DAO vs DAO: Борьба снаряда и брони
На примере последних кейсов разбираемся с атаками внутри децентрализованных проектов.
Введение
Буквально на днях закончилось дело CFTC vs Ooki, хотя на самом деле речь идет про продолжение борьбы Комиссии с bZx. На этой волне напишется еще множество FUD-публикаций, но очевидно, что атака на криптоиндустрию — хорошо спланирована и напоминает во многом атаки 2014 и 2018 годов: в 2014-ом центробанки разных стран выпустили по миру предупреждения о так называемой опасности криптовалют, а в 2018-ом начался пик крестового похода против ICO.
Отличие нынешнего периода состоит в том, что векторов стало куда больше: тут и DeFi, и DAO, и NFT. Но за внешними угрозами многие перестали замечать внутренние, и это привело многих к краху и тотальным ошибкам. Каким именно? Об этом и поговорим сегодня.
Tornado Cash, или настоящий ураган злосчастий
Наверняка помните, что в прошлом году Андрей Перцев, один из основателей Tornado, попал под пристальный взгляд западных СМИ, так как оказался под арестом из-за якобы нелегальной деятельности, а фактически из-за разработки opensource-сервиса, который прекрасно работает без своего создателя (объяснение здесь). Но это было как раз внешнее нападение: куда интересней рассмотреть то, что произошло недавно и стало нападением внутри самого ДАО.
Итак, общее описание:
- 20 мая 2023 года злоумышленник с помощью поддельного голосования (похожее на предыдущее) захватил власть в управлении ДАО: сделано это было с помощью нехитрой и вполне задокументированной функции «аварийного останова»;
- 21 мая 2023 года выходит тред в Twitter с разбором этого кейса;
- 26 мая 2023 года сообщество возвращает себе контроль над управлением ДАО.
Казалось бы: что может произойти меньше, чем за неделю? На самом деле многое.
- Во-первых, этот случай еще раз подтвердил опасения, что голосование— устаревший метод принятия коллективных решений.
- Во-вторых, ранее описывал (посмотрите первую, вторую и третью часть на Bits.media), что подобные, деструктивные атаки возможны на уровне сети, но, как выяснилось, теперь TVL/Трежари различных ДАО таковы, что и они под ударом.
- В-третьих, крайне важно осознать, что подход «сделаем форк» на этом уровне не работает, и поэтому рано или поздно проектам придется использовать инновационные методы защиты.
Что же это могут быть за методы? Рассмотрим для симметрии три:
- Конечно же, внедрение предложений с поэтапной реализацией, то есть описание стадий MVP, Alfa, Beta, Release, где лишь Beta & Release имплементируются в основную ветку, а остальное работает в своеобразной песочнице: эта практика применяется давно в бета-тестах нового ПО (от полноценных ОСей до маленьких приложений), в разного рода исследовательской работе (когда смотреть можно лишь под условным микроскопом, то есть в виртуальной среде) и так далее. Почему это не реализовано до сих пор? Ответ на вопрос прост: лень. Денег много было и без всех этих тестов, но эти времена, слава Сатоши, потихоньку завершаются.
- Токены управления, имеющие стоимость, — это плохо: отличный выход — SBTs (и см. дополнительно), сформированные за счёт активностей конкретных участников. Измеряемым параметром в этом случае может быть Collateral из специальных токенов (подойдут любые ERC-20 и/или аналоги), зашитых в wNFT. Сейчас провожу подобный эксперимент в DAO Envelop: присоединяйтесь и сделаем это вместе.
- Помимо приостановки торгов, можно использовать подход иной: внедрить обратные поощрения. Что это? Сначала предлагаете и расписываете. Потом — внедряете. И уже после внедрения пожинаете плоды, получая оговоренную комиссию с дохода, а не просто спекулируя токенами из пункта выше.
И вот цитата, ярко свидетельствующая о том, что проблема описанная — далеко не единичная:
«DAO привлекли значительное внимание и инвестиции в сферу криптовалют, причем некоторые из них управляют миллиардами в своих казначействах. Однако не все участники DAO имеют благородные намерения. Некоторые участники стремятся манипулировать системой, выкачивая средства из казначейств без предоставления какой-либо соответствующей ценности. Таких участников называют захватчиками денег, они используют различные тактики и стратегии, чтобы обманывать и манипулировать другими участниками, администраторами и делегатами DAO. Они часто создают предложения, которые звучат привлекательно, но являются расплывчатыми, нереалистичными или с завышенной ценой (реализации)».
Безусловно, и это далеко не все, но попробуем пойти дальше, рассмотрев другие примеры.
