Группа исследователей из Корнелльского университета изучает потенциальные угрозы, которые могут превратиться в «темные» системы голосования в децентрализованных автономных организациях (DAO).
Эта группа сформирована соучредителем Ethereum Виталиком Бутериным и аспирантами Махимной Келкар, Кушалом Бабелем, Филипом Дайаном и Джеймсом Остгеном. Их работа вращается вокруг того, как снизить неминуемую угрозу децентрализации по мере того, как DAO становятся мейнстримом: унифицированные атаки на протоколы через подкуп смарт-контрактов.
Во время конференции Science of Blockchain, состоявшейся в Колумбийском университете в начале августа, Махимной Келкар рассказал об исследовании группы по доказательствам полного знания (CK) — новому криптографическому понятию, которое они представили в 2023 году. Доказательство знания — это криптографическая концепция, которая позволяет одной стороне (доказывающей) убедить другую сторону (проверяющую), что она обладает некоторой секретной информацией, например секретным ключом, фактически не раскрывая эту информацию.
Эта концепция широко используется в криптоиндустрии для повышения конфиденциальности транзакций, но «тонкий разрыв» все еще допускает сценарии, в которых эта секретная информация может храниться каким-то внешним механизмом, например доверенным оборудованием, а не непосредственно доказывающей стороной. По словам Келкар:
«Когда секретный ключ хранится внутри доверенного оборудования, в том, что мы называем обременением секретного ключа, вы все равно можете завершить это доказательство знания, фактически не имея знаний о базовом секретном ключе».
Атаки с подкупом
Ограничение в определении стандартных доказательств знаний может сделать протоколы голосования уязвимыми для атак с подкупом, объяснил Келкар.
Отсутствие центрального органа является ключевой концепцией управления DAO. Члены DAO обычно являются держателями токенов с правом голоса по правилам и решениям. Однако при атаке с подкупом злоумышленник может предложить держателям токенов финансовые стимулы через смарт-контракты, подкупая участников, чтобы они голосовали за определенное предложение или результат.
«Платформа для голосования может быть уязвима для атак с подкупом, когда пользователи могут как бы продавать свои голоса взяткодателям на темном рынке, — объяснил Келкар. — Наша работа пытается установить индивидуальное, реальное лицо, тип владения данными».
Источник: Инициатива по криптовалютам и контрактам (IC3)
Доказательство полного знания
Злоумышленник может использовать доверенную среду выполнения (TEE), чтобы гарантировать, что держатели токенов, которые приняли взятку, не смогут голосовать свободно. В этой среде злоумышленник контролирует, когда и как могут использоваться ключи.
Исследователи определили два способа обеспечения доказательства полного знания. Один из них включает использование TEE для доказательства того, что избиратель владеет ключом и может его использовать. Владелец токена также может удалить ключ этой среды, чтобы использовать его свободно, когда захочет.
Таким образом, владельцы токенов по-прежнему сохраняют полный контроль над своим ключом. Даже если злоумышленник захочет заблокировать ключ, чтобы контролировать избирателя, ключ уже управляется собственным TEE системы голосования.
Второй подход заключается в ограничении ключей с помощью специализированных интегральных схем (ASICS), которые обычно являются машинами, используемыми в майнинге биткоинов. Отправляя ключ в ASIC, в котором отсутствует среда TEE, ключ остается доступным для пользователя, гарантируя ему полный контроль над ним, при этом демонстрируя, что ключ использовался ASIC, и предотвращая его использование в TEE.
По словам Келкара, исследование все еще находится на стадии прототипа.
«Мы показываем, что это реальная угроза для DAO, и мы показываем это, демонстрируя практически развертываемый темный DAO, который может облегчить покупку голосов в существующих DAO. Это не то, что вы можете развернуть завтра, но это как бы практически инстанцируемо как исследовательский прототип сегодня», — добавил Келкар.
Легальные брокеры криптовалют — это компании, которые зарегистрированы и работают в соответствии с законодательством своей страны. Они обеспечивают трейдеров и инвесторов возможностью безопасно и законно торговать криптовалютами. В разных странах существуют свои требования к лицензированию и регулированию брокеров.
Как определить легальность брокера?
-
Лицензия и регистрация
- Убедитесь, что брокер имеет соответствующие лицензии от финансовых регуляторов. Это может быть FCA (Великобритания), ASIC (Австралия), SEC (США) и другие.
-
Правила и условия
- Ознакомьтесь с правилами и условиями работы брокера. Они должны быть прозрачными и легальными.
-
Обратная связь и репутация
- Изучите отзывы других пользователей и информацию о брокере на форумах и специализированных сайтах.
-
Безопасность
- Легальные брокеры обеспечивают высокий уровень безопасности, включая шифрование данных и защиту средств клиентов.
-
Клиентская поддержка
- Хороший брокер должен предоставлять качественную поддержку клиентам и быть готовым ответить на все вопросы.
