Многие проекты web3 включают голосование без разрешения с использованием взаимозаменяемого и торгуемого нативного токена. Голосование без разрешения может дать много преимуществ, от снижения входных барьеров до усиления конкуренции. Владельцы токенов могут использовать свои токены для голосования по целому ряду вопросов — от простой корректировки параметров до пересмотра самого процесса управления. (Для обзора управления DAO см.Световая демократия".) Но голосование без разрешения уязвимо для атаки на управление, в котором злоумышленник получает право голоса законными способами (например, покупая токены на открытом рынке), но использует это право голоса для манипулирования протоколом в собственных интересах злоумышленника. Эти атаки являются чисто «внутрипротокольными», что означает, что они не могут быть защищены с помощью криптографии. Вместо, предупреждение их требует продуманной конструкции механизма. С этой целью мы разработали структуру, которая поможет DAO оценить угрозу и потенциально противостоять таким атакам.
Атаки на управление на практике
Проблема атак на управление не только теоретическая. Они не только может происходят в реальном мире, но они уже есть и будут продолжаться.
In один яркий пример, Steemit, стартап, создающий децентрализованную социальную сеть на блокчейне Steem, имел внутрисетевую систему управления, контролируемую 20 свидетелями. Избиратели использовали свои токены STEEM (родная валюта платформы), чтобы выбрать свидетелей. В то время как Steemit и Steem набирали обороты, Джастин Сан разработал планы по объединению Steem с Tron, блокчейн-протоколом, который он основал в 2018 году. Чтобы получить право голоса для этого, Сан обратился к одному из основателей Steem и купил токены, эквивалентные 30 процентов от общего предложения. Как только нынешние свидетели Steem обнаружили его покупку, они заморозили токены Sun. За этим последовал публичный обмен мнениями между Sun и Steem, чтобы контролировать достаточное количество токенов, чтобы установить их предпочтительный список из 20 лучших свидетелей. Задействовав крупные биржи и потратив сотни тысяч долларов на токены, Sun в конечном итоге одержала победу и фактически получила полную свободу действий в сети.
In другой экземпляр, Beanstalk, протокол стабильной монеты, оказался уязвимым для атаки на управление с помощью flashloan. Злоумышленник взял кредит, чтобы получить достаточное количество токена управления Beanstalk, чтобы мгновенно передать вредоносное предложение, которое позволило им захватить резервы Beanstalk на 182 миллиона долларов. В отличие от атаки Steem, эта произошла в пределах одного блока, а это означало, что она закончилась до того, как кто-либо успел среагировать.
Хотя эти две атаки произошли открыто и на глазах у общественности, атаки на управление также могут проводиться тайно в течение длительного периода времени. Злоумышленник может создать множество анонимных учетных записей и медленно накапливать токены управления, ведя себя как любой другой владелец, чтобы избежать подозрений. На самом деле, учитывая, насколько низким является участие избирателей во многих DAO, эти учетные записи могут оставаться бездействующими в течение длительного периода времени, не вызывая подозрений. С точки зрения DAO, анонимные учетные записи злоумышленников могут способствовать появлению здорового уровня децентрализованного права голоса. Но в конечном итоге злоумышленник может достичь порога, при котором эти кошельки Сивиллы имеют право в одностороннем порядке контролировать управление без возможности ответа сообщества. Точно так же злоумышленники могут получить достаточное количество голосов, чтобы контролировать управление, когда явка достаточно низкая, а затем попытаться передать злонамеренные предложения, когда многие другие держатели токенов неактивны.
И хотя мы могли бы подумать, что все действия по управлению являются просто результатом действия рыночных сил, на практике управление иногда может приводить к неэффективным результатам из-за неудачных стимулов или других уязвимостей в структуре протокола. Точно так же, как правительственная политика может быть захвачена заинтересованными группами или даже простой инерцией, управление DAO может привести к худшим результатам, если оно не структурировано должным образом.
Итак, как мы можем противостоять таким атакам с помощью разработки механизмов?
