Nhiều dự án web3 chấp nhận bỏ phiếu không được phép bằng cách sử dụng mã thông báo gốc có thể thay thế và có thể giao dịch. Bỏ phiếu không phép có thể mang lại nhiều lợi ích, từ việc hạ thấp các rào cản gia nhập đến việc gia tăng cạnh tranh. Chủ sở hữu mã thông báo có thể sử dụng mã thông báo của họ để bỏ phiếu về một loạt vấn đề — từ điều chỉnh thông số đơn giản đến đại tu quy trình quản trị. (Để biết đánh giá về quản trị DAO, hãy xem “Nền dân chủ tốc độ"). Nhưng bỏ phiếu không được phép rất dễ bị các cuộc tấn công quản trị, trong đó kẻ tấn công có được quyền biểu quyết thông qua các phương tiện hợp pháp (ví dụ: mua mã thông báo trên thị trường mở) nhưng sử dụng quyền biểu quyết đó để thao túng giao thức vì lợi ích riêng của kẻ tấn công. Các cuộc tấn công này hoàn toàn là "trong giao thức", có nghĩa là chúng không thể được giải quyết thông qua mật mã. Thay vì, ngăn chặn chúng yêu cầu thiết kế cơ chế chu đáo. Để đạt được mục tiêu đó, chúng tôi đã phát triển một khuôn khổ để giúp các DAO đánh giá mối đe dọa và có khả năng chống lại các cuộc tấn công như vậy.
Các cuộc tấn công quản trị trong thực tế
Vấn đề của các cuộc tấn công quản trị không chỉ là lý thuyết. Họ không chỉ có thể xảy ra trong thế giới thực, nhưng họ đã và sẽ tiếp tục.
In một ví dụ nổi bậtSteemit, một công ty khởi nghiệp xây dựng một mạng xã hội phi tập trung trên blockchain của họ, Steem, có hệ thống quản trị trên chuỗi được kiểm soát bởi 20 nhân chứng. Những người bỏ phiếu đã sử dụng mã thông báo STEEM của họ (đơn vị tiền tệ tự nhiên của nền tảng) để chọn nhân chứng. Trong khi Steemit và Steem đang đạt được sức hút, Justin Sun đã phát triển kế hoạch hợp nhất Steem vào Tron, một giao thức blockchain mà anh ấy đã thành lập vào năm 2018. Để có được quyền biểu quyết để làm như vậy, Sun đã tiếp cận một trong những người sáng lập Steem và mua các mã thông báo tương đương với 30 phần trăm tổng nguồn cung. Khi các nhân chứng Steem hiện tại phát hiện ra giao dịch mua của anh ấy, họ đã đóng băng các mã thông báo của Sun. Những gì tiếp theo là một cuộc qua lại công khai giữa Sun và Steem để kiểm soát đủ số token để cài đặt nhóm 20 nhân chứng hàng đầu ưa thích của họ. Sau khi tham gia vào các sàn giao dịch lớn và chi hàng trăm nghìn đô la cho các mã thông báo, cuối cùng Sun đã chiến thắng và có quyền thống trị tự do trên mạng.
In một ví dụ khácBeanstalk, một giao thức stablecoin, nhận thấy bản thân dễ bị tấn công quản trị thông qua flashloan. Một kẻ tấn công đã vay một khoản tiền để có đủ mã thông báo quản trị của Beanstalk để ngay lập tức thông qua một đề xuất độc hại cho phép chúng chiếm đoạt 182 triệu đô la dự trữ của Beanstalk. Không giống như cuộc tấn công Steem, cuộc tấn công này xảy ra trong khoảng thời gian của một khối duy nhất, có nghĩa là nó đã kết thúc trước khi mọi người có thời gian để phản ứng.
Trong khi hai cuộc tấn công này xảy ra công khai và dưới mắt công chúng, các cuộc tấn công quản trị cũng có thể được tiến hành lén lút trong một thời gian dài. Kẻ tấn công có thể tạo nhiều tài khoản ẩn danh và từ từ tích lũy mã thông báo quản trị, trong khi hành xử giống như bất kỳ chủ sở hữu nào khác để tránh bị nghi ngờ. Trên thực tế, với mức độ tham gia của cử tri thấp ở nhiều DAO, những tài khoản đó có thể nằm im trong một thời gian dài mà không gây nghi ngờ. Từ quan điểm của DAO, các tài khoản ẩn danh của kẻ tấn công có thể góp phần làm xuất hiện mức độ lành mạnh của quyền biểu quyết phi tập trung. Nhưng cuối cùng kẻ tấn công có thể đạt đến ngưỡng mà các ví sybil này có quyền đơn phương kiểm soát việc quản trị mà cộng đồng không thể phản hồi. Tương tự, các tác nhân độc hại có thể có đủ quyền biểu quyết để kiểm soát việc quản trị khi tỷ lệ cử tri đi bầu đủ thấp và sau đó cố gắng thông qua các đề xuất độc hại khi nhiều chủ sở hữu mã thông báo khác không hoạt động.
