a16z )如何避免DAO治理攻击

日期：2023年04月15日 12:28 浏览量：1

许多web3项目使用可同质化和交易的本地令牌进行未经许可的投票。未经许可的投票有很多好处，从降低准入门槛到增加竞争。令牌所有者可以使用该令牌就一系列问题进行投票包括从简单的参数调整到治理过程自身的根本性改革。但是，未经许可的投票容易受到治理攻击，攻击者通过合法手段(例如在公开市场购买令牌)获得投票权，利用该投票权操纵协议，为攻击者自身谋取利益。这些攻击纯粹是“协议内的”攻击，意味着无法通过密码学解决。相反，防止这些攻击需要深思熟虑的结构设计。为此，我们设计了一个框架，帮助DAO评估威胁并应对潜在的治理攻击。

实践中对治理的攻击

治理攻击问题不仅仅是理论上的问题。这些不仅会在现实世界中发生，而且已经并将继续发生。

让我们看看这个明显的例子。 Steemit是首家在区块链Steem上建立去中心化社交网络的公司，链上的治理系统由20名目击者(witness )控制。投票者使用他们的STEEM令牌(平台的本地令牌)选择查看证据的人。当Steemit和Steem越来越有吸引力时，孙宇晨制定了将Steem并入Tron的计划。 Tron是他在2018年创立的区块链合同。为了获得投票权，孙子接近了Steem的创始人购买了相当于总供给量30%的令牌。 Steem在证据者发现他这笔交易时，立即冻结了孙子的令牌。接下来是孙子和Steem之间的公开反复拉动，控制足够的令牌让你可以选择自己想要的前20名证人。参与重大交易，用几十万美元购买代币后，孙宇晨最终取得胜利，实际上对该网络拥有自由支配权。让我们看一下

Beanstalk的示例。我们知道Beanstalk是一种稳定的货币协议，容易受到Flashloan的治理攻击。攻击者拿出贷款以获得足够的Beanstalk治理令牌，并很快通过了恶意建议允许没收beanstalk 1.82亿美元的储备。与Steem遭遇的攻击不同，这次发生在各个区块的范围内。这意味着它已经结束了，还没人来得及反应。

这两次攻击发生在公开场合和公众面前，但统治攻击也可能长期秘密进行。攻击者可能会创建大量匿名帐户，并逐渐积累治理令牌。另外，为了不露出马脚，其动作和其他所有者一样。事实上鉴于许多Sadao的投票者参与率较低，这些帐户可以长期处于休眠状态而不会引起怀疑。从DAO的角度来看，攻击者的匿名帐户可能有助于显示健康水平的去中心化投票权。但是，攻击者最终可能达到一个阈值，在这个门槛上，这些魔女钱包有权单方面控制统治，但社区无法做出反应。同样，如果投票率足够低，恶意行为者可能获得足够的投票权来控制治理，并在许多其他令牌持有者不活动时尝试恶意提案。

虽然所有治理行为都可能被认为是市场力量的作用，但实际上，治理可能会因激励失败或协议设计中的其他漏洞而产生低效结果。就像政府的政策制定可能会被利益集团和单纯的惯性所左右一样、DAO管理如果结构不合理，也可能导致不良后果。

那么，如何通过机制设计应对这种攻击呢？

根本挑战：不可识别性

令牌分配市场机制无法区分希望对项目做出宝贵贡献的用户和希望通过干扰或其他方式控制项目的攻击者。在代币可以在公共市场上买卖的世界里，从市场的角度来看两个小组的行为都无法区分。两者都想以越来越高的价格购买大量的代币。不可识别的问题，如

，意味着中心化治理需要成本。相反协议设计者需要在公开的治理中心化和保护系统免受试图利用治理机制的攻击之间进行根本性的权衡。社区成员获得治理权限和影响协议的自由度越大，攻击者就越容易使用同一机制进行恶意更改。

这种不可识别性问题在权益证明区块链网络设计中很常见。另外，令牌中流动性较高的市场使得攻击者容易获得足够的权益以损害网络安全保障。尽管如此，通过将令牌激励与流动性设计相结合，权益证明网络成为可能。类似的策略有助于确保DAO协议的安全。

评估和处理漏洞的框架

确保

协议免受治理攻击，以分析不同项目面临的漏洞必须使攻击者的利益为负。在设计项目治理规则时，此公式可用于评估各种设计选择的影响。为了减少利用协议的诱因，该方程意味着三个明确的选择：降低攻击的价值，增加获得投票权的成本可以增加执行攻击的成本。

