オリジナル・コンピレーション: オールド・ヤッピー
オリジナル・コンピレーション: オールド・ヤッピー
多くの Web3 プロジェクトは、権限のない投票に代替可能で取引可能なネイティブ トークンを使用しています。許可のない投票は、参入障壁の低下から競争の激化まで、多くの利点をもたらします。トークン所有者は、トークンを使用して、単純なパラメータ調整からガバナンスプロセス自体の徹底的な見直しに至るまで、さまざまな問題に投票できます。 (DAO ガバナンスのレビューについては、「」を参照してください。光速民主主義副題
実際に行われているガバナンス攻撃
ガバナンス攻撃の問題は単なる理論的なものではありません。それらは現実世界で起こり得るだけでなく、これまでにも起こりましたし、これからも起こり続けるでしょう。
著名な例である Steemit は、ブロックチェーン上に分散型ソーシャル ネットワークを構築するスタートアップ企業であり、20 人の証人によって制御されるオンチェーン ガバナンス システムを備えています。有権者はSTEEMトークン(プラットフォームのネイティブ台湾ドル)を使用して証人を選択します。 SteemitとSteemが勢いを増す中、Justin Sun氏はSteemを2018年に設立したブロックチェーンプロトコルであるTronに統合する計画を打ち出した。そうするための議決権を獲得するために、Justin Sun は Steem の創設者の 1 人に近づき、総供給量の 30% に相当するトークンを購入しました。当時のスティーム証人が彼の購入を知ると、ジャスティン・サンのトークンを凍結した。続いて、ジャスティン・サンとスティームの間で、お気に入りのトップ20の目撃者リストを展開するのに十分なトークンを制御するための公開の戦いが行われました。主要な取引所を巻き込み、トークンに何十万ドルも費やした後、ジャスティン・サンは最終的に勝利を収め、事実上ネットワークを自由に制御できるようになりました。
別の例では、ステーブルコイン プロトコルである Beanstalk が、Flashloan を介したガバナンス攻撃に対して脆弱であることがわかりました。攻撃者は融資を通じて Beanstalk のガバナンス トークンを十分に入手し、悪意のある提案を瞬時に可決し、Beanstalk の準備金 1 億 8,200 万ドルを押収することができました。 Steem 攻撃とは異なり、この攻撃はブロック内で発生したため、誰かが反応する前に攻撃が終了したことを意味します。
これら 2 つの攻撃は公然と公の場で行われましたが、ガバナンス攻撃は長期間にわたって秘密裏に実行される可能性もあります。攻撃者は多数の匿名アカウントを作成し、疑惑を避けるために他の所有者と同じように動作しながら、ガバナンス トークンをゆっくりと蓄積する可能性があります。実際、多くの DAO では有権者の参加が低いことが多いため、これらのアカウントは疑惑を抱かずに長期間休眠状態に留まる可能性があります。 DAO の観点から見ると、攻撃者の匿名アカウントは健全なレベルの分散投票権の出現を促進する可能性があります。しかし最終的には、コミュニティが対応できずに、これらの偽ウォレットが一方的にガバナンスを制御する能力を攻撃者が持つしきい値に達する可能性があります。同様に、悪意のある攻撃者は、投票率が十分に低い場合にガバナンスを制御するのに十分な投票権を獲得し、他の多くのトークン所有者が非アクティブな場合に悪意のある提案を可決しようとする可能性があります。
私たちはすべてのガバナンス活動を単に市場の力が働いた結果であると考えるかもしれませんが、実際にはガバナンスはインセンティブの失敗やプロトコル設計のその他の抜け穴の結果として非効率な結果を生み出すことがあります。政府の決定が利益団体や単なる惰性によって支配される可能性があるのと同様に、DAO のガバナンスが不十分に構成されていると、劣悪な結果が生じる可能性があります。
副題
根本的な課題: 識別不可能性
トークン配布の市場メカニズムでは、プロジェクトに貴重な貢献をしたいユーザーと、プロジェクトを妨害したり制御したりすることに高い価値を置く攻撃者を区別できません。トークンが公開市場で売買できる世界では、市場の観点からは 2 つのグループの行動は区別できません。どちらも、ますます高価格で大量のトークンを購入する意欲があります。
この区別不能の問題は、分散型ガバナンスが無料で実現できるわけではないことを意味します。その代わりに、プロトコル設計者は、オープンな分散ガバナンスと、ガバナンス メカニズムを悪用しようとする攻撃者からシステムを保護することの間の基本的なトレードオフに直面します。コミュニティのメンバーがより自由にガバナンス権限を獲得し、プロトコルに影響を与えることができるほど、攻撃者が同じメカニズムを悪用して悪意のある変更を行うことが容易になります。
副題
脆弱性を評価して対処するためのフレームワーク
さまざまなプロジェクトが直面する脆弱性を分析するために、次の式で捉えられるフレームワークを使用しました。