Và mặc dù chúng ta có thể nghĩ rằng tất cả các hành động quản trị chỉ là kết quả của các lực lượng thị trường hoạt động, nhưng trong thực tế, quản trị đôi khi có thể tạo ra các kết quả không hiệu quả do kết quả của các lỗi khuyến khích hoặc các lỗ hổng khác trong thiết kế của một giao thức. Cũng giống như việc hoạch định chính sách của chính phủ có thể bị các nhóm lợi ích nắm bắt hoặc thậm chí là quán tính đơn giản, quản trị DAO có thể dẫn đến kết quả kém hơn nếu nó không được cấu trúc đúng cách.
Vậy làm thế nào chúng ta có thể giải quyết các cuộc tấn công như vậy thông qua thiết kế cơ chế?
Thách thức cơ bản: Không phân biệt được
Cơ chế thị trường để phân bổ mã thông báo không phân biệt được người dùng muốn tạo có giá trị đóng góp cho một dự án và những kẻ tấn công gắn giá trị cao để phá vỡ hoặc kiểm soát nó. Trong một thế giới mà các mã thông báo có thể được mua hoặc bán trên thị trường công khai, cả hai nhóm này, từ góc độ thị trường, không thể phân biệt được về mặt hành vi: cả hai đều sẵn sàng mua số lượng lớn mã thông báo với giá ngày càng cao.
Vấn đề khó phân biệt này có nghĩa là quản trị phi tập trung không miễn phí. Thay vào đó, các nhà thiết kế giao thức phải đối mặt với sự đánh đổi cơ bản giữa quản trị phân quyền công khai và bảo mật hệ thống của họ trước những kẻ tấn công đang tìm cách khai thác các cơ chế quản trị. Càng có nhiều thành viên cộng đồng được tự do giành quyền quản trị và ảnh hưởng đến giao thức, thì những kẻ tấn công càng dễ dàng sử dụng chính cơ chế đó để thực hiện các thay đổi độc hại.
Vấn đề không thể phân biệt này quen thuộc với việc thiết kế các mạng blockchain Proof of Stake. Ở đó cũng vậy, một thị trường thanh khoản cao trong mã thông báo giúp những kẻ tấn công dễ dàng có được đủ cổ phần để xâm phạm các đảm bảo an ninh của mạng. Tuy nhiên, sự kết hợp giữa khuyến khích mã thông báo và thiết kế thanh khoản làm cho mạng Proof of Stake trở nên khả thi. Các chiến lược tương tự có thể giúp bảo mật các giao thức DAO.
Một khuôn khổ để đánh giá và giải quyết tình trạng dễ bị tổn thương
Để phân tích tính dễ bị tổn thương mà các dự án khác nhau phải đối mặt, chúng tôi sử dụng một khuôn khổ được ghi lại bằng phương trình sau:
Để một giao thức được coi là an toàn trước các cuộc tấn công quản trị, lợi nhuận của kẻ tấn công phải là số âm. Khi thiết kế các quy tắc quản trị cho một dự án, phương trình này có thể được sử dụng như một tài liệu hướng dẫn để đánh giá tác động của các lựa chọn thiết kế khác nhau. Để giảm các động lực khai thác giao thức, phương trình ngụ ý ba lựa chọn rõ ràng: giảm giá trị của các cuộc tấn công, tăng chi phí để có được quyền biểu quyếtvà tăng chi phí thực hiện các cuộc tấn công.
Giảm giá trị của các cuộc tấn công
Việc giới hạn giá trị của một cuộc tấn công có thể khó khăn bởi vì dự án càng thành công thì một cuộc tấn công thành công càng có giá trị. Rõ ràng là một dự án không nên cố ý phá hoại thành công của chính nó chỉ để làm giảm giá trị của một cuộc tấn công.
Tuy nhiên, các nhà thiết kế có thể giới hạn giá trị của các cuộc tấn công bằng cách giới hạn phạm vi quản trị có thể làm. Nếu quản trị chỉ bao gồm quyền thay đổi các thông số nhất định trong một dự án (ví dụ: lãi suất trên giao thức cho vay), thì phạm vi của các cuộc tấn công tiềm ẩn sẽ hẹp hơn nhiều so với khi quản trị cho phép kiểm soát hoàn toàn hợp đồng thông minh được quản lý.
