrekken van grote uitwisselingen en het uitgeven van honderdduizenden dollars aan tokens, won Sun uiteindelijk en had effectief vrij spel over het netwerk.
In een ander exemplaar, Beanstalk, een stablecoin-protocol, was vatbaar voor governance-aanvallen via flashloan. Een aanvaller nam een โโlening om genoeg van Beanstalk's governance-token te verwerven om onmiddellijk een kwaadaardig voorstel door te geven waarmee ze $ 182 miljoen aan Beanstalk-reserves konden grijpen. In tegenstelling tot de Steem-aanval gebeurde deze binnen de tijdspanne van een enkel blok, wat betekende dat het voorbij was voordat iemand tijd had om te reageren.
Hoewel deze twee aanvallen in het openbaar en onder het publieke oog plaatsvonden, kunnen bestuursaanvallen ook heimelijk over een lange periode worden uitgevoerd. Een aanvaller kan talloze anonieme accounts aanmaken en langzaam governance-tokens verzamelen, terwijl hij zich net als elke andere houder gedraagt โโom verdenking te voorkomen. Gezien de lage kiezersparticipatie in veel DAO's, kunnen die accounts zelfs voor een langere periode sluimeren zonder argwaan te wekken. Vanuit het perspectief van de DAO zouden de anonieme accounts van de aanvaller kunnen bijdragen aan het verschijnen van een gezond niveau van gedecentraliseerd stemrecht. Maar uiteindelijk zou de aanvaller een drempel kunnen bereiken waarop deze sybil-portefeuilles de macht hebben om eenzijdig het bestuur te controleren zonder dat de gemeenschap kan reageren. Evenzo kunnen kwaadwillende actoren voldoende stemkracht verwerven om het bestuur te controleren wanneer de opkomst voldoende laag is, en vervolgens proberen kwaadaardige voorstellen door te geven wanneer veel andere tokenhouders inactief zijn.
En hoewel we misschien denken dat alle governance-acties slechts het resultaat zijn van marktwerking, kan governance in de praktijk soms inefficiรซnte resultaten opleveren als gevolg van falende prikkels of andere kwetsbaarheden in het ontwerp van een protocol. Net zoals overheidsbeleid kan worden vastgelegd door belangengroepen of zelfs eenvoudige traagheid, kan DAO-governance leiden tot inferieure resultaten als het niet goed is gestructureerd.
Dus hoe kunnen we dergelijke aanvallen aanpakken door middel van mechanismeontwerp?
De fundamentele uitdaging: niet te onderscheiden
Marktmechanismen voor tokentoewijzing maken geen onderscheid tussen gebruikers die willen maken waardevol bijdragen aan een project en aanvallers die grote waarde hechten aan het verstoren of anderszins beheersen ervan. In een wereld waar tokens op een openbare marktplaats kunnen worden gekocht of verkocht, zijn beide groepen, vanuit marktperspectief, gedragsmatig niet te onderscheiden: beide zijn bereid om grote hoeveelheden tokens te kopen tegen steeds hogere prijzen.
Dit ononderscheidbaarheidsprobleem betekent dat gedecentraliseerd bestuur niet gratis is. In plaats daarvan worden protocolontwerpers geconfronteerd met fundamentele afwegingen tussen het openlijk decentraliseren van het bestuur en het beveiligen van hun systemen tegen aanvallers die gebruik willen maken van bestuursmechanismen. Hoe meer communityleden vrij zijn om bestuursmacht te verwerven en het protocol te beรฏnvloeden, hoe gemakkelijker het voor aanvallers is om datzelfde mechanisme te gebruiken om kwaadaardige wijzigingen aan te brengen.
Dit ononderscheidbaarheidsprobleem is bekend uit het ontwerp van Proof of Stake blockchain-netwerken. Ook daar, een zeer liquide markt in het token maakt het voor aanvallers gemakkelijker om voldoende belang te verwerven om de veiligheidsgaranties van het netwerk in gevaar te brengen. Niettemin maakt een combinatie van token-incentive en liquiditeitsontwerp Proof of Stake-netwerken mogelijk. Vergelijkbare strategieรซn kunnen helpen bij het beveiligen van DAO-protocollen.
