Невзламываемые DAO: не серебряная пуля, а активная защита
17 апреля 2022 г.В предыдущей истории обсуждались «взламываемые» DAO, теперь пришло время «невзламываемых».
[Закон Морфи] (https://en.wikipedia.org/wiki/Murphy%27s_law) гласит:
«Все, что может пойти не так, пойдет не так».
Идеальная демонстрация: невезучий мальчик встречает счастливую девушку:
https://www.youtube.com/watch?v=OuJ4BBQ0nhc
[Un]к счастью, мы не можем все контролировать; конечно, мы можем сделать то, что возможно. Первое, что очень просто и легко сделать - играть на своем поле, по своим правилам.
DAO — это концепция, а не технология
О взломе Web3 сообщается почти ежедневно. Баги есть везде — в коде, протоколах, логике смарт-контрактов, кошельках, инструментах и т. д. Со всем этим не справиться, но можно избежать. Не используйте глючную технологию или используйте ее только в том случае, если нет другого выбора. Это один из фундаментальных подходов к кибербезопасности — уменьшить поверхность атаки.
Как сделать что-то невзламываемым
Придерживайтесь подхода «нечего взламывать». Что можно взломать в DAO на техническом уровне — казначейство или общий аккаунт, не используйте это. Каждое предложение должно быть вложено отдельно (вывод денег). Прибыль можно делить сразу (деньги в). Нет казны - нет хака.
L2 DAO
DAO — это просто протокол, любой протокол можно реализовать на основе p2p без посредников (благодаря криптографии). Для интеграции L2 DAO в существующие сети блокчейнов можно использовать только мультиподписной кошелек. Кроме того, ончейн DAO очень дорог в больших масштабах. Представьте себе ончейн-голосование 1 тыс. участников, стоимость = tx_fee * 1 тыс., а что, если 1 млн?
Не в сети
Быть онлайн (использование горячих кошельков) небезопасно, управляйте своими закрытыми ключами и подписывайте транзакции на офлайн-устройствах (плохой UX, но лучшая безопасность).
Управление
Управление — самая сложная часть, неуязвимое управление — это вызов. Существуют некоторые способы взлома: [токены управления] (https://www.coinbase.com/learn/market-updates/around-the-block-issue-13) (атака 51%), [квадратичное голосование] (https: //en.wikipedia.org/wiki/Quadratic_voting) (sybil атака) и т. д.
Почему бы не делегировать часть ресурсов «лидерам» DAO? Если лидеры делают все возможное для DAO и для самих себя - выигрывают все (равновесие Нэша), если лидер совершает доказуемые плохие действия - любой может начать спор (web3 спор протокол разрешения) - лидер может потерять депозит и репутацию.
Губернатор ИИ
Лидеры/управляющие DAO могут быть моделями ИИ.
Выводы
Не серебряная пуля, а активная защита: сокращение поверхности атаки, разнообразные/адаптируемые методы управления и разрешение споров, эксперименты с ИИ и автоматизацией управления для снижения человеческого фактора/ социальная инженерия.
Ссылки
- [Виталик об улучшении управления DAO] (https://www.youtube.com/watch?v=wsoV1WpUYqc)
Оригинал