買以太坊 買以太坊
Ctrl+D 買以太坊
ads
首頁 > 酷幣 > Info

DAO:a16z:如何識別、評估和避免DAO治理攻擊?_Meta Masters Guild

Author:

Time:1900/1/1 0:00:00

許多Web3項目使用可替換和可交易的原生代幣進行無許可投票。無權限投票可以提供許多好處,從降低準入門檻到增加競爭。代幣持有者可以使用他們的代幣對一系列問題進行投票——從簡單的參數調整到治理過程本身的大修。但是無權限投票很容易受到治理攻擊,即攻擊者通過合法手段獲得投票權,但為了攻擊者自己的利益,利用這種投票權來操縱協議。這些攻擊是純粹的「協議內」,這意味著它們不能通過密碼學解決。相反,防止它們需要周到的機制設計。為此,我們開發了一個框架,以幫助DAO評估威脅,并有可能對抗此類攻擊。實踐中的治理攻擊

治理攻擊的問題并不只是理論上的。它們不僅可以在現實世界中發生,而且已經發生并將繼續發生。在一個突出的例子中,Steemit,一家在其區塊鏈上建立去中心化社交網絡的創業公司,Steem有一個由20個證人控制的鏈上治理系統。投票者使用他們的STEEM代幣來選擇證人。在Steemit和Steem獲得牽引力的同時,孫宇晨已經制定了將Steem合并到Tron的計劃,Tron是他在2018年創立的區塊鏈協議。為了獲得這樣做的投票權,孫宇晨找到了Steem的創始人之一,并購買了相當于總供應量30%的代幣。一旦當時的Steem證人發現他的購買行為,他們就凍結了孫宇晨的代幣。接下來是孫宇晨和Steem之間的公開反擊,以控制足夠的代幣來部署他們喜歡的前20名證人名單。在涉及主要交易所并花費數十萬美元購買代幣后,孫宇晨最終取得了勝利,并有效地自由控制了網絡。在另一個例子中,Beanstalk,一個穩定幣協議,發現自己很容易受到通過Flashloan的治理攻擊。一個攻擊者通過貸款獲得了足夠多的Beanstalk的治理代幣,瞬間通過了一個惡意提案,讓他們奪取了Beanstalk的1.82億美元的儲備。與Steem攻擊不同,這次攻擊發生在一個區塊的范圍內,這意味著在任何人都沒有時間做出反應之前就已經結束了。雖然這兩起攻擊發生在公開場合和公眾視線之下,但治理攻擊也可以在很長一段時間內秘密進行。攻擊者可能會創建許多匿名賬戶,慢慢積累治理代幣,同時表現得與其他持有人一樣,以避免被懷疑。事實上,鑒于許多DAO的選民參與度往往很低,這些賬戶可以長期處于休眠狀態而不引起懷疑。從DAO的角度來看,攻擊者的匿名賬戶可以促進健康水平的去中心化投票權的出現。但最終攻擊者可能達到一個門檻,即這些虛假錢包有能力單方面控制治理,而社區卻無法回應。同樣,惡意行為者可能會在投票率足夠低的時候獲得足夠的投票權來控制治理,然后在許多其他代幣持有人不活躍的時候試圖通過惡意的提案。雖然我們可能認為所有的治理行動只是市場力量發揮作用的結果,但在實踐中,治理有時會產生低效的結果,這是激勵失敗或協議設計中其他漏洞的結果。就像政府決策會被利益集團甚至是簡單的慣性所控制一樣,DAO治理如果結構不當也會導致低劣的結果。那么,我們如何通過機制設計來解決這種攻擊?根本的挑戰:不可辨別性

a16z Crypto總法律顧問:Kraken與SEC達成和解不會影響其他交易平臺:2月10日消息,a16z Crypto總法律顧問Miles Jennings針對Kraken與SEC達成和解一案發表評論稱:質押對生態系統來說非常重要,質押即服務項目既合法,也允許更多人參與區塊鏈技術。我們認為這一和解協議將不會對已制定計劃不涉及證券法的交易平臺產生任何影響。

作為Web3的重要投資者和正在建設下一代互聯網的企業,a16z對Gensler主席繼續證明他只知道如何通過零星的執法案件進行監管感到失望。距離美國證券交易委員會(SEC)上一次發布與加密貨幣相關的指導意見已經過去了四年,其主席繼續專注于上頭條,而不是根據SEC的核心使命保護投資者。現在是他優先考慮規則和指導的時候了,這些規則和指導將使市場更加清晰,并積極主動地保護公眾。[2023/2/10 11:58:45]

