Mange web3-prosjekter omfavner tillatelsesfri stemmegivning ved å bruke et fungibelt og omsettelig innfødt token. Tillatelsesløs stemmegivning kan gi mange fordeler, fra å senke adgangsbarrierer til økende konkurranse. Token-innehavere kan bruke sine tokens til å stemme på en rekke saker – fra enkle parameterjusteringer til overhaling av selve styringsprosessen. (For en gjennomgang av DAO-styring, se "Lyshastighetsdemokrati. ») Men tillatelsesløs stemmegivning er sårbar for styringsangrep, der en angriper får stemmerett på legitime måter (f.eks. ved å kjøpe tokens på det åpne markedet), men bruker denne stemmerett til å manipulere protokollen til angriperens egen fordel. Disse angrepene er rent "in-protokoll", noe som betyr at de ikke kan adresseres gjennom kryptografi. I stedet, hindre de krever gjennomtenkt mekanismedesign. For det formål har vi utviklet et rammeverk for å hjelpe DAO-er med å vurdere trusselen og potensielt motvirke slike angrep.
Styreangrep i praksis
Problemet med styringsangrep er ikke bare teoretisk. De ikke bare kan skje i den virkelige verden, men de har allerede og vil fortsette å gjøre det.
In et fremtredende eksempel, Steemit, en oppstart som bygger et desentralisert sosialt nettverk på blokkjeden deres, Steem, hadde et styringssystem på kjeden kontrollert av 20 vitner. Velgerne brukte sine STEEM-tokens (plattformens opprinnelige valuta) for å velge vitnene. Mens Steemit og Steem fikk gjennomslag, hadde Justin Sun utviklet planer om å slå sammen Steem til Tron, en blokkjedeprotokoll han hadde grunnlagt i 2018. For å skaffe seg stemmerett til å gjøre det, henvendte Sun seg til en av grunnleggerne av Steem og kjøpte tokens tilsvarende 30 prosent av det totale tilbudet. Når de daværende Steem-vitnene oppdaget kjøpet hans, frøs de Suns tokens. Det som fulgte var en offentlig frem og tilbake mellom Sun og Steem for å kontrollere nok tokens til å installere deres foretrukne liste over topp 20 vitner. Etter å ha involvert store børser og brukt hundretusenvis av dollar på tokens, vant Sun til slutt og hadde faktisk fritt styre over nettverket.
In et annet eksempel, Beanstalk, en stablecoin-protokoll, fant seg mottakelig for styringsangrep via flashloan. En angriper tok opp et lån for å skaffe nok av Beanstalks styringstoken til å umiddelbart vedta et ondsinnet forslag som tillot dem å beslaglegge 182 millioner dollar av Beanstalks reserver. I motsetning til Steem-angrepet, skjedde dette i løpet av en enkelt blokk, noe som betydde at det var over før noen rakk å reagere.
Mens disse to angrepene skjedde i det åpne og under offentlighetens øyne, kan styringsangrep også utføres i det skjulte over lang tid. En angriper kan opprette en rekke anonyme kontoer og sakte akkumulere styringstokener, mens han oppfører seg akkurat som enhver annen innehaver for å unngå mistanke. Faktisk, gitt hvor lav velgerdeltakelse har en tendens til å være i mange DAO-er, kan disse kontoene ligge i dvale i en lengre periode uten å vekke mistanke. Fra DAOs perspektiv kan angriperens anonyme kontoer bidra til at det fremstår et sunt nivå av desentralisert stemmerett. Men til slutt kan angriperen nå en terskel der disse sybil-lommebøkene har makt til å ensidig kontrollere styringen uten at samfunnet kan svare. På samme måte kan ondsinnede aktører få nok stemmerett til å kontrollere styring når valgdeltakelsen er tilstrekkelig lav, og deretter prøve å vedta ondsinnede forslag når mange andre token-innehavere er inaktive.
Og selv om vi kanskje tror at alle styringshandlinger bare er et resultat av markedskrefter i arbeid, kan styring i praksis noen ganger gi ineffektive resultater som et resultat av insentivsvikt eller andre sårbarheter i utformingen av en protokoll. Akkurat som regjeringens politikk kan bli fanget av interessegrupper eller til og med enkel treghet, kan DAO-styring føre til dårligere resultater hvis den ikke er strukturert riktig.
