원본 편집: Old Yuppie

원본 편집: Old Yuppie

많은 Web3 프로젝트는 무허가 투표를 위해 대체 가능하고 거래 가능한 기본 토큰을 사용합니다. 무허가 투표는 더 낮은 장벽에서 진입, 경쟁 증가에 이르기까지 많은 이점을 제공할 수 있습니다. 토큰 소유자는 토큰을 사용하여 간단한 매개변수 조정에서 거버넌스 프로세스 자체의 점검에 이르기까지 다양한 문제에 대해 투표할 수 있습니다. (DAO 거버넌스에 대한 검토는 "광속 민주주의보조 제목

실제 거버넌스 공격

거버넌스 공격의 문제는 단지 이론적인 것이 아닙니다. 현실 세계에서 일어날 수 있을 뿐만 아니라 일어났고 앞으로도 일어날 것입니다.

대표적인 예에서 블록체인에 분산형 소셜 네트워크를 구축하는 스타트업인 Steemit은 20명의 증인이 제어하는 ​​온체인 거버넌스 시스템을 보유하고 있습니다. 유권자는 증인을 선택하기 위해 STEEM 토큰(플랫폼의 기본 대만 달러)을 사용합니다. Steemit과 Steem이 인기를 얻고 있는 동안 Justin Sun은 Steem을 2018년에 설립한 블록체인 프로토콜인 Tron에 병합할 계획을 세웠습니다. 투표권을 얻기 위해 Justin Sun은 Steem 창립자 중 한 명에게 접근하여 총 공급량의 30%에 해당하는 토큰을 구입했습니다. 당시 스팀 목격자가 그의 구매 사실을 알게 되자 그들은 저스틴 선의 토큰을 동결했습니다. 그 뒤를 이어 Justin Sun과 Steem이 가장 좋아하는 상위 20위 증인 목록을 배포하기에 충분한 토큰을 통제하기 위한 공개적인 싸움이 벌어졌습니다. 주요 거래소를 참여시키고 토큰에 수십만 달러를 지출한 후 Justin Sun은 결국 승리를 거두었고 효과적으로 네트워크를 자유롭게 통제했습니다.

또 다른 예로 스테이블 코인 프로토콜인 Beanstalk는 Flashloan을 통한 거버넌스 공격에 취약하다는 사실을 발견했습니다. 공격자는 악의적인 제안을 순식간에 통과시키기 위해 대출을 통해 Beanstalk의 거버넌스 토큰을 충분히 확보하여 Beanstalk의 준비금에서 1억 8,200만 달러를 탈취할 수 있었습니다. Steem 공격과 달리 이 공격은 블록 내에서 발생했습니다. 즉, 누군가 반응할 시간을 갖기 전에 끝났습니다.

이 두 가지 공격은 공개 및 공개되지 않은 상태에서 발생했지만 거버넌스 공격은 장기간 비밀리에 수행될 수도 있습니다. 공격자는 의심을 피하기 위해 다른 소유자처럼 행동하면서 천천히 거버넌스 토큰을 축적하면서 많은 익명 계정을 만들 수 있습니다. 사실, 많은 DAO에 대한 유권자 참여가 낮은 경우가 많기 때문에 이러한 계정은 의심을 불러일으키지 않고 오랜 기간 동안 휴면 상태를 유지할 수 있습니다. DAO의 관점에서 공격자의 익명 계정은 건강한 수준의 탈중앙화된 투표권의 출현을 촉진할 수 있습니다. 그러나 결국 공격자는 이러한 가짜 지갑이 커뮤니티가 대응할 수 없는 상태에서 일방적으로 거버넌스를 제어할 수 있는 임계값에 도달할 수 있습니다. 마찬가지로 악의적인 행위자는 투표율이 충분히 낮을 때 거버넌스를 제어할 수 있는 충분한 투표권을 얻은 다음 다른 많은 토큰 보유자가 활동하지 않을 때 악의적인 제안을 통과시키려고 시도할 수 있습니다.