降低攻击的价值限制

攻击的价值可能很难。因为项目越成功，攻击就越有价值。很明显，某个项目不应该为了降低攻击的价值而故意损害自己的成功。

尽管如此，设计者可以通过限制治理范围来限制攻击的价值。如果治理只包含更改项目中特定参数的权限(例如贷款协议上的利率)，潜在攻击的范围将比治理完全控制智能合约时小得多。

治理范围可以是项目阶段的功能。在项目诞生之初，当项目发现它的立足点时，它可能有更广泛的管理，但在实践中，管理可能受到创始团队和社区的严格管理。随着项目的成熟和控制中心化在治理中引入一定程度的摩擦可能有积极意义——至少需要很多法定人数做出最重要的决定。

增加获得投票权成本的

项目还可以采取步骤攻击者更难获得攻击所需的投票权。令牌流动性越高，要求投票权越容易达到——，所以几乎是矛盾的，但为了保护治理，项目可能希望减少流动性。可以直接降低代币的短期交易性但是，这在技术上可能是不可能的。

为了间接减少流动性，项目可以为个人令牌所有者不太想销售令牌提供激励。这可以通过激励质押或赋予代币独立于纯粹管理的价值来实现。代币所有者得到的价值越高，他们就越能与项目的成功保持一致。

独立令牌的好处可能包括面对面的活动和参与社交体验。重要的是，这样的好处对与项目一致的个人来说有很高的价值但是，对攻击者来说没有用。提供这种好处提高了攻击者获取令牌时面临的有效价格。现在的所有者不想卖太多，因为独立的好处会提高市场价格，但是攻击者必须支付更高的价格但是，独立优势的存在并没有增加攻击者在获得令牌后获得的价值。增加执行

攻击的成本不仅可以提高

投票权的成本，还可以引入摩擦，使攻击者即使获得令牌也难以行使投票权。例如中选择所需的族。设计师可以要求通过KYC认证和用户认证(如声誉得分阈值)参与投票。还可以限制未经初始验证的参与者对令牌投票的能力，但可能需要现有的验证节点来验证新参与者的有效性。

从某种意义上说，这是许多项目分配其初始令牌的方式，使可信方可以控制大部分投票权。 (许多权益证明解决方案使用类似的技术来保护自己的安全(—— )严格控制谁可以获得早期权益，然后逐渐中心化。 )

或者，项目可以这样做，即使攻击者控制了大量投票权，他们在通过恶意提案时仍然面临很多困难。例如，由于某些项目具有时间锁定，因此令牌在更换后暂时无法用于投票。于是，我决定，试图购买或借用大量令牌的攻击者将面临等待投票的额外成本——以及投票成员在此期间注意到并阻止潜在攻击的风险。在这方面，代表团也可以有所帮助。通过给予积极和无恶意的参与者投票权不想在治理中发挥特别积极作用的个人可以用投票权来保护这个系统。

某些项目使用否决权，允许将投票推迟一段时间，以提醒不活跃的投票者注意潜在的危险建议。根据该方案，即使攻击者提出了恶意建议，投票人也有能力相应关闭。与这些类似的设计背后的想法是阻止攻击者偷偷通过恶意建议，并挤出时间回应项目社区。在理想的情况下明显符合共识利益的提案没有必要面临这些障碍。

例如，在Nouns DAO中，在DAO自身准备实施替代治理模式之前，否决权由Nouns Foundation掌握。正如他们在网站上写的那样，“Nouns Foundation将驳回给Nouns DAO或Nouns Foundation带来重大法律或生存风险的提案。 ”

项目必须取得平衡允许对社区变化保持一定程度的开放性，同时不允许恶意建议的漏洞。通常，一个恶意提案就可以使协议无效，因此明确理解接受和拒绝提案的风险权衡非常重要。当然、在确保治理安全和允许治理之间引入摩擦以阻止潜在攻击者的机制和治理过程可能会变得更加困难。

此处概述的解决方案介于完全中心化的治理与为了达成协议的整体健康而部分牺牲理想的中心化之间。我们的框架强调了项目可以选择的不同路径，试图避免治理攻击成为利润。我们希望社区开始利用这个框架，通过自己的实验进一步发展这些机制，DAO将来会更安全。

a16z )如何避免DAO治理攻击

推荐阅读