Så hvordan kan vi adressere slike angrep gjennom mekanismedesign?
Den grunnleggende utfordringen: Utskillelighet
Markedsmekanismer for tokenallokering klarer ikke å skille mellom brukere som ønsker å gjøre verdifull bidrag til et prosjekt og angripere som legger stor vekt på å forstyrre eller på annen måte kontrollere det. I en verden hvor tokens kan kjøpes eller selges på en offentlig markedsplass, er begge disse gruppene, fra markedsperspektivet, atferdsmessig umulige å skille: begge er villige til å kjøpe store mengder tokens til stadig høyere priser.
Dette utskillelighetsproblemet betyr at desentralisert styring ikke kommer gratis. I stedet står protokolldesignere overfor grunnleggende avveininger mellom åpent desentraliserende styring og sikring av systemene sine mot angripere som forsøker å utnytte styringsmekanismer. Jo mer fellesskapsmedlemmer står fritt til å få styringsmakt og påvirke protokollen, jo lettere er det for angripere å bruke den samme mekanismen til å gjøre ondsinnede endringer.
Dette problemet med å skille seg ut er kjent fra utformingen av Proof of Stake-blokkjedenettverk. Der også, a svært likvide marked i tokenet gjør det lettere for angripere å skaffe nok eierandeler til å kompromittere nettverkets sikkerhetsgarantier. Likevel gjør en blanding av symbolske insentiv og likviditetsdesign Proof of Stake-nettverk mulig. Lignende strategier kan bidra til å sikre DAO-protokoller.
Et rammeverk for å vurdere og adressere sårbarhet
For å analysere sårbarheten ulike prosjekter står overfor, bruker vi et rammeverk fanget opp av følgende ligning:
For at en protokoll skal anses som sikker mot styringsangrep, bør en angripers fortjeneste være negativ. Ved utforming av styringsreglene for et prosjekt, kan denne ligningen brukes som en guidepost for å evaluere effekten av ulike designvalg. For å redusere insentivene til å utnytte protokollen, innebærer ligningen tre klare valg: redusere verdien av angrep, øke kostnadene ved å skaffe seg stemmerettog øke kostnadene ved å utføre angrep.
Redusere verdien av angrep
Å begrense verdien av et angrep kan være vanskelig fordi jo mer vellykket et prosjekt blir, jo mer verdifullt kan et vellykket angrep bli. Det er klart at et prosjekt ikke med vilje skal sabotere sin egen suksess bare for å redusere verdien av et angrep.
Likevel kan designere begrense verdien av angrep ved å begrense omfanget av hva styring kan gjøre. Hvis styring bare inkluderer makt til å endre visse parametere i et prosjekt (f.eks. renter på en utlånsprotokoll), så er omfanget av potensielle angrep mye smalere enn når styring tillater fullstendig generell kontroll over den styrende smarte kontrakten.
Styringsomfang kan være en funksjon av et prosjekts stadium. Tidlig i livet kan et prosjekt ha mer ekspansiv styring etter hvert som det finner fotfeste, men i praksis kan styring være tett kontrollert av grunnleggerteamet og fellesskapet. Etter hvert som prosjektet modnes og desentraliserer kontrollen, kan det være fornuftig å innføre en viss grad av friksjon i styringen – i det minste kreves det store beslutningsdyktighet for de viktigste beslutningene.
Å øke kostnadene ved å skaffe stemmerett
Et prosjekt kan også iverksette tiltak for å gjøre det vanskeligere å få den stemmestyrken som trengs for et angrep. Jo mer likvid tokenet er, desto lettere er det å kreve den stemmestyrken – så nesten paradoksalt nok kan prosjekter ønske å redusere likviditeten for å beskytte styresett. Man kan prøve å redusere kortsiktig omsettelighet av tokens direkte, men det kan være teknisk umulig.
For å redusere likviditeten indirekte, kan prosjekter gi insentiver som gjør individuelle token-innehavere mindre villige til å selge. Dette kan gjøres ved å stimulere til innsats, eller ved å gi tokens frittstående verdi utover ren styring. Jo mer verdi som tilfaller token-innehavere, jo mer tilpasset blir de med suksessen til prosjektet.