副題
攻撃値を下げる
プロジェクトが成功すればするほど、成功した攻撃の価値も高くなる可能性が高いため、攻撃の価値を制限することは困難な場合があります。明らかに、プロジェクトは、攻撃の価値を下げるために、それ自体の成功を意図的に妨害すべきではありません。
ただし、設計者はガバナンスが実行できる範囲を制限することで、攻撃の価値を制限できます。ガバナンスにプロジェクト内の特定のパラメーター (たとえば、融資契約の金利など) を変更する権限のみが含まれている場合、潜在的な攻撃の範囲は、ガバナンスが管理するスマート コントラクトに対する完全な普遍的な制御を許可している場合よりもはるかに狭くなります。
副題
議決権取得コストの増加
プロジェクトは、攻撃に必要な投票権の獲得を困難にする措置を講じる可能性もあります。トークンの流動性が高いほど、議決権の主張が容易になるため、ほとんど逆説的ですが、プロジェクトはガバナンスを保護するために流動性を削減したい場合があります。トークンの短期取引可能性を直接低下させようとすることもできますが、これは技術的に実現できない可能性があります。
流動性を間接的に低下させるために、プロジェクトは個々のトークン所有者の販売意欲を低下させるインセンティブを提供することができます。これは、ステーキングを奨励するか、純粋なガバナンスを超えた独立した価値をトークンに与えることによって実現できます。トークン所有者が受け取る価値が高くなるほど、プロジェクトの成功との連携が高まります。
副題
攻撃を実行するコストが増加します
投票権のコストが上昇することに加えて、攻撃者がトークンを取得した後でも投票権を行使することが困難になる摩擦が導入される可能性があります。たとえば、設計者は、投票するユーザーに対して、KYC (顧客の確認) チェックや評判スコアのしきい値など、ある種の認証を要求することができます。そもそも、認定されていないアクターが投票トークンを取得する能力を制限し、おそらく新しい政党の正当性を証明するために既存のバリデーターを必要とすることさえ可能です。
ある意味、これはまさに多くのプロジェクトが最初のトークンを配布し、信頼できる当事者が投票権のかなりの部分を確実に制御できるようにするためのものです。 (多くのプルーフ・オブ・ステーク ソリューションは、セキュリティを保護するために同様の手法を使用しています。誰が初期ステークにアクセスできるかを厳密に制御し、そこから徐々に分散化します。)
さらに、プロジェクトでは、攻撃者が大量の投票権を制御している場合でも、悪意のある提案を通過させることが困難になる可能性があります。たとえば、一部のプロジェクトには、トークンが交換された後、一定期間投票に使用できないようにするタイムロックが設定されています。その結果、大量のトークンを購入または借りようとする攻撃者は、実際に投票するまで待機するという追加コストに直面することになり、投票メンバーがその間に気づき、意図した攻撃を阻止してしまうリスクに直面することになります。ここでも認証が役に立ちます。活動的ではあるが悪意のない行為者に自分に代わって投票する権利を与えることで、ガバナンスにおいて特に積極的な役割を果たしたくない個人であっても、システムの安全性を確保するために自分の投票権を貢献することができます。
一部のプロジェクトでは拒否権を使用し、非アクティブな有権者に潜在的に危険な提案を警告するために一定期間投票を遅らせることができます。このようなスキームの下では、たとえ攻撃者が悪意のある提案を行ったとしても、有権者はそれに応答して提案を閉じることができます。これらおよび同様の設計の背後にある考え方は、攻撃者が悪意のある提案をすり抜けるのを阻止し、プロジェクトのコミュニティに対策を開発する時間を与えることです。理想的には、明らかに合意の利益となる提案であれば、こうした障害に直面する必要はないでしょう。
たとえば、Nouns DAO では、DAO 自体が代替モデルを実装する準備が整うまで、Nouns Foundation が拒否権を保持します。彼らがウェブサイトに書いているように、「Nouns Foundationは、Nouns DAOまたはNouns Foundationに重大な法的または存続リスクをもたらす提案に拒否権を発動します。」
プロジェクトは、コミュニティの変化に対してある程度オープンに (時には歓迎されないこともありますが) 許容しつつ、悪意のある提案がすり抜けないようにするバランスをとらなければなりません。多くの場合、悪意のある提案が 1 つだけでプロトコルが停止するため、提案の受け入れと拒否のリスク トレードオフを明確に理解することが重要です。もちろん、ガバナンスを確保することとガバナンスを可能にすることの間には、高レベルのトレードオフもあります。潜在的な攻撃者を阻止するために摩擦をもたらすメカニズムは、当然、ガバナンス プロセスの使用を困難にすることになります。
元のリンク
IOS
Android