Biên dịch gốc: Old Yuppie

Biên dịch gốc: Old Yuppie

Nhiều dự án Web3 sử dụng mã thông báo gốc có thể thay thế và có thể giao dịch để bỏ phiếu không được phép. Bỏ phiếu không cần xin phép có thể mang lại nhiều lợi ích, từ hạ thấp rào cản gia nhập cho đến tăng cường cạnh tranh. Chủ sở hữu mã thông báo có thể sử dụng mã thông báo của họ để bỏ phiếu về nhiều vấn đề - từ điều chỉnh tham số đơn giản đến đại tu chính quy trình quản trị. (Để xem xét về quản trị DAO, xem "Dân chủ chớp nhoángtiêu đề phụ

Tấn công quản trị trong thực tế

Vấn đề tấn công quản trị không chỉ là lý thuyết. Chúng không chỉ có thể xảy ra trong thế giới thực, chúng đã xảy ra và sẽ tiếp tục xảy ra.

Trong một ví dụ nổi bật, Steemit, một công ty khởi nghiệp xây dựng mạng xã hội phi tập trung trên chuỗi khối của mình, Steem có một hệ thống quản trị trên chuỗi được kiểm soát bởi 20 nhân chứng. Người bỏ phiếu sử dụng mã thông báo STEEM của họ (đồng đô la Đài Loan bản địa của nền tảng) để chọn nhân chứng. Trong khi Steemit và Steem đang đạt được sức hút, Justin Sun đã vạch ra kế hoạch hợp nhất Steem vào Tron, giao thức chuỗi khối mà anh ấy đã thành lập vào năm 2018. Để có quyền bỏ phiếu, Justin Sun đã tiếp cận một trong những người sáng lập Steem và mua các mã thông báo tương đương với 30% tổng nguồn cung. Sau khi các nhân chứng của Steem vào thời điểm đó phát hiện ra các giao dịch mua của anh ấy, họ đã đóng băng các mã thông báo của Justin Sun. Tiếp theo là cuộc chiến công khai giữa Justin Sun và Steem để kiểm soát đủ số lượng token để triển khai danh sách top 20 nhân chứng yêu thích của họ. Sau khi tham gia vào các sàn giao dịch lớn và chi hàng trăm nghìn đô la cho các mã thông báo, Justin Sun cuối cùng đã chiến thắng và giành quyền kiểm soát mạng lưới một cách hiệu quả.

Trong một ví dụ khác, Beanstalk, một giao thức stablecoin, dễ bị tấn công quản trị thông qua Flashloan. Kẻ tấn công đã lấy đủ mã thông báo quản trị của Beanstalk thông qua các khoản vay để chuyển một đề xuất độc hại ngay lập tức, cho phép chúng chiếm đoạt 182 triệu đô la dự trữ của Beanstalk. Không giống như cuộc tấn công Steem, cuộc tấn công này xảy ra trong một khối, nghĩa là nó kết thúc trước khi bất kỳ ai có thời gian phản ứng.

Mặc dù hai cuộc tấn công này diễn ra công khai và ngoài tầm nhìn của công chúng, nhưng các cuộc tấn công quản trị cũng có thể được thực hiện bí mật trong thời gian dài. Kẻ tấn công có thể tạo nhiều tài khoản ẩn danh, từ từ tích lũy mã thông báo quản trị trong khi hành xử giống như những chủ sở hữu khác để tránh bị nghi ngờ. Trên thực tế, do tỷ lệ cử tri tham gia vào nhiều DAO thường thấp, các tài khoản này có thể không hoạt động trong thời gian dài mà không gây nghi ngờ. Từ góc độ DAO, tài khoản ẩn danh của kẻ tấn công có thể tạo điều kiện cho sự xuất hiện của quyền biểu quyết phi tập trung ở mức lành mạnh. Nhưng cuối cùng những kẻ tấn công có thể đạt đến ngưỡng mà các ví giả này có khả năng đơn phương kiểm soát việc quản trị mà cộng đồng không thể phản hồi. Tương tự như vậy, các tác nhân độc hại có thể có đủ quyền biểu quyết để kiểm soát quản trị khi tỷ lệ cử tri đi bỏ phiếu đủ thấp và sau đó cố gắng thông qua các đề xuất độc hại khi nhiều chủ sở hữu mã thông báo khác không hoạt động.

