DAO の裏側: オンチェーン投票購入とダーク DAO の台頭

BTC0.0₂₀

ETH0.0₂₀

HTX0.0₂₀

SOL0.0₂₀

BNB0.0₂₀

BTC0.0₂₀

ETH0.0₂₀

HTX0.0₂₀

SOL0.0₂₀

BNB0.0₂₀

DAO の裏側: オンチェーン投票購入とダーク DAO の台頭

DAOrayaki

2021-12-15 10:54

本文约11584字，阅读全文需要约46分钟

スマートコントラクトは選挙に適しているだけでなく、賄賂や賄賂にとっても良い条件を作り出します。

ブロックチェーンはオンライン投票に最適なテクノロジーのように思えます。これらは、数十年にわたる電子投票の研究で仮説が立てられてきた (しかし実現することはなかった) グローバル台帳である「掲示板」として機能することができます。さらに良いことに、ブロックチェーンにより、オンチェーン選挙を自律的に実施し、選挙団体を排除するスマートコントラクトが可能になります。

しかし、残念ながら、スマートコントラクトは選挙に適しているだけでなく、贈収賄や票の買収にも好条件を生み出します。このブログ投稿では、その方法と理由について説明します。

ケーススタディとして、人気のあるオンチェーンの CarbonVote システムに対して完全に実装された単純な票買収攻撃を紹介します。また、信頼できるハードウェアが、最先端の暗号化された投票プロトコルを使用しても手に負えないと思われる強力な贈収賄手法をどのように可能にするかについても説明します。

最後に、Dark DAO (Dark DAO、分散型闇の組織) と呼ばれる新しい形式の攻撃を紹介します。DAO と The DAO を混同しないように、「Dark DAO」と混同しないようにしてください。 DarkDAO は、不透明に (別名「暗闇で」) チェーン上でチケットを購入する分散型カルテルです。 Intel SGX に基づいた具体的な実装を提案します。

このような攻撃では、DAO の作成者でさえも、DAO への参加者の数、攻撃に投入された資金の総額、または攻撃の正確なロジックを誰も決定できない可能性があります。、ダーク DAO は Tezos などのトークンプロジェクトを攻撃し、隠されたしきい値に達するまで秘密裏にトークンを収集し、メンバーに空売りするように指示する可能性があります。このようなダーク DAO は、たとえば、拒否可能な短い通知を送信することで情報の非対称性を強制する独自の機能も備えています。カルテル内のメンバーは短い信号を検証できますが、自分たち自身が本物のように見える偽の信号を生成し、部外者に送信する可能性があります。。

信頼を最小限に抑えたチケット購入とダーク DAO プリミティブの存在は、すべてのオンチェーン投票ユーザーが金権政治や強制力による抑制、操作、制御に対して脆弱であることを意味します。これは、ユーザーが信頼できる環境の外で独自のキーを生成できる場合、すべてのオンチェーン投票スキームが本質的に金権政治に堕落することを直接意味します。このモデルは一般に民主的モデルより劣ると考えられており、この合意は連鎖的に民主的モデルに近づけようとしている。

副題

現在のブロックチェーン投票メカニズム

最近、ブロックチェーン投票スキームがたくさんあります。 Votem は、モバイルデバイスを使用した投票を可能にし、選挙結果を安全に公開および集計する場所としてブロックチェーンを利用する、エンドツーエンドの検証可能な投票スキームです。人気のあるスマートコントラクト IDE Remix は、トレーニングサンプルとして選挙管理スマートコントラクトを提供します。

オンチェーン投票は、プライバシー、レイテンシー、スケーリングなどの多くの課題に直面しています。これらはいずれも投票メカニズム自体に固有のものではなく、最終的にはすべて克服可能です。そして、投票の賄賂は別の問題です。

票の買収は、政治制度において広く蔓延し腐食をもたらす選挙不正であり、世界中で選挙の公正性が損なわれてきた長い歴史があります。場合によっては、賄賂の費用がビール 1 杯ほどの場合もあります。ありがたいことに、学者たちが観察しているように、チケット購入では通常の市場メカニズムが 3 つの理由で機能不全に陥ることがよくあります。まず、チケットを買うことはほとんどの場合犯罪です。米国では、これには連邦法に基づく罰則が適用されます。第二に、秘密投票が使用される場合、コンプライアンスを強制するのは困難です。有権者は表向きは賄賂を受け取り（単にビールを飲むだけ）、秘密裏に好きなように投票することができます。第三に、たとえ有権者が自分の票を売ったとしても、相手がお金を払ってくれるという保証はない。