Основная проблема: неразличимость
Рыночные механизмы распределения токенов не различают пользователей, которые хотят сделать ценных вклад в проект и злоумышленники, которые придают большое значение нарушению или иному контролю над ним. В мире, где токены можно купить или продать на публичном рынке, обе эти группы с точки зрения рынка поведенчески неразличимы: обе готовы покупать большое количество токенов по все более высоким ценам.
Эта проблема неразличимости означает, что децентрализованное управление не предоставляется бесплатно. Вместо этого разработчики протоколов сталкиваются с фундаментальным компромиссом между открытой децентрализацией управления и защитой своих систем от злоумышленников, пытающихся использовать механизмы управления. Чем больше членов сообщества могут получить полномочия управления и влиять на протокол, тем легче злоумышленникам использовать тот же механизм для внесения злонамеренных изменений.
Эта проблема неразличимости знакома по дизайну сетей блокчейна Proof of Stake. Там же а высоколиквидный рынок в токене позволяет злоумышленникам получить достаточную долю, чтобы скомпрометировать гарантии безопасности сети. Тем не менее, сочетание дизайна токенов и ликвидности делает возможными сети Proof of Stake. Подобные стратегии могут помочь защитить протоколы DAO.
Система оценки и устранения уязвимости
Чтобы проанализировать уязвимость, с которой сталкиваются различные проекты, мы используем структуру, описанную в следующем уравнении:
Чтобы протокол считался защищенным от атак управления, прибыль злоумышленника должна быть отрицательной. При разработке правил управления проектом это уравнение можно использовать в качестве ориентира для оценки влияния различных вариантов дизайна. Чтобы уменьшить стимулы для использования протокола, уравнение предполагает три четких выбора: уменьшить ценность атак, увеличить стоимость приобретения права голосакачества увеличить стоимость выполнения атак.
Снижение ценности атак
Ограничение ценности атаки может быть затруднено, потому что чем успешнее становится проект, тем более ценной может стать успешная атака. Ясно, что проект не должен намеренно саботировать собственный успех только для того, чтобы уменьшить ценность атаки.
Тем не менее разработчики могут ограничить ценность атак, ограничив возможности управления. Если управление включает в себя только право изменять определенные параметры в проекте (например, процентные ставки по кредитному протоколу), то масштаб потенциальных атак намного уже, чем когда управление позволяет полностью контролировать управляющий смарт-контракт.
Масштаб управления может зависеть от стадии проекта. В начале своего существования проект может иметь более широкое управление по мере того, как он находит свою основу, но на практике управление может жестко контролироваться командой основателей и сообществом. По мере развития проекта и децентрализации управления может иметь смысл ввести некоторую степень трения в управление — как минимум, требующую большого кворума для принятия наиболее важных решений.
Увеличение стоимости приобретения права голоса
Проект также может предпринять шаги, чтобы затруднить получение права голоса, необходимого для атаки. Чем более ликвидный токен, тем легче требовать это право голоса — так что почти парадоксально, проекты могут захотеть уменьшить ликвидность ради защиты управления. Можно попытаться напрямую уменьшить краткосрочную торговлю токенами, но это может быть технически неосуществимо.
Чтобы косвенно снизить ликвидность, проекты могут предоставлять стимулы, которые снижают желание отдельных держателей токенов продавать. Этого можно добиться, стимулируя стейкинг или придавая токенам самостоятельную ценность, выходящую за рамки простого управления. Чем больше ценности получают держатели токенов, тем больше они связаны с успехом проекта.
Преимущества автономных токенов могут включать доступ к личным мероприятиям или социальным мероприятиям. Важно отметить, что подобные преимущества представляют большую ценность для людей, связанных с проектом, но бесполезны для злоумышленника. Предоставление такого рода преимуществ повышает эффективную цену, с которой сталкивается злоумышленник при приобретении токенов: нынешние держатели будут менее охотно продавать из-за отдельных преимуществ, которые должны увеличить рыночную цену; тем не менее, хотя злоумышленник должен заплатить более высокую цену, наличие автономных функций не повышает ценность атакующего от приобретения токена.
