Децентрализованные автономные организации, или ДАО, набирают популярность вместе с ростом активов и платформ блокчейн. Хотя ДАО позволяют создать новый уровень равноправного сотрудничества между их членами, а также распределять прибыль, они испытывают трудности, когда речь идет о безопасности и управлении. Эти проблемы необходимо решить, прежде чем ДАО смогут раскрыть свой потенциал и получить более широкое распространение.
Пробелы в безопасности ДАО
DAO устраняют традиционную централизованную форму управления и заменяют ее такой, при которой все члены сообщества могут предлагать и голосовать за будущие изменения в проекте или организации. Обычно вес голосов пропорционален количеству токенов управления, находящихся в данном кошельке.
Благодаря этому ДАО считаются более инклюзивными и справедливыми, чем более традиционные модели руководства, и быстро становятся стандартом управления децентрализованными проектами. Это вполне логично, поскольку те же механизмы, которые определяют данную платформу, могут стать основой для ее управления. Более чем вероятно, что эта тенденция сохранится, однако существует новая проблема - проблема безопасности DAO.
У DAO есть несколько ключевых моментов для потенциальных проблем безопасности. Одна из них связана с кодом смарт-контракта. Если этот код не герметичен, то могут возникнуть не только сбои, но и эксплойты. Если злоумышленник найдет какую-либо брешь в логике кода, то потенциально он может полностью разрушить структуру DAO или токеномику. Это заставляет разработчиков тщательно следить за безупречностью своих смарт-контрактов перед их внедрением, иначе весь проект может быть уничтожен в считанные минуты.
Для примера такого типа риска посмотрите на то, что недавно произошло вокруг Temple DAO. Temple DAO была разработана для того, чтобы пользователи могли увеличивать свою стоимость, при этом минимально подвергаясь волатильности. К сожалению, из-за слабого места в коде, злоумышленник смог подделать старые контракты и произвольно перемещать балансы, в результате чего из DAO было выведено 2,3 миллиона долларов США. Это не единичный случай, когда смарт-контракты имеют недостатки, и он подчеркивает, как легко проблемы могут ускользнуть от внимания.
Другой важной областью для беспокойства является характер управления DAO. По сей день во многих DAO применяется только взвешенное голосование токенами. Проблема заключается в том, что люди с большими деньгами могут оказывать непропорционально большое влияние на будущее проекта и даже полностью разрушить DAO. Централизация также может проникнуть через несколько более тонкий механизм, когда несколько организаций с крупными пакетами акций вступают в частный сговор против блага сообщества.
Недавнее событие, подчеркивающее уязвимость управления DAO, произошло с Mango Markets, децентрализованной биржей, построенной на базе Solana и управляемой Mango DAO. Злоумышленник сначала купил большое количество токенов MNGO, чтобы открыть длинную позицию, использовал еще больше токенов, чтобы поднять цену актива, а затем обналичил свою позицию. Это вывело значительную часть средств из DAO и передало их злоумышленнику. Затем злоумышленник использовал свою контрольную долю, чтобы предложить и одобрить передачу ему оставшихся средств DAO.
Еще один вопрос, который возникает в результате двух предыдущих пунктов, связан с полномочиями и временем реагирования. Даже если атака будет обнаружена DAO на ранней стадии, может не оказаться организации, способной быстро среагировать, чтобы остановить поток транзакций и самостоятельно прекратить атаку. Для принятия таких важных решений потребуется голосование сообщества, и только после его завершения будут предприняты соответствующие действия. Конечно, это может занять некоторое время в зависимости от размера и доступности всех членов сообщества. Даже задержки в один-два часа может быть достаточно, чтобы был нанесен огромный ущерб. Представьте себе банк, который грабят в режиме реального времени, но служба безопасности не может принять никаких ответных мер, пока весь совет директоров не проголосует по этому поводу, и вы поймете, о чем идет речь.
Укрепление DAO против атак
Есть несколько важных вещей, которые ДАО могут и должны сделать, если они хотят снизить эти риски. Построив более комплексную систему сдержек и противовесов, можно значительно усилить безопасность внутри DAO.
Прежде всего, это обширный процесс контроля качества кода смарт-контрактов, который включает в себя аудит. Всесторонние и независимые аудиты развертываемого кода должны проводиться, причем регулярно, если код продолжает развиваться. Аудиты - это последняя линия защиты от ошибок безопасности, попадающих в производство, и их важность невозможно переоценить. Тщательная построчная проверка всего кода третьей стороной - лучший способ достичь разумного уровня безопасности перед выпуском. Помимо простого изучения собственных смарт-контрактов проекта, следует также внимательно изучить другие протоколы, с которыми взаимодействуют DAO, такие как сторонние токены и рынки DeFi, поскольку некоторые проблемы становятся очевидными только тогда, когда несколько протоколов интегрируются неожиданным образом.
Далее, DAO нуждаются в мониторинге сети в режиме реального времени. Это означает наличие общедоступного программного обеспечения для отслеживания и отображения происходящего во всей экосистеме по мере ее развития. Это позволяет выявлять проблемы по мере их возникновения, документируя моменты, когда происходят крупные транзакции или возникают другие любопытные показатели.
Для того чтобы воспользоваться преимуществами аудита и мониторинга, необходимо также четко определить роли членов DAO для реагирования на эти события. Определенные члены или группы членов должны нести ответственность за сообщение о подозрительной активности или обнаруженных явных недостатках. Должна существовать субординация, чтобы конфиденциальная информация передавалась только нужным людям до тех пор, пока не будет найдено решение. В конечном итоге, протоколы идентификации, распространения и реагирования должны быть понятны тем членам, которые должны их использовать, иначе может возникнуть путаница и хаос.
Наконец, необходимо также создать каналы для четкого и прозрачного общения с населением. Своевременное распространение актуальной информации очень важно для того, чтобы показать, что проект находится в надежных руках. Также полезно поощрять децентрализованные решения в области безопасности, привлекая широкую пользовательскую базу к разработке и обратной связи новых систем.
Безопасность DAO - дело непростое. Не существует единой стратегии, которая охватывала бы все сценарии. Более того, эта область все еще растет и развивается. Это означает, что никто не знает ни всех возможных проблем безопасности, которые могут однажды возникнуть, ни их решения. Однако уже сегодня можно сделать многое, чтобы привести DAO в соответствие с тем уровнем безопасности, который необходим для их широкого распространения. Ключи лежат как в сборе информации, так и в знании того, что с ней делать. Внедряя новейшие методы, нет причин для того, чтобы миллионные убытки продолжали случаться с этими организациями.
Источник