Een raamwerk voor het beoordelen en aanpakken van kwetsbaarheid
Om de kwetsbaarheid waarmee verschillende projecten worden geconfronteerd te analyseren, gebruiken we een raamwerk dat wordt vastgelegd door de volgende vergelijking:
Om een โโprotocol als veilig te beschouwen tegen governance-aanvallen, moet de winst van een aanvaller negatief zijn. Bij het ontwerpen van de governanceregels voor een project kan deze vergelijking worden gebruikt als richtlijn voor het evalueren van de impact van verschillende ontwerpkeuzes. Om de prikkels om het protocol te exploiteren te verminderen, houdt de vergelijking drie duidelijke keuzes in: de waarde van aanvallen verlagen, de kosten van het verkrijgen van stemrecht verhogen en de kosten van het uitvoeren van aanvallen verhogen.
De waarde van aanvallen verminderen
Het kan moeilijk zijn om de waarde van een aanval te beperken, want hoe succesvoller een project wordt, hoe waardevoller een succesvolle aanval kan worden. Het is duidelijk dat een project niet opzettelijk zijn eigen succes mag saboteren om de waarde van een aanval te verminderen.
Niettemin kunnen ontwerpers de waarde van aanvallen beperken door de reikwijdte van wat governance kan doen te beperken. Als governance alleen de bevoegdheid omvat om bepaalde parameters in een project te wijzigen (bijv. rentetarieven op een uitleenprotocol), dan is de reikwijdte van potentiรซle aanvallen veel beperkter dan wanneer governance volledige algemene controle over het regerende slimme contract mogelijk maakt.
De reikwijdte van het bestuur kan een functie zijn van de fase van een project. In het begin van zijn leven kan een project uitgebreider worden bestuurd naarmate het zijn weg vindt, maar in de praktijk kan het bestuur streng worden gecontroleerd door het oprichtende team en de gemeenschap. Naarmate het project volwassener wordt en de controle decentraliseert, kan het zinvol zijn om enige mate van wrijving in het bestuur te introduceren, waarbij op zijn minst grote quorums nodig zijn voor de belangrijkste beslissingen.
De kosten van het verkrijgen van stemrecht verhogen
Een project kan ook stappen ondernemen om het verkrijgen van de stemkracht voor een aanslag moeilijker te maken. Hoe meer liquide het token, hoe gemakkelijker het is om dat stemrecht te eisen - bijna paradoxaal genoeg zouden projecten de liquiditeit willen verminderen om het bestuur te beschermen. Je zou kunnen proberen om de verhandelbaarheid van tokens op korte termijn direct te verminderen, maar dat is technisch niet haalbaar.
Om de liquiditeit indirect te verminderen, kunnen projecten prikkels bieden die individuele tokenhouders minder bereid maken om te verkopen. Dit kan worden gedaan door staking te stimuleren, of door tokens op zichzelf staande waarde te geven die verder gaat dan puur beheer. Hoe meer waarde tokenhouders krijgen, hoe meer ze in lijn raken met het succes van het project.
Op zichzelf staande tokenvoordelen kunnen toegang zijn tot persoonlijke evenementen of sociale ervaringen. Cruciaal is dat voordelen zoals deze van grote waarde zijn voor individuen die bij het project zijn aangesloten, maar zijn nutteloos voor een aanvaller. Het bieden van dit soort voordelen verhoogt de effectieve prijs waarmee een aanvaller wordt geconfronteerd bij het verwerven van tokens: huidige houders zullen minder bereid zijn om te verkopen vanwege de op zichzelf staande voordelen, die de marktprijs zouden moeten verhogen; maar hoewel de aanvaller de hogere prijs moet betalen, verhoogt de aanwezigheid van de op zichzelf staande functies de waarde van de aanvaller niet om het token te verwerven.
De kosten van het uitvoeren van aanvallen verhogen
Naast het verhogen van de kosten van stemrecht, is het mogelijk om fricties te introduceren die het voor een aanvaller moeilijker maken om stemrecht uit te oefenen, zelfs als ze tokens hebben verworven. Ontwerpers kunnen bijvoorbeeld een soort gebruikersauthenticatie nodig hebben om deel te nemen aan stemmen, zoals een KYC-controle (ken uw klant) of een reputatiescoredrempel. Je zou zelfs het vermogen van een niet-geverifieerde actor om stemfiches te verkrijgen kunnen beperken, misschien door een aantal bestaande validators te vereisen om de legitimiteit van nieuwe partijen te bevestigen.
