Новости блокчейна

DAO vs DAO: Борьба снаряда и брони

ДАО против ДАО: Снаряд против бронированного боя 0

В качестве недавнего случая мы имеем дело с атакой внутри децентрализованного проекта. 

Введение

Буквально на днях дело CFTC против Ooki подошло к концу, хотя на самом деле речь шла о продолжении борьбы между Комиссией и bZx. Эта волна напишет большеFUD, но видно, что атака на криптоиндустрию была организована и во многом схожа с атаками 2014 и 2018 годов: в 2014 году центробанки разных стран публиковали предупреждения против криптовалют, а в 2018 году разгар началось движение против ICO.

Отличие текущего периода в том, что векторов больше: DeFi, DAO и NFT. Но за внешними угрозами многие люди перестали обращать внимание на внутренние угрозы, из-за чего многие люди сломались и оказались совершенно неправы. Который из них? Вот о чем мы сегодня поговорим.

Tornado Cash, или настоящий ураган злосчастий

Возможно, вы помните, что Андрей Перцев, один из основателей «Торнадо», в прошлом году привлек внимание западных СМИ, когда его арестовали якобы за незаконную деятельность, а на самом деле за разработку эффективного сервиса с открытым исходным кодом, который прекрасно обходится без своих создателей (поясняется здесь).). Но это только внешняя атака: интереснее рассмотреть то, что произошло недавно и стать атакой внутри самого DAO.

Итак, общее описание:

  • 20 мая 2023 года злоумышленники захватили управление ДАО с помощью фальшивого голосования (по аналогии с предыдущим): это было сделано с помощью простой и хорошо задокументированной функции «Экстренная остановка»;
  • 21 мая 2023 г в Твиттере была опубликована ветка с анализом этого дела;
  • 26 мая 2023 года сообщество восстановило контроль над управлением DAO.

Посмотрите: что произойдет менее чем за неделю? На самом деле много.

  • Во-первых, инцидент подтвердил опасения, что голосование является устаревшей формой коллективного принятия решений.
  • Во-вторых, я уже описывал ранее (см части 1, 2 и 3 на Bits.media), что такая деструктивная атака возможна на сетевом уровне, но оказывается, что TVL/Trejari различных DAO сейчас атакуются как ну атаковать.
  • В-третьих, крайне важно понимать, что подход «форкинг» на этом уровне не работает, поэтому рано или поздно проектам придется использовать инновационные методы защиты.

Что это могут быть за методы? Рассмотрим три симметрии:

  • Конечно, введение предложения о поэтапной реализации, то есть описание фаз MVP, Alfa, Beta, Release, из которых только Beta&Release реализуется в основной ветке, а остальные работают в песочнице: такой подход уже давно использовался для Бета-тестирования нового программного обеспечения (от полноценных операционных систем до небольших приложений), всевозможных исследовательских работ (когда на это можно посмотреть только под традиционным микроскопом, то есть в виртуальной среде) и так далее . Почему до сих пор не реализовано? Ответ на этот вопрос прост: лень. Даже без всех этих тестов денег много, но эти времена, благодаря Сатоши, потихоньку заканчиваются.
  • Токены управления со стоимостью — это плохо: хороший выход — это SBT, генерируемый активностью конкретного участника (и см больше). В этом случае параметр измерения может быть обеспечен специальным токеном (подойдет любой ERC-20 и/или аналогичный), жестко привязанным к wNFT. Прямо сейчас я провожу аналогичный эксперимент в DAO Envelop: присоединяйтесь, сделаем вместе.
  • Вместо приостановки транзакций можно использовать другой подход: ввести обратные стимулы. Что это? Сначала вы предлагаете и рисуете. Затем реализуйте. А после реализации вы пожинаете плоды, получаете оговоренную комиссию с дохода, а не просто спекулируете токенами в абзаце выше.
  • Вот отрывок, который ясно показывает, что описанная проблема далеко не изолированная:

    “DAO привлекли огромное внимание и инвестиции в криптопространство, некоторые из которых управляют миллиардами долларов. Однако не все участники DAO имеют благородные намерения. Некоторые участники пытаются вывести средства из государственной казны без предоставления какой-либо соответствующей ценности для манипулирования системой. Эти участники известны как сборщики денег, и используют различные тактики и приемы для обмана и манипулирования другими участниками, администраторами и представителями DAO.Они часто предлагают привлекательно звучащие, но расплывчатые, неуместные Реалистичные или завышенные (реализованные) предложения)».

    Конечно, это еще не все, но давайте попробуем пойти еще дальше, рассмотрев другие примеры.