Maker DAO, или еще один фатум
Это ДАО, где еще один русскоязычный фаундер погиб при загадочных обстоятельствах, и которое при этом отметилось целым рядом интересных и даже смелых заявлений основателей. Сегодня рассмотрим одно из них, поскольку она напрямую касается темы исследования.
Пожалуй, это стало и триггером, и катализатором для нового пропоузала, которое буквально означает следующее: «MakerDAO голосует по предложению, которое потребует от делегатов скрывать свою личность и местонахождение». Поскольку криптотермальный ректо-анализ, как говаривал известный Мыщъх, никуда не делся, то мера эта оправданная. Более того, она полностью соответствует самоназванию ДАО: децентрализованная автономная организация. То есть все, что мы делаем вместе, открыто, но кто именно и как это делает — это уже большой-большой секрет.
Интересно, как именно это ДАО хочет реализовать подобное начинание:
«MakerDAO предложит вознаграждение за разоблачение любому члену ДАО, который сможет предоставить доказательства того, что личность делегата была обнародована».
Крайне важно, что такой подход становится значим, если хотим в недалеком будущем достичь уровня, когда сговор между держателями тех или иных супер-узлов, будь то полные ноды какого-то блокчейна или же голоса в ДАО, будет куда менее вероятен, чем сейчас. Для ДАО-сетей, таких как Эфириум, это привнесет больше антицензуры, а для ДАО поменьше возможность именно децентрализованного развития.
Пример. Не так давно запускал коллекцию на Arbitrum Nova: сделал все быстро — за шесть часов. Потом наш разработчик поработал напильником и за час выдал полноценную коллекцию. А вот модерация в новом сервисе (маркетплейсе) затянулась на недели. Почему? Потому что первые в очереди — свои. И это проблемы не только сети или конкретного приложения, но отрасли в целом (множество подобных примеров есть и в экосистеме Cosmos, например, а не только в EVM-чейнах) и поэтому, когда речь идет про децентрализованное развитие, — это не какие-то мечты, но вполне конкретные запросы.
Более того, вот цитата независимого исследователя относительно построения системы грантов в DAOs:
«Система, основанная на предложениях, когда вкладчики представляют свои идеи для получения средств и последующего достижения результатов, стала стандартной моделью во многих ДАО. Однако такой подход может создать среду, способствующую нездоровой конкуренции и превращению ДАО в токсичные крысиные бега с целью получения денег, что негативно сказывается на общем духе и видении децентрализованных организаций».
Поэтому, для погружения в пучину, рекомендую посетить: start.makerdao.com, так как Maker — один из примеров, где креатив не уступил место косности (еще один пример — годовой давности), а пока пойдем дальше.
Arbitrum & Treasury, или битва за казну
За этим ДАО следил еще до момента создания (так как основана она была через итеративный ретродпроп) и поэтому ряд вопросов касались моего личного финансового благополучия напрямую. Не так давно в этом комьюнити прозвучала следующая фраза:
«Это символический жест, демонстрирующий, что в конечном итоге DAO контролируют лица, управляющие сетью, а не поставщик услуг Arbitrum или фонд».
Так что же за символический жест имеется ввиду?
Речь идет всего-навсего об $1 000 000 000: как понимаете, говорю в данном случае с намеренным сарказмом. Это хорошо видно в выводах, к которым пришло сообщество:
«Фонду в одностороннем порядке были выделены токены… от DAO, которые не были одобрены держателями управляющих токенов. Любые средства должны быть возвращены до тех пор, пока они не будут должным образом распределены DAO и только DAO».
И, как ни удивительно это для мировой истории прошлых лет, возврат состоялся. Какие же выводы можно сделать на его базе:
- Во-первых, комьюнити в ДАО — это и есть ДАО, и любые механизмы защиты должны это учитывать.
- Во-вторых, разделение ДАО именно и некой компании, владеющей чем-то из технологий (будь то Near Foundation, Ethereum Foundation или Uniswap — не важно) неизбежно, но именно ДАО должны являться владельцами таких активов как токены.
- В-третьих, Казна — не просто мультисиг на 3-5-7-11-13 подписей, но это именно общий инструмент управления и распределения.
Поэтому победа ДАО в данном случае — больше, чем просто победа. Это прецедент, обратный bZx & Okki, о котором расскажу чуть ниже. Пока же хочу вспомнить еще один случай с Uniswap, где сообщество оказалось на голову выше самих a16z — одного из крупнейших венчурных фондов мира.
