Багато проектів web3 використовують голосування без дозволу, використовуючи взаємозамінний і придатний для продажу рідний токен. Голосування без дозволу може дати багато переваг, від зниження бар’єрів для входу до посилення конкуренції. Власники токенів можуть використовувати свої токени для голосування з низки питань — від простого коригування параметрів до капітального перегляду самого процесу управління. (Для огляду управління DAO див.Світлошвидкісна демократія»). Але голосування без дозволу є вразливим атаки на управління, у якому зловмисник отримує право голосу законними засобами (наприклад, купуючи токени на відкритому ринку), але використовує це право голосу, щоб маніпулювати протоколом для власної вигоди зловмисника. Ці атаки є суто «внутрішніми протоколами», що означає, що їх не можна впоратися за допомогою криптографії. Натомість попередження для них потрібна продумана конструкція механізму. З цією метою ми розробили структуру, яка допомагає DAO оцінювати загрозу та потенційно протистояти таким атакам.
Атаки на управління на практиці
Проблема атак на управління не лише теоретична. Вони не тільки може відбуваються в реальному світі, але вони вже відбуваються і відбуватимуться.
In один яскравий приклад, Steemit, стартап, який створює децентралізовану соціальну мережу на своєму блокчейні, Steem, мав систему управління в ланцюзі, яку контролювали 20 свідків. Виборці використовували свої токени STEEM (рідна валюта платформи), щоб вибрати свідків. У той час як Steemit і Steem набирали популярності, Джастін Сан розробив плани злиття Steem із Tron, блокчейн-протоколом, який він заснував у 2018 році. Щоб отримати для цього право голосу, Sun звернувся до одного із засновників Steem і купив токени, еквівалентні 30 відсотків від загальної пропозиції. Коли тодішні свідки Steem виявили його покупку, вони заморозили токени Sun. Далі була публічна зустріч між Sun і Steem, щоб контролювати достатню кількість токенів для встановлення списку з 20 найкращих свідків. Залучивши великі біржі та витративши сотні тисяч доларів на токени, Sun зрештою здобула перемогу та фактично заволоділа мережею.
In інший екземпляр, Beanstalk, протокол стейблкойнів, виявився вразливим до атаки на управління через flashloan. Зловмисник взяв позику, щоб придбати достатню кількість маркерів управління Beanstalk, щоб миттєво передати зловмисну пропозицію, яка дозволила їм заволодіти $182 мільйонами резервів Beanstalk. На відміну від атаки Steem, ця сталася в межах одного блоку, що означало, що вона закінчилася до того, як хтось встиг відреагувати.
Хоча ці дві атаки відбувалися відкрито та під прицілом громадськості, атаки на управління також можуть здійснюватися таємно протягом тривалого періоду часу. Зловмисник може створити численні анонімні облікові записи та повільно накопичувати токени управління, водночас поводячись як будь-який інший власник, щоб уникнути підозр. Фактично, враховуючи, наскільки низька участь виборців у багатьох DAO, ці облікові записи можуть залишатися бездіяльними протягом тривалого періоду часу, не викликаючи підозр. З точки зору DAO, анонімні облікові записи зловмисника можуть сприяти появі здорового рівня децентралізованого голосування. Але врешті-решт зловмисник може досягти порогу, коли ці гаманці sybil зможуть в односторонньому порядку контролювати управління без можливості спільноти відповісти. Подібним чином зловмисники можуть отримати достатньо голосів, щоб контролювати управління, коли явка достатньо низька, а потім спробувати передати зловмисні пропозиції, коли багато інших власників токенів неактивні.
І хоча ми можемо думати, що всі дії управління є лише результатом дії ринкових сил, на практиці управління іноді може давати неефективні результати внаслідок невдачі стимулів або інших вразливостей у дизайні протоколу. Подібно до того, як державна політика може бути захоплена групами інтересів або навіть простою інерцією, управління DAO може призвести до гірших результатів, якщо воно не структуроване належним чином.
Отже, як ми можемо протидіяти таким атакам за допомогою розробки механізму?
