以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads

a16z:如何識別、評估和避免DAO治理攻擊?_STE:MKR

Author:

Time:1900/1/1 0:00:00

原文作者:PranavGarimidi;ScottDukeKominers;TimRoughgarden

原文編譯:老雅痞

許多Web3項目使用可替換和可交易的原生代幣進行無許可投票。無權限投票可以提供許多好處,從降低準入門檻到增加競爭。代幣持有者可以使用他們的代幣對一系列問題進行投票——從簡單的參數調整到治理過程本身的大修。但是無權限投票很容易受到治理攻擊,即攻擊者通過合法手段獲得投票權,但為了攻擊者自己的利益,利用這種投票權來操縱協議。這些攻擊是純粹的「協議內」,這意味著它們不能通過密碼學解決。相反,防止它們需要周到的機制設計。為此,我們開發了一個框架,以幫助DAO評估威脅,并有可能對抗此類攻擊。

實踐中的治理攻擊

治理攻擊的問題并不只是理論上的。它們不僅可以在現實世界中發生,而且已經發生并將繼續發生。

在一個突出的例子中,Steemit,一家在其區塊鏈上建立去中心化社交網絡的創業公司,Steem有一個由20個證人控制的鏈上治理系統。投票者使用他們的STEEM代幣來選擇證人。在Steemit和Steem獲得牽引力的同時,孫宇晨已經制定了將Steem合并到Tron的計劃,Tron是他在2018年創立的區塊鏈協議。為了獲得這樣做的投票權,孫宇晨找到了Steem的創始人之一,并購買了相當于總供應量30%的代幣。一旦當時的Steem證人發現他的購買行為,他們就凍結了孫宇晨的代幣。接下來是孫宇晨和Steem之間的公開反擊,以控制足夠的代幣來部署他們喜歡的前20名證人名單。在涉及主要交易所并花費數十萬美元購買代幣后,孫宇晨最終取得了勝利,并有效地自由控制了網絡。

鏈上數據顯示a16z正在逢高出售700萬美元的MKR代幣:金色財經報道,區塊鏈數據顯示,隨著加密貸款平臺MakerDAO的MKR治理代幣價格飆升至近一年高位,Andreessen Horowitz(a16z)正在逢高出售其對MKR治理代幣的部分持倉。以太坊區塊鏈監控網站Etherscan顯示,約700萬美元的MKR已從a16z的加密錢包轉移到上周四新創建的地址,新錢包開始每天向加密交易所Coinbase存入1,380枚代幣(價值約150萬美元),將代幣發送到交易所通常表明有意出售。截至周二,從該錢包存入Coinbase的存款總額為610萬美元,最新一筆交易發生在北京時間周二10:18?PM。

這些交易發生之際,MKR一度飆升至近一年高點1,200美元以上,此前一項新的代幣回購計劃啟動,減少了代幣的供應。該代幣目前交易價為1,140 美元。

a16z的加密錢包仍持有12,395MKR(占其流通供應量的1.3%),價值1,400萬美元。[2023/7/26 15:58:42]

在另一個例子中,Beanstalk,一個穩定幣協議,發現自己很容易受到通過Flashloan的治理攻擊。一個攻擊者通過貸款獲得了足夠多的Beanstalk的治理代幣,瞬間通過了一個惡意提案,讓他們奪取了Beanstalk的1.82億美元的儲備。與Steem攻擊不同,這次攻擊發生在一個區塊的范圍內,這意味著在任何人都沒有時間做出反應之前就已經結束了。

a16z領投游戲工作室Voldex的A輪融資,金額未透露:金色財經報道,專注于加密貨幣的投資公司 a16z 領投了對游戲工作室 Voldex 的 A 輪投資。金額未透露。Voldex 通過收購和改進現有游戲來提高 Roblox 和 Minecraft 等用戶生成內容平臺的質量。a16z 在一份聲明中表示:“僅 Roblox 就有超過 5880 萬用戶,這些平臺龐大且不斷增長的用戶群,以及 Voldex 團隊對 UGC 游戲領域的深刻理解,使 Voldex 能夠在未來幾年顯著增長” 。