Frittstående token-fordeler kan inkludere tilgang til personlige arrangementer eller sosiale opplevelser. Avgjørende er fordeler som disse av høy verdi for individer som er på linje med prosjektet, men er ubrukelige for en angriper. Å tilby denne typen fordeler øker den effektive prisen en angriper møter når han anskaffer tokens: nåværende innehavere vil være mindre villige til å selge på grunn av de frittstående fordelene, som bør øke markedsprisen; Selv om angriperen må betale den høyere prisen, øker ikke tilstedeværelsen av de frittstående funksjonene angriperens verdi fra å skaffe seg tokenet.
Å øke kostnadene ved å utføre angrep
I tillegg til å øke kostnadene for stemmerett, er det mulig å innføre friksjoner som gjør det vanskeligere for en angriper å utøve stemmerett selv når de har skaffet seg tokens. For eksempel kan designere kreve en slags brukerautentisering for å delta i avstemninger, for eksempel en KYC-sjekk (kjenn kunden din) eller omdømmegrense. Man kan til og med begrense muligheten for en uautentisert aktør til å skaffe seg stemmebrikker i utgangspunktet, kanskje kreve et sett med eksisterende validatorer for å attestere legitimiteten til nye partier.
På en eller annen måte er dette akkurat måten mange prosjekter distribuerer sine første tokens på, og sørger for at pålitelige parter kontrollerer en betydelig brøkdel av stemmestyrken. (Mange Proof of Stake-løsninger bruker lignende teknikker for å forsvare sikkerheten deres – kontrollerer nøye hvem som har tilgang til tidlig innsats, og desentraliserer deretter gradvis derfra.)
Alternativt kan prosjekter gjøre det slik at selv om en angriper kontrollerer en betydelig mengde stemmestyrke, har de fortsatt problemer med å sende ondsinnede forslag. For eksempel har noen prosjekter tidslåser slik at en mynt ikke kan brukes til å stemme i en periode etter at den har blitt byttet. En angriper som forsøker å kjøpe eller låne en stor mengde tokens vil derfor få ekstra kostnader ved å vente før de faktisk kan stemme – i tillegg til risikoen for at stemmeberettigede medlemmer vil legge merke til og hindre deres potensielle angrep i mellomtiden. Delegasjon kan også være nyttig her. Ved å gi aktive, men ikke-ondsinnede deltakere rett til å stemme på deres vegne, kan enkeltpersoner som ikke ønsker å ta en særlig aktiv rolle i styringen fortsatt bidra med sin stemmerett til å beskytte systemet.
Noen prosjekter bruker vetorett som gjør at en avstemning kan utsettes i en periode for å varsle inaktive velgere om et potensielt farlig forslag. Under en slik ordning, selv om en angriper kommer med et ondsinnet forslag, har velgerne muligheten til å svare og stenge det. Ideen bak disse og lignende designene er å stoppe en angriper fra å snike et ondsinnet forslag gjennom og gi et prosjekts fellesskap tid til å formulere et svar. Ideelt sett vil forslag som tydelig stemmer overens med protokollens gode ikke måtte møte disse veisperringene.
At Substantiv DAO, for eksempel innehas vetorett av Substantivstiftelsen inntil DAO selv er klar til å implementere et alternativt skjema. Som de skrev på nettstedet deres, "The Nouns Foundation vil nedlegge veto mot forslag som introduserer ikke-trivielle juridiske eller eksistensielle risikoer for Substantiv DAO eller Nouns Foundation."
* * *
Prosjekter må finne en balanse for å tillate en viss grad av åpenhet for endringer i samfunnet (som til tider kan være upopulære), samtidig som de ikke lar ondsinnede forslag slippe gjennom sprekkene. Det tar ofte bare ett ondsinnet forslag for å få ned en protokoll, så det er avgjørende å ha en klar forståelse av risikoen ved å akseptere kontra å avvise forslag. Og selvfølgelig eksisterer det en avveining på høyt nivå mellom å sikre styringssikkerhet og å gjøre styring mulig – enhver mekanisme som introduserer friksjon for å blokkere en potensiell angriper gjør selvfølgelig også styringsprosessen mer utfordrende å bruke.
Løsningene vi har skissert her faller på et spekter mellom fullstendig desentralisert styring og delvis ofring av noen idealer om desentralisering for den generelle helsen til protokollen. Rammeverket vårt fremhever ulike veier prosjekter kan velge når de søker å sikre at styringsangrep ikke vil være lønnsomme. Vi håper fellesskapet vil bruke rammeverket til å videreutvikle disse mekanismene gjennom sine egne eksperimenter for å gjøre DAOer enda sikrere i fremtiden.