代幣分配的市場機制無法區分那些想為項目做出有價值貢獻的用戶和那些對破壞或以其他方式控制項目抱有很高價值的攻擊者。在一個代幣可以在公共市場上買賣的世界里,從市場的角度來看,這兩個群體在行為上是不可區分的:都愿意以越來越高的價格購買大量的代幣。這種不可區分性問題意味著去中心化的治理不是免費的。相反,協議設計者在公開的去中心化治理和確保他們的系統免受尋求利用治理機制的攻擊者的影響之間面臨著基本的權衡。社區成員越是能自由地獲得治理權力并影響協議,攻擊者就越容易利用同一機制進行惡意修改。這種不可辨別性的問題在權益證明區塊鏈網絡的設計中很熟悉。在那里就是如此,代幣的高流動性市場使得攻擊者更容易獲得足夠的權益來破壞網絡的安全保障。盡管如此,代幣激勵和流動性設計的混合使得權益證明網絡成為可能。類似的策略可以幫助確保DAO協議的安全。評估和解決脆弱性的框架

a16z Crypto負責人提醒欺詐風險:有人在Instagram冒充我:金色財經報道,a16z Crypto負責人 Chris Dixon 在其官方社交媒體賬戶上發布欺詐風險提示,他表示自己不使用任何 Instagram 消息,但現在發現有人冒充他實施欺詐,因此提醒用戶注意風險。Chris Dixon 創立并領導 a16z Crypto,該機構剛剛完成了第四只基金 Crypto Fund 4募資,規模高達45億美元。[2022/6/3 3:59:57]

為了分析不同項目所面臨的脆弱性,我們使用了一個由以下公式捕獲的框架:

對于一個協議來說,要想被認為是對治理攻擊的安全,攻擊者的利潤應該是負的。在為一個項目設計治理規則時,這個方程可以作為評估不同設計選擇的影響的一個指導原則。為了減少利用協議的動機,該方程意味著三個明確的選擇:降低攻擊的價值,增加獲得投票權的成本,以及增加執行攻擊的成本。降低攻擊的價值

NFT游戲初創公司Mythical Games完成1.5億美元C輪融資,a16z領投:11月4日消息,在不到四個月前完成7500萬美元B輪融資之后,NFT游戲初創公司Mythical Games今日宣布獲得由a16z領投的1.5億美元C輪融資,公司估值達到12.5億美元。D1 Capital、RedBird Capital、The Raine Group和交易所Binance、FTX參投,現有投資者Galaxy Interactive、WestCap、01 Advisors、Javelin Partners、Struck Capital、Alumni Ventures和Signum Growth Investments追投。(businesswire)[2021/11/4 6:32:11]

限制攻擊的價值可能很困難,因為一個項目越成功,成功的攻擊可能就越有價值。顯然,一個項目不應該為了減少攻擊的價值而故意破壞自己的成功。然而,設計者可以通過限制治理所能做的范圍來限制攻擊的價值。如果治理只包括改變項目中某些參數的權力,那么潛在的攻擊范圍就比治理允許完全普遍控制治理的智能合約時要窄得多。治理范圍可以是一個項目階段的功能。在其生命的早期,一個項目可能有更廣泛的治理,因為它找到了自己的立足點,但實際上治理可能被創始團隊和社區嚴格控制。隨著項目的成熟和控制權的下放,在治理中引入一定程度的摩擦可能是有意義的——至少在最重要的決策中需要有大型全體會議。增加獲得投票權的成本

a16z投資的stablecoin協議Angle將于10月底上線歐元stablecoin:10月5日消息,Angle將發行的穩定幣被稱為agToken,首個發行的穩定幣將是歐元穩定幣agEUR,之后將支持美元穩定幣agUSD。agToken將以預言機的價格進行發行,所以鑄造時有幾乎無限的流動性,而且與傳統的AMM相比,即使是大額的agToken也不會出現滑點。agToken總是可以以1:1的比例對協議中的抵押品進行贖回,開始時將支持USDC和DAI作為抵押品,后續將很快支持wETH和wBTC,并且理論上任何代幣和資產都可以作為抵押品被接受。該項目在以太坊上的歐元穩定幣目前正在測試,主網代碼正在審計中,預計將在10月底上線。[2021/10/5 17:25:19]

一個項目也可以采取措施,使其更難獲得攻擊所需的投票權。代幣的流動性越強,就越容易要求獲得投票權,因此,幾乎是矛盾的,項目可能希望為了保護治理而減少流動性。人們可以嘗試直接減少代幣的短期交易性,但這在技術上可能是不可行的。為了間接減少流動性,項目可以提供激勵措施,使個別代幣持有者不太愿意出售。這可以通過激勵質押來實現,或者通過賦予代幣獨立的價值,超越純粹的治理。代幣持有人獲得的價值越多,他們就越能與項目的成功保持一致。獨立的代幣利益可能包括參加現場活動或社交體驗。至關重要的是,像這樣的好處對與項目保持一致的個人來說是高價值的,但對攻擊者來說是無用的。提供這類好處提高了攻擊者在獲取代幣時面臨的有效價格:由于獨立的好處,目前的持有人將不太愿意出售,這應該增加市場價格;然而,雖然攻擊者必須支付更高的價格,但獨立功能的存在并沒有提高攻擊者獲取代幣的價值。增加執行攻擊的成本