此前消息,截至去年 12 月,a16z 部署了不到50%的 Crypto Fund 4,這是 5 月份推出的價值 45 億美元的投資基金。[2023/1/25 11:29:00]

雖然這兩起攻擊發生在公開場合和公眾視線之下,但治理攻擊也可以在很長一段時間內秘密進行。攻擊者可能會創建許多匿名賬戶,慢慢積累治理代幣,同時表現得與其他持有人一樣,以避免被懷疑。事實上,鑒于許多DAO的選民參與度往往很低,這些賬戶可以長期處于休眠狀態而不引起懷疑。從DAO的角度來看,攻擊者的匿名賬戶可以促進健康水平的去中心化投票權的出現。但最終攻擊者可能達到一個門檻,即這些虛假錢包有能力單方面控制治理,而社區卻無法回應。同樣,惡意行為者可能會在投票率足夠低的時候獲得足夠的投票權來控制治理,然后在許多其他代幣持有人不活躍的時候試圖通過惡意的提案。

加密公司 Tiptop Labs 完成 2300 萬美元 A 輪融資,a16z 領投:金色財經消息,Postmates 創始人 Bastian Lehmann 成立的加密貨幣公司 Tiptop Labs 在 5 月份完成 2300 萬美元 A 輪融資,Andreessen Horowitz(a16z)領投,參投方包括 Sam Altman、Naval Ravikant、Gokul Rajaram、Scott Banister、Cyan Banister、Nabeel Hyatt、Dan Romero、Jude Gomila、Sean Plaice、Andy McLoughlin、Jeff Clavier、Vivek Patel 等。

4 月份,Bastian Lehmann 準備成立加密貨幣公司,并已于 2 月在美國特拉華州注冊一家名為 Tiptop Labs 的公司。 據 Tiptop Labs 信息顯示,該公司計劃建立一個將法定貨幣與加密貨幣聯系起來的金融解決方案。[2022/6/10 4:15:15]

雖然我們可能認為所有的治理行動只是市場力量發揮作用的結果,但在實踐中,治理有時會產生低效的結果,這是激勵失敗或協議設計中其他漏洞的結果。就像政府決策會被利益集團甚至是簡單的慣性所控制一樣,DAO治理如果結構不當也會導致低劣的結果。

粉絲變現平臺Fanhouse完成2000萬美元A輪融資,a16z領投:5月18日消息,粉絲變現平臺Fanhouse宣布完成2000萬美元A輪融資,本輪融資由a16z領投。Fanhouse首席營銷官Rosie Nguyen表示,目前Fanhouse平臺上的創作者總收入已經接近1000萬美元。平臺上的頭部創作者包括樂隊組合The Chainsmokers(他們也是該平臺的種子輪投資者)、象棋KOL Andrea Botez以及演員Yoshi Sudarso等。

針對蘋果和谷歌的平臺方抽成問題,Fanhouse則推出了應用內貨幣Coins,Coins需要用戶在網頁端購買后在App中對創作者打賞。Nguyen表示,雖然這樣的內購方法對用戶而言并不方便,但對于創作者來說這一策略可以規避平臺方抽成,盡可能保證創作者的收入實現最大化。(techcrunch)[2022/5/18 3:23:25]

那么,我們如何通過機制設計來解決這種攻擊?

根本的挑戰:不可辨別性

代幣分配的市場機制無法區分那些想為項目做出有價值貢獻的用戶和那些對破壞或以其他方式控制項目抱有很高價值的攻擊者。在一個代幣可以在公共市場上買賣的世界里,從市場的角度來看,這兩個群體在行為上是不可區分的:都愿意以越來越高的價格購買大量的代幣。

消息人士:Axie Infinity正在以30億美元估值進行1.5億美元融資,a16z領投:10月5日消息,據媒體The Information從兩位知情人士獲得的信息,NFT游戲Axie Infinity的開發商SkyMavis正在進行約1.5億美元的B輪融資,估值接近30億美元,將由a16z領投,Paradigm也將參與投資。SkyMavis的上一次融資在今年5月,當時完成了750萬美元A輪融資,由Libertus Capital領投,其他投資者包括Reddit聯合創始人Alexis Ohanian、Mark Cuban等。[2021/10/5 17:24:37]

