a16z：避免 DAO 治理攻擊的三種方式_STEEM

原文來自a16z

作者：PranavGarimidi,ScottDukeKominers以及TimRoughgarden

編譯：DeFi之道

很多Web3項目使用可互換且可交易的原生代幣來進行無許可的投票，無許可投票可以提供很多的好處，從降低準入門檻到增加競爭。代幣持有者可以使用他們的Token，對一系列問題進行投票，從簡單的參數調整到治理過程本身的徹底檢修。然而，無許可投票很容易受到治理攻擊，即攻擊者通過合法手段獲得投票權，然后使用該投票權為攻擊者自身的利益來操縱協議。這些攻擊純粹是“協議內”攻擊，這意味著它們無法通過密碼學手段解決。相反，預防它們需要深思熟慮的機制設計。為此，我們開發了一個框架來幫助DAO評估威脅并應對潛在的攻擊。

現實中已經發生的治理攻擊

治理攻擊的問題不僅僅是理論上的，并且已經在現實世界當中發生了多次，并且將會繼續發生。

舉一個突出的例子，Steemit是一家構建去中心化社交網絡的初創公司，它建立在其Steem區塊鏈上，該區塊鏈擁有一個由20名驗證者控制的鏈上治理系統。選民使用他們的STEEM代幣來選出驗證者，在Steemit和Steem獲得發展的同時，孫宇晨制定了將Steem合并到Tron的計劃，為了獲得足夠數量的投票權，孫聯系了Steem的創始人之一，購買了相當于總供應量30%的代幣。而當Steem的驗證者發現了孫的購買行為之后，他們就凍結了孫的代幣。此后，孫和Steem之間展開了公開爭執，孫的目的是控制足夠的Token來選出一個新的驗證者名單，在一些交易所的幫助下，孫最終獲勝并有效地控制了Steem網絡。

數據：a16z將6432枚MKR轉入Coinbase:7月11日消息，據余燼發推稱，5小時前a16z將6432枚MKR轉入Coinbase，價值約590萬美元。[2023/7/11 10:47:31]

在另一個例子中，穩定幣協議Beanstalk被發現容易遭受閃電貸治理攻擊，一名攻擊者獲得了一筆貸款，以獲取到足夠數量的Beanstalk治理代幣，從而立即通過了一項惡意提案，允許他們控制了Beanstalk的1.82億美元儲備資金。與Steem的治理攻擊不同的是，Beanstalk的攻擊是發生在一個區塊的時間范圍內的，這意味著在任何人作出反應之前，攻擊就已經結束了。

雖然這兩次攻擊是在公開場合和公眾視線下發生的，但治理攻擊也可以在很長的一段時間內秘密進行。攻擊者可能會創建大量匿名賬戶，并緩慢累積治理代幣，同時表現得像任何其他持有者，以避免被人懷疑。事實上，考慮到很多DAO的選民參與度往往很低，這些賬戶可能會長時間處于休眠狀態而不會引起懷疑。從DAO的角度來看，攻擊者的匿名賬戶可能有助于呈現健康水平的去中心化投票權。但最終攻擊者可能會達到一個閾值，即這些女巫錢包有權單方面控制治理，而社區卻無法做出回應。同樣，惡意行為者可能會在投票率足夠低時獲得足夠的投票權來控制治理，然后在許多其他持有者不活躍的情況下嘗試通過惡意提案。

a16z政策負責人：美SEC應與加密貨幣公司合作:金色財經報道，a16z政策負責人Brian Quintenz發文表示，美國證券交易委員會（SEC）今天的行動延續了不負責任的逐級監管模式，傷害了企業家、投資者和消費者，同時有可能扼殺創新并將負責任的公司從美國趕走。Coinbase十多年來一直是一個負責任的行業參與者，曾幫助在美國開辟了Web3。作為一家上市公司，它曾多次嘗試在美國證券交易委員會注冊，并長期呼吁進行監管，但監管機構沒有任何動作。強制執行不能替代指導意見。通過對第三方的執法行動，對特定代幣是否是證券進行訴訟是不恰當的，對保護消費者或為市場提供明確性沒有什么作用。相反，SEC應該與市場參與者合作，使規則現代化并澄清其應用的范圍。[2023/6/7 21:20:40]