Увеличение стоимости выполнения атак
В дополнение к повышению стоимости права голоса можно ввести трения, которые усложнят злоумышленнику возможность использовать право голоса даже после того, как он приобрел токены. Например, дизайнерам может потребоваться какая-то аутентификация пользователя для участия в голосовании, например, проверка KYC (знай своего клиента) или пороговое значение репутации. Можно даже ограничить возможность неаутентифицированного субъекта приобретать токены для голосования в первую очередь, возможно, потребовав некоторого набора существующих валидаторов для подтверждения легитимности новых сторон.
В некотором смысле именно так многие проекты распределяют свои первоначальные токены, гарантируя, что доверенные стороны контролируют значительную долю права голоса. (Многие решения Proof of Stake используют аналогичные методы для защиты своей безопасности — жестко контролируют, кто имеет доступ к ранней ставке, а затем постепенно децентрализуют оттуда.)
В качестве альтернативы проекты могут сделать так, что даже если злоумышленник контролирует значительное количество голосов, он все равно столкнется с трудностями при передаче вредоносных предложений. Например, в некоторых проектах есть временные блокировки, поэтому монета не может быть использована для голосования в течение некоторого периода времени после ее обмена. Таким образом, злоумышленник, который пытается купить или одолжить большое количество токенов, столкнется с дополнительными расходами из-за ожидания, прежде чем он сможет фактически проголосовать, а также с риском того, что члены с правом голоса заметят и предотвратят их предполагаемую атаку в промежутке. Делегация также может быть полезно здесь. Предоставляя активным, но не злонамеренным участникам право голосовать от их имени, люди, которые не хотят играть особенно активную роль в управлении, все же могут вносить свой вклад в защиту системы.
Некоторые проекты используют право вето, которое позволяет отложить голосование на некоторый период времени, чтобы предупредить неактивных избирателей о потенциально опасном предложении. При такой схеме, даже если злоумышленник делает злонамеренное предложение, избиратели имеют возможность отреагировать и закрыть его. Идея, лежащая в основе этих и подобных проектов, состоит в том, чтобы помешать злоумышленнику пронести вредоносное предложение и предоставить сообществу проекта время для формулирования ответа. В идеале предложения, которые явно соответствуют благу протокола, не должны сталкиваться с этими препятствиями.
At Существительные DAO, например, право вето принадлежит Nouns Foundation до тех пор, пока сам DAO готов реализовать альтернативную схему. Как они написали на своем веб-сайте: «Фонд Nouns наложит вето на предложения, которые представляют нетривиальные юридические или экзистенциальные риски для Nouns DAO или Nouns Foundation».
* * *
Проекты должны соблюдать баланс, чтобы обеспечить определенный уровень открытости для изменений в сообществе (которые могут быть непопулярными время от времени), и в то же время не позволять злонамеренным предложениям просачиваться сквозь щели. Часто достаточно одного злонамеренного предложения, чтобы вывести протокол из строя, поэтому крайне важно иметь четкое представление о компромиссе риска между принятием и отклонением предложений. И, конечно же, существует высокий уровень компромисса между обеспечением безопасности управления и обеспечением возможности управления — любой механизм, который создает трения для блокировки потенциального злоумышленника, также, конечно, усложняет использование процесса управления.
Решения, которые мы здесь набросали, находятся в спектре между полностью децентрализованным управлением и частичным принесением в жертву некоторых идеалов децентрализации ради общего состояния протокола. Наша структура выделяет различные пути, которые могут выбрать проекты, стремясь сделать так, чтобы атаки на управление не были прибыльными. Мы надеемся, что сообщество будет использовать платформу для дальнейшего развития этих механизмов посредством собственных экспериментов, чтобы сделать DAO еще более безопасными в будущем.
Пранав Гаримиди учится в Колумбийском университете и проходит летнюю стажировку в криптография a16z.