去中心化金融平臺Celo完成2000萬美元融資,a16z參投:2月10日消息,去中心化金融平臺Celo已完成2000萬美元的融資,同時基于Celo平臺的首個點對點支付及移動支付應用Valora正式上線。此輪融資的投資者包括Andreesen Horowitz、Greenfield One和Electric Capital。此輪融資使得Celo的融資總額達到6500萬美元,而Celo此前的投資者包括Jack Dorsey和Coinbase Ventures。(The Block)[2021/2/10 19:28:06]

除了提高投票權的成本,還可以引入摩擦,使攻擊者即使在獲得代幣后也難以行使投票權。例如,設計者可以要求對參與投票的用戶進行某種認證,如KYC檢查或信譽評分閾值。我們甚至可以限制未經認證的行為者首先獲得投票代幣的能力,也許需要一些現有的驗證者來證明新方的合法性。在某種意義上,這正是許多項目分配其初始代幣的方式,確保受信任的各方控制相當一部分的投票權。(許多權益證明解決方案使用類似的技術來捍衛他們的安全——嚴格控制誰可以訪問早期的權益,然后從那里逐漸去中心化。)另外,項目可以讓攻擊者即使控制了大量的投票權,他們在通過惡意提案時仍然面臨困難。例如,一些項目有時間鎖,使一個代幣在被交換后的一段時間內不能被用來投票。因此,尋求購買或借用大量代幣的攻擊者將面臨著在實際投票前等待的額外成本——以及投票成員會注意到并在這期間挫敗他們的預期攻擊的風險。授權在這里也是有幫助的。通過給予積極但非惡意的參與者代表他們投票的權利,那些不想在治理中發揮特別積極作用的個人仍然可以為保護系統貢獻他們的投票權。一些項目使用否決權,允許投票推遲一段時間,以提醒不活躍的選民注意一個潛在的危險提案。在這樣的方案下,即使攻擊者提出惡意提案,投票者也有能力回應并關閉它。這些設計和類似的設計背后的想法是阻止攻擊者偷偷摸摸地通過惡意提案,并為項目的社區提供時間來制定應對措施。理想情況下,那些明顯符合協議利益的提案將不必面對這些路障。例如,在NounsDAO,否決權由Nouns基金會掌握,直到DAO本身準備好實施一個替代模式。正如他們在網站上寫的那樣,「Nouns基金會將否決那些給NounsDAO或Nouns基金會帶來非同小可的法律或生存風險的提案。」項目必須取得平衡,允許對社區變化有一定程度的開放性,同時不允許惡意提案從縫隙中溜走。往往只需要一個惡意的提議就可以搞垮一個協議,所以清楚地了解接受和拒絕提議的風險權衡是至關重要的。當然,在確保治理安全和使治理成為可能之間也存在著高水平的權衡——任何引入摩擦以阻止潛在攻擊者的機制當然也會使治理過程更難使用。我們在這里勾勒出的解決方案屬于完全去中心化的治理和為了協議的整體健康而部分犧牲一些去中心化的理想之間的光譜。我們的框架突出了項目可以選擇的不同路徑,因為他們尋求確保治理攻擊不會獲利。我們希望社區能夠利用這個框架,通過他們自己的實驗進一步發展這些機制,使DAO在未來更加安全。原地址

Tags:STESTEEMDAOTALMeta Masters Guildsteem幣最新消息Movement DAOMetalblock

酷幣
BEND:BendDAO重整旗鼓后,留下哪些撿漏機會?_BEN

過去一周,NFT市場備受關注的事件便是BendDAO遭遇流動性危機。官網最新數據顯示,目前其總流動性為32607個ETH,其中可用流動性19905ETH,已經回升至一周前的水平,基本宣告本次擠兌.

1900/1/1 0:00:00
ETH:ETH周報 | Goerli測試網已完成合并;以太坊預計將于9月15日合并(8.8-8.14)_LuckTogether

作者|秦曉峰編輯|郝方舟出品|Odaily星球日報 一、整體概述 8月8日,據官方消息,美國財政部海外資產控制辦公室將TornadoCash納入制裁名單.

1900/1/1 0:00:00
DAO:從實例來看DAO:權力分散的偉大嘗試_NFT

相較于傳統互聯網領域,Web3用戶更期望在心理層面獲得更深層次的參與感和共鳴,而不僅僅獲得的財務回報.

1900/1/1 0:00:00
REA:新項目 | ReadON:想讓用戶Read to Earn的Web3閱讀平臺_CATBREAD

近期,一款名為ReadON的去中心化閱讀平臺吸引了我們的注意,它于8月11日獲得了由SevenXVentures領投的200萬美元的種子輪融資.

1900/1/1 0:00:00
FRAX:一文盤點25個穩定幣項目發展現狀_穩定幣

穩定幣市場目前占1.07萬億美元加密市場總額的14.2%。然而,整個穩定幣市場的90%($1409億)由3個法幣支持的中心化項目主導:USDT、USDC和BUSD.

1900/1/1 0:00:00
FINA:詳解Sirius Finance:基于Polkadot的“跨鏈版Curve”_Cops Finance

8月11日起,一款名為「SiriusFinance」的全新DeFi項目于Solanium、PolkaBridge、DaoLaunch、DaoStarter、LunaPad等多個Launchpad.

1900/1/1 0:00:00
ads