    Maker DAO, или еще один фатум

    Это The DAO, еще один русскоязычный основатель, погибший при загадочных обстоятельствах, а между тем, известный некоторыми интересными и даже смелыми высказываниями основателя. Сегодня мы рассмотрим один из них, так как он имеет непосредственное отношение к теме исследования.

    Возможно, это было и спусковым крючком, и катализатором для нового предложения, буквально: «MakerDAO голосует за предложение, которое потребует от делегатов скрывать свои личности и местонахождение» никуда не деться, так что эта мера оправдана. Более того, он полностью соответствует самопровозглашенной DAO: децентрализованной автономной организации. Другими словами, все, что мы делаем вместе, публично, но кто именно это сделал и как это делается, уже большой-большой секрет.

    Интересно, как именно этот DAO хочет выполнить такое обещание:

    «MakerDAO предложит вознаграждение за раскрытие информации любому члену DAO, который может предоставить доказательства того, что личность представителя была обнародована».

    Этот подход становится очень важным, если мы хотим в ближайшем будущем достичь уровня, когда существует сговор между владельцами определенных суперузлов, будь то полные узлы определенных блокчейнов или голоса в DAO. Это очень важно и, вероятно, больше направлено против цензуры, чем теперь это для сети DAO, такой как Ethereum, и меньше возможностей для децентрализованной разработки для DAO.

    Пример. Некоторое время назад я разместил серию статей на Arbitrum Nova: Все, что я делаю, происходит быстро — всего за шесть часов. Тогда наши разработчики взяли один файл и за час сделали полный набор. Но скромная задержка нового сервиса (маркета) составила несколько недель. Почему? Потому что приоритет номер один — это мы сами. Это проблемы не просто сети или конкретных приложений, а всей отрасли (например, подобных примеров в экосистеме Cosmos много, не только в цепочке EVM), поэтому, когда речь идет о децентрализации, это не какие-то мечты, но очень конкретные требования.

    Кроме того, вот цитата независимого исследователя о построении системы финансирования в DAO:

    “Система, основанная на предложениях, когда участники представляют свои идеи для финансирования, а затем для их воплощения, стала стандартной моделью для многих ДАО. Однако такой подход создает среду, способствующую нездоровой конкуренции, и превращает ДАО в токсичную конкуренцию за сбор средств, что отрицательно сказывается на влияет на общий дух и видение децентрализованных организаций».

    итак, чтобы нырнуть в бездну, рекомендую посетить: start.makerdao.com, потому что Maker — один из тех примеров, когда творчество не уступило место инерции (другой пример был год назад), но давайте двигаться дальше сейчас.

    Arbitrum & Treasury, или битва за казну

    DAO следовал этому еще до своего создания (поскольку он был построен с помощью итеративного обратного распространения), поэтому многие проблемы были напрямую связаны с моими личными финансами. Не так давно в сообществе прозвучала следующая фраза:

    «Это символический жест, чтобы показать, что DAO в конечном итоге контролируется людьми, которые управляют сетью, а не поставщиком услуг Arbitrum или фондом».

    Так что же такое символический жест?

    Это всего около 1 000 000 000 долларов: как вы понимаете, в данном случае я иронизирую. Это видно из выводов, сделанных сообществом:

    «Фонд представляет собой одностороннее выделение токенов… от DAO, без одобрения контролирующих держателей токенов. Любые средства должны быть возвращены до тех пор, пока они не будут должным образом распределены в DAO, и только в DAO».

    И, что удивительно для мировой истории, за последние несколько лет произошел регресс. Какие выводы можно сделать из этого:

    • Во-первых, сообщество в DAO — это DAO, и любой механизм защиты должен это учитывать.
    • Во-вторых, разделение DAO и какой-то компании (будь то Near Foundation, Ethereum Foundation или Uniswap — неважно), владеющей какой-то технологией, неизбежно, но владельцем этих активов как токенов должен быть DAO.
    • В-третьих, Treasury — это не просто мультиподпись 3-5-7-11-13 подписей, а общий инструмент управления и распределения.

    Поэтому победа DAO в данном случае — не просто победа. Это обратная сторона bZx&Okki, о ней я расскажу ниже. Тем временем я хотел бы рассмотреть еще один случай с Uniswap, где результаты сообщества намного превзошли сам a16z, один из крупнейших венчурных фондов в мире.

    О сюжете говорить не буду, тут уже говорили. Но я хочу отметить важный момент этой статьи. Если мы изучим два предложения,

    • условный первый;
    • условно второй,

    Отсюда можно сделать вывод, что одним из наиболее эффективных инструментов защиты DAO является.. логика. Для этого рекомендую изучить полную раскладку всех аргументов по каждому предложению, хоть это и непросто. Поэтому можно сделать вывод, что когда сообщество напрямую интересуется финансовыми аспектами работы DAO, все плюсы и минусы изучаются очень внимательно, подробно и даже придирчиво. Поэтому важно не только владение токенами для голосования, но и непосредственное участие участников в распределении доходов.