***
Pranav Garimidi er en voksende junior ved Columbia University og en Summer Research Intern ved a16z krypto.
Scott Duke Kominer er professor i forretningsadministrasjon ved Harvard Business School, fakultetstilknyttet ved Harvard Department of Economics, og forskningspartner ved a16z krypto.
Tim Roughgarden er professor i informatikk og medlem av Data Science Institute ved Columbia University, og forskningssjef ved a16z krypto.
***
Anerkjennelser: Vi setter pris på nyttige kommentarer og forslag fra Andy Hall. En spesiell takk også til vår redaktør, Tim Sullivan.
***
Avsløringer: Kominer har en rekke krypto-tokens og er en del av mange NFT-samfunn; han gir råd til ulike markedsplassbedrifter, startups og kryptoprosjekter; og han fungerer også som ekspert på NFT-relaterte saker.
Synspunktene som uttrykkes her er de fra individuelle AH Capital Management, LLC (“a16z”) personell som er sitert og er ikke synspunktene til a16z eller dets tilknyttede selskaper. Visse opplysninger her er innhentet fra tredjepartskilder, inkludert fra porteføljeselskaper av fond forvaltet av a16z. Selv om a16z er hentet fra kilder som antas å være pålitelige, har ikke a16z uavhengig verifisert slik informasjon og gir ingen representasjoner om den varige nøyaktigheten til informasjonen eller dens hensiktsmessighet for en gitt situasjon. I tillegg kan dette innholdet inkludere tredjepartsannonser; aXNUMXz har ikke vurdert slike annonser og støtter ikke noe reklameinnhold som finnes deri.
Dette innholdet er kun gitt for informasjonsformål, og bør ikke stoles på som juridisk, forretningsmessig, investerings- eller skatterådgivning. Du bør rådføre deg med dine egne rådgivere om disse sakene. Referanser til verdipapirer eller digitale eiendeler er kun for illustrasjonsformål, og utgjør ikke en investeringsanbefaling eller tilbud om å tilby investeringsrådgivningstjenester. Videre er dette innholdet ikke rettet mot eller ment for bruk av noen investorer eller potensielle investorer, og kan ikke under noen omstendigheter stoles på når du tar en beslutning om å investere i et fond som forvaltes av a16z. (Et tilbud om å investere i et a16z-fond vil kun gis av det private emisjonsmemorandumet, tegningsavtalen og annen relevant dokumentasjon for et slikt fond og bør leses i sin helhet.) Eventuelle investeringer eller porteføljeselskaper nevnt, referert til, eller beskrevet er ikke representative for alle investeringer i kjøretøy forvaltet av a16z, og det kan ikke gis noen garanti for at investeringene vil være lønnsomme eller at andre investeringer som gjøres i fremtiden vil ha lignende egenskaper eller resultater. En liste over investeringer foretatt av fond forvaltet av Andreessen Horowitz (unntatt investeringer som utstederen ikke har gitt tillatelse til at a16z kan offentliggjøre så vel som uanmeldte investeringer i børsnoterte digitale eiendeler) er tilgjengelig på https://a16z.com/investments /.
Diagrammer og grafer gitt i er kun for informasjonsformål og bør ikke stoles på når du tar investeringsbeslutninger. Tidligere resultater er ikke en indikasjon på fremtidige resultater. Innholdet taler kun fra den angitte datoen. Eventuelle anslag, estimater, prognoser, mål, prospekter og/eller meninger uttrykt i dette materialet kan endres uten varsel og kan avvike eller være i strid med meninger uttrykt av andre. Vennligst se https://a16z.com/disclosures for ytterligere viktig informasjon.
- a16z krypto
- Andreessen Horowitz
- Bitcoin
- blockchain
- blockchain-overholdelse
- blockchain konferanse
- coinbase
- coingenius
- Konsensus
- Krypto og web3
- kryptokonferanse
- krypto gruvedrift
- cryptocurrency
- desentralisert
- Defi
- Digitale eiendeler
- ethereum
- maskinlæring
- ikke soppbart token
- nettsamfunn
- plato
- plato ai
- Platon Data Intelligence
- Platoblokkjede
- PlatonData
- platogaming
- polygon
- bevis på innsatsen
- W3
- zephyrnet
