Атаки на управління DAO та як їм запобігти

Час читання: 6 протокол

Оскільки блокчейн нещодавно отримав багато застосувань, ця тяга викликала ажіотаж навколо DLT (технологія розподіленої книги). Блокчейн вважається будівельним блоком криптографії, тому він пропонує пропозиції, які служать різним цілям. Він підштовхнув децентралізацію за допомогою NFT, dApps, DeFi та смарт-контрактів.

Поява DAO дала конкретний доказ величезних можливостей, які може надати блокчейн. Нещодавно ми побачили, як розвивалися DAO, або децентралізовані автономні організації. У цій статті надано коротке пояснення атак управління на DAO і того, як можна захиститися від них.

Модель управління DAO

Користувачам було складно прийняти нові моделі управління після появи блокчейна, оскільки в ньому брали участь кілька сторін. Тим не менш, вся ідея блокчейна полягала в тому, щоб утримати користувачів від будь-якої центральної сутності. На цьому етапі виникла потреба встановити ясність для управління. 

Управління DAO контролюється його членами, які використовують систему голосування, щоб вирішити, як організація має працювати та розподіляти свої кошти.

Члени DAO зазвичай володіють токенами, що представляють їх частку в організації та дозволяють їм голосувати за пропозиції. Ці токени можна купувати та продавати на відкритому ринку, що дозволяє учасникам приєднуватися та виходити, як їм заманеться.

Пропозиції щодо управління можуть бути запропоновані з різних причин, включаючи оновлення ланцюга, прийняття важливих рішень для майбутнього ланцюга тощо. Члени DAO подають пропозиції, за які голосує все членство. Якщо кворум членів голосує за пропозицію, смарт-контракт організації реалізує її автоматично.

Атаки на управління DAO

Керівна атака на DAO відбувається, коли зловмисник користується недоліками в структурі управління DAO, щоб отримати владу та приймати рішення на користь зловмисника за рахунок інших учасників.

Цей тип нападу може приймати різні форми. Тим не менш, це зазвичай пов’язано з тим, що зловмисник використовує своє право голосу або інші засоби, щоб отримати контроль над процесом прийняття рішень в організації та змінити її положення на свою користь.

Нижче наведено кілька типів атак на управління в DAO

1. Атака більшості: Атака більшості — це атака на управління, в якій зловмисник має більшість голосів у децентралізованій автономній організації (DAO). З таким ступенем повноважень зловмисник може зробити будь-яку пропозицію DAO, яка принесе їм користь за рахунок інших учасників.
2. Атака Сибіл: Під час атаки на Sybil зловмисник створює багато підроблених ідентифікацій, широко відомих як «Sybils», які вони можуть використовувати для голосування в процесі прийняття рішень DAO кілька разів. Зловмисник може отримати значний вплив в організації, генеруючи багато Сибіл, навіть якщо вони не володіють більшістю жетонів.
3. Фронтальний біг: До того, як пропозицію буде відкрито для решти спільноти, зловмисник може її побачити. Потім вони можуть використовувати цю інформацію, щоб проголосувати за пропозицію або отримати токени до того, як вона буде опублікована, що дозволить їм вплинути на результат голосування або отримати прибуток від підвищення ціни токена. Чітко визначений і прозорий процес прийняття рішень має важливе значення для зниження ризику передового виступу в DAO, чітко визначений і прозорий процес прийняття рішень має вирішальне значення. Пропозиції можуть бути оприлюднені перед голосуванням, щоб усі члени могли оцінити та обговорити їх однаково.
4. Рішення, на які вплинули: Це найпоширеніший варіант, оскільки багато речей можуть легко вплинути на власників. Це може бути досягнуто, коли конкретні члени чи групи мають непропорційний ступінь впливу на прийняття рішень, чи то через велику кількість токенів, контроль над голосом, оплачувані ініціативи зі зв’язків з громадськістю, впливовий маркетинг або навіть підкуп людей, щоб вони мали упереджену думку. на плані.
5. Пропозиції щодо спаму: Постійне надсилання великої кількості пропозицій з незначною цінністю або без неї, що перевантажує організацію та ускладнює прийняття дійсних ідей, називається спамом пропозицій. Ця атака може порушити процес прийняття рішень, що ускладнить спільноті досягнення консенсусу та ухвалення важливих ідей.

