Multe proiecte web3 îmbrățișează votul fără permisiune folosind un token nativ fungibil și tranzacționabil. Votul fără permisiune poate oferi multe beneficii, de la reducerea barierelor la intrare până la creșterea concurenței. Deținătorii de jetoane își pot folosi jetoanele pentru a vota o serie de probleme — de la simple ajustări ale parametrilor până la revizuirea procesului de guvernare în sine. (Pentru o revizuire a guvernării DAO, vezi „Democrația viteză a luminii"). Dar votul fără permisiune este vulnerabil la atacuri de guvernare, în care un atacator dobândește putere de vot prin mijloace legitime (de exemplu, cumpărând jetoane pe piața liberă), dar folosește această putere de vot pentru a manipula protocolul în beneficiul atacatorului. Aceste atacuri sunt pur „în protocol”, ceea ce înseamnă că nu pot fi abordate prin criptografie. In schimb, prevenirea ele necesită o proiectare atentă a mecanismului. În acest scop, am dezvoltat un cadru pentru a ajuta DAO să evalueze amenințarea și să contracareze eventual astfel de atacuri.
Atacurile la guvernare în practică
Problema atacurilor la guvernare nu este doar teoretică. Ei nu numai poate să se întâmplă în lumea reală, dar au făcut deja și vor continua.
In un exemplu proeminent, Steemit, un startup care construiește o rețea socială descentralizată pe blockchain-ul lor, Steem, avea un sistem de guvernare în lanț controlat de 20 de martori. Alegătorii și-au folosit jetoanele STEEM (moneda nativă a platformei) pentru a alege martorii. În timp ce Steemit și Steem câștigau acțiune, Justin Sun dezvoltase planuri de a fuziona Steem în Tron, un protocol blockchain pe care îl fondase în 2018. Pentru a dobândi puterea de vot pentru a face acest lucru, Sun a abordat unul dintre fondatorii Steem și a cumpărat jetoane echivalente cu 30 la sută din totalul ofertei. Odată ce actualii martori Steem au descoperit achiziția lui, au înghețat jetoanele lui Sun. Ceea ce a urmat a fost un dus-întors public între Sun și Steem pentru a controla suficiente jetoane pentru a instala lista lor preferată de primii 20 de martori. După ce a implicat schimburi majore și a cheltuit sute de mii de dolari pe jetoane, Sun a fost în cele din urmă victorios și a avut efectiv putere liberă asupra rețelei.
In un alt exemplu, Beanstalk, un protocol stablecoin, s-a dovedit susceptibil la atacuri de guvernare prin împrumut flash. Un atacator a luat un împrumut pentru a achiziționa suficient token de guvernare al lui Beanstalk pentru a trece instantaneu o propunere rău intenționată care le-a permis să sechestreze 182 de milioane de dolari din rezervele lui Beanstalk. Spre deosebire de atacul Steem, acesta s-a întâmplat în intervalul unui singur bloc, ceea ce însemna că s-a terminat înainte ca cineva să aibă timp să reacționeze.
În timp ce aceste două atacuri s-au petrecut în aer liber și sub ochii publicului, atacurile de guvernare pot fi, de asemenea, efectuate pe ascuns pe o perioadă lungă de timp. Un atacator ar putea să creeze numeroase conturi anonime și să acumuleze încet jetoane de guvernare, comportându-se în același timp ca orice alt deținător pentru a evita suspiciunea. De fapt, având în vedere cât de scăzută tinde să fie participarea alegătorilor în multe DAO, acele conturi ar putea rămâne latente pentru o perioadă lungă de timp, fără a ridica suspiciuni. Din perspectiva DAO, conturile anonime ale atacatorului ar putea contribui la apariția unui nivel sănătos de putere de vot descentralizată. Dar, în cele din urmă, atacatorul ar putea atinge un prag în care aceste portofele sybil au puterea de a controla unilateral guvernarea fără ca comunitatea să poată răspunde. În mod similar, actorii rău intenționați ar putea dobândi suficientă putere de vot pentru a controla guvernarea atunci când prezența la vot este suficient de scăzută și apoi ar putea încerca să treacă propuneri rău intenționate atunci când mulți alți deținători de jetoane sunt inactivi.
Și, deși am putea crede că toate acțiunile de guvernare sunt doar rezultatul forțelor pieței care lucrează, în practică, guvernanța poate produce uneori rezultate ineficiente ca urmare a eșecurilor stimulentelor sau a altor vulnerabilități în proiectarea unui protocol. Așa cum elaborarea politicilor guvernamentale poate fi captată de grupurile de interese sau chiar de simpla inerție, guvernarea DAO poate duce la rezultate inferioare dacă nu este structurată corespunzător.