Скотт Дьюк Коминерс является профессором делового администрирования в Гарвардской школе бизнеса, членом факультета факультета экономики Гарварда и партнером по исследованиям в криптография a16z.
Тим Рафгарден является профессором компьютерных наук и членом Института науки о данных Колумбийского университета, а также руководителем отдела исследований в криптография a16z.
Благодарности: Мы ценим полезные комментарии и предложения от Энди Холл. Отдельное спасибо нашему редактору, Тим Салливан.
Раскрытие информации: Kominers владеет рядом крипто-токенов и является частью многих сообществ NFT; он консультирует различные рыночные предприятия, стартапы и криптопроекты; а также он является экспертом по вопросам, связанным с NFT.
Мнения, выраженные здесь, принадлежат отдельным цитируемым сотрудникам AH Capital Management, LLC («a16z») и не являются мнением a16z или ее аффилированных лиц. Определенная информация, содержащаяся здесь, была получена из сторонних источников, в том числе от портфельных компаний фондов, управляемых a16z. Хотя информация взята из источников, считающихся надежными, a16z не проводила независимую проверку такой информации и не делает никаких заявлений о неизменной точности информации или ее уместности в данной ситуации. Кроме того, этот контент может включать стороннюю рекламу; a16z не просматривал такие рекламные объявления и не поддерживает какой-либо рекламный контент, содержащийся в них.
Этот контент предоставляется только в информационных целях и не может рассматриваться как юридическая, деловая, инвестиционная или налоговая консультация. Вы должны проконсультироваться со своими советниками по этим вопросам. Ссылки на любые ценные бумаги или цифровые активы предназначены только для иллюстративных целей и не представляют собой инвестиционную рекомендацию или предложение предоставить консультационные услуги по инвестициям. Кроме того, этот контент не предназначен и не предназначен для использования какими-либо инвесторами или потенциальными инвесторами, и ни при каких обстоятельствах на него нельзя полагаться при принятии решения об инвестировании в какой-либо фонд, управляемый a16z. (Предложение инвестировать в фонд a16z будет сделано только в меморандуме о частном размещении, договоре о подписке и другой соответствующей документации любого такого фонда, и их следует читать полностью.) Любые инвестиции или портфельные компании, упомянутые, упомянутые или описанные не являются репрезентативными для всех инвестиций в транспортные средства, управляемые a16z, и нет никаких гарантий, что инвестиции будут прибыльными или что другие инвестиции, сделанные в будущем, будут иметь аналогичные характеристики или результаты. Список инвестиций, сделанных фондами, управляемыми Andreessen Horowitz (за исключением инвестиций, в отношении которых эмитент не предоставил разрешение на публичное раскрытие информации a16z, а также необъявленных инвестиций в публично торгуемые цифровые активы), доступен по адресу https://a16z.com/investments. /.
Диаграммы и графики, представленные в нем, предназначены исключительно для информационных целей, и на них не следует полагаться при принятии каких-либо инвестиционных решений. Прошлые показатели не свидетельствуют о будущих результатах. Содержание говорит только по состоянию на указанную дату. Любые прогнозы, оценки, прогнозы, цели, перспективы и/или мнения, выраженные в этих материалах, могут быть изменены без предварительного уведомления и могут отличаться или противоречить мнениям, выраженным другими. Пожалуйста, посетите https://a16z.com/disclosures для получения дополнительной важной информации.
- криптография a16z
- Andreessen Horowitz
- Bitcoin
- блокчейн
- соответствие блокчейна
- блочная конференция
- coinbase
- Coingenius
- Консенсус
- Криптовалюта и Web3
- криптоконференция
- криптодобыча
- криптовалюта
- децентрализованная
- Defi
- Цифровые активы
- Эфириума
- обучение с помощью машины
- невзаимозаменяемый токен
- онлайн-сообщества
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платоблокчейн
- ПлатонДанные
- платогейминг
- Polygon
- Доказательство доли
- W3
- зефирнет