ブロックチェーンシステムではそのような障壁は生じません。購入市場は、同じ強力な選挙管理ツールであるスマートコントラクトを使用して効率的に運営できます。いつものように、偽名と司法管轄の複雑さは、訴追に対する（一部の）安全策を提供します。

一般に、電子投票スキームは、ある意味、対面投票よりも不正を防ぐのが難しく、長年にわたって学術的な関心の対象となってきました。 David Chaum によって初期に導入された基本的な構成要素は、参加者が匿名で送信し、含まれるレシートを受信できるメッセージ用の匿名ミキシングネットワークを提供することです。このようなエンドツーエンドの検証可能な投票システムは、ユーザーがプライバシーを犠牲にすることなく自分の投票が正しく数えられたことを確認できるもので、理論家の領域であるだけでなく、拘束力のある選挙でも実際に使用されています。

Benaloh と Tuinstra によるその後の研究では、電子投票スキームが有権者に、特定の投票がどのように行われたかを暗号化した証拠として提供する「領収書」を提供したと指摘し、電子投票スキームに疑問を投げかけた。これにより、極めて効率的な賄賂と強制が可能となり、明らかに望ましくない性質を持ちます。著者らは、そのような暗号証明が不可能な投票スキームを記述するために、新しいプロパティである受信の自由を定義しています。ジュエルス、カタラーノ、ヤコブソンによるさらなる研究では、より強力な強制反対派をモデル化しており、非受領制度ですら強制と票の買収を防ぐには不十分であることが示されている。この研究では、「強制抵抗」と呼ばれる投票スキームの新しいセキュリティ定義を定義し、悪意のある当事者が選挙結果を変える可能性のある方法でユーザーに強制することができないプロトコルを提供します。

Juels らは研究の中で、「私たちの構築のセキュリティは、信頼できる第三者による鍵ペアの生成、または対話型で計算上安全な鍵生成プロトコルに依存している」と述べています。"。この種"信頼できる鍵の生成"、"または"または"信頼できる設定"という仮定は、強要耐性投票スキームに関する学術文献では標準的です。残念ながら、これらの要件は、ノードが互いの事前知識なしにいつでも行き来できるパーミッションレスモデルには変換されません。これは（ある程度は）当然のことながら、ユーザーがそのような展開されたすべてのシステムで独自のキーを生成し、信頼できるマルチパーティのキー生成やキーサービスの集中型アービターを利用できないことを意味します。

今日のブロックチェーン空間では、予測可能な結果が得られていますが、最も単純な形式の投票、つまりチェーン上に平文で保存されたトークン重み付け投票を直接計算する新興の計算の実装を支持して、数十年にわたる研究を無視するという伝統が続いています。残念ながら、この圧制よりも優れた投票がチェーン上で実現できるかどうかは不明です。パーミッションレスモデルは基本的に投票には悪いということを示します。 ID ベースまたは第 2 層の軽減策が試みられているにもかかわらず、すべてのパーミッションレス投票システム (または信頼できない環境でユーザーが独自のキーを生成できるスキーム) は、同じスタイルのチケット購入や強迫攻撃に対して脆弱です。多くの票買収攻撃は強制にも使用され、ユーザーを特定の投票選択肢に強制的に縛り付けることができます。

「このチェーンに対するあなたの投票はとても良いです...」

副題

攻撃のさまざまな特徴

非常に単純な投票スキームを考えてみましょう。トークン所有者は、保有するトークンごとに 1 票を獲得し、特定の終了ブロック番号まで投票を変更し続けることができます。この単純な「EZVote」スキームを使用して、オンチェーン投票メカニズムで攻撃がどのように機能するかについての直感を構築します。

このスキームにはいくつかのエスカレーション攻撃が考えられます。

(1) シンプルなスマートコントラクト

オンチェーン投票システムに対する最も単純な低連携攻撃には、スマートコントラクトの購入が含まれます。このようなスマートコントラクトは、オプションに対する証明可能な投票 (または投票への参加、または投票が匿名でない場合は棄権) に基づいてユーザーに料金を支払うだけです。 EZVote では、スマートコントラクトは、終了日を過ぎても ERC20 を保持し、投票し、それを返却する単純な契約にすることができ、契約内のすべての保証は基礎となるブロックチェーンによって強制できます。