Реальні кейси

1. Атака на управління BeanStalk: Beanstalk, платформа стейблкойнів на основі Ethereum, стала жертвою атаки на її протокол управління в квітні 2022 року. Зловмисник викрав із проекту 181 мільйон доларів, але зберіг лише 76 мільйонів доларів. Зловмисник міг внести великий депозит до договору за допомогою флеш-кредиту. Це дало їм 79% голосів у протоколі управління, і врешті пропозицію було схвалено.
2. Build Finance Governance Takeover: 14 лютого 2022 року Build Finance DAO став об’єктом зламу управління, який дозволив зловмиснику карбувати та продавати токени. Швидше за все, зловмисник отримав еквівалент 160 ETH, або $470,000 XNUMX, від вкрадених токенів. Зловмисник досяг успіху в захопленні, оскільки було достатньо значної кількості голосів на користь плану та недостатньо контрголосів, щоб запобігти захопленню.

Запобігання атакам на управління DAO

1. Обмеження повноважень управління: Обмежуючи обсяг можливостей управління, проекти можуть зменшити цінність атак. Якщо керування просто включає можливість змінювати лише певні функції проекту, сфера потенційних атак суттєво обмежена, ніж коли управління дозволяє повністю контролювати керуючий смарт-контракт.
2. Аварійне відключення: У разі серйозної проблеми з безпекою в код смарт-контракту можна впровадити механізм екстреного відключення, щоб зупинити всі транзакції та тимчасово запобігти додатковій шкоді.
3. Прозорість і комунікація: DAO, які відкриті та прозорі щодо своїх операцій і процесів прийняття рішень, швидше за все, створять довіру та залучать віддану спільноту власників токенів, відданих довгостроковому успіху організації.
4. Обмеження пропозицій щодо DAO: DAO можуть обмежити кількість пропозицій, які можна зробити протягом певного періоду часу, зменшуючи спам або шахрайські пропозиції. Вони також повинні включати певну форму автентифікації користувача, таку як перевірка KYC (знай свого клієнта) або поріг репутації для подання пропозицій.

Це лише деякі з різних способів, які можна використовувати для захисту DAO від атак, і найкраще рішення залежатиме від конкретних потреб організації.

Остаточний вердикт

Важливо знати про можливість атак на управління та вживати запобіжних заходів, наприклад мати чітко визначений і прозорий процес прийняття рішень, регулярні аудити смарт-контракту DAO, програми винагород за помилки та спільнота експертів, які можуть діяти як сторожові собаки за будь-якою підозрілою діяльністю.

Поширені запитання:

З: Як атаки на управління впливають на загальний стан мережі блокчейн?

Вони можуть призвести до втрати довіри до мережі, що призведе до зниження участі та прийняття. Вони також можуть спричинити падіння вартості рідного токена мережі, що робить його менш привабливим для інвесторів.

З: Як працює атака Sybil в DAO?

Під час атаки на Sybil зловмисник створює кілька підроблених ідентифікаторів і використовує їх для голосування кілька разів, фактично переважаючи законні голоси та контролюючи результати голосування.

З: Як працює фронтальна атака в DAO?

Під час атаки на передньому плані зловмисники використовують свій привілейований доступ або знання, щоб маніпулювати пропозиціями до їх виконання, часто шляхом купівлі та продажу токенів.

З: Як я можу захистити себе від атаки на управління?

Ознайомтеся з конкретними ризиками та вразливими місцями мережі, в якій ви берете участь.

Будьте обережні, коли слідкуєте за пропозиціями або підтримуєте їх, і переконайтеся, що ви розумієте можливі наслідки пропозиції, перш ніж голосувати.

Слідкуйте за процесом прийняття рішень у мережі та повідомляйте про будь-які підозрілі дії відповідним органам.

4 думки

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. Доступ тут.
• джерело: https://blog.quillhash.com/2023/01/11/dao-governance-attacks-and-how-to-prevent-them/