Deci, cum putem aborda astfel de atacuri prin proiectarea mecanismelor?
Provocarea fundamentală: Indistinguirea
Mecanismele de piață pentru alocarea de tokenuri nu reușesc să facă distincția între utilizatorii care doresc să facă valoros contribuții la un proiect și atacatori care acordă o mare valoare perturbării sau controlării acestuia. Într-o lume în care jetoanele pot fi cumpărate sau vândute pe o piață publică, ambele grupuri sunt, din perspectiva pieței, indistincte din punct de vedere comportamental: ambele sunt dispuși să cumpere cantități mari de jetoane la prețuri din ce în ce mai mari.
Această problemă de indistinguire înseamnă că guvernarea descentralizată nu vine gratuit. În schimb, designerii de protocol se confruntă cu compromisuri fundamentale între descentralizarea deschisă a guvernării și securizarea sistemelor lor împotriva atacatorilor care doresc să exploateze mecanismele de guvernare. Cu cât mai mulți membri ai comunității sunt liberi să obțină putere de guvernare și să influențeze protocolul, cu atât le este mai ușor pentru atacatori să folosească același mecanism pentru a face modificări rău intenționate.
Această problemă de indistinguire este familiară din proiectarea rețelelor blockchain Proof of Stake. Tot acolo, a piata foarte lichida în token, le este mai ușor pentru atacatori să dobândească suficientă miză pentru a compromite garanțiile de securitate ale rețelei. Cu toate acestea, un amestec de stimulente și design de lichiditate face posibile rețelele Proof of Stake. Strategii similare pot ajuta la securizarea protocoalelor DAO.
Un cadru pentru evaluarea și abordarea vulnerabilității
Pentru a analiza vulnerabilitatea cu care se confruntă diferite proiecte, folosim un cadru capturat de următoarea ecuație:
Pentru ca un protocol să fie considerat sigur împotriva atacurilor de guvernare, profitul unui atacator ar trebui să fie negativ. La proiectarea regulilor de guvernare pentru un proiect, această ecuație poate fi folosită ca ghid pentru evaluarea impactului diferitelor alegeri de proiectare. Pentru a reduce stimulentele de a exploata protocolul, ecuația implică trei opțiuni clare: scade valoarea atacurilor, crește costul dobândirii puterii de vot, și crește costul executării atacurilor.
Scăderea valorii atacurilor
Limitarea valorii unui atac poate fi dificilă deoarece cu cât un proiect are mai mult succes, cu atât un atac de succes poate deveni mai valoros. În mod clar, un proiect nu ar trebui să-și saboteze în mod intenționat propriul succes doar pentru a scădea valoarea unui atac.
Cu toate acestea, designerii pot limita valoarea atacurilor prin limitarea domeniului de aplicare a ceea ce poate face guvernanța. Dacă guvernanța include doar puterea de a modifica anumiți parametri într-un proiect (de exemplu, ratele dobânzii la un protocol de creditare), atunci sfera potențialelor atacuri este mult mai restrânsă decât atunci când guvernanța permite controlul general pe deplin al contractului inteligent care guvernează.
Sfera de guvernare poate fi o funcție a stadiului unui proiect. La începutul vieții sale, un proiect ar putea avea o guvernare mai extinsă pe măsură ce își găsește temelia, dar în practică, guvernanța poate fi strâns controlată de echipa fondatoare și de comunitate. Pe măsură ce proiectul se maturizează și descentralizează controlul, ar putea avea sens să se introducă un anumit grad de fricțiune în guvernare – cel puțin, necesitând cvorumuri mari pentru cele mai semnificative decizii.
Creșterea costului dobândirii puterii de vot
Un proiect poate lua, de asemenea, măsuri pentru a îngreuna obținerea puterii de vot necesare unui atac. Cu cât simbolul este mai lichid, cu atât este mai ușor să solicitați acea putere de vot – așa că, în mod aproape paradoxal, proiectele ar putea dori să reducă lichiditatea de dragul protejării guvernării. S-ar putea încerca să reducă tranzacția pe termen scurt a jetoanelor în mod direct, dar acest lucru ar putea fi imposibil din punct de vedere tehnic.
Pentru a reduce lichiditatea în mod indirect, proiectele pot oferi stimulente care îi fac pe deținătorii individuali de token-uri mai puțin dispuși să vândă. Acest lucru se poate face prin stimularea staking-ului sau prin acordarea token-urilor de valoare independentă dincolo de guvernarea pură. Cu cât deținătorii de token-uri au mai multă valoare, cu atât aceștia devin mai aliniați cu succesul proiectului.