雖然我們可能認為所有的治理行動，都是市場力量發揮作用的結果，但在實踐中，由于激勵失敗或協議設計中的其他漏洞，治理有時會產生低效的結果。正如政府決策可能會被利益集團甚至是簡單的慣性所捕獲一樣，DAO治理如果結構不當，可能會導致較差的結果。

那么，我們如何通過機制設計來應對此類攻擊呢？

A16z首席法務官：監管機構錯過了監管 Web3 的核心問題:金色財經報道，A16z首席法務官Jai Ramaswamy在第一天的會議“理性監管 Web3：千載難逢的機會”上發言稱，監管機構錯過了監管 Web3 的核心問題。Ramaswamy 在提供當今監管環境的背景下解釋說，加密貨幣往往與三個主要監管領域接觸：非法金融監管、資本形成和市場完整性以及金融穩定因素。

然而，他警告說，額外協議層的開發顯然對建立在當前互聯網骨干上的金融服務具有非常深遠的影響，并將在全球范圍內產生更廣泛的影響。這些影響將跨越技術、技術外交、外交關系以及美國經濟的形態。我不認為政策制定者和監管機構完全參與其中。由于“多層技術堆棧”的性質越來越多地與金融堆棧融合，因此創新與合規之間的空間出現了緊張局勢。[2022/10/24 16:37:12]

根本挑戰：不可區分性

代幣分配的市場機制，無法區分想要為項目做出有價值貢獻的用戶以及高度重視破壞或以其他方式控制項目的攻擊者。在一個可以在公共市場上買賣代幣的世界中，從市場的角度來看，這兩個群體在行為上是沒有區別的，兩者都愿意以越來越高的價格購買大量Token。

商業支付服務商Sequence獲1900萬美元種子輪融資，a16z領投:金色財經報道，商業支付服務商Sequence宣布獲得1900萬美元種子輪融資，a16z領投。Sequence總部位于倫敦，由首席執行官Riya Grover和董事長Eamon Jubbawy創立，前者曾是食品配送平臺Feedr的聯合創始人，后者是數字身份證公司Onfido的前創始人。

Sequence旨在解決商業結算和支付領域的遲鈍和笨拙，通過開發“動態”B2B計費和收款解決方案，Sequence正在提供自動化和更加簡化的定價和發票流程，并計劃利用API、數據和分析來實現這一目標。[2022/9/22 7:12:51]

這種不可區分的問題，意味著去中心化治理并不是免費的。相反，協議設計者面臨著公開去中心化治理以及保護其系統免受試圖利用治理機制的攻擊者攻擊之間的根本權衡。社區成員獲得治理權力和影響協議的自由越多，攻擊者就越容易使用相同的機制進行惡意更改。

這種不可區分性問題在權益證明區塊鏈網絡的設計中很常見的，此外，代幣的高流動性市場使攻擊者更容易獲得足夠的權益來破壞網絡的安全保障。盡管如此，代幣激勵和流動性設計的結合，使得PoS網絡成為可能。而類似的策略可幫助保護DAO協議。

福布斯公布2022年百大風投人：A16z的Chris Dixon與Ribbit Capital的Micky Malka包攬前二:4月15日消息，福布斯近日公布了2022年百大風投人名單，其中A16z的Chris Dixon與Ribbit Capital的Micky Malka分別位列第一第二。據了解，二人都因為早期對Coinbase的押注而在2021年的IPO中獲得巨額回報，其中Chris Dixon還曾投資過Avalanche與Uniswap等知名加密項目，而A16z和Ribbit Capital都因廣泛押注加密賽道著稱。[2022/4/15 14:25:35]

評估和解決脆弱性的框架

為了分析不同項目面臨的漏洞，我們使用由以下等式捕獲的框架：

為了使協議是安全的，攻擊者的利潤應該是負的。在為項目設計治理規則時，該等式可用作評估不同設計選擇的影響的指南。為了減少利用該協議的動機，該等式意味著三個明確的選擇：降低攻擊的價值，增加獲得投票權的成本，以及增加執行攻擊的成本。

1、降低攻擊的價值

限制攻擊的價值可能會很困難，因為項目越成功，成功的攻擊就越有價值。顯然，一個項目不應該僅僅為了降低攻擊的價值而故意破壞其自身的成功。

然而，設計者可以通過限制治理功能的范圍來限制攻擊的價值。如果治理只包括更改項目中某些參數的權力，那么潛在攻擊的范圍要比治理允許對治理智能合約進行全面控制時要窄得多。

