DAO Governance Attacks ภัยคุกคามที่ต้องระวังในโลก Web 3.0

‘DAO’ (Decentralized Autonomous Organizations) หรือองค์กรอัตโนมัติแบบกระจายศูนย์ ระบบที่ออกแบบมาให้นักลงทุนทั่วโลกสามารถใช้เงินเปลี่ยนเป็น Token เพื่อให้มีสิทธิลงคะแนนในโครงการต่างๆ โดยที่ไม่ต้องเปิดเผยตัวตน เป็นเทรนด์ถูกให้ความสนใจอย่างมากในช่วงที่ผ่านมา เนื่องจากมีส่วนช่วยให้ Governance หรือระบบงานในองค์กรเป็น Decentralized มากยิ่งขึ้นรวมถึงข้อดีอีกหลายประการ

นอกจากนี้ การขยายตัวของเทคโนโลยี Web 3.0 และ Blockchain ทำให้เกิดโครงการสกุลเงินดิจิทัลที่เป็นนวัตกรรมมากมาย แต่การเพิ่มขึ้นของการนำ Web 3.0 มาใช้ทำให้เกิดภัยคุกคามและการโจมตีทางไซเบอร์ประเภทต่างๆ มากขึ้นตามมา หนึ่งในนั้นคือ ‘Governance Attack’ ซึ่งส่งผลต่อโครงการ Cryptocurrency หรือ DAO ในการตัดสินใจเกี่ยวกับโปรโตคอลผ่านข้อเสนอการกำกับดูแล ซึ่งในบทความนี้จะพาไปทำความรู้จักภัยคุกคามประเภทนี้เพื่อช่วยประเมินภัยคุกคามและแนวทางการรับมือกับการโจมตีที่อาจเกิดขึ้นกับ DAO



Governance ใน Crypto คืออะไร?

Governance คือ การจัดการและการนำการเปลี่ยนแปลงไปใช้กับ Blockchain ของสกุลเงินดิจิทัลผ่านการลงคะแนน การเปลี่ยนแปลงโปรโตคอล Blockchain จะดำเนินการผ่าน Governance หรือ การกำกับดูแลประเภทนี้ โดยผู้ถือโทเคนแต่ละคนสามารถลงคะแนนเพื่อยอมรับหรือปฏิเสธการแก้ไขที่เสนอโดยนักพัฒนาได้ นอกจากนี้ Governance ยังส่งผลให้การดำเนินการของโปรโตคอลเป็นแบบกระจายอำนาจมากขึ้น โดยผู้ถือโทเคนทุกคนของโปรโตคอลจะมีสิทธิ์และมีส่วนร่วมใน Governance 

ความเสี่ยงต่อการถูกโจมตีของ DAO Governance 

โปรเจกต์ Web 3.0 จำนวนมากใช้วิธีการโหวตลงคะแนนรูปแบบที่เข้าถึงได้อย่างอิสระไม่ต้องขออนุญาต (Permissionless) ผ่านการใช้โทเคนที่สามารถใช้ซื้อขายและแลกเปลี่ยนได้ ซึ่งการโหวตแบบ Permissionless มีข้อดีหลายประการ ตั้งแต่ลดอุปสรรคไปจนถึงเพิ่มระดับของการแข่งขัน โดยผู้ถือโทเคนสามารถใช้โทเคนของตนเพื่อลงคะแนนในประเด็นต่างๆ ตั้งแต่การปรับพารามิเตอร์ไปจนถึงการปรับกระบวนการกำกับดูแล อย่างไรก็ตาม การโหวตแบบ Permissionless ก็มีความเสี่ยงต่อการถูกโจมตีในรูปแบบ Governance Attacks แม้ว่าผู้โจมตีมีสิทธิ์การลงคะแนนอย่างถูกต้องแต่ใช้สิทธิ์นั้นเพื่อผลประโยชน์ของผู้โจมตีเอง ซึ่งการโจมตีเหล่านี้เป็นการโจมตีที่เกิดขึ้นภายใน Protocol ที่ไม่สามารถตรวจสอบผู้โจมตีผ่านการเข้ารหัสได้ ดังนั้น การป้องกันและหลีกเลี่ยงจึงควรเป็นการออกแบบกลไกที่รอบคอบ 

