На примере последних кейсов разбираемся с атаками внутри децентрализованных проектов. 

Введение

Буквально на днях закончилось дело CFTC vs Ooki, хотя на самом деле речь идет про продолжение борьбы Комиссии с bZx. На этой волне напишется еще множество FUD-публикаций, но очевидно, что атака на криптоиндустрию - хорошо спланирована и напоминает во многом атаки 2014 и 2018 годов: в 2014-ом центробанки разных стран выпустили по миру предупреждения о так называемой опасности криптовалют, а в 2018-ом начался пик крестового похода против ICO. 

Отличие нынешнего периода состоит в том, что векторов стало куда больше: тут и DeFi, и DAO, и NFT. Но за внешними угрозами многие перестали замечать внутренние, и это привело многих к краху и тотальным ошибкам. Каким именно? Об этом и поговорим сегодня. 

Tornado Cash, или настоящий ураган злосчастий 

Наверняка помните, что в прошлом году Андрей Перцев, один из основателей Tornado, попал под пристальный взгляд западных СМИ, так как оказался под арестом из-за якобы нелегальной деятельности, а фактически из-за разработки opensource-сервиса, который прекрасно работает без своего создателя (объяснение здесь). Но это было как раз внешнее нападение: куда интересней рассмотреть то, что произошло недавно и стало нападением внутри самого ДАО. 

Итак, общее описание:

  • 20 мая 2023 года злоумышленник с помощью поддельного голосования (похожее на предыдущее) захватил власть в управлении ДАО: сделано это было с помощью нехитрой и вполне задокументированной функции «аварийного останова»;
  • 21 мая 2023 года выходит тред в Twitter с разбором этого кейса;
  • 26 мая 2023 года сообщество возвращает себе контроль над управлением ДАО. 

Казалось бы: что может произойти меньше, чем за неделю? На самом деле многое.

  • Во-первых, этот случай еще раз подтвердил опасения, что голосование— устаревший метод принятия коллективных решений.
  • Во-вторых, ранее описывал (посмотрите первую, вторую и третью часть на Bits.media), что подобные, деструктивные атаки возможны на уровне сети, но, как выяснилось, теперь TVL/Трежари различных ДАО таковы, что и они под ударом. 
  • В-третьих, крайне важно осознать, что подход «сделаем форк» на этом уровне не работает, и поэтому рано или поздно проектам придется использовать инновационные методы защиты. 

Что же это могут быть за методы? Рассмотрим для симметрии три:

  1. Конечно же, внедрение предложений с поэтапной реализацией, то есть описание стадий MVP, Alfa, Beta, Release, где лишь Beta & Release имплементируются в основную ветку, а остальное работает в своеобразной песочнице: эта практика применяется давно в бета-тестах нового ПО (от полноценных ОСей до маленьких приложений), в разного рода исследовательской работе (когда смотреть можно лишь под условным микроскопом, то есть в виртуальной среде) и так далее. Почему это не реализовано до сих пор? Ответ на вопрос прост: лень. Денег много было и без всех этих тестов, но эти времена, слава Сатоши, потихоньку завершаются.
  2. Токены управления, имеющие стоимость, — это плохо: отличный выход — SBTs (и см. дополнительно), сформированные за счёт активностей конкретных участников. Измеряемым параметром в этом случае может быть Collateral из специальных токенов (подойдут любые ERC-20 и/или аналоги), зашитых в wNFT. Сейчас провожу подобный эксперимент в DAO Envelop: присоединяйтесь и сделаем это вместе.
  3. Помимо приостановки торгов, можно использовать подход иной: внедрить обратные поощрения. Что это? Сначала предлагаете и расписываете. Потом — внедряете. И уже после внедрения пожинаете плоды, получая оговоренную комиссию с дохода, а не просто спекулируя токенами из пункта выше. 

И вот цитата, ярко свидетельствующая о том, что проблема описанная — далеко не единичная: 

«DAO привлекли значительное внимание и инвестиции в сферу криптовалют, причем некоторые из них управляют миллиардами в своих казначействах. Однако не все участники DAO имеют благородные намерения. Некоторые участники стремятся манипулировать системой, выкачивая средства из казначейств без предоставления какой-либо соответствующей ценности. Таких участников называют захватчиками денег, они используют различные тактики и стратегии, чтобы обманывать и манипулировать другими участниками, администраторами и делегатами DAO. Они часто создают предложения, которые звучат привлекательно, но являются расплывчатыми, нереалистичными или с завышенной ценой (реализации)».

Безусловно, и это далеко не все, но попробуем пойти дальше, рассмотрев другие примеры. 