治理范圍可以是項目階段的函數。在項目早期，當項目找到立足點時，可能會有更廣泛的治理，但在實踐中，治理可能會受到創始團隊和社區的嚴格控制。隨著項目的成熟以及去中心化控制，在治理中引入一定程度的摩擦可能是有意義的——至少，最重要的決策需要大量社區成員的參與。

2、增加獲得投票權的成本

項目方還可以采取措施使獲得攻擊所需的投票權變得更加困難。代幣的流動性越強，攻擊者就越容易獲得投票權，這幾乎是自相矛盾的，項目方可能希望為了保護治理而減少流動性。人們可以嘗試直接降低代幣的短期可交易性，但這在技術上可能不可行。

為了間接減少流動性，項目方可以提供激勵措施，使個人代幣持有人不太愿意出售。這可以通過激勵性質押來實現，或者通過賦予代幣超越純粹治理的獨立價值來實現。代幣持有人獲得的價值越高，他們就越能與項目的成功保持一致。

獨立代幣的好處可能包括親身參與活動或社交體驗。至關重要的是，這樣的好處對與項目方合作的個人來說是很有價值的，但這對攻擊者來說是無用的。提供這些好處會提高攻擊者在獲取代幣時面臨的有效價格：由于獨立的好處，當前持有人將不太愿意出售，這會提高市場價格，然而，雖然攻擊者必須付出更高的代價，但獨立功能的存在并沒有提高攻擊者獲取代幣的價值。

3、增加執行攻擊的成本

除了提高投票權的成本外，我們還可以引入摩擦，使攻擊者即使在獲得代幣后也更難行使投票權。例如，設計人員可能需要某種用戶身份驗證才能參與投票，例如KYC檢查或聲譽分數閾值。人們甚至可以首先限制未經認證的參與者獲取投票Token的能力，可能需要一些現有的驗證者來證明新參與方的合法性。

從某種意義上說，這正是許多項目分配其初始代幣的方式，確保受信任方控制很大一部分的投票權。

或者，項目方可以這樣做，即使攻擊者控制了大量投票權，他們在通過惡意提案時仍然面臨著困難。例如，一些項目有時間鎖的設定，因此在交換后的一段時間內無法使用代幣進行投票。因此，試圖購買或借入大量代幣的攻擊者將面臨額外成本，因為他們需要等待才能真正投票，并且投票成員可能會注意到并阻止他們的潛在攻擊的風險。委托在這里也很有幫助，通過賦予積極但非惡意的參與者代表他們投票的權利，不想在治理中發揮特別積極作用的個人，仍然可以為保護系統貢獻他們的投票權。

一些項目還使用了否決權機制，允許將投票推遲一段時間，以提醒不活躍的選民注意潛在危險的提案。在這樣的方案下，即使攻擊者提出惡意提案，選民也有能力做出回應并關閉它。這些設計背后的想法是，阻止攻擊者偷偷通過惡意提案，并為項目社區提供時間來制定響應。理想情況下，明確符合協議利益的提案不必面對這些障礙。

例如，在NounsDAO中，否決權是由Nouns基金會持有的，直到DAO本身準備好實現替代方案為止。正如他們在網站上所寫的那樣：

“Nouns基金會將否決那些給NounsDAO或Nouns基金會帶來重大法律風險或存在風險的提案。”

***

項目方必須達成平衡，以允許對社區變化保持一定程度的開放性，同時不允許惡意提案從縫隙中溜走。通常來說，只需要一個惡意提案就可以使協議失效，因此清楚地了解接受和拒絕提案的風險權衡至關重要。當然，在確保治理安全和使治理成為可能之間存在著高水平的權衡，因為任何引入摩擦以阻止潛在攻擊者的機制，當然也會使治理過程更具挑戰性。

我們在這里概述的解決方案，介于完全去中心化治理和為了協議的整體健康而犧牲部分去中心化之間。我們的框架強調了項目方在尋求確保治理攻擊不會有利可圖時可以選擇的不同路徑。我們希望社區將使用該框架通過自己的實驗進一步開發這些機制，使DAO在未來更加安全。

Tags：STEEMSTEDAOTALsteem幣有價值么stepn幣發行價格mdao幣靠譜嗎Brave Power Crystal

SHIB最新價格