このスキームの利点は、基礎となるシステムにすでに組み込まれている信頼の前提だけを必要とすることですが、重大な欠点もあります。一方で、今日のスマートコントラクトシステムにおける支払いの流れを処理するために必要であるため、選挙後に何票購入されたかを公表することも可能です。さらに、贈収賄はプラットフォームの性質上、基盤となるプラットフォーム/システムの健全性の維持に関心のある関係者による厳しい監視にさらされます。

投票スキームと基礎となるプロトコルの性質によっては、これらの欠点に対する回避策がいくつかある場合があります。たとえば、有権者は、支払いと引き換えに、自分が賛成票を投じた有権者のリストに載っていることを証明する指輪の署名を投票購入者に提供することができます。これらのスキームの実装の詳細と一般性はオープンのままにしておきます。

一般に、プライベートスマートコントラクトに使用されるメカニズムは、プライベートな投票の購入にも使用でき、スマートコントラクトベースの攻撃の公共の性質に対処できます。暗号的には、同等のことは、投票の買い手と売り手が MPC を介して資金保管キーを生成することと同じです。 2 つのトランザクションに署名します。1 つは投票を承認し、間隔が終了した後に投票の販売者に資金を解放するトランザクションです。投票の販売者は、返金と支払いを保証する取引を行っている場合にのみ、そのキーに資金を転送します。

副題

信頼できるハードウェアの購入

さらに懸念すべき票買収攻撃シナリオには、Intel SGX などの信頼できるハードウェアの使用が含まれます。このようなハードウェアには、リモート認証と呼ばれる重要な機能があります。基本的に、アリスとボブがインターネット経由で通信する場合、SGX によって有効になるトラステッドコンピューティングにより、アリスは特定のコードを実行していることをボブに証明できます。

信頼できるハードウェアは、実行しているコードに悪意がないことを証明する方法としてよく見られます。たとえば、映画など、一時的にのみライセンスされているファイルをユーザーがコピーしないことを証明するために、DRM で使用されます。代わりに、私たちは信頼できるハードウェアを使用して、暗号通貨ユーザーを拘束し、支払いをし、あるいは彼らに許容される行動の余地を明らかに制限する信頼できるハードウェアに基づく暗号通貨ウォレットの使用を強制します（たとえば、選挙で投票しないよう強制するなど）。何らかの方法で）または、賄賂がユーザーキーの最小限かつ限定的な使用を信頼できるようにする（たとえば、投票購入者はユーザーに「私はAに投票しました」への署名を強制できますが、ユーザーのお金を盗んだり使用したりすることはできません）。

このようなテクノロジーを投票購入に使用する最も簡単な方法は、支払いと引き換えに投票購入者の悪意のあるウォレットコードを実行していることをユーザーが証明できるようにするだけであり、両者はリモート認証テクノロジーで保護されています。

このようなテクノロジーを賄賂に使用する最も簡単な方法は、ユーザーが支払いと引き換えに投票購入者の悪意のあるウォレットコードを実行していることを証明できるようにし、双方がリモート認証テクノロジーで保護されるようにすることです。

「EZVote」の例では、ユーザーはインテル SGX にロードされた暗号通貨ウォレットを使用し、投票購入プログラムを実行するだけです。 SGX は、(Intel が投票購入者と共謀しない限り) ウォレットがユーザーのお金を盗むことは決してないとユーザーに保証します。ユーザーは、資金の送金を含め、通常のイーサリアムウォレットでできるすべてのことをウォレットを使用して行うことを証明できます（ただし、この場合は支払いは発生しません）。ユーザーは自分のウォレットを管理し、資金を管理または保護するために第三者を信頼する必要はありません。ユーザーは自分のウォレットを作成できるため、資金を安全に保つためにインテルや信頼できるハードウェアベンダーを信頼する必要さえないかもしれません。

副題

隠れた信頼できるハードウェアカルテル (ダーク DAO)

信頼できるハードウェアが DAO の理念と組み合わされると、さらに憂慮すべき攻撃が出現し、その結果、暗号通貨の投票操作を目的とした信頼できない組織が誕生します。

基本的なダーク DAO の例

上の図は、考えられる 1 つのアーキテクチャの概要を示しています。バイアウトは、SGX エンクレーブのネットワークを実行することで DAO をサポートします。SGX エンクレーブ自体がコンセンサスプロトコルを実行します (ここでは、外部から見えないことを示すために暗雲として示されています)。ユーザーはこのエンクレーブネットワークと通信し、現在の残高が X コインで「賄賂を買う」（たとえば）イーサリアムウォレットを実行しているという証拠を提供します。この「邪悪なウォレット」は、賄賂が支払った攻撃コードを実行することを証明し、賄賂は、攻撃終了時にユーザーへの支払いを保証するコードを実行することを証明します（おそらく、暗号経済的に活性化されたスマートコントラクトベースのプロトコルと組み合わせて）そして誠実さ）。

