Vitalik Buterin tìm cách giảm thiểu nguy cơ hối lộ trong DAO

Một nhóm nghiên cứu từ Đại học Cornell đang điều tra các nguy cơ tiềm tàng có thể biến thành hệ thống bỏ phiếu “đen tối” trong các tổ chức tự trị phi tập trung (DAO).

Nhóm này được thành lập bởi đồng sáng lập Ethereum Vitalik Buterin và các nghiên cứu sinh Mahimna Kelkar, Kushal Babel, Philip Daian và James Austgen. Công việc của họ xoay quanh cách giảm thiểu nguy cơ sắp xảy ra đối với tính phi tập trung khi DAO trở nên phổ biến: các cuộc tấn công thống nhất chống lại các giao thức thông qua hối lộ hợp đồng thông minh.

Tại Hội nghị Khoa học Blockchain tổ chức tại Đại học Columbia vào đầu tháng 8, Chain Việt Nam đã nói chuyện với Mahimna Kelkar về nghiên cứu của nhóm về bằng chứng kiến thức hoàn chỉnh (CK) — một khái niệm mật mã mới mà họ giới thiệu vào năm 2023.

Bằng chứng kiến thức là một khái niệm mật mã cho phép một bên (người chứng minh) thuyết phục bên khác (người xác minh) rằng họ sở hữu một số thông tin bí mật, như khóa bí mật, mà không thực sự tiết lộ thông tin đó.

Khái niệm này đã được sử dụng rộng rãi trong ngành công nghiệp tiền điện tử để cải thiện tính riêng tư trong các giao dịch, nhưng một “khoảng trống tinh tế” vẫn cho phép các kịch bản mà thông tin bí mật này có thể được giữ bởi một cơ chế bên ngoài, như phần cứng tin cậy, thay vì trực tiếp bởi người chứng minh. Theo Kelkar:

“Khi khóa bí mật được giữ bên trong phần cứng tin cậy, trong cái mà chúng tôi gọi là ràng buộc của khóa bí mật, bạn vẫn có thể hoàn thành bằng chứng kiến thức này mà không thực sự có kiến thức về khóa bí mật cơ bản.”

Các cuộc tấn công hối lộ

Hạn chế này trong cách định nghĩa bằng chứng kiến thức tiêu chuẩn có thể khiến các giao thức bỏ phiếu dễ bị tấn công hối lộ, Kelkar giải thích.

Thiếu vắng một cơ quan trung ương là một khái niệm chính đằng sau quản trị của DAO. Các thành viên của một DAO thường là những người nắm giữ token với quyền bỏ phiếu về các quy tắc và quyết định. Tuy nhiên, trong một cuộc tấn công hối lộ, một kẻ xấu có thể cung cấp các ưu đãi tài chính cho những người nắm giữ token thông qua hợp đồng thông minh, hối lộ các thành viên để bỏ phiếu cho một đề xuất hoặc kết quả cụ thể.

“[..] Một nền tảng bỏ phiếu có thể dễ bị tấn công hối lộ […], nơi người dùng có thể bán phiếu bầu của mình cho những kẻ hối lộ trong một thị trường đen,” Kelkar giải thích. “Công việc của chúng tôi cố gắng thiết lập quyền sở hữu dữ liệu của một cá nhân, một người thực sự.”

Bằng chứng kiến thức hoàn chỉnh

Một kẻ tấn công có thể sử dụng môi trường thực thi tin cậy (TEE) để đảm bảo rằng những người nắm giữ token đã chấp nhận hối lộ không thể bỏ phiếu tự do. Trong môi trường này, kẻ tấn công kiểm soát khi nào và cách thức các khóa có thể được sử dụng.

Các nhà nghiên cứu đã xác định hai cách để thực thi bằng chứng kiến thức hoàn chỉnh. Một bao gồm việc sử dụng TEE để chứng minh rằng một cử tri sở hữu một khóa và có thể sử dụng nó. Người nắm giữ token cũng có thể loại bỏ khóa khỏi môi trường này để sử dụng tự do bất cứ khi nào họ muốn.

Bằng cách này, những người nắm giữ token vẫn giữ quyền kiểm soát hoàn toàn đối với khóa của họ. Ngay cả khi một kẻ tấn công muốn khóa khóa lại để kiểm soát cử tri, khóa đã được quản lý bởi TEE của hệ thống bỏ phiếu.

Cách tiếp cận thứ hai liên quan đến việc hạn chế các khóa bằng cách sử dụng các mạch tích hợp ứng dụng cụ thể (ASIC), thường là các máy được sử dụng trong khai thác Bitcoin. Bằng cách gửi một khóa đến ASIC — không có môi trường TEE — khóa vẫn có thể truy cập được cho người dùng, đảm bảo họ có quyền kiểm soát hoàn toàn đối với nó, đồng thời chứng minh rằng khóa đã được sử dụng bởi ASIC và ngăn chặn việc sử dụng nó trong TEE.

Nghiên cứu vẫn đang ở giai đoạn nguyên mẫu, theo Kelkar. “Chúng tôi cho thấy rằng đây là một nguy cơ thực tế đối với DAO, và chúng tôi chứng minh điều này bằng cách triển khai một DAO đen tối có thể thực hiện việc mua phiếu bầu trong các DAO hiện có. Đây không phải là thứ bạn có thể triển khai ngay ngày mai, nhưng nó có thể được thực hiện như một nguyên mẫu nghiên cứu ngày hôm nay,” Kelkar nói thêm.

Chain Việt Nam