這種不可區分性問題意味著去中心化的治理不是免費的。相反,協議設計者在公開的去中心化治理和確保他們的系統免受尋求利用治理機制的攻擊者的影響之間面臨著基本的權衡。社區成員越是能自由地獲得治理權力并影響協議,攻擊者就越容易利用同一機制進行惡意修改。

這種不可辨別性的問題在權益證明區塊鏈網絡的設計中很熟悉。在那里就是如此,代幣的高流動性市場使得攻擊者更容易獲得足夠的權益來破壞網絡的安全保障。盡管如此,代幣激勵和流動性設計的混合使得權益證明網絡成為可能。類似的策略可以幫助確保DAO協議的安全。

評估和解決脆弱性的框架

為了分析不同項目所面臨的脆弱性,我們使用了一個由以下公式捕獲的框架:

對于一個協議來說,要想被認為是對治理攻擊的安全,攻擊者的利潤應該是負的。在為一個項目設計治理規則時,這個方程可以作為評估不同設計選擇的影響的一個指導原則。為了減少利用協議的動機,該方程意味著三個明確的選擇:降低攻擊的價值,增加獲得投票權的成本,以及增加執行攻擊的成本。

降低攻擊的價值

限制攻擊的價值可能很困難,因為一個項目越成功,成功的攻擊可能就越有價值。顯然,一個項目不應該為了減少攻擊的價值而故意破壞自己的成功。

然而,設計者可以通過限制治理所能做的范圍來限制攻擊的價值。如果治理只包括改變項目中某些參數的權力,那么潛在的攻擊范圍就比治理允許完全普遍控制治理的智能合約時要窄得多。

治理范圍可以是一個項目階段的功能。在其生命的早期,一個項目可能有更廣泛的治理,因為它找到了自己的立足點,但實際上治理可能被創始團隊和社區嚴格控制。隨著項目的成熟和控制權的下放,在治理中引入一定程度的摩擦可能是有意義的——至少在最重要的決策中需要有大型全體會議。

增加獲得投票權的成本

一個項目也可以采取措施,使其更難獲得攻擊所需的投票權。代幣的流動性越強,就越容易要求獲得投票權,因此,幾乎是矛盾的,項目可能希望為了保護治理而減少流動性。人們可以嘗試直接減少代幣的短期交易性,但這在技術上可能是不可行的。

為了間接減少流動性,項目可以提供激勵措施,使個別代幣持有者不太愿意出售。這可以通過激勵質押來實現,或者通過賦予代幣獨立的價值,超越純粹的治理。代幣持有人獲得的價值越多,他們就越能與項目的成功保持一致。

獨立的代幣利益可能包括參加現場活動或社交體驗。至關重要的是,像這樣的好處對與項目保持一致的個人來說是高價值的,但對攻擊者來說是無用的。提供這類好處提高了攻擊者在獲取代幣時面臨的有效價格:由于獨立的好處,目前的持有人將不太愿意出售,這應該增加市場價格;然而,雖然攻擊者必須支付更高的價格,但獨立功能的存在并沒有提高攻擊者獲取代幣的價值。

增加執行攻擊的成本

除了提高投票權的成本,還可以引入摩擦,使攻擊者即使在獲得代幣后也難以行使投票權。例如,設計者可以要求對參與投票的用戶進行某種認證,如KYC檢查或信譽評分閾值。我們甚至可以限制未經認證的行為者首先獲得投票代幣的能力,也許需要一些現有的驗證者來證明新方的合法性。

在某種意義上,這正是許多項目分配其初始代幣的方式,確保受信任的各方控制相當一部分的投票權。(許多權益證明解決方案使用類似的技術來捍衛他們的安全——嚴格控制誰可以訪問早期的權益,然后從那里逐漸去中心化。)