Основний виклик: нерозрізнення
Ринкові механізми розподілу токенів не розрізняють користувачів, які хочуть заробити цінний внески в проект і зловмисники, які надають велике значення зриву або іншому контролю над ним. У світі, де токени можна купувати або продавати на публічному ринку, обидві ці групи, з точки зору ринку, поведінково нерозрізнені: обидві готові купувати велику кількість токенів за все більш високими цінами.
Ця проблема нерозрізнення означає, що децентралізоване управління не є безкоштовним. Натомість розробники протоколів стикаються з фундаментальними компромісами між відкритою децентралізацією управління та захистом своїх систем від зловмисників, які прагнуть використовувати механізми управління. Чим більше членів спільноти вільно отримують повноваження керувати протоколом і впливати на нього, тим легше зловмисникам використовувати той самий механізм для внесення зловмисних змін.
Ця проблема нерозрізнення знайома з дизайну блокчейн-мереж Proof of Stake. Там же, а високоліквідний ринок у токені полегшує зловмисникам отримати достатню частку, щоб поставити під загрозу гарантії безпеки мережі. Тим не менш, поєднання заохочення токенів і дизайну ліквідності робить можливим мережу Proof of Stake. Подібні стратегії можуть допомогти захистити протоколи DAO.
Структура для оцінки та вирішення проблеми вразливості
Щоб проаналізувати вразливість, з якою стикаються різні проекти, ми використовуємо структуру, яка відображається наступним рівнянням:
Щоб протокол вважався захищеним від атак на управління, прибуток зловмисника має бути від’ємним. Під час розробки правил управління для проекту це рівняння можна використовувати як орієнтир для оцінки впливу різних варіантів дизайну. Щоб зменшити стимули для використання протоколу, рівняння передбачає три чіткі варіанти: зменшити значення атак, збільшити вартість придбання права голосу та збільшити вартість виконання атак.
Зменшення значення атак
Обмежити цінність атаки може бути важко, оскільки чим успішнішим стає проект, тим ціннішою може стати успішна атака. Зрозуміло, що проект не повинен навмисно саботувати власний успіх лише для того, щоб зменшити цінність атаки.
Тим не менш, розробники можуть обмежити цінність атак, обмеживши сферу можливостей управління. Якщо управління включає лише повноваження змінювати певні параметри в проекті (наприклад, відсоткові ставки в протоколі кредитування), то сфера потенційних атак є набагато вужчою, ніж коли управління дозволяє повністю контролювати керуючий смарт-контракт.
Сфера управління може залежати від стадії проекту. На початку свого життя проект може мати більш широке управління, коли він знаходить свою основу, але на практиці управління може жорстко контролюватися командою засновників і спільнотою. У міру зрілості проекту та децентралізації контролю може мати сенс запровадити певний рівень тертя в управлінні – принаймні, вимагаючи великого кворуму для найважливіших рішень.
Збільшення вартості придбання права голосу
Проект також може вжити заходів, щоб ускладнити отримання голосів, необхідних для атаки. Чим більш ліквідний токен, тим легше вимагати права голосу – тому, як не парадоксально, проекти можуть захотіти зменшити ліквідність заради захисту управління. Можна спробувати напряму зменшити короткострокову торгівлю токенів, але це може бути технічно нездійсненним.
Щоб опосередковано зменшити ліквідність, проекти можуть забезпечувати стимули, які зменшують бажання окремих власників токенів продавати. Це можна зробити шляхом стимулювання ставок або надання токенам окремої цінності за межі чистого управління. Чим більше цінності набувають власники токенів, тим більше вони стають пов’язаними з успіхом проекту.
Переваги автономного токена можуть включати доступ до особистих заходів або соціальних переживань. Важливо те, що подібні переваги мають високу цінність для людей, пов’язаних із проектом, але марні для зловмисників. Надання такого роду переваг підвищує ефективну ціну, з якою стикається зловмисник під час придбання токенів: поточні власники будуть менш охочі продавати через окремі переваги, що повинно збільшити ринкову ціну; хоча зловмисник повинен заплатити вищу ціну, наявність окремих функцій не підвищує цінність зловмисника від придбання токена.