贈収賄者は、SGX に組み込まれたプライバシー機能を使用して、この事実を外の世界から隠すことで、システムを通じて投票にコミットした資金の総額を追跡できます。ユーザーはこのようなシステムに参加することで証明可能な支払いを獲得でき、SGX ベースの分散型取引所でオール・オア・ナッシング決済のような性質を実現できます。バイアウトでは、クライアントが希望する投票ポリシーに反する投票を決して発行しないという証明可能な保証が得られます。

このような組織を闇にしているのは、贈収賄者がシステムに参加しているユーザーの数を誰にも (おそらく自分自身にも) 明らかにする必要がないことです。システムは単純にユーザーを蓄積し、攻撃を活性化する特定のしきい値 (そのようなソフトウェアが保有するコインなど) に達するまで、攻撃者のカスタムウォレットソフトウェアを実行するユーザーに料金を支払う可能性があります。試してみてください。さらに有害なのは、小規模ユーザーにはシステムに参加するという明確な個人的な動機があることです。小規模ユーザーが自分の投票は重要ではないと考えている場合、わずかなマイナス面も感じられずに報われる可能性があります。これは、投票率が非常に低いことが経験的に観察されているオンチェーン投票に特に当てはまります。投票しないユーザーは、票を販売する理想的なターゲットになる可能性があります。

ダーク DAO オペレーターは、賄賂業者が実際に反対しているオプションに対して潜在的な偽旗作戦や中傷キャンペーンとして攻撃を開始することで、事態をさらに濁らせることができます。たとえば、ボブがアリスに有利なダーク DAO を実行して、ボブがアリスを自分だと思い込ませることで、失敗する可能性のある選挙結果を正当化することができます。。アクティベーションのしきい値、支払いスケジュール、全体的な攻撃戦略、システム内のユーザー数、システムにコミットされた合計金額などはすべて非公開にすることも、選択的またはグローバルに公開することもできるため、そのような DAO は最終的に構造化されたインセンティブの変更に合わせて調整することができます。

このグループはオフチェーンに存在するため、ブロック作成者のカルテルや他のシステム参加者は攻撃を検出、検閲、または防止することができません。

副題

古典的なスキームに対する攻撃: CarbonVote と EIP999

これらの票購入戦略の有効性を実証するために、まず既存の暗号通貨システムで実行されるガバナンスにとって重要なコイントスを検討します。おそらく最も重要な投票は DAO CarbonVote です。この投票の操作は簡単です。アカウントは、賛成票を投じる場合は 1 つのアドレスに送金し、反対票を投じる場合はもう 1 つのアドレスに送金します。各アドレスは、特定のアドレスに対する投票を記録する契約です。次に、CarbonVote フロントエンドは投票をカウントし、賛成または反対に投票したすべてのアカウントの純残高を表示します。後の投票は以前の投票に優先するため、ユーザーは考えを変えることができます。投票終了時に支持者のスナップショットが撮影され、コミュニティの感情を測るために使用されました。この投票方法は、EIP-186 など、他の議論の多いエコシステムの問題にも再利用されます。

このフレームワークで考えられる信頼最小化投票購入スマートコントラクトの 1 つは、エスクローの使用を伴うもので、ユーザーは ERC20 トークンコントラクトにイーサを送信し、投票が終了するまでイーサは保持されます。ユーザーは入金した ETH ごとに 1 VOTECOIN を受け取ります。

この契約は、投票の最後に賛成票を投じるように事前にプログラムされており、ユーザーのイーサの 100% を保持します。投票後、各 VOTECOIN トークンは、それを作成した元のイーサリアムに全額返金されます。ユーザーは、購入者がこのサービスに対して支払うことを希望した賄賂投票とともに、元のイーサを取り戻します。

当社は、このような契約の完全なオープンソースの概念実証を実装し、投票購入者が契約の BRIBEPOOL に資金を寄付できるようにしました。ユーザーは、自分のイーサを契約に一時的にロックすることで BRIBEPOOL から支払うことができ、対象投票終了時にイーサの 100% を引き出すことができます。攻撃に対する支払いは、BRIBEPOOL から投票販売者に前払いするか (トークンをロックすると投票は保証されます)、長期にわたって配当金として、あるいはその両方で支払うことができます。