In zekere zin is dit precies de manier waarop veel projecten hun initiรซle tokens distribueren, zodat vertrouwde partijen een aanzienlijk deel van het stemrecht beheersen. (Veel Proof of Stake-oplossingen gebruiken vergelijkbare technieken om hun veiligheid te verdedigen - streng controleren wie toegang heeft tot early stakes en van daaruit geleidelijk decentraliseren.)
Als alternatief kunnen projecten ervoor zorgen dat, zelfs als een aanvaller een aanzienlijk deel van het stemrecht beheert, hij nog steeds problemen ondervindt bij het doorgeven van kwaadaardige voorstellen. Sommige projecten hebben bijvoorbeeld tijdsloten, zodat een munt enige tijd niet kan worden gebruikt om te stemmen nadat deze is ingewisseld. Dus een aanvaller die een grote hoeveelheid tokens wil kopen of lenen, zou extra kosten moeten maken door te wachten voordat ze daadwerkelijk kunnen stemmen - evenals het risico dat stemgerechtigde leden hun toekomstige aanval in de tussentijd zouden opmerken en verijdelen. Delegatie kan ook nuttig zijn hier. Door actieve, maar niet-kwaadwillende deelnemers het recht te geven om namens hen te stemmen, kunnen personen die geen bijzonder actieve rol in het bestuur willen spelen, toch hun stemrecht bijdragen aan de bescherming van het systeem.
Sommige projecten gebruiken vetorecht waardoor een stemming enige tijd kan worden uitgesteld om inactieve kiezers te waarschuwen voor een potentieel gevaarlijk voorstel. Bij een dergelijk systeem hebben kiezers, zelfs als een aanvaller een kwaadaardig voorstel doet, de mogelijkheid om te reageren en het af te sluiten. Het idee achter deze en soortgelijke ontwerpen is om te voorkomen dat een aanvaller een kwaadaardig voorstel binnensluipt en om de gemeenschap van een project de tijd te geven om een โโreactie te formuleren. Idealiter hoeven voorstellen die duidelijk in overeenstemming zijn met het goede van het protocol niet met deze wegversperringen te worden geconfronteerd.
At Zelfstandige naamwoorden DAO, het vetorecht is bijvoorbeeld in handen van de Stichting Zelfstandige naamwoorden totdat de DAO zelf klaar is om een โโalternatief schema te implementeren. Zoals ze op hun website schreven: "De Nouns Foundation zal een veto uitspreken over voorstellen die niet-triviale juridische of existentiรซle risico's introduceren voor de Nouns DAO of de Nouns Foundation."
* * *
Projecten moeten een evenwicht vinden om een โโzekere mate van openheid voor veranderingen in de gemeenschap mogelijk te maken (wat soms onpopulair kan zijn), terwijl kwaadaardige voorstellen niet door de kieren glippen. Er is vaak maar รฉรฉn kwaadaardig voorstel nodig om een โโprotocol neer te halen, dus een duidelijk begrip van de risico-afweging tussen het accepteren en afwijzen van voorstellen is cruciaal. En natuurlijk bestaat er een afweging op hoog niveau tussen het waarborgen van governance-beveiliging en het mogelijk maken van governance - elk mechanisme dat wrijving veroorzaakt om een โโpotentiรซle aanvaller te blokkeren, maakt het governanceproces natuurlijk ook uitdagender om te gebruiken.
De oplossingen die we hier hebben geschetst, vallen op een spectrum tussen volledig gedecentraliseerd bestuur en het gedeeltelijk opofferen van enkele idealen van decentralisatie voor de algehele gezondheid van het protocol. Ons raamwerk belicht verschillende wegen die projecten kunnen kiezen om ervoor te zorgen dat governance-aanvallen niet winstgevend zullen zijn. We hopen dat de gemeenschap het raamwerk zal gebruiken om deze mechanismen verder te ontwikkelen door middel van hun eigen experimenten om DAO's in de toekomst nog veiliger te maken.
***
Pranav Garimidi is een rijzende junior aan de Columbia University en een Summer Research Intern bij a16z cryptovaluta.
Scott Duke Kominers is hoogleraar bedrijfskunde aan de Harvard Business School, een faculteitsfiliaal van het Harvard Department of Economics en een onderzoekspartner bij a16z cryptovaluta.
Tim Roughgarden is hoogleraar computerwetenschappen en lid van het Data Science Institute aan de Columbia University, en hoofd onderzoek bij a16z cryptovaluta.