กรณีศึกษาภัยคุกคาม Governance Attacks ที่เกิดขึ้นจริง

ตัวอย่างแรก คือ Steemit สตาร์ทอัพที่สร้างเครือข่ายโซเชียลแบบกระจายศูนย์บน Blockchain มีระบบการกำกับดูแลแบบ On-Chain ที่ควบคุมโดยพยาน 20 คน ผู้ลงคะแนนใช้โทเคน STEEM (สกุลเงินดั้งเดิมของแพลตฟอร์ม) เพื่อเลือกพยาน และในขณะที่แพลตฟอร์มนี้กำลังได้รับความสนใจก็มี Sun ผู้ก่อตั้ง Tron ที่ต้องการรวม Steem เข้ากับ Tron (โปรโตคอล Blockchain DAO Ecosystem) โดยมีการเข้าซื้อโทเคน 30 เปอร์เซ็นต์ของอุปทานทั้งหมดเพื่อให้ได้อำนาจในการลงคะแนน จากนั้นเมื่อพยานปัจจุบันของ Steem พบการซื้อเกิดขึ้นจึงทำการแช่แข็งโทเคนดังกล่าว และสิ่งที่ตามมาคือการแย่งชิงระหว่างกันเพื่อให้มีโทเคนมากพอที่จะมีพยาน 20 ที่ หลังจากการเปลี่ยนแปลงครั้งใหญ่นี้ Sun ก็ได้รับชัยชนะและมีอำนาจในเครือข่ายอย่างสมบูรณ์ 

อีกกรณีศึกษาหนึ่งที่น่าสนใจ คือ Beanstalk ซึ่งเป็นโปรโตคอล Stablecoin ที่ถูกโจมตี Governance Attack ผ่าน Flashloan โดยที่ผู้โจมตีได้กู้ยืม Governance Token จำนวนมากพอที่จะยื่นข้อเสนอจนสามารถยึดเงินสำรองของ Beanstalk จำนวนกว่า 182 ล้านดอลลาร์ได้ทันที ซึ่งแตกต่างจากกรณีการโจมตีของ Steem เนื่องจากเหตุการณ์นี้เกิดขึ้นเพียงในช่วงของ Block เดียวเท่านั้น หรือหมายความว่าเกิดขึ้นเร็วเกินกว่าที่จะตอบโต้ได้ทัน

อย่างไรก็ตาม แม้ว่าการโจมตีทั้งสองครั้งนี้จะเกิดขึ้นอย่างเปิดเผยและอยู่ในสายตาของสาธารณชน แต่การโจมตีแบบ Governance Attacks ก็สามารถเกิดขึ้นได้โดยการแอบแฝงในระยะเวลายาวนาน โดยที่ผู้โจมตีอาจสร้างบัญชีที่ไม่ระบุชื่อจำนวนมากและค่อยๆ สะสม Governance Token พร้อมกับทำตัวเหมือนผู้ถือ Token รายอื่นเพื่อไม่ให้เกิดความน่าสงสัย ซึ่งการแอบแฝงในลักษณะดังกล่าวเกิดขึ้นกับ DAO หลายแห่ง ซึ่งมีบัญชีที่อยู่เฉยๆ เป็นเวลานานโดยไม่ทำให้เกิดความสงสัย อย่างไรก็ตาม ในมุมมองของ DAO บัญชีที่ไม่ระบุตัวตนของผู้โจมตีอาจมีส่วนช่วยให้อำนาจการลงคะแนนแบบกระจายอำนาจอยู่ในระดับที่ดี แต่ในที่สุดผู้โจมตีก็สามารถไปถึงเกณฑ์ที่สามารถควบคุม Governance ได้เพียงฝ่ายเดียวโดยที่ชุมชนไม่สามารถตอบโต้ได้ 

และกุญแจสำคัญในการป้องกันจากผู้ไม่หวังดีต่อระบบคือการสร้างและออกแบบโครงสร้างของ DAO อย่างเหมาะสม

ความท้าทายในการแยกแยะผู้ใช้ที่มีคุณค่ากับผู้ไม่หวังดีต่อโครงการ

กลไกการตลาดสำหรับการจัดสรรโทเคนล้มเหลวในการแยกแยะระหว่างผู้ใช้ที่ต้องการมีส่วนร่วมและมีคุณค่าต่อโครงการกับผู้โจมตีที่เข้าไปทำให้เกิดการหยุดชะงักหรือต้องการควบคุม โดยในโลกที่โทเคนสามารถซื้อหรือขายในตลาดสาธารณะ ทำให้ไม่สามารถแยกพฤติกรรมทั้งสองกลุ่มผู้ใช้นี้ได้หากมองจากมุมมองของตลาด ซึ่งทั้งสองกลุ่มต่างยินดีที่จะซื้อโทเคนจำนวนมากในราคาที่สูงขึ้นเรื่อยๆ