Phạm vi quản trị có thể là một chức năng của giai đoạn dự án. Trong giai đoạn đầu của nó, một dự án có thể có sự quản trị rộng rãi hơn khi nó phát hiện được chỗ đứng của mình, nhưng trên thực tế, việc quản trị có thể được kiểm soát chặt chẽ bởi nhóm sáng lập và cộng đồng. Khi dự án trưởng thành và phân cấp quyền kiểm soát, có thể có ý nghĩa khi đưa ra một số mức độ xung đột trong quản trị - tối thiểu, đòi hỏi số đại biểu lớn cho các quyết định quan trọng nhất.
Tăng chi phí để có được quyền biểu quyết
Một dự án cũng có thể thực hiện các bước để khó có được quyền biểu quyết cần thiết cho một cuộc tấn công. Mã thông báo càng thanh khoản, càng dễ yêu cầu quyền biểu quyết đó - vì vậy, gần như nghịch lý là các dự án có thể muốn giảm tính thanh khoản để bảo vệ quyền quản trị. Người ta có thể cố gắng giảm khả năng giao dịch ngắn hạn của các mã thông báo một cách trực tiếp, nhưng điều đó có thể không khả thi về mặt kỹ thuật.
Để giảm tính thanh khoản một cách gián tiếp, các dự án có thể cung cấp các ưu đãi khiến người sở hữu mã thông báo cá nhân ít sẵn sàng bán hơn. Điều này có thể được thực hiện bằng cách khuyến khích đặt cược hoặc bằng cách mang lại giá trị độc lập cho mã thông báo ngoài quản trị thuần túy. Càng nhiều giá trị tích lũy cho chủ sở hữu mã thông báo, họ càng trở nên phù hợp hơn với sự thành công của dự án.
Lợi ích của mã thông báo độc lập có thể bao gồm quyền truy cập vào các sự kiện trực tiếp hoặc trải nghiệm xã hội. Điều quan trọng, những lợi ích như thế này có giá trị cao đối với những cá nhân phù hợp với dự án nhưng vô dụng đối với kẻ tấn công. Việc cung cấp các loại lợi ích này làm tăng mức giá hiệu quả mà kẻ tấn công phải đối mặt khi mua lại mã thông báo: những người nắm giữ hiện tại sẽ ít sẵn sàng bán hơn vì các lợi ích độc lập, điều này sẽ làm tăng giá thị trường; Tuy nhiên, trong khi kẻ tấn công phải trả giá cao hơn, sự hiện diện của các tính năng độc lập không làm tăng giá trị của kẻ tấn công từ việc có được mã thông báo.
Tăng chi phí thực hiện các cuộc tấn công
Ngoài việc tăng chi phí quyền biểu quyết, có thể tạo ra những xích mích khiến kẻ tấn công khó thực hiện quyền biểu quyết hơn ngay cả khi họ đã có được mã thông báo. Ví dụ: các nhà thiết kế có thể yêu cầu một số loại xác thực người dùng để tham gia bình chọn, chẳng hạn như kiểm tra KYC (biết khách hàng của bạn) hoặc ngưỡng điểm danh tiếng. Người ta thậm chí có thể hạn chế khả năng của một tác nhân chưa được xác thực để có được mã thông báo biểu quyết ngay từ đầu, có thể yêu cầu một số bộ xác thực hiện có để chứng thực tính hợp pháp của các bên mới.
Theo một nghĩa nào đó, đây chính xác là cách nhiều dự án phân phối mã thông báo ban đầu của họ, đảm bảo các bên đáng tin cậy kiểm soát một phần đáng kể quyền biểu quyết. (Nhiều giải pháp Proof of Stake sử dụng các kỹ thuật tương tự để bảo vệ an ninh của họ - kiểm soát chặt chẽ những người có quyền truy cập vào cổ phần sớm và sau đó phân cấp dần dần từ đó.)