***
Dankbetuiging: We waarderen nuttige opmerkingen en suggesties van Andy Hal. Speciale dank ook aan onze redacteur, Tim Sullivan.
***
Openbaarmakingen: Kominers bezit een aantal crypto-tokens en maakt deel uit van veel NFT-gemeenschappen; hij adviseert verschillende marktplaatsbedrijven, startups en cryptoprojecten; en hij treedt ook op als expert op het gebied van NFT-gerelateerde zaken.
De standpunten die hier naar voren worden gebracht, zijn die van het individuele personeel van AH Capital Management, LLC (โa16zโ) dat wordt geciteerd en zijn niet de standpunten van a16z of haar gelieerde ondernemingen. Bepaalde informatie in dit document is verkregen uit externe bronnen, waaronder van portefeuillebedrijven van fondsen die worden beheerd door a16z. Hoewel ontleend aan bronnen die betrouwbaar worden geacht, heeft a16z dergelijke informatie niet onafhankelijk geverifieerd en doet het geen uitspraken over de blijvende nauwkeurigheid van de informatie of de geschiktheid ervan voor een bepaalde situatie. Bovendien kan deze inhoud advertenties van derden bevatten; a16z heeft dergelijke advertenties niet beoordeeld en keurt de daarin opgenomen advertentie-inhoud niet goed.
Deze inhoud is uitsluitend bedoeld voor informatieve doeleinden en mag niet worden beschouwd als juridisch, zakelijk, investerings- of belastingadvies. U dient hierover uw eigen adviseurs te raadplegen. Verwijzingen naar effecten of digitale activa zijn alleen voor illustratieve doeleinden en vormen geen beleggingsaanbeveling of aanbod om beleggingsadviesdiensten te verlenen. Bovendien is deze inhoud niet gericht op of bedoeld voor gebruik door beleggers of potentiรซle beleggers, en mag er in geen geval op worden vertrouwd bij het nemen van een beslissing om te beleggen in een fonds dat wordt beheerd door a16z. (Een aanbod om te beleggen in een a16z-fonds wordt alleen gedaan door middel van het onderhandse plaatsingsmemorandum, de inschrijvingsovereenkomst en andere relevante documentatie van een dergelijk fonds en moet in hun geheel worden gelezen.) Alle genoemde beleggingen of portefeuillebedrijven waarnaar wordt verwezen, of beschreven zijn niet representatief voor alle investeringen in voertuigen die door a16z worden beheerd, en er kan geen garantie worden gegeven dat de investeringen winstgevend zullen zijn of dat andere investeringen die in de toekomst worden gedaan vergelijkbare kenmerken of resultaten zullen hebben. Een lijst van investeringen die zijn gedaan door fondsen die worden beheerd door Andreessen Horowitz (met uitzondering van investeringen waarvoor de uitgevende instelling geen toestemming heeft gegeven aan a16z om openbaar te maken, evenals onaangekondigde investeringen in openbaar verhandelde digitale activa) is beschikbaar op https://a16z.com/investments /.
De grafieken en grafieken die hierin worden verstrekt, zijn uitsluitend bedoeld voor informatieve doeleinden en er mag niet op worden vertrouwd bij het nemen van een investeringsbeslissing. In het verleden behaalde resultaten zijn geen indicatie voor toekomstige resultaten. De inhoud spreekt alleen vanaf de aangegeven datum. Alle projecties, schattingen, voorspellingen, doelstellingen, vooruitzichten en/of meningen die in deze materialen worden uitgedrukt, kunnen zonder voorafgaande kennisgeving worden gewijzigd en kunnen verschillen of in strijd zijn met meningen van anderen. Zie https://a16z.com/disclosures voor aanvullende belangrijke informatie.
- a16z cryptovaluta
- Andreessen Horowitz
- Bitcoin
- blockchain
- blockchain-naleving
- blockchain-conferentie
- coinbase
- vindingrijk
- Overeenstemming
- Crypto & Web3
- cryptoconferentie
- crypto mijnbouw
- cryptogeld
- gedecentraliseerde
- Defi
- Digitale activa
- ethereum
- machine learning
- niet-vervangbare token
- online communities
- Plato
- plato ai
- Plato gegevensintelligentie
- Platoblockchain
- PlatoData
- platogamen
- Veelhoek
- Bewijs van het belang
- W3
- zephyrnet