Maker DAO, или еще один фатум 

Это ДАО, где еще один русскоязычный фаундер погиб при загадочных обстоятельствах, и которое при этом отметилось целым рядом интересных и даже смелых заявлений основателей. Сегодня рассмотрим одно из них, поскольку она напрямую касается темы исследования. 

Пожалуй, это стало и триггером, и катализатором для нового пропоузала, которое буквально означает следующее: «MakerDAO голосует по предложению, которое потребует от делегатов скрывать свою личность и местонахождение». Поскольку криптотермальный ректо-анализ, как говаривал известный Мыщъх, никуда не делся, то мера эта оправданная. Более того, она полностью соответствует самоназванию ДАО: децентрализованная автономная организация. То есть все, что мы делаем вместе, открыто, но кто именно и как это делает — это уже большой-большой секрет. 

Интересно, как именно это ДАО хочет реализовать подобное начинание: 

«MakerDAO предложит вознаграждение за разоблачение любому члену ДАО, который сможет предоставить доказательства того, что личность делегата была обнародована».

Крайне важно, что такой подход становится значим, если хотим в недалеком будущем достичь уровня, когда сговор между держателями тех или иных супер-узлов, будь то полные ноды какого-то блокчейна или же голоса в ДАО, будет куда менее вероятен, чем сейчас. Для ДАО-сетей, таких как Эфириум, это привнесет больше антицензуры, а для ДАО поменьше возможность именно децентрализованного развития. 

Пример. Не так давно запускал коллекцию на Arbitrum Nova: сделал все быстро — за шесть часов. Потом наш разработчик поработал напильником и за час выдал полноценную коллекцию. А вот модерация в новом сервисе (маркетплейсе) затянулась на недели. Почему? Потому что первые в очереди — свои. И это проблемы не только сети или конкретного приложения, но отрасли в целом (множество подобных примеров есть и в экосистеме Cosmos, например, а не только в EVM-чейнах) и поэтому, когда речь идет про децентрализованное развитие, — это не какие-то мечты, но вполне конкретные запросы. 

Более того, вот цитата независимого исследователя относительно построения системы грантов в DAOs: 

«Система, основанная на предложениях, когда вкладчики представляют свои идеи для получения средств и последующего достижения результатов, стала стандартной моделью во многих ДАО. Однако такой подход может создать среду, способствующую нездоровой конкуренции и превращению ДАО в токсичные крысиные бега с целью получения денег, что негативно сказывается на общем духе и видении децентрализованных организаций».

Поэтому, для погружения в пучину, рекомендую посетить: start.makerdao.com, так как Maker — один из примеров, где креатив не уступил место косности (еще один пример — годовой давности), а пока пойдем дальше. 

Arbitrum & Treasury, или битва за казну 

За этим ДАО следил еще до момента создания (так как основана она была через итеративный ретродпроп) и поэтому ряд вопросов касались моего личного финансового благополучия напрямую. Не так давно в этом комьюнити прозвучала следующая фраза: 

«Это символический жест, демонстрирующий, что в конечном итоге DAO контролируют лица, управляющие сетью, а не поставщик услуг Arbitrum или фонд».

Так что же за символический жест имеется ввиду? 

Речь идет всего-навсего об $1 000 000 000: как понимаете, говорю в данном случае с намеренным сарказмом. Это хорошо видно в выводах, к которым пришло сообщество:

«Фонду в одностороннем порядке были выделены токены... от DAO, которые не были одобрены держателями управляющих токенов. Любые средства должны быть возвращены до тех пор, пока они не будут должным образом распределены DAO и только DAO».

И, как ни удивительно это для мировой истории прошлых лет, возврат состоялся. Какие же выводы можно сделать на его базе:

  • Во-первых, комьюнити в ДАО — это и есть ДАО, и любые механизмы защиты должны это учитывать.
  • Во-вторых, разделение ДАО именно и некой компании, владеющей чем-то из технологий (будь то Near Foundation, Ethereum Foundation или Uniswap — не важно) неизбежно, но именно ДАО должны являться владельцами таких активов как токены.
  • В-третьих, Казна — не просто мультисиг на 3-5-7-11-13 подписей, но это именно общий инструмент управления и распределения. 

Поэтому победа ДАО в данном случае — больше, чем просто победа. Это прецедент, обратный bZx & Okki, о котором расскажу чуть ниже. Пока же хочу вспомнить еще один случай с Uniswap, где сообщество оказалось на голову выше самих a16z — одного из крупнейших венчурных фондов мира. 