Ngoài ra, các dự án có thể làm cho nó để ngay cả khi kẻ tấn công kiểm soát một lượng đáng kể quyền biểu quyết, họ vẫn gặp khó khăn trong việc chuyển các đề xuất độc hại. Ví dụ: một số dự án có khóa thời gian để không thể sử dụng đồng xu để bỏ phiếu trong một khoảng thời gian sau khi nó đã được trao đổi. Do đó, kẻ tấn công tìm cách mua hoặc mượn một lượng lớn mã thông báo sẽ phải đối mặt với chi phí bổ sung từ việc chờ đợi trước khi họ thực sự có thể bỏ phiếu - cũng như rủi ro rằng các thành viên bỏ phiếu sẽ nhận thấy và ngăn cản cuộc tấn công tiềm năng của họ trong thời gian tạm thời. Phái đoàn cũng có thể hữu ích nơi đây. Bằng cách trao cho những người tham gia tích cực, nhưng không ác ý quyền bỏ phiếu thay cho họ, những cá nhân không muốn đóng vai trò đặc biệt tích cực trong quản trị vẫn có thể đóng góp quyền biểu quyết của họ để bảo vệ hệ thống.
Một số dự án sử dụng quyền phủ quyết cho phép việc bỏ phiếu bị trì hoãn trong một khoảng thời gian để cảnh báo những cử tri không hoạt động về một đề xuất nguy hiểm tiềm tàng. Theo một kế hoạch như vậy, ngay cả khi kẻ tấn công đưa ra một đề xuất ác ý, các cử tri vẫn có khả năng phản hồi và đóng nó lại. Ý tưởng đằng sau những thiết kế này và những thiết kế tương tự là ngăn kẻ tấn công lén lút đưa ra một đề xuất độc hại và cung cấp cho cộng đồng của dự án thời gian để hình thành phản ứng. Lý tưởng nhất là các đề xuất phù hợp rõ ràng với ưu điểm của giao thức sẽ không phải đối mặt với những rào cản này.
At Danh từ DAO, ví dụ, quyền phủ quyết do Tổ chức Danh từ nắm giữ cho đến khi chính DAO sẵn sàng triển khai một lược đồ thay thế. Như họ đã viết trên trang web của mình, “Tổ chức Danh từ sẽ phủ quyết các đề xuất đưa ra các rủi ro pháp lý hoặc tồn tại không nhỏ đối với Tổ chức Danh từ DAO hoặc Tổ chức Danh từ”.
* * *
Các dự án phải đạt được sự cân bằng để cho phép một mức độ cởi mở nhất định đối với các thay đổi của cộng đồng (đôi khi có thể không được ưa chuộng), đồng thời không cho phép các đề xuất độc hại lọt qua các khe nứt. Thường chỉ cần một đề xuất độc hại để hủy bỏ một giao thức, do đó, hiểu rõ ràng về sự đánh đổi rủi ro của việc chấp nhận hoặc từ chối đề xuất là rất quan trọng. Và tất nhiên, sự đánh đổi ở cấp độ cao tồn tại giữa việc đảm bảo an ninh quản trị và khả năng quản trị - bất kỳ cơ chế nào đưa ra ma sát để ngăn chặn kẻ tấn công tiềm năng tất nhiên cũng khiến quá trình quản trị trở nên khó sử dụng hơn.
Các giải pháp mà chúng tôi đã phác thảo ở đây nằm trên một phổ giữa quản trị hoàn toàn phi tập trung và hy sinh một phần một số lý tưởng về phân quyền cho sức khỏe tổng thể của giao thức. Khuôn khổ của chúng tôi nêu bật các con đường khác nhau mà các dự án có thể chọn khi họ tìm cách đảm bảo rằng các cuộc tấn công quản trị sẽ không mang lại lợi nhuận. Chúng tôi hy vọng cộng đồng sẽ sử dụng khuôn khổ để phát triển hơn nữa các cơ chế này thông qua thử nghiệm của riêng họ để làm cho các DAO an toàn hơn nữa trong tương lai.
***
Pranav Garimidi là một sinh viên đang lên tại Đại học Columbia và là Thực tập sinh Nghiên cứu Mùa hè tại tiền điện tử a16z.
Scott Duke Kominers là Giáo sư Quản trị Kinh doanh tại Trường Kinh doanh Harvard, Chi nhánh Khoa của Khoa Kinh tế Harvard, và là Đối tác Nghiên cứu tại tiền điện tử a16z.
Tim Roughgarden là Giáo sư Khoa học Máy tính và là thành viên của Viện Khoa học Dữ liệu tại Đại học Columbia, và Trưởng phòng Nghiên cứu tại tiền điện tử a16z.
***
Lời cảm ơn: Chúng tôi đánh giá cao những nhận xét và đề xuất hữu ích từ Andy Hall. Đặc biệt cũng cảm ơn biên tập viên của chúng tôi, Tim Sullivan.