DAO Carbonvote のイーサリアムスマートコントラクトの投票コードを購入する

ユーザーはイーサをロックした後に VOTECOIN を売却することもでき、実質的に VOTECOIN をトークン化された投票購入デリバティブとなります。その後、投票の売り手は、ロックされた資金に関連するリスクを、投票の結果に無関心な関係者に即座にオフロードできます。すべての ERC20 は、最終的には元の ETH をすべて受け取ることがプログラム的に保証されているため、これは本質的に、原資産から専用のデリバティブ資産に変換されます。事前に定義された方法で投票します。投票結果に興味のない購入者は、マイナスでないリターンが保証されている場合には常に自分の ETH をロックすべきであり、基本的に同様に興味のない他の購入者に後でアンロードするオプションを持っています。 BRIBEPOOL の配当が前払いに加えて長期的に VOTECOIN に支払われる場合、これらのデリバティブトークンは攻撃自体の成功を推測するために使用することもできます。

このスマートコントラクトは、Town Crierなどのオラクルを利用することで簡素化することができます（複数のオラクルや予測マーケットなどを組み合わせることも可能）。 CarbonVote システムは完全な投票者ログを含む結果を Etherscan に公開するため、外部の Web スクレイピングオラクルを使用して誰かがどのように投票したかを確認し、最終スナップショットに含まれる投票が購入者の好みと一致する場合に支払うのは比較的簡単です。

Dark DAO 風のモデルも簡単に使用できます。各ユーザーは 1 つのウォレットを実行するだけでよく、各送金トランザクションの後のある時点で、CarbonVote で希望の方法で投票します (実際、これは多くのウォレットの標準的な動作になる可能性があります)。このような投票が登録された場合にのみユーザーに支払いが行われるため、ユーザーはこの投票トランザクションがオンチェーンに確実に含まれるようにするインセンティブが与えられます。ネットワークは、特定の CarbonVote 内でそのような票購入カルテルによって生成された票の数、および正当な票の数を判断できません。

これらのスキームのいずれにも、複数の投票購入者に資産をプールする際に信頼を最小限に抑える機能が備わっています。賄賂スマートコントラクトを使用すると、誰でも BRIBEPOOL を支払うことができ、SGX ネットワークも同様に参加可能になります。

EIP999 投票などの一部のスキームには、より深刻な問題があります。これらのスキームでは、ユーザーが 2 回投票した場合、後の投票が選択されます。シンプルだが深刻な攻撃は、単純に「はい」と「いいえ」の投票に対するユーザーの署名を収集し、選挙期間の終了時に選択された署名をスパム送信し、このクラスの投票用紙の過半数が確実に残るようにする圧倒的なブロックチェーンの能力に依存することです。あるいは、契約の展開者は特定の契約内のすべての資金に投票できるため、別の攻撃としては、投票中に賄賂によって展開された契約ベースのウォレットの使用をユーザーに強制するだけで、投票にロックされているすべての資金を恣意的に制御できるようになります。契約上の資金を保管する必要なく、資金に対する権利を得ることができます。

副題

投票を超えて - コンセンサスへの攻撃

洞察力のある読者は、すべてのパーミッションレスブロックチェーンが本質的に何らかの形式のパーミッションレス投票、つまりコンセンサスアルゴリズム自体に依存していることを指摘するかもしれません。ブロックチェーンが国家の何らかの財産に関して世界的なコンセンサスに達するたびに、基本的に行われるのは、パーミッションレス設定でのパーミッションレス (通常はコインまたは PoW で重み付けされた) 投票です。

このような場合、「購入」が少し検討されても不思議ではないかもしれません。たとえば、イーサリアムのスマートコントラクトは、検閲、歴史の修正、または空のブロックの奨励を通じてイーサリアムやその他のブロックチェーンを攻撃するために使用できます。この攻撃は、Proof-of-Work 投票自体に直接作用し、重み付けされた作業に基づいてマイナーに賄賂を渡します。特に、インセンティブが不明確で、正式な分析が不完全または存在しない可能性がある複雑な委任投票構造が存在する場合には、プルーフ・オブ・ステークシステムが同様の攻撃の影響を受けないと信じる理由はほとんどありません。