Фабулу описывать не буду, так как рассказывал о ней здесь. Но один важный для статьи момент укажу. Если изучить два предложения,

то можно прийти к выводу, что один из действенных инструментов защиты ДАО — это… логика. Рекомендую для этого изучить, хоть это и не просто, полную раскладку всех аргументов по каждому из предложений. В результате сможете прийти к выводу, что комьюнити, когда оно заинтересовано напрямую в финансовых аспектах работы ДАО, довольно тщательно и детально, и даже скурпулезно, изучает все за и против. Поэтому важно не только владение токеном голосования, но и прямое вовлечение участников в распределение дохода. 

Это противоречит выводам выше? Нет, нисколько: токены голосования должны быть отдельно, а вот токены дохода — отдельно. Но корреляции между ними никто и никогда отменить не сможет, и это нужно понимать, чтобы выстроить не просто действенную, но эффективную и безопасную модель управления. 

Противоположным примером является как раз следующий. 

bZx & Ooki, или неудачное зерно

Фабулу повторять также не буду: она есть в официальных документах и переводе. Отмечу лишь существенное. 

С данного кейса начал эту статью — он и будет одним из завершающих. Почему он так важен? Вот несколько причин.

  • Во-первых, никакого ДАО там впомине не было: взлом проекта произошел из-за жесткой централизации.
  • Во-вторых, делали его явно на коленке, так как основатели то хотели быть в США, то резко расхотели; то внедряли инновации, то резко от них отрекались.
  • В-третьих, недаром регулятор выбрал их мишенью: согласия не нашлось даже между рядовыми участниками. 

Этот пример дал пищу для размышления многим, а для меня подчеркнул правильность следующих выводов:

  1. SBT — отличный подход, но не единственный, для реализации транзакционной репутации, без которой DAOs — лишь слепые котята.
  2. Главные механизмы защиты должны лежать не только в плоскости консенсуса (по распределению той же Казны, например), но и в процессе формирования ДАО. 
  3. Формальные методы защиты (документы, дисклеймеры, проработка конклюдентных действий) не должны опускаться как несущественные. 

Общие выводы

На первый взгляд может показаться, что все описанные проблемы выеденного яйца не стоят: «Ну пострадали какие-то там ДАО, и что?» На самом деле все куда сложнее: подобные атаки обсуждались по майнингу, например, в 2010-2013 годах. И тогда тоже было много сомнений, но в итоге в споре победили поставившие на утилитарный метод: доверяй, но проверяй. Вспомните реализованные атаки-51% на ETC, BCH и другие валюты далеко не третьего эшелона; форки того же BSV из-за размера блока и убыточность GPU-майнинга после перехода Эфириума на PoS. Что их объединяет? Все это были прогнозируемые атаки, которые можно было избежать как на уровне архитектуры, так и работы с комьюнити. 

Поэтому, если вы хотите:

  1. Создать собственное ДАО.
  2. Стать архитектором ДАО.
  3. Помогать развивать уже созданные ДАО.
  4. Вести разработку для ДАО.
  5. Иначе участвовать в ДАО-процессах. 

...то вам лучше позаботиться о решении поднятых выше проблем заранее. Разве что вы — из черных шляп и хотите на этом подзаработать. Но это уже не ко мне. 

Поэтому завершу сегодня четырьмя вопросами, ответы на которые определяют стратегию эволюции и ДАО вообще (как феномена), и ДАО в конкретной имплементации (как проект):

  1. Процесс достижения консенсуса внутри ДАО децентрализован? Если да, то какими именно способами? (Токены голосования не торгуемы и принадлежат активным участникам; есть система рейтингов или даже репутации и так далее.).
  2. Процесс разработки в ДАО децентрализован? Если да, то какими способами? (Гранты, изначальная поддержка разными командами, прочее.).
  3. Процесс принятия экстренных мер расписан (формализован)? Если да, то каким способом? (Работа через мультисиг, возможность принятия инноваций после некоторой стадии, скажем, бета-версии и так далее.).
  4. На сколько именно ДАО децентрализованно? Анонимно? Открыто? (Необходим анализ используемого инструментария; обратная связь сообщества; собственная система учёта и прочее.).  

Конечно, каждый вопрос может иметь свои подвопросы, а те свои подподвопросы, но суть от этого не изменится. 

Синтез технических и социальных атак, и это мой базовый прогноз, сделанный более семи лет назад, будет происходить все чаще, так как блокчейн — мощная технология, и она оттачивается не первый год. Поэтому слабым звеном остается потребитель: в ДАО его должен заменить активный и продвинутый во всех смыслах пользователь, иначе коллапс ДАО неизбежен. 

У меня на этом все и 

До!