***
Tiết lộ: Kominers nắm giữ một số mã thông báo tiền điện tử và là một phần của nhiều cộng đồng NFT; anh ấy tư vấn cho các doanh nghiệp thị trường, công ty khởi nghiệp và các dự án tiền điện tử khác nhau; và anh ấy cũng là chuyên gia về các vấn đề liên quan đến NFT.
Các quan điểm được trình bày ở đây là quan điểm của từng nhân viên AH Capital Management, LLC (“a16z”) được trích dẫn và không phải là quan điểm của a16z hoặc các chi nhánh của nó. Một số thông tin trong đây đã được lấy từ các nguồn của bên thứ ba, bao gồm từ các công ty danh mục đầu tư của các quỹ do a16z quản lý. Mặc dù được lấy từ các nguồn được cho là đáng tin cậy, a16z đã không xác minh độc lập thông tin đó và không đưa ra tuyên bố nào về tính chính xác lâu dài của thông tin hoặc tính thích hợp của nó đối với một tình huống nhất định. Ngoài ra, nội dung này có thể bao gồm các quảng cáo của bên thứ ba; a16z đã không xem xét các quảng cáo đó và không xác nhận bất kỳ nội dung quảng cáo nào có trong đó.
Nội dung này chỉ được cung cấp cho mục đích thông tin và không được dựa vào như lời khuyên về pháp lý, kinh doanh, đầu tư hoặc thuế. Bạn nên tham khảo ý kiến của các cố vấn của riêng mình về những vấn đề đó. Các tham chiếu đến bất kỳ chứng khoán hoặc tài sản kỹ thuật số nào chỉ dành cho mục đích minh họa và không cấu thành khuyến nghị đầu tư hoặc đề nghị cung cấp dịch vụ tư vấn đầu tư. Hơn nữa, nội dung này không hướng đến cũng như không nhằm mục đích sử dụng cho bất kỳ nhà đầu tư hoặc nhà đầu tư tiềm năng nào và không được dựa vào bất kỳ trường hợp nào khi đưa ra quyết định đầu tư vào bất kỳ quỹ nào do a16z quản lý. (Đề nghị đầu tư vào quỹ a16z sẽ chỉ được thực hiện bởi bản ghi nhớ phát hành riêng lẻ, thỏa thuận đăng ký và các tài liệu liên quan khác về bất kỳ quỹ nào như vậy và phải được đọc toàn bộ.) Bất kỳ khoản đầu tư hoặc công ty danh mục đầu tư nào được đề cập, đề cập đến, hoặc được mô tả không phải là đại diện cho tất cả các khoản đầu tư vào xe do a16z quản lý và không thể đảm bảo rằng các khoản đầu tư sẽ sinh lời hoặc các khoản đầu tư khác được thực hiện trong tương lai sẽ có các đặc điểm hoặc kết quả tương tự. Danh sách các khoản đầu tư được thực hiện bởi các quỹ do Andreessen Horowitz quản lý (không bao gồm các khoản đầu tư mà tổ chức phát hành không cho phép a16z tiết lộ công khai cũng như các khoản đầu tư không thông báo vào tài sản kỹ thuật số được giao dịch công khai) có tại https://a16z.com/investments /.
Các biểu đồ và đồ thị được cung cấp bên trong chỉ nhằm mục đích cung cấp thông tin và không nên dựa vào khi đưa ra bất kỳ quyết định đầu tư nào. Hiệu suất trong quá khứ không cho thấy kết quả trong tương lai. Nội dung chỉ nói kể từ ngày được chỉ định. Mọi dự đoán, ước tính, dự báo, mục tiêu, triển vọng và / hoặc ý kiến thể hiện trong các tài liệu này có thể thay đổi mà không cần báo trước và có thể khác hoặc trái ngược với ý kiến của người khác. Vui lòng xem https://a16z.com/disclosures để biết thêm thông tin quan trọng.
- tiền điện tử a16z
- Andreessen Horowitz
- Bitcoin
- blockchain
- tuân thủ blockchain
- hội nghị blockchain
- coinbase
- thiên tài
- Sự đồng thuận
- Crypto & Web3
- hội nghị tiền điện tử
- khai thác crypto
- cryptocurrency
- Phân quyền
- Defi
- Tài sản kỹ thuật số
- ethereum
- học máy
- mã thông báo không thể thay thế
- cộng đồng trực tuyến
- plato
- Plato ai
- Thông tin dữ liệu Plato
- khối chuỗi trung tâm
- PlatoDữ liệu
- Platogaming
- Polygon
- bằng chứng cổ phần
- W3
- zephyrnet
