“dark DAO”威胁:投票漏洞可能会破坏加密选举

全文字数: 2242

阅读时间: 7 分钟

恶意的企业联盟可能潜伏在你的区块链上。

这是康奈尔大学研究人员Philip Daian,Tyler Kell,Ian Miers和Ari Juels的最新发现,他们在 上周发表的一篇关于投票操纵计划的论文中得出结论,该投票操纵计划称为黑暗的中心化自治组织,或“dark DAO” 。

将dark DAO描述为使用智能合约建立的实体,它将无法检测,购买用户投票以压倒治理系统,发出错误信号或参与市场操纵。根据该文件,这种攻击会产生深远的影响,因为它适用于任何使用某种形式治理的项目,其中拥有代币的人会对决策有发言权。

增加这一发现的重要性在于,这种区别适用于越来越多的加密货币,包括那些估值数十亿的加密货币。

例如,EOS、Tezos、Tron、Decred和Polkadot等项目都已采用各种形式的区块链投票,以使其软件的决策正规化。

这些系统中的一些依赖于称为委托证明的技术,该技术需要选择一定数量的节点来验证网络上的事务。因此,token持有者可以放置他们的代币——基本上将它们发布到区块链以证明他们控制它们,以便使他们的投票更进一步。

其他人试图通过允许利益相关者对技术变革进行投票,或者Tezos称之为“自我修正的加密分类账”来克服主要区块链所面临的治理障碍。

根据康奈尔大学的研究人员的说法,虽然其中一些项目已经在试验中遇到障碍,但dark DAO可能会以超过过去发生的方式造成严重破坏。

Juels称:“整个企业权力下放建立在民主理想的基础之上,因此投票似乎是一种自然的治理机制,不幸的是,很难将其做到最正确。直到发生灾难之前,人们倾向于认为理论问题不会实现。”

他在2016年指出了DAO hack,其中一名恶意用户从第一个基于以太坊的DAO中耗尽了360万以太币,他补充说道:

“在2016年后的世界中,选举制度能够并且将被颠覆的事实应该是非常明确的。”

过去的先例

据研究人员称,这种特殊的困境是另一种情况,即区块链空间的企业家似乎对过去的分析视而不见。

例如,以太坊创始人Vitalik Buterin和以太坊研究员Vlad Zamfir批评连锁投票机制为“富豪”,富人即为拥有更多代币的人,投票被他们所统治着。

该文件指出:

“今天的区块链空间,具有可预测的结果,继续其忽视数十年研究的传统,而是选择实施最天真的可能形式的投票。”

根据该文章,dark DAO基本上主导选民参与,这尤其令人不安,因为这些选票中的很多都遭受了低投票率的影响。

本文描述的“攻击风格”之一是“可信硬件”的影响。因为这样的硬件允许计算发生在“飞地”或私人环境中,在此期间它仍在提交证据,作者认为这将允许邪恶的行为者参与攻击而不会泄露他们的身份。

这也意味着也无法检测到操纵的投票。

该报道称:“潜在的任何人,甚至DAO的创造者,都无法确定DAO的参与者数量,承诺抵御攻击的总金额或攻击的精确逻辑。”

这样一个企业联盟可以压倒加密货币,文章继续说道,“隐蔽地收集代币,直到达到某个隐藏的门槛,然后告诉其成员缩短货币。”

更多的攻击

但这并不是说与链上治理区块链所采用的系统不同的系统也特别安全。

例如,研究人员还详述了可能针对以太坊的信号工具(称为碳投票)实施的贿赂攻击。(该攻击的概念证明已发布,以对应该论文的发布。)

在这个例子中,智能合约只是提供购买投票,并可以私人或公共方式这样做。

博客文章警告说,随着区块链开始相互通信——也称为互操作性,竞争区块链之间的这种基于激励的攻击可能会变得更加频繁。

该报道称:“在一个只有一个智能合约系统的领域,以太坊,内部激励可能会导致稳定的均衡。”它补充道:

“有两名球员,以及弱势群体激励他们发起贿赂攻击以摧毁他们的竞争对手,这种平衡可能会被打乱,改变和破坏。”

虽然来自Decred的Jake Yocom-Piatt承认这些类型的攻击在未来会遇到很大问题,但问题是两个系统同时部署链上和链外投票机制。

他说:“很难防止投票购买,目前这是一个开放的研究课题,如何最好地防范它。”

减轻威胁

来自几个连锁治理项目的代表--Decred,Polkadot和Tezos--表示,关键的防御策略是提高攻击成本。

Tezos项目的联合创始人Arthur Breitman说:“最终,唯一可行的保护机制是确保决策涉及游戏中足够的皮肤,以确保对网络的责任。”

布莱特曼还表示,对未来市场做出决策的未来政策的研究可能有助于未来的连锁治理。

但根据该文件,防止此类攻击的唯一防御措施是更可靠的硬件,“要知道用户可以访问自己的密钥材料(因此无法强制或贿赂),需要保证用户已经看到了他们的密钥。”

Juels还指出,对可靠硬件的依赖似乎是“许多加密货币社区的诅咒”。因此,他提出了“社会缓解”或“社区实施威慑选举颠覆”的可能性。

然而,他和Daian警告说明了这里的复杂性。

“对这些威胁的缓解主要是社会性的,在许多情况下是不完善的,在许多情况下可能很复杂,足以引入额外的漏洞或攻击,”Daian说道。

根据Daian的说法,这种类型的疏忽在行业中很常见:

“总的来说,区块链空间非常短视:目前提出的许多想法都不是长期可持续的,只有这样才能发挥作用,因为被保护的系统对于足够积极的对手来说要么是小的,要么是无趣的。”

然而,康奈尔大学的研究人员计划很快发表另一篇文章,讨论其他可用的方案,这些方案可以消除或至少减少这些攻击发生的可能性。

Daian说:“我强烈警告不要直接依赖任何易受投票购买或强制决策的投票方案。”

不惧黑暗

尽管如此,其他研究人员看起来并不是特别害怕。

总部位于以太坊的慈善机构Giveth的Griff Green表示,自2016年DAO黑客攻击以来,基于智能合约的自治组织的实验很少。因此,根据他的说法,一个团队创造黑暗DAO的可能性很小。

“DAO旨在通过共享资源去中心化利益相关者的决策权。如果共享资源是'绕过连锁选举',那么当然可能有一天会完成,但我们甚至没有真正拥有DAO在野外。”Griff Green说道。

“对于如何在自己的选举中使用DAO来规避其他DAO,没有任何基础可以得出任何结论,”他继续说道,并将该论文视为“精神自赎”。

来自Aragon的Luke Duncan,一个用于构建DAO的以太坊申请,看起来同样平静。

虽然他承认黑暗DAO的内涵是负面的,但业界有兴趣保护使用该技术的组织或个人的隐私,所以以不同的方式看,研究可能指向积极的。

他补充道:

“利用这些强大的技术,它可以用于有用的应用程序和审查阻力,然后人们如何使用相同的技术来做更多邪恶的事情。”

【声明:文章为作者独立观点,非投资,交易或赌博建议,不代表NABF官方立场。欢迎转载,转载请务必注明来源。如有不当之处请多多指教!】

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180720B1STAT00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券