โดยปัญหาความล้มเหลวในการแยกแยะผู้ใช้ในที่นี้หมายความว่า Governance รูปแบบกระจายอำนาจไม่ได้มาฟรีๆ แต่ในทางกลับกัน ผู้ออกแบบโปรโตคอลต้องเผชิญกับสิ่งที่ต้องแลกเปลี่ยนระหว่างการกระจายอำนาจการกำกับดูแลอย่างเปิดเผยและการรักษาความปลอดภัยระบบของตนจากผู้โจมตีที่แสวงหาประโยชน์จากกลไกของการกำกับดูแล ยิ่งสมาชิกในชุมชนมีอิสระในการได้รับอำนาจในการกำกับดูแลและมีอิทธิพลต่อโปรโตคอลมากเท่าใด ผู้โจมตีก็จะยิ่งใช้กลไกเดียวกันนี้เพื่อโจมตีได้ง่ายขึ้นเท่านั้น

ปัญหาความล้มเหลวในการแยกแยะผู้ใช้นี้คล้ายกันกับการออกแบบของเครือข่าย Blockchain ประเภท Proof-of-Stake ที่ยิ่งโทเคนสภาพคล่องสูงก็ยิ่งช่วยให้ผู้โจมตีได้รับการันตีความปลอดภัยจากเครือข่ายได้ง่ายขึ้น อย่างไรก็ตาม การผสมผสานระหว่างการให้ผลตอบแทนจากโทเคนและการออกแบบสภาพคล่องทำให้เครือข่าย Proof-of-Stake ดำเนินต่อไปได้ดี ดังนั้นกลยุทธ์ที่คล้ายกันนี้มีความเป็นไปได้ที่จะสามารถนำไปปรับใช้ช่วยรักษาความปลอดภัยให้กับโปรโตคอล DAO ได้เช่นกัน

การประเมินและแก้ไขจุดอ่อนของโครงการเพื่อป้องกันการโจมตี

เพื่อให้โปรโตคอลได้รับความปลอดภัยจากภัยคุกคาม Governance Attacks ควรมีการทำให้โอกาสผลกำไรของผู้โจมตีเป็นลบ และเพื่อลดแรงจูงใจในการใช้ประโยชน์จากโปรโตคอล สามารถใช้การสร้างสมดุลสามวิธีการ ได้แก่ การลดมูลค่าจากการโจมตี เพิ่มค่าใช้จ่ายหรือความยากในการได้รับอำนาจลงคะแนน และเพิ่มค่าใช้จ่ายในการดำเนินการโจมตี โดยมีรายละเอียดดังต่อไปนี้:

• นักออกแบบสามารถจำกัดมูลค่าจากการโจมตีได้โดยการจำกัดขอบเขตในสิ่งที่ Governance จะสามารถทำได้
• ในช่วงเริ่มต้นของโครงการเป็นช่วงเวลาที่สามารถปรับขยาย Governance ให้มีรากฐานที่มั่นคง และเมื่อโครงการเติบโตเต็มที่และมีการกระจายอำนาจการควบคุม อาจเป็นช่วงเวลาเหมาะสมที่จะจัดการกับความขัดแย้งต่างๆ ใน Governance โดยอย่างน้อยที่สุดควรใช้องค์ประชุมขนาดใหญ่สำหรับการตัดสินใจที่สำคัญที่สุด
• โครงการสามารถใช้วิธีการที่ทำให้การได้มาซึ่งอำนาจในการลงคะแนนมีความยากขึ้นเพื่อให้เกิดการโจมตีที่ยากขึ้น เนื่องจากยิ่งโทเคนมีสภาพคล่องมากก็ยิ่งได้อำนาจในการลงคะแนนง่ายขึ้น ดังนั้นโครงการต่างๆ จึงอาจต้องลดสภาพคล่องลงเพื่อแลกกับการปกป้อง Governance 
• บางโครงการมีการกำหนดระยะเวลาเพื่อไม่ให้ใช้เหรียญลงคะแนนในช่วงระยะเวลาหนึ่งหลังจากการแลกเปลี่ยนเหรียญเสร็จสิ้น
• บางโครงการใช้อำนาจการยับยั้ง (Veto Power) ที่ส่งผลให้การลงคะแนนเกิดความล่าช้าเป็นระยะเวลาหนึ่ง เพื่อเป็นการเตือนเกี่ยวกับวัตถุประสงค์ที่อาจเป็นอันตรายต่อโครงการแก่ผู้ลงคะแนนที่ไม่มีความเคลื่อนไหว (Inactive) 
• โครงการต่างๆ ควรสร้างสมดุลเพื่อให้มีความเปิดกว้างต่อการเปลี่ยนแปลงชุมชนในระดับหนึ่ง รวมถึงไม่ปล่อยให้ข้อเสนอที่เป็นอันตรายต่อโครงการหลุดลอดผ่านช่องโหว่ไปได้

ขอบคุณข้อมูลจาก a16zcrypto