票を購入するための Dark DAO の探索に関連する不穏な概念は、古典的な Flash ゲームにちなんで名付けられた「Fishy DAO」と呼ばれるものです。この (超楽しい!) ゲームでは、最初は小さな魚から始まります。ルールは簡単で、ライバルの小さい魚は食べてもいいが、自分と同じか大きい魚は食べられない。毎食後に少しずつ大きくなり、最終的には（運が良ければ）海を支配できるまでに成長します。 Flash を必要とせず、ネットワークを追加する最新のアナログは、agar.io です。

Fishy と同じように、小さな魚も大きな魚と同盟を結ぶことができます。

Fishy DAO は、前述の Dark DAO のようなテクノロジーを使用して、ブロックチェーンに対して同じことを行います。 SGX を使用すると、Fishy DAO メンバーは、攻撃のしきい値に達したときに転送不可 (DAO メンバーはメッセージの信頼性を検証できますが、非メンバーはメッセージが偽造されたかどうかを見分けることができません) 通知を受け取ることができ、攻撃のしきい値に達する直前に短期金融市場を空売りすることができます。攻撃が発生します。すべてのブロックチェーンの Fishy DAO 攻撃は Fishy DAO に何らかの利益をもたらします。攻撃が失敗した場合でもその後の宣伝が伴い、Fishy DAO は利益を追求しているものの、(一部のフレームワークでは) 非倫理的である可能性があることで悪名が高くなります。 Fishy DAO が必要なしきい値を満たさない場合、Fishy DAO は単に消滅して参加者に返金し、参加者を募るために参加者を奨励するために参加者の資金の一部を消費する可能性がありますが、必ずしもそうではありません。

副題

他のアプリケーション

Dark DAO の影響は上記をはるかに超えていることに注意してください。たとえば、ある Dark DAO は、ユーザーの定期的なベーシックインカムの支払いを得るために少額の手数料を前払いして、ユーザーのベーシックインカムステータスを利益で購入することを目的としています。または、信用度の高いユーザーからそのようなキーを (最小限の信頼制約で) レンタルして、キーベースの ID に基づく信用調査に合格するダーク DAO です。または、潜在的に検出不可能で阻止不可能な攻撃プールサイズで ASIC ベースのプルーフオブワーク暗号通貨を攻撃することが判明する可能性のある邪悪なマイニングプールを実行している Dark DAO です。

アイデンティティの場合、アイデンティティシステム自体が購入に対する社会保障を備えている可能性も考えられます。たとえば、一部の ID システムでは、ユーザーが物理的にその場にいて ID を取り消したり管理したりできる場合があり、これにより ID 盗難に対する自動化された技術的保護が社会的に回避される可能性があります。この問題を回避する方法はまだあります。融資の古典的な解決策は担保を利用することです。企業などの潜在的な「保証人」は、物理的/法的脅迫や契約を通じて、担保を用意できないユーザーに社会的返済保証を提供することもできます。この許可のないベーシックインカムシステムが現在の市場システムと並行して展開されれば、少なくとも米国では、ペイデイローンと保釈保証金代理店がこの種のビジネスに完璧に適合するだろう（そして他の多くの場所では、それほど人気のないビジネスがあるかもしれない） .) 代理店は適切な削減を行うために喜んで介入します)。

副題

核となる洞察

おそらくあなたはこの記事を見ている学者、またはこれが何を意味するのか疑問に思っている興味のあるユーザーかもしれません。上記の思考実験から、興味深い、そして非常に驚くべき洞察がいくつか得られます (参考文献を参照)。

