News

Dark DAOs: Vitalik Buterin nghiên cứu cách giảm thiểu mối đe dọa từ hối lộ

Web3 Station

Web3 Station

5 min read
Dark DAOs: Vitalik Buterin nghiên cứu cách giảm thiểu mối đe dọa từ hối lộ

Chứng minh Kiến thức Hoàn chỉnh (PoCK) nhằm ngăn chặn các cuộc tấn công hối lộ bằng cách đảm bảo kiểm soát thực sự đối với các khóa bỏ phiếu.

Một nhóm các nhà nghiên cứu từ Đại học Cornell đang điều tra các mối đe dọa tiềm tàng có thể biến thành các hệ thống bỏ phiếu "đen tối" trong các tổ chức tự trị phi tập trung (DAO).

Nhóm nghiên cứu bao gồm Vitalik Buterin, đồng sáng lập Ethereum, và các nghiên cứu sinh PhD Mahimna Kelkar, Kushal Babel, Philip Daian và James Austgen. Công trình của họ xoay quanh cách giảm thiểu một mối đe dọa sắp tới đối với phân cấp khi các DAO trở nên phổ biến: các cuộc tấn công thống nhất chống lại các giao thức thông qua hối lộ hợp đồng thông minh.

Tại Hội nghị Khoa học Blockchain tổ chức tại Đại học Columbia vào đầu tháng 8, Cointelegraph đã trò chuyện với Mahimna Kelkar về nghiên cứu của nhóm về các chứng minh kiến thức hoàn chỉnh (CK) — một khái niệm mã hóa mới mà họ giới thiệu vào năm 2023.

Chứng minh kiến thức

Chứng minh kiến thức là một khái niệm mã hóa cho phép một bên (người chứng minh) thuyết phục bên kia (người xác minh) rằng họ sở hữu một thông tin bí mật, như một khóa bí mật, mà không cần phải tiết lộ thông tin đó.

Khái niệm này đã được sử dụng rộng rãi trong ngành công nghiệp crypto để cải thiện quyền riêng tư trong các giao dịch, nhưng một "khoảng trống tinh vi" vẫn cho phép các kịch bản mà thông tin bí mật này có thể được nắm giữ bởi một cơ chế bên ngoài, như phần cứng tin cậy, thay vì trực tiếp bởi người chứng minh. Theo Kelkar:

“Khi khóa bí mật được giữ trong một phần cứng tin cậy, trong cái mà chúng tôi gọi là sự gánh nặng của khóa bí mật, bạn vẫn có thể hoàn thành chứng minh kiến thức này mà không thực sự nắm giữ khóa bí mật cơ bản.”

Các cuộc tấn công hối lộ

Hạn chế này trong cách các chứng minh kiến thức chuẩn được định nghĩa có thể khiến các giao thức bỏ phiếu dễ bị tấn công hối lộ, Kelkar giải thích.

Thiếu một cơ quan trung ương là một khái niệm chính trong việc quản lý DAO. Các thành viên của DAO thường là những người nắm giữ token với quyền bỏ phiếu về các quy tắc và quyết định. Trong một cuộc tấn công hối lộ, tuy nhiên, một tác nhân độc hại có thể cung cấp các ưu đãi tài chính cho những người nắm giữ token thông qua hợp đồng thông minh, hối lộ các người tham gia để bỏ phiếu cho một đề xuất hoặc kết quả cụ thể.

“[..] Một nền tảng bỏ phiếu có thể dễ bị tấn công hối lộ [...], nơi người dùng có thể bán phiếu bầu của họ cho các kẻ hối lộ trong một thị trường đen tối,” Kelkar giải thích. “Công việc của chúng tôi cố gắng thiết lập sự sở hữu dữ liệu cá nhân, thực sự là của một người.”

Chứng minh kiến thức hoàn chỉnh

Một kẻ tấn công có thể sử dụng môi trường thực thi tin cậy (TEE) để đảm bảo rằng các người nắm giữ token đã nhận hối lộ không thể bỏ phiếu tự do. Trong môi trường này, kẻ tấn công kiểm soát khi và cách các khóa có thể được sử dụng.

Các nhà nghiên cứu đã xác định hai cách để thực thi chứng minh kiến thức hoàn chỉnh. Một cách bao gồm việc sử dụng TEE để chứng minh rằng một cử tri sở hữu một khóa và có thể sử dụng nó. Người nắm giữ token cũng có thể loại bỏ khóa này khỏi môi trường để sử dụng tự do bất cứ khi nào họ muốn.

Theo cách này, các người nắm giữ token vẫn giữ được quyền kiểm soát hoàn toàn đối với khóa của họ. Ngay cả khi một kẻ tấn công muốn khóa khóa để kiểm soát cử tri, khóa đó đã được quản lý bởi TEE của hệ thống bỏ phiếu.

Cách tiếp cận thứ hai liên quan đến việc hạn chế các khóa sử dụng các mạch tích hợp cụ thể ứng dụng (ASICS), thường là các máy móc được sử dụng trong khai thác Bitcoin. Bằng cách gửi một khóa đến ASIC — nơi thiếu môi trường TEE — khóa vẫn có thể truy cập được cho người dùng, đảm bảo họ có quyền kiểm soát hoàn toàn, đồng thời chứng minh rằng khóa đã được sử dụng bởi ASIC và ngăn chặn việc sử dụng nó trong TEE.

Nghiên cứu vẫn đang ở giai đoạn nguyên mẫu, theo Kelkar. “Chúng tôi chứng minh rằng đây là một mối đe dọa thực tế đối với các DAO, và chúng tôi chứng minh điều này bằng cách giới thiệu một DAO tối tăm có thể triển khai thực tế, điều này có thể dễ dàng mua phiếu bầu trong các DAO hiện tại. Đây không phải là điều bạn có thể triển khai ngay lập tức, nhưng nó gần như có thể triển khai như một nguyên mẫu nghiên cứu hôm nay," Kelkar nói thêm.

Read more