Beneficiile tokenului de sine stătătoare pot include accesul la evenimente în persoană sau experiențe sociale. În mod esențial, beneficiile ca acestea sunt de mare valoare pentru persoanele aliniate proiectului, dar sunt inutile pentru un atacator. Oferirea acestor tipuri de beneficii crește prețul efectiv cu care se confruntă un atacator atunci când achiziționează jetoane: deținătorii actuali vor fi mai puțin dispuși să vândă din cauza beneficiilor de sine stătătoare, care ar trebui să crească prețul pieței; totuși, în timp ce atacatorul trebuie să plătească prețul mai mare, prezența caracteristicilor de sine stătătoare nu crește valoarea atacatorului din achiziționarea jetonului.
Creșterea costurilor de execuție a atacurilor
Pe lângă creșterea costului puterii de vot, este posibil să se introducă fricțiuni care îngreunează exercitarea puterii de vot pentru un atacator chiar și după ce a achiziționat jetoane. De exemplu, designerii ar putea solicita un fel de autentificare a utilizatorului pentru a participa la voturi, cum ar fi o verificare KYC (cunoaște-ți clientul) sau un prag de scor de reputație. S-ar putea chiar limita capacitatea unui actor neautentificat de a achiziționa jetoane de vot în primul rând, poate necesitând un set de validatori existenți pentru a atesta legitimitatea noilor partide.
Într-un anumit sens, acesta este exact modul în care multe proiecte își distribuie token-urile inițiale, asigurându-se că părțile de încredere controlează o parte semnificativă a puterii de vot. (Multe soluții Proof of Stake folosesc tehnici similare pentru a-și apăra securitatea – controlând strict cine are acces la miza timpurie și apoi descentralizând progresiv de acolo.)
În mod alternativ, proiectele pot face astfel încât, chiar dacă un atacator controlează o cantitate substanțială de putere de vot, totuși se confruntă cu dificultăți în a trece propuneri rău intenționate. De exemplu, unele proiecte au blocări de timp, astfel încât o monedă nu poate fi folosită pentru a vota pentru o anumită perioadă de timp după ce a fost schimbată. Astfel, un atacator care încearcă să cumpere sau să împrumute o cantitate mare de jetoane s-ar confrunta cu costuri suplimentare din așteptarea înainte de a putea vota efectiv – precum și cu riscul ca membrii cu drept de vot să observe și să-și împiedice atacul potențial între timp. Delegație poate fi de asemenea de ajutor Aici. Oferind participanților activi, dar nerăușitori, dreptul de a vota în numele lor, persoanele care nu doresc să asume un rol deosebit de activ în guvernare își pot contribui în continuare cu puterea de vot la protejarea sistemului.
Unele proiecte folosesc drepturi de veto care permit amânarea votului pentru o anumită perioadă de timp pentru a alerta alegătorii inactivi despre o propunere potențial periculoasă. În cadrul unei astfel de scheme, chiar dacă un atacator face o propunere rău intenționată, alegătorii au capacitatea de a răspunde și de a o opri. Ideea din spatele acestor modele și a celor similare este de a opri un atacator să strecoare o propunere rău intenționată și de a oferi timp comunității unui proiect să formuleze un răspuns. În mod ideal, propunerile care se aliniază în mod clar cu binele protocolului nu vor trebui să se confrunte cu aceste blocaje.
At Substantive DAO, de exemplu, dreptul de veto este deținut de Fundația Substantive până la DAO însuși este gata să implementeze o schemă alternativă. După cum au scris pe site-ul lor, „Fundația Nouns va pune veto propunerilor care introduc riscuri juridice sau existențiale non-triviale pentru Nouns DAO sau Nouns Foundation”.
* * *
Proiectele trebuie să atingă un echilibru care să permită un anumit nivel de deschidere la schimbările comunității (care pot fi nepopulare uneori), fără a permite în același timp propunerilor rău intenționate să treacă prin fisuri. Adesea, este nevoie de o singură propunere rău intenționată pentru a anula un protocol, așa că este esențial să aveți o înțelegere clară a compromisului de risc al acceptării versus respingerii propunerilor. Și, desigur, există un compromis de nivel înalt între asigurarea securității guvernării și facerea guvernanței posibilă – orice mecanism care introduce frecări pentru a bloca un potențial atacator face, desigur, procesul de guvernare mai dificil de utilizat.