    Противоречит ли это вышеприведенным выводам? Нет, вовсе нет: токены для голосования должны быть отдельными, а токены дохода — отдельными. Но декорировать их никто не может, и это надо понимать, чтобы строить не просто эффективные, а действенные и безопасные модели управления.

    Противоположный пример следующий.

    bZx & Ooki, или неудачное зерно

    Сюжет тоже повторять не буду: он есть в официальных документах и ​​переводах. Я буду замечать только то, что необходимо.

    Я начинаю эту статью с этого случая — это будет последний случай. Почему он так важен? На это есть несколько причин.

    • Во-первых, ни о каком DAO там не упоминается: проект был взломан из-за жесткой централизации.
    • Во-вторых, они явно делают это на коленке, потому что основатели то хотят быть в США, то пропадают, внедряют инновации, а потом резко отказываются от них.
    • В-третьих, недаром регуляторы выбрали их в качестве мишеней: даже среди рядовых игроков нет единого мнения.

    Этот пример многим дал пищу для размышлений, но для меня он подчеркивает справедливость следующих выводов:

  • SBT — хороший метод, но не единственный, используемый для достижения транзакционной репутации, без него DAO — просто слепой котенок.
  • Основной механизм защиты должен существовать не только на уровне консенсуса (например, о выделении той же казны), но и в процессе формирования ДАО.
  • Формальные методы защиты (документирование, отказ от ответственности, принятие подразумеваемых действий) не следует сбрасывать со счетов как неважные.
  • Общие выводы

    На первый взгляд, все описанные проблемы кажутся не стоящими: «Ну какие-то ДАО там понесли убытки, и что?» На самом деле все гораздо сложнее: например, в период 2010-2013 гг такие атаки. И тогда было много скептицизма, но в итоге ставка на утилитаризм выиграла аргумент: доверяй, но проверяй. Помните атаки 51% на ETC, BCH и другие валюты далеко не третьего уровня? Форк того же BSV из-за размера блока и нерентабельности GPU-майнинга после перехода Ethereum на PoS. Что их объединяет? Все это предсказуемые атаки, которых можно избежать на архитектурном уровне и в сотрудничестве с сообществом.

    Итак, если вы хотите:

  • Создайте свой собственный ДАО.
  • Станьте архитектором DAO.
  • Помогите развить существующие DAO.
  • Возглавить разработку DAO.
  • В противном случае примите участие в процессе DAO.
  • …тогда вам лучше заранее решить проблемы, упомянутые выше. Если только вы не из черной шляпы и не хотите подзаработать. Но это больше не работает для меня.

    Поэтому закончу сегодня четырьмя вопросами, ответы на которые определяют эволюционную стратегию и ДАО в целом (как явление), и ДАО в конкретной реализации (как проект):

  • Является ли процесс консенсуса внутри DAO децентрализованным? Если да, то каким образом? (Токены для голосования не торгуются и принадлежат активным участникам, есть рейтинговая система и даже репутация и т.д.).
  • Является ли процесс разработки в DAO децентрализованным? Если да, то каким образом? (Финансирование различных команд, первоначальная поддержка и т.д.).
  • Изложен ли (формализован) процесс реагирования на чрезвычайные ситуации? Если да, то каким образом? (За счет мультиподписной работы, возможности принятия нововведений после определенного этапа, типа бета-версии и т.д.).
  • Насколько децентрализован DAO? анонимно? Открыть? (инструменты, используемые для анализа; отзывы сообщества; собственная система учета и т д.).
  • Конечно, у каждой проблемы могут быть свои подзадачи и те под-подзадачи, но суть от этого не изменится.

    Сочетание технологических и социальных атак, которое было моим основным прогнозом, сделанным семь лет назад, будет происходить все чаще, потому что блокчейн — мощная технология, которая оттачивалась много лет. Поэтому потребитель по-прежнему остается слабым звеном: в ДАО его должен заменить активный мощный потребитель, иначе крах ДАО ​​неизбежен.

    у меня есть все и

    вперед!

    источник

    Click to rate this post!
    [Total: 0 Average: 0]

    Партнерские ссылки для регистрации на биржах

    При регистрации по ссылкам вы получаете максимальный кэшбэк по торговым комиссиям, а также бонусы и подарки от бирж.

    • зарегистрироваться на binance
    • зарегистрироваться на OKX
    • зарегистрироваться на Mexc
    • зарегистрироваться на ByBit

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *

    Back to top button