許可のない電子投票には、信頼できるハードウェアが「必要」です。おそらく最も驚くべき結果はこれでした。ユーザーが独自のキーを生成できるモデル (「パーミッションレス」モデルに必要) では、前述したように、信頼できるハードウェアを使用した低連携の賄賂攻撃が本質的に可能です。唯一の防御策は、より信頼できるハードウェアです。ユーザーが自分の鍵マテリアルにアクセスできる (したがって、強制されたり賄賂を受けられない) ことを知るには、ユーザーが自分の鍵を見たという保証が必要です。信頼できるハードウェアは、信頼できるハードウェアトークンセットアップチャネル (政府が民主主義のために電子投票を使用する方法と同様) を通じて、またはオペレーティングシステムが実行されているものに関係なく、すべての有権者に鍵資料が公開されることを保証する SGX ベースのシステムを通じてこれを行うことができます。これは基本的に、学術的な電子投票スキームが長年使用してきた信頼できるセットアップ/生成の仮定を実装します。明らかに、信頼できるハードウェアが存在する場合、そのような仮定はあらゆる投票に必要であり、この仮定がない場合、投票は低い摩擦で売買、賄賂、強制できることが示されます。これは驚くべきことです。その結果、オンチェーン投票に重大な影響が生じます。
投票と調整のメカニズムには余地がたくさんありますが、それらはほとんど理解されていません。スマートコントラクトの投票やイーサリアムでの投票の変更など、これがどのように行われるかを具体的な例で検討すると、広範な設計上の決定が投票メカニズムのインセンティブ構造を根本的に変えることが明らかになります (これらについては、以下の付録 A で検討します)。これらのメカニズムは非常に複雑であり、そのインセンティブ構造は、スマートコントラクトや信頼できるハードウェアベースの DAO などの他の調整メカニズムを通じて変更できます。これらのメカニズムの特性、特に複数のそのようなメカニズムが相互作用する場合、またはリソースアクターによって積極的に攻撃される場合、ほとんど理解されていません。このようなメカニズムは、短期的にはチェーン上の直接的な意思決定に使用されるべきではありません。
同じ種類の票買収攻撃があらゆる ID システムに適用されます。こうした攻撃は投票だけを目的としたものではありません。ユーザーに毎週支払われるベーシックインカムの権利を与える ID システムを想像してみてください。単純に前払いで現金を払ってあなたの地位を買い取り、それによって翌年の収入の分け前を買うこともできますが、もし私のお金の時間価値があなたのものよりも低いのであればそうすべきです（富の非対称性が通常暗示するように）。これは、アイデンティティに関係するあらゆるシステムに当てはまります。比較的低いレベルの信頼では、ユーザー ID の動作が制限される可能性があり、そのような制約は公開市場で売買される可能性があります。これは、パーミッションレス ID コンポーネントを備えたオンチェーン経済メカニズムの堅牢性に重大かつ根本的な影響を及ぼします。
オンチェーン投票は本質的に金権政治に堕落します。投票と民主主義は基本的に、無記名投票の前提と、物理世界 (肉空間) にのみ存在するアイデンティティインフラストラクチャに依存しています。これらの前提はブロックチェーンには引き継がれず、同じテクノロジーがパーミッションレスモデルでは根本的に壊れてしまいます。ユーザーが独自のキーを生成できる限り (上記を参照)、外部の信頼された ID システムであっても、この問題を解決することはできません。
ハードフォークに基づくガバナンスは、ユーザーにこの金権政治からの唯一の出口を提供します。上記を考慮すると、当然の疑問は、私たちは金権政治の時代に達しているのかということです。答えは「おそらくそうではない」です。ビットコインやイーサリアムなどのブロックチェーンを管理するアドホックで非公式なフォークベースのガバナンスモデルが、実際に強力なユーザー権利保護を提供しているという証拠があります。このモデルでは、エスカレーションはユーザーに積極的な選択肢を提供する必要があり、ルールの変更に同意しない場合はユーザーのグループがオプトアウトできるようにする必要があります。一方、オンチェーン投票は自然なデフォルトを作成し、特に不注意または無関心なユーザーと組み合わせると、強力なアンチフォーク慣性が発生します。
複数のブロックチェーンの相互作用により、すべてのチェーンにわたるインセンティブの互換性が損なわれます。重要かつ重要なことは、私たちが調査した Fishy DAO スタイルの攻撃は、複数の競合するブロックチェーンがそのようなチェーンすべての内部バランスに根本的に影響を与える能力を実証していることです。たとえば、スマートコントラクトシステムがイーサリアム 1 つだけの世界では、内部インセンティブが安定した均衡につながる可能性があります。プレイヤーが 2 人いる場合、弱いプレイヤーがライバルを破滅させるために賄賂攻撃を開始するよう動機付けられるため、バランスが崩れ、変化し、混乱する可能性があります。重要かつ驚くほどオープンな研究領域は、ブロックチェーン間の競争のマクロ経済をモデル化し、この内部均衡がどのように崩れるかを正確に洞察することです。私たちは、現在、ブロックチェーンのガバナンスと相互運用性の複雑さの中に、重大なブラック・スワン・イベントを特定することが潜んでいると直感しています。

結論は

ブロックチェーンにおけるオンチェーン投票のトレンドは、人類の投票と民主主義の長い伝統に触発されています。残念ながら、プライベート/拒否可能な投票の強制、大まかな ID 管理、広範な不正行為の帰属など、現実の世界で利用できる保護機能は、パーミッションレスモデルでは利用できません。オンチェーン投票では、ユーザーが独自に生成した公開鍵を使用する場合、強制防止の保証は提供されません。巧妙に作成された投票スキームは、問題を鎮めるにはほとんど役に立ちません (そして、多くの場合、実際には悪化させます)。オンチェーン投票スキームはインセンティブをさらに複雑にし、トラストレススマートコントラクトやダークDAOスタイルの投票買収、賄賂、追悼スキームを通じていつでも変更できる不安定で混沌としたインセンティブを生み出します。