Збільшення вартості виконання атак
На додаток до підвищення вартості права голосу, можна запровадити тертя, які ускладнять для зловмисника використання права голосу, навіть якщо він придбав токени. Наприклад, дизайнери можуть вимагати певної автентифікації користувача для участі в голосуванні, як-от перевірка KYC (знай свого клієнта) або порогове значення оцінки репутації. Можна навіть обмежити здатність неавтентифікованого актора отримувати токени голосування, можливо, вимагаючи певного набору існуючих валідаторів для підтвердження легітимності нових сторін.
У певному сенсі це саме той спосіб, у який багато проектів розподіляють свої початкові токени, гарантуючи, що довірені сторони контролюють значну частку голосів. (Багато рішень Proof of Stake використовують схожі методи для захисту своєї безпеки – суворо контролюють, хто має доступ до ранніх ставок, а потім поступово децентралізуються звідти.)
Крім того, проекти можуть зробити так, що навіть якщо зловмисник контролює значну кількість голосів, він все одно стикається з труднощами під час проходження зловмисних пропозицій. Наприклад, деякі проекти мають блокування часу, тому монету не можна використовувати для голосування протягом деякого часу після її обміну. Таким чином, зловмисник, який хоче купити або позичити велику кількість токенів, зіткнеться з додатковими витратами через очікування, перш ніж він зможе фактично проголосувати, а також ризиком того, що учасники з правом голосу помітять і тим часом зірвуть їхню потенційну атаку. Делегування також може бути корисним тут. Надаючи активним, але не зловмисним учасникам право голосувати від свого імені, особи, які не бажають брати особливо активну роль в управлінні, все одно можуть зробити свій голос для захисту системи.
У деяких проектах використовується право вето, яке дозволяє відкласти голосування на певний період часу, щоб попередити неактивних голосуючих про потенційно небезпечну пропозицію. За такої схеми, навіть якщо зловмисник робить зловмисну пропозицію, виборці мають можливість відповісти та закрити її. Ідея цих та подібних проектів полягає в тому, щоб зупинити зловмисника від проникнення зловмисної пропозиції та надати спільноті проекту час для формулювання відповіді. В ідеалі пропозиції, які чітко відповідають перевагам протоколу, не повинні будуть стикатися з цими перешкодами.
At Іменники DAO, наприклад, право вето має Noun Foundation до самого DAO готовий реалізувати альтернативну схему. Як вони написали на своєму веб-сайті, «The Nouns Foundation накладе вето на пропозиції, які створюють нетривіальні юридичні або екзистенційні ризики для Nouns DAO або Nouns Foundation».
* * *
Проекти повинні досягти балансу, щоб дозволити певний рівень відкритості до змін спільноти (що іноді може бути непопулярним), але не дозволяти зловмисним пропозиціям прослизати крізь щілини. Часто потрібна лише одна зловмисна пропозиція, щоб припинити роботу протоколу, тому чітке розуміння компромісу ризиків між прийняттям і відхиленням пропозицій має вирішальне значення. І, звісно, існує компроміс високого рівня між забезпеченням безпеки управління та можливим керування – будь-який механізм, який вводить тертя для блокування потенційного зловмисника, також, звичайно, ускладнює використання процесу керування.
Рішення, які ми тут накреслили, охоплюють спектр між повністю децентралізованим управлінням і частковим принесенням у жертву деякими ідеалами децентралізації заради загального здоров’я протоколу. Наша структура висвітлює різні шляхи, які проекти можуть вибрати, оскільки вони прагнуть переконатися, що атаки на управління не будуть прибутковими. Ми сподіваємося, що спільнота використає цю структуру для подальшого розвитку цих механізмів шляхом власних експериментів, щоб зробити DAO ще безпечнішими в майбутньому.
***
Пранав Гаріміді – молодший студент Колумбійського університету та літній науковий стажер криптовалюта a16z.