Mặc dù chúng ta có thể nghĩ về tất cả các hành động quản trị đơn giản là kết quả của các lực lượng thị trường đang hoạt động, nhưng trong thực tế, quản trị đôi khi có thể tạo ra kết quả không hiệu quả do thất bại trong việc khuyến khích hoặc các sơ hở khác trong thiết kế giao thức. Giống như các quyết định của chính phủ có thể bị chi phối bởi các nhóm lợi ích hoặc thậm chí là quán tính đơn giản, quản trị DAO có cấu trúc kém có thể dẫn đến kết quả kém.

tiêu đề phụ

Thách thức cơ bản: Không thể phân biệt được

Cơ chế thị trường để phân phối mã thông báo không phân biệt được giữa những người dùng muốn đóng góp có giá trị cho dự án và những kẻ tấn công coi trọng việc phá vỡ hoặc kiểm soát dự án. Trong một thế giới mà các mã thông báo có thể được mua và bán trên thị trường công khai, hai nhóm này không thể phân biệt được về mặt hành vi từ góc độ thị trường: Cả hai đều sẵn sàng mua số lượng lớn mã thông báo với giá ngày càng cao hơn.

Vấn đề không thể phân biệt này có nghĩa là quản trị phi tập trung không miễn phí. Thay vào đó, các nhà thiết kế giao thức phải đối mặt với sự đánh đổi cơ bản giữa quản trị phi tập trung mở và bảo vệ hệ thống của họ khỏi những kẻ tấn công đang tìm cách khai thác cơ chế quản trị. Các thành viên cộng đồng càng tự do có thể giành được quyền quản trị và ảnh hưởng đến giao thức, thì kẻ tấn công càng dễ dàng khai thác cơ chế tương tự để thực hiện các sửa đổi độc hại.

tiêu đề phụ

Khung đánh giá và giải quyết các lỗ hổng

Để phân tích các lỗ hổng mà các dự án khác nhau gặp phải, chúng tôi đã sử dụng một khung được ghi lại theo công thức sau:

tiêu đề phụ

Giảm giá trị của cuộc tấn công

Việc giới hạn giá trị của một cuộc tấn công có thể khó khăn vì dự án càng thành công thì cuộc tấn công thành công càng có giá trị. Rõ ràng, một dự án không nên cố tình phá hoại thành công của chính nó để làm giảm giá trị của một cuộc tấn công.

Tuy nhiên, các nhà thiết kế có thể giới hạn giá trị của các cuộc tấn công bằng cách giới hạn phạm vi của những gì quản trị có thể làm. Nếu quản trị chỉ bao gồm quyền thay đổi các tham số nhất định trong dự án (ví dụ: lãi suất của hợp đồng cho vay), thì phạm vi của các cuộc tấn công tiềm năng sẽ hẹp hơn nhiều so với khi quản trị cho phép kiểm soát toàn bộ các hợp đồng thông minh quản lý.

tiêu đề phụ

Tăng chi phí để có được quyền biểu quyết

Một dự án cũng có thể thực hiện các bước để khiến việc giành được quyền biểu quyết cần thiết cho một cuộc tấn công trở nên khó khăn hơn. Mã thông báo càng có tính thanh khoản cao thì càng dễ dàng yêu cầu quyền biểu quyết, vì vậy, gần như nghịch lý, các dự án có thể muốn giảm tính thanh khoản để bảo vệ quyền quản trị. Người ta có thể cố gắng giảm trực tiếp khả năng giao dịch ngắn hạn của mã thông báo, nhưng điều này có thể không khả thi về mặt kỹ thuật.

Để gián tiếp giảm tính thanh khoản, các dự án có thể cung cấp các ưu đãi để khiến những người nắm giữ mã thông báo cá nhân ít sẵn sàng bán hơn. Điều này có thể đạt được bằng cách khuyến khích đặt cược hoặc bằng cách cung cấp cho mã thông báo một giá trị độc lập vượt ra ngoài quản trị thuần túy. Chủ sở hữu mã thông báo càng nhận được nhiều giá trị, họ càng phù hợp với thành công của dự án.

tiêu đề phụ

Tăng chi phí thực hiện một cuộc tấn công

Ngoài việc tăng chi phí quyền biểu quyết, ma sát có thể được tạo ra khiến những kẻ tấn công khó thực hiện quyền biểu quyết ngay cả sau khi có được mã thông báo. Ví dụ: một nhà thiết kế có thể yêu cầu một số loại xác thực, chẳng hạn như kiểm tra KYC (biết khách hàng của bạn) hoặc ngưỡng điểm danh tiếng, đối với người dùng bỏ phiếu. Chúng tôi thậm chí có thể hạn chế khả năng của các diễn viên chưa được chứng nhận để có được mã thông báo biểu quyết ngay từ đầu, có thể yêu cầu một số trình xác nhận hiện tại chứng minh tính hợp pháp của bên mới.