Фабулу описывать не буду, так как рассказывал о ней здесь. Но один важный для статьи момент укажу. Если изучить два предложения,
- условно первое;
- условно второе,
то можно прийти к выводу, что один из действенных инструментов защиты ДАО — это… логика. Рекомендую для этого изучить, хоть это и не просто, полную раскладку всех аргументов по каждому из предложений. В результате сможете прийти к выводу, что комьюнити, когда оно заинтересовано напрямую в финансовых аспектах работы ДАО, довольно тщательно и детально, и даже скурпулезно, изучает все за и против. Поэтому важно не только владение токеном голосования, но и прямое вовлечение участников в распределение дохода.
Это противоречит выводам выше? Нет, нисколько: токены голосования должны быть отдельно, а вот токены дохода — отдельно. Но корреляции между ними никто и никогда отменить не сможет, и это нужно понимать, чтобы выстроить не просто действенную, но эффективную и безопасную модель управления.
Противоположным примером является как раз следующий.
bZx & Ooki, или неудачное зерно
Фабулу повторять также не буду: она есть в официальных документах и переводе. Отмечу лишь существенное.
С данного кейса начал эту статью — он и будет одним из завершающих. Почему он так важен? Вот несколько причин.
- Во-первых, никакого ДАО там впомине не было: взлом проекта произошел из-за жесткой централизации.
- Во-вторых, делали его явно на коленке, так как основатели то хотели быть в США, то резко расхотели; то внедряли инновации, то резко от них отрекались.
- В-третьих, недаром регулятор выбрал их мишенью: согласия не нашлось даже между рядовыми участниками.
Этот пример дал пищу для размышления многим, а для меня подчеркнул правильность следующих выводов:
- SBT — отличный подход, но не единственный, для реализации транзакционной репутации, без которой DAOs — лишь слепые котята.
- Главные механизмы защиты должны лежать не только в плоскости консенсуса (по распределению той же Казны, например), но и в процессе формирования ДАО.
- Формальные методы защиты (документы, дисклеймеры, проработка конклюдентных действий) не должны опускаться как несущественные.
Общие выводы
На первый взгляд может показаться, что все описанные проблемы выеденного яйца не стоят: «Ну пострадали какие-то там ДАО, и что?» На самом деле все куда сложнее: подобные атаки обсуждались по майнингу, например, в 2010-2013 годах. И тогда тоже было много сомнений, но в итоге в споре победили поставившие на утилитарный метод: доверяй, но проверяй. Вспомните реализованные атаки-51% на ETC, BCH и другие валюты далеко не третьего эшелона; форки того же BSV из-за размера блока и убыточность GPU-майнинга после перехода Эфириума на PoS. Что их объединяет? Все это были прогнозируемые атаки, которые можно было избежать как на уровне архитектуры, так и работы с комьюнити.
Поэтому, если вы хотите:
- Создать собственное ДАО.
- Стать архитектором ДАО.
- Помогать развивать уже созданные ДАО.
- Вести разработку для ДАО.
- Иначе участвовать в ДАО-процессах.
…то вам лучше позаботиться о решении поднятых выше проблем заранее. Разве что вы — из черных шляп и хотите на этом подзаработать. Но это уже не ко мне.
Поэтому завершу сегодня четырьмя вопросами, ответы на которые определяют стратегию эволюции и ДАО вообще (как феномена), и ДАО в конкретной имплементации (как проект):
- Процесс достижения консенсуса внутри ДАО децентрализован? Если да, то какими именно способами? (Токены голосования не торгуемы и принадлежат активным участникам; есть система рейтингов или даже репутации и так далее.).
- Процесс разработки в ДАО децентрализован? Если да, то какими способами? (Гранты, изначальная поддержка разными командами, прочее.).
- Процесс принятия экстренных мер расписан (формализован)? Если да, то каким способом? (Работа через мультисиг, возможность принятия инноваций после некоторой стадии, скажем, бета-версии и так далее.).
- На сколько именно ДАО децентрализованно? Анонимно? Открыто? (Необходим анализ используемого инструментария; обратная связь сообщества; собственная система учёта и прочее.).
Конечно, каждый вопрос может иметь свои подвопросы, а те свои подподвопросы, но суть от этого не изменится.
Синтез технических и социальных атак, и это мой базовый прогноз, сделанный более семи лет назад, будет происходить все чаще, так как блокчейн — мощная технология, и она оттачивается не первый год. Поэтому слабым звеном остается потребитель: в ДАО его должен заменить активный и продвинутый во всех смыслах пользователь, иначе коллапс ДАО неизбежен.
У меня на этом все и
До!