Скотт Дюк Комінерс є професором ділового адміністрування в Гарвардській бізнес-школі, афілійованим факультетом факультету економіки Гарвардського університету та дослідницьким партнером у криптовалюта a16z.
Тім Роггарден є професором комп’ютерних наук і членом Інституту науки про дані Колумбійського університету, а також керівником наукового відділу криптовалюта a16z.
***
Подяка: Ми цінуємо корисні коментарі та пропозиції від Енді Холл. Особлива подяка також нашому редактору, Тім Салліван.
***
Розкриття інформації: Kominers володіє низкою криптотокенів і є частиною багатьох спільнот NFT; він консультує різні ринкові бізнеси, стартапи та криптопроекти; а також він є експертом з питань, пов’язаних з NFT.
Погляди, висловлені тут, є поглядами окремих співробітників AH Capital Management, LLC («a16z»), які цитуються, і не є поглядами a16z або його філій. Певна інформація, що міститься тут, була отримана зі сторонніх джерел, зокрема від портфельних компаній фондів, якими керує a16z. Хоча отримано з джерел, які вважаються надійними, a16z не перевіряв таку інформацію незалежно та не робить жодних заяв щодо тривалої точності інформації чи її відповідності певній ситуації. Крім того, цей вміст може містити рекламу третіх сторін; a16z не переглядав такі оголошення та не схвалює будь-який рекламний вміст, що міститься в них.
Цей вміст надається лише в інформаційних цілях, і на нього не можна покладатися як на юридичну, ділову, інвестиційну чи податкову консультацію. Ви повинні проконсультуватися з власними радниками щодо цих питань. Посилання на будь-які цінні папери чи цифрові активи наведено лише з метою ілюстрації та не є інвестиційною рекомендацією чи пропозицією надати інвестиційні консультаційні послуги. Крім того, цей вміст не призначений для будь-яких інвесторів чи потенційних інвесторів і не призначений для використання ними, і за жодних обставин на нього не можна покладатися при прийнятті рішення інвестувати в будь-який фонд, яким керує a16z. (Пропозиція інвестувати у фонд a16z буде зроблена лише на підставі меморандуму про приватне розміщення, угоди про підписку та іншої відповідної документації будь-якого такого фонду, і її слід читати повністю.) Будь-які інвестиційні чи портфельні компанії, згадані, згадані або описані не є репрезентативними для всіх інвестицій у транспортні засоби, якими керує a16z, і не може бути гарантії, що інвестиції будуть прибутковими або що інші інвестиції, здійснені в майбутньому, матимуть подібні характеристики чи результати. Список інвестицій, здійснених фондами під управлінням Andreessen Horowitz (за винятком інвестицій, щодо яких емітент не надав дозволу a16z на оприлюднення, а також неоголошених інвестицій у публічні цифрові активи) доступний за адресою https://a16z.com/investments /.
Наведені в ньому діаграми та графіки призначені виключно для інформаційних цілей, і на них не слід покладатися під час прийняття інвестиційних рішень. Минулі результати не вказують на майбутні результати. Зміст відповідає лише вказаній даті. Будь-які прогнози, оцінки, прогнози, цілі, перспективи та/або думки, висловлені в цих матеріалах, можуть бути змінені без попередження та можуть відрізнятися або суперечити думкам, висловленим іншими. Додаткову важливу інформацію можна знайти на сторінці https://a16z.com/disclosures.
- криптовалюта a16z
- Андреессен Горовиц
- Біткойн
- blockchain
- відповідність блокчейну
- блокчейн-конференція
- coinbase
- coingenius
- Консенсус
- Крипто & Web3
- криптоконференція
- криптографічне видобування
- криптовалюта
- Децентралізований
- Defi
- Цифрові активи
- Ефіріума
- навчання за допомогою машини
- не замінний маркер
- Інтернет-спільноти
- plato
- платон ai
- Інформація про дані Платона
- Платоблокчейн
- PlatoData
- platogaming
- Багатокутник
- доказ ставки
- W3
- зефірнет