Theo một nghĩa nào đó, đây chính xác là cách nhiều dự án phân phối mã thông báo ban đầu của họ, đảm bảo rằng các bên đáng tin cậy kiểm soát một phần đáng kể quyền biểu quyết. (Nhiều giải pháp bằng chứng cổ phần sử dụng một kỹ thuật tương tự để bảo vệ an ninh của họ — kiểm soát chặt chẽ những người có quyền truy cập vào cổ phần sớm và phân quyền dần dần từ đó.)

Ngoài ra, các dự án có thể cho phép kẻ tấn công gặp khó khăn khi chuyển các đề xuất độc hại ngay cả khi chúng kiểm soát một lượng đáng kể quyền biểu quyết. Ví dụ: một số dự án có khóa thời gian ngăn mã thông báo được sử dụng để bỏ phiếu trong một khoảng thời gian nhất định sau khi mã thông báo đã được hoán đổi. Do đó, những kẻ tấn công muốn mua hoặc mượn số lượng lớn mã thông báo sẽ phải đối mặt với chi phí chờ đợi bổ sung trước khi thực sự bỏ phiếu — và rủi ro là các thành viên bỏ phiếu sẽ nhận thấy và ngăn chặn cuộc tấn công dự định của chúng trong thời gian chờ đợi. Ủy quyền cũng hữu ích ở đây. Bằng cách trao cho những người tích cực nhưng không ác ý quyền bỏ phiếu thay mặt họ, những cá nhân không muốn đóng vai trò đặc biệt tích cực trong quản trị vẫn có thể đóng góp quyền bỏ phiếu của họ để bảo vệ hệ thống.

Một số dự án sử dụng quyền phủ quyết, cho phép hoãn bỏ phiếu trong một khoảng thời gian để cảnh báo những cử tri không tích cực về một đề xuất nguy hiểm tiềm ẩn. Theo kế hoạch như vậy, ngay cả khi kẻ tấn công đưa ra đề xuất độc hại, cử tri vẫn có khả năng phản hồi và đóng đề xuất đó. Ý tưởng đằng sau những thiết kế này và các thiết kế tương tự là để ngăn chặn những kẻ tấn công lén lút xem xét các đề xuất độc hại và cho cộng đồng của dự án thời gian để phát triển các biện pháp đối phó. Lý tưởng nhất là các đề xuất rõ ràng vì lợi ích của thỏa thuận sẽ không phải đối mặt với những rào cản này.

Ví dụ: trong Nouns DAO, quyền phủ quyết được nắm giữ bởi Nouns Foundation cho đến khi chính DAO sẵn sàng thực hiện một mô hình thay thế. Khi họ viết trên trang web của mình, "Quỹ Nouns sẽ phủ quyết các đề xuất gây rủi ro pháp lý hoặc rủi ro đáng kể cho Nouns DAO hoặc Nouns Foundation."

Các dự án phải đạt được sự cân bằng cho phép một mức độ cởi mở (đôi khi có thể không được hoan nghênh) đối với những thay đổi của cộng đồng trong khi không cho phép các đề xuất ác ý lọt qua kẽ hở. Thông thường, chỉ cần một đề xuất ác ý là có thể đánh sập một giao thức, vì vậy việc hiểu rõ ràng về sự đánh đổi rủi ro của việc chấp nhận và từ chối các đề xuất là rất quan trọng. Tất nhiên, cũng có sự đánh đổi ở mức độ cao giữa việc đảm bảo quản trị và làm cho việc quản trị trở nên khả thi - bất kỳ cơ chế nào tạo ra xung đột để ngăn chặn những kẻ tấn công tiềm năng tất nhiên cũng sẽ khiến quy trình quản trị khó sử dụng hơn.

liên kết gốc

liên kết gốc