우리는 모든 거버넌스 조치를 단순히 작동 중인 시장의 힘의 결과라고 생각할 수 있지만 실제로 거버넌스는 때때로 인센티브 실패 또는 프로토콜 설계의 다른 허점의 결과로 비효율적인 결과를 생성할 수 있습니다. 정부 결정이 이익 집단이나 단순한 관성에 의해 지배될 수 있는 것처럼 잘못 구조화된 DAO 거버넌스는 좋지 않은 결과를 초래할 수 있습니다.

보조 제목

근본적인 과제: 식별 불가

토큰 배포를 위한 시장 메커니즘은 프로젝트에 가치 있는 기여를 하려는 사용자와 프로젝트를 방해하거나 제어하는 ​​데 높은 가치를 두는 공격자를 구분하지 못합니다. 공개 시장에서 토큰을 사고 팔 수 있는 세상에서 두 그룹은 시장 관점에서 행동적으로 구별할 수 없습니다. 둘 다 점점 더 높은 가격으로 대량의 토큰을 기꺼이 구매할 의향이 있습니다.

이 구별 불가능성 문제는 탈중앙화된 거버넌스가 공짜로 오지 않는다는 것을 의미합니다. 대신 프로토콜 설계자는 개방형 분산형 거버넌스와 거버넌스 메커니즘을 악용하려는 공격자로부터 시스템을 보호하는 것 사이에서 근본적인 절충안을 마주하게 됩니다. 커뮤니티 구성원이 더 자유롭게 거버넌스 권한을 얻고 프로토콜에 영향을 미칠수록 공격자가 동일한 메커니즘을 악용하여 악의적으로 수정하기가 더 쉬워집니다.

보조 제목

취약점 평가 및 해결을 위한 프레임워크

다양한 프로젝트가 직면한 취약점을 분석하기 위해 다음 공식으로 캡처된 프레임워크를 사용했습니다.

보조 제목

공격의 가치를 낮추십시오

공격의 가치를 제한하는 것은 어려울 수 있습니다. 프로젝트가 성공할수록 성공적인 공격의 가치가 높아질 가능성이 높기 때문입니다. 분명히 프로젝트는 공격의 가치를 줄이기 위해 의도적으로 성공을 방해해서는 안 됩니다.

그러나 설계자는 거버넌스가 수행할 수 있는 범위를 제한하여 공격의 가치를 제한할 수 있습니다. 거버넌스가 프로젝트의 특정 매개변수(예: 대출 계약의 이자율)를 변경할 수 있는 권한만 포함하는 경우 거버넌스가 지배 스마트 계약에 대한 완전한 보편적 제어를 허용할 때보다 잠재적인 공격의 범위가 훨씬 좁아집니다.

보조 제목

의결권 획득 비용 증가

프로젝트는 공격에 필요한 의결권을 얻기 어렵게 만드는 조치를 취할 수도 있습니다. 토큰의 유동성이 높을수록 의결권을 주장하기가 더 쉬워지므로 거의 역설적이게도 프로젝트는 거버넌스를 보호하기 위해 유동성을 줄이고자 할 수 있습니다. 토큰의 단기 거래 가능성을 직접적으로 줄이려고 시도할 수 있지만 이는 기술적으로 실현 가능하지 않을 수 있습니다.

간접적으로 유동성을 줄이기 위해 프로젝트는 개별 토큰 소유자가 판매를 덜 하도록 인센티브를 제공할 수 있습니다. 이는 스테이킹을 장려하거나 토큰에 순수한 거버넌스를 넘어서는 독립적인 가치를 부여함으로써 달성할 수 있습니다. 토큰 보유자가 더 많은 가치를 받을수록 프로젝트의 성공과 더 일치합니다.