另外,項目可以讓攻擊者即使控制了大量的投票權,他們在通過惡意提案時仍然面臨困難。例如,一些項目有時間鎖,使一個代幣在被交換后的一段時間內不能被用來投票。因此,尋求購買或借用大量代幣的攻擊者將面臨著在實際投票前等待的額外成本——以及投票成員會注意到并在這期間挫敗他們的預期攻擊的風險。授權在這里也是有幫助的。通過給予積極但非惡意的參與者代表他們投票的權利,那些不想在治理中發揮特別積極作用的個人仍然可以為保護系統貢獻他們的投票權。

一些項目使用否決權,允許投票推遲一段時間,以提醒不活躍的選民注意一個潛在的危險提案。在這樣的方案下,即使攻擊者提出惡意提案,投票者也有能力回應并關閉它。這些設計和類似的設計背后的想法是阻止攻擊者偷偷摸摸地通過惡意提案,并為項目的社區提供時間來制定應對措施。理想情況下,那些明顯符合協議利益的提案將不必面對這些路障。

例如,在NounsDAO,否決權由Nouns基金會掌握,直到DAO本身準備好實施一個替代模式。正如他們在網站上寫的那樣,「Nouns基金會將否決那些給NounsDAO或Nouns基金會帶來非同小可的法律或生存風險的提案。」

項目必須取得平衡,允許對社區變化有一定程度的開放性,同時不允許惡意提案從縫隙中溜走。往往只需要一個惡意的提議就可以搞垮一個協議,所以清楚地了解接受和拒絕提議的風險權衡是至關重要的。當然,在確保治理安全和使治理成為可能之間也存在著高水平的權衡——任何引入摩擦以阻止潛在攻擊者的機制當然也會使治理過程更難使用。

我們在這里勾勒出的解決方案屬于完全去中心化的治理和為了協議的整體健康而部分犧牲一些去中心化的理想之間的光譜。我們的框架突出了項目可以選擇的不同路徑,因為他們尋求確保治理攻擊不會獲利。我們希望社區能夠利用這個框架,通過他們自己的實驗進一步發展這些機制,使DAO在未來更加安全。

原文鏈接

Tags:STESTEEMDAOMKRSuper Master Nodesteem幣有價值么SWDAO價格AMKR價格

萊特幣價格
【Token Airdrop Event】CandyDrop launches ATM on July 27, 2022_AND:THE

DearValuedUsers,CandyDropislaunchingATMonJuly27,2022.Registrationperiod:?ATM:11:00(UTC)July27.

1900/1/1 0:00:00
Kadena公布其“1億美元贈款計劃”首批9個入選項目_ADO:tamadoge幣最新消息

7月26日消息,混合區塊鏈項目Kadena宣布面向DeFi、NFT和Web3項目開啟首輪贈款計劃,共九個項目入選,分別是:-Crankk:分布式無線網絡構建者.

1900/1/1 0:00:00
CoinW合約【天天交易連續獎】第十五期,活動升級,獎勵翻倍_COIN:Bitcoin BEP2

親愛的CoinW用戶: 因廣大用戶參與積極,平臺將繼續上線天天交易系列第十五期,并在原有的活動基礎上進行升級,將保底贈金獎勵由5USDT提升至10USDT!每日發獎,連獎15天.

1900/1/1 0:00:00
中幣支持QTUM網絡硬分叉升級_RES:FUTURE

尊敬的中幣用戶: ????QTUM將于區塊高度2,080,512進行硬分叉升級,為支持本次升級,中幣將于香港時間2022年8月1日0:00暫停QTUM和QRC20-QC的充幣和提幣業務.

1900/1/1 0:00:00
暑期優惠好禮【活動五獎勵已發放】_USD:SDT

尊敬的唯客用戶您好! 暑期優惠好禮充值交易天天抽活動時間:2022/07/1312:00至2022/07/2611:59 活動五:跟單加碼贈 活動方式: Sentiment將于8月22日關閉Se.

1900/1/1 0:00:00
報告:全球第二季度賣空交易激增,空頭獲利超30%_區塊鏈:加密貨幣和數字貨幣的區別

7月27日消息,鑒于市場上彌漫的看跌情緒,第二季度做空交易者明顯大幅增加。這種策略允許交易員試圖從資產價格下降中獲益,這是在市場下跌的背景下發生的.

1900/1/1 0:00:00
ads