特にオンチェーン投票はブロックチェーンシステムの意思決定の重要な部分になるため、コミュニティにはオンチェーン投票の結果について非常に懐疑的になることをお勧めします。これまでよりも低い調整コストで新しい形態の虐待を可能にするメカニズムを考案するためのスペースは、投票を支持するものであり、意思決定の立場ではなく信号伝達に使用されるべきであり、多種多様な投票メカニズムがこれらの役割を果たすべきである。このような保護策がなければ、すべてのオンチェーン投票システムは依然として、直接投票や参加購入、さらには投票のトークン化を通じて金権政治に堕落する危険があります。

ありがとう

この記事の執筆期間を通じて有益かつ包括的なフィードバックを提供してくれた Patrick McCorry に感謝したいと思います。また、投票購入とオンチェーン投票システムに関する先駆的な取り組みにも感謝します。

副題

付録 A - オンチェーン投票の差別化メトリクス

私たちは、オンチェーン投票システムにはいくつかの異なる差別化要因があることに気付きました。

投票変更機能: ユーザーが投票を変更できない場合は、暗号的にチェックされたレシートを提供する任意の方法を使用して、通常の投票のチケットを購入できます。スマートコントラクトでは、ユーザーに事前に賄賂を渡して投票を得ることができますが、これは現在変更することはできません。ただし、ほとんどのスキームではユーザーが投票を変更または撤回することができます。つまり、贈収賄には何らかの継続的な時間要素が必要です (または、投票スナップショットが取得された後に行われます)。時間の経過とともに指数関数的に増加するペイアウトは、コインの動きを阻止し、長期的なシグナル伝達を促進する興味深いソリューションを提供します。一方、投票完了時のペイアウトボーナスは、ユーザーが投票時に変更を許可されている場合に、潜在的な投票購入者が使用できるツールです。実行可能な票購入プログラム。
スマートコントラクト/委任された投票: スマートコントラクトに保存されている資金に投票できるのは誰ですか?これは、既存の設計を悩ませていた未解決の問題であり、元の CarbonVote では、関数を呼び出して投票し、その後考えを変えることができるコントラクトは許可されていました。 EIP999 投票により、契約展開担当者は契約を代表して投票することができますが、この決定は投票結果に影響を与えることを目的として広く批判されています。しかし、どちらの設計も理想的とは言えません。実際、直観的には、単一の設計でスマートコントラクトの管理のニュアンスをすべて正確に把握することは難しいように思えます。資金を保持するスマートコントラクトは、単純なマルチ署名アカウントから、独自の収益源と契約間財務を持つアカウントまで多岐にわたる可能性があります。複雑で分散化されています。人間関係の組織化。これらのトークンのどれが投票権を持つのか、そしてそれらの権利を公平に分配する方法は、公正なオンチェーン投票システムを構築するための哲学的要件としては、まったく検討されていないままです。契約作成者に明示的な機能の提供を強制することも十分ではない可能性があります。これは、この機能の必要性が下位互換性なしで (チェーン投票またはフォークを通じて) 将来変更される可能性があるためです。
否認可能性/証明可能性: この記事で検討したスキームはすべて、チケット購入に特に適した機能を備えています。オンチェーンログ、安全な Web インターフェイス、またはセキュリティ保護された Web インターフェイスのいずれかを介して、信頼を最小限に抑えた何らかの形式の暗号証明を有権者に提供します。 a スマート契約の状態。このようなスキームは、スマートコントラクトスタイルのロジックで簡単に投票を検証できるため、贈収賄に対して特に脆弱です。学術文献における一部の従来の電子投票スキームは、強制耐性として知られる特性を提供します。これらのスキームでは、ユーザーは投票に使用したキーを使用して強制後に考えを変えることができ、投票は個々のユーザーに属しません。一般に、あらゆる種類の長期 ID での投票、特にトークンを保持する ID での投票に関連するプライバシーの懸念は深刻です。このような懸念があると、現実世界の本格的な投票システムは完全に失格となり、おそらく、すべての思慮深いオンチェーン投票設計基準も失格になるはずです。

DAO

DAOrayaki

作者文库