보조 제목

공격 수행 비용 증가

의결권 비용을 높이는 것 외에도 공격자가 토큰을 획득한 후에도 의결권을 행사하기 어렵게 만드는 마찰이 도입될 수 있습니다. 예를 들어 디자이너는 투표 사용자에 대해 KYC(고객 파악) 확인 또는 평판 점수 임계값과 같은 일종의 인증을 요구할 수 있습니다. 인증되지 않은 행위자가 투표 토큰을 획득하는 능력을 처음부터 제한할 수도 있습니다. 아마도 일부 기존 유효성 검사기가 새 당사자의 합법성을 증명하도록 요구할 수 있습니다.

어떤 의미에서 이것은 정확히 얼마나 많은 프로젝트가 초기 토큰을 배포하여 신뢰할 수 있는 당사자가 투표권의 상당 부분을 제어하는지 확인합니다. (많은 지분 증명 솔루션은 유사한 기술을 사용하여 보안을 보호합니다. 초기 지분에 액세스할 수 있는 사람을 엄격하게 제어하고 점차적으로 탈중앙화합니다.)

또한 프로젝트는 공격자가 상당한 양의 투표권을 제어하더라도 악의적인 제안을 전달하는 데 어려움을 겪을 수 있습니다. 예를 들어, 일부 프로젝트에는 토큰이 교환된 후 특정 기간 동안 투표에 사용되지 않도록 하는 타임록이 있습니다. 결과적으로 많은 양의 토큰을 사거나 빌리려는 공격자는 실제로 투표하기 전에 기다리는 추가 비용과 그 동안 투표 회원이 의도한 공격을 알아차리고 저지할 위험에 직면하게 됩니다. 여기에서도 인증이 유용합니다. 적극적이지만 악의적이지 않은 행위자에게 자신을 대신하여 투표할 수 있는 권한을 부여함으로써 거버넌스에서 특히 적극적인 역할을 원하지 않는 개인도 여전히 시스템 보안에 투표권을 기여할 수 있습니다.

일부 프로젝트는 비활성 유권자에게 잠재적으로 위험한 제안에 대해 경고하기 위해 일정 기간 동안 투표를 연기할 수 있는 거부권을 사용합니다. 이러한 방식에서는 공격자가 악의적인 제안을 하더라도 유권자는 응답하고 닫을 수 있습니다. 이러한 설계 및 유사한 설계의 기본 아이디어는 공격자가 악의적인 제안을 통해 잠입하는 것을 방지하고 프로젝트 커뮤니티에 대책을 개발할 시간을 제공하는 것입니다. 이상적으로는 분명히 계약에 이익이 되는 제안은 이러한 장애물에 직면하지 않아도 됩니다.

예를 들어 Nouns DAO에서 거부권은 DAO 자체가 대체 모델을 구현할 준비가 될 때까지 Nouns Foundation에서 보유합니다. 그들은 웹 사이트에 "명사 재단은 명사 DAO 또는 명사 재단에 중대한 법적 또는 실존적 위험을 초래하는 제안에 대해 거부권을 행사할 것입니다."라고 적었습니다.

프로젝트는 커뮤니티 변화에 대해 어느 정도 개방성(때때로 반갑지 않을 수 있음)을 허용하는 동시에 악의적인 제안이 틈새로 빠져나가는 것을 허용하지 않는 균형을 유지해야 합니다. 종종 하나의 악의적인 제안만으로 프로토콜을 중단시킬 수 있으므로 제안 수락 및 거부의 위험 상충 관계를 명확하게 이해하는 것이 중요합니다. 물론 거버넌스를 확보하는 것과 거버넌스를 가능하게 하는 것 사이에는 높은 수준의 장단점이 있습니다. 잠재적인 공격자를 저지하기 위해 마찰을 도입하는 모든 메커니즘은 물론 거버넌스 프로세스를 사용하기 어렵게 만듭니다.

원본 링크

원본 링크