Soluțiile pe care le-am schițat aici se încadrează pe un spectru între guvernarea complet descentralizată și sacrificarea parțială a unor idealuri de descentralizare pentru sănătatea generală a protocolului. Cadrul nostru evidențiază diferite căi pe care proiectele le pot alege, deoarece încearcă să se asigure că atacurile de guvernare nu vor fi profitabile. Sperăm că comunitatea va folosi cadrul pentru a dezvolta în continuare aceste mecanisme prin propria lor experimentare, pentru a face DAO-urile și mai sigure în viitor.
***
Pranav Garimidi este un junior în ascensiune la Universitatea Columbia și un stagiar de cercetare de vară la a16z cripto.
Scott Duke Kominers este profesor de administrare a afacerilor la Harvard Business School, afiliat facultății al Departamentului de Economie de la Harvard și partener de cercetare la a16z cripto.
Tim Roughgarden este profesor de informatică și membru al Institutului de știință a datelor de la Universitatea Columbia și șef de cercetare la a16z cripto.
***
Mulțumiri: Apreciem comentariile și sugestiile utile de la Andy Hall. Mulțumiri speciale și editorului nostru, Tim Sullivan.
***
Dezvăluiri: Kominers deține o serie de jetoane cripto și face parte din multe comunități NFT; el consiliază diverse afaceri de piață, startup-uri și proiecte cripto; și servește, de asemenea, ca expert în chestiuni legate de NFT.
Părerile exprimate aici sunt cele ale personalului individual AH Capital Management, LLC („a16z”) citat și nu sunt punctele de vedere ale a16z sau ale afiliaților săi. Anumite informații conținute aici au fost obținute din surse terțe, inclusiv de la companii de portofoliu de fonduri administrate de a16z. Deși este luat din surse considerate a fi de încredere, a16z nu a verificat în mod independent astfel de informații și nu face nicio declarație cu privire la acuratețea durabilă a informațiilor sau adecvarea lor pentru o anumită situație. În plus, acest conținut poate include reclame de la terți; a16z nu a revizuit astfel de reclame și nu aprobă niciun conținut publicitar conținut în acestea.
Acest conținut este furnizat doar în scop informativ și nu ar trebui să fie bazat pe consiliere juridică, de afaceri, de investiții sau fiscală. Ar trebui să vă consultați propriii consilieri cu privire la aceste aspecte. Referințele la orice titluri de valoare sau active digitale au doar scop ilustrativ și nu constituie o recomandare de investiții sau o ofertă de a oferi servicii de consiliere în materie de investiții. În plus, acest conținut nu este îndreptat și nici nu este destinat utilizării de către niciun investitor sau potențial investitor și nu poate fi bazat în nicio circumstanță atunci când se ia o decizie de a investi într-un fond administrat de a16z. (Ofertă de a investi într-un fond a16z va fi făcută numai prin memoriul de plasament privat, acordul de subscriere și alte documente relevante ale oricărui astfel de fond și trebuie citită în întregime.) Orice investiții sau companii de portofoliu menționate, la care se face referire sau descrise nu sunt reprezentative pentru toate investițiile în vehicule administrate de a16z și nu poate exista nicio asigurare că investițiile vor fi profitabile sau că alte investiții realizate în viitor vor avea caracteristici sau rezultate similare. O listă a investițiilor realizate de fondurile gestionate de Andreessen Horowitz (excluzând investițiile pentru care emitentul nu a oferit permisiunea ca a16z să dezvăluie public, precum și investițiile neanunțate în active digitale tranzacționate public) este disponibilă la https://a16z.com/investments /.
Diagramele și graficele furnizate în cadrul sunt doar în scop informativ și nu trebuie să se bazeze pe acestea atunci când se ia vreo decizie de investiție. Performanța trecută nu indică rezultatele viitoare. Conținutul vorbește doar de la data indicată. Orice previziuni, estimări, prognoze, obiective, perspective și/sau opinii exprimate în aceste materiale pot fi modificate fără notificare și pot diferi sau pot fi contrare opiniilor exprimate de alții. Vă rugăm să consultați https://a16z.com/disclosures pentru informații suplimentare importante.
- a16z cripto
- Andreessen Horowitz
- Bitcoin
- blockchain
- respectarea blockchain-ului
- conferință blockchain
- coinbase
- coingenius
- Consens
- Crypto și Web3
- conferință cripto
- cripto miniere
- cryptocurrency
- descentralizată
- DEFI
- Active digitale
- ethereum
- masina de învățare
- jeton non-fungibil
- comunități online
- Plato
- platoul ai
- Informații despre date Platon
- Platoblockchain
- PlatoData
- platogaming
- Poligon
- dovada mizei
- W3
- zephyrnet
