Đối phó mối nguy từ Dark DAO: Vitalik Buterin và biện pháp chống hối lộ

Nhóm nghiên cứu thuộc Đại học Cornell đang điều tra các nguy cơ tiềm ẩn có thể dẫn đến sự hình thành các hệ thống bỏ phiếu "Dark" trong các tổ chức tự trị phi tập trung (DAO).

Nhóm này có sự tham gia của Vitalik Buterin, đồng sáng lập Ethereum, cùng với Mahimna Kelkar, Kushal Babel, Philip Daian và James Austgen, các nghiên cứu sinh tiến sĩ. Họ đang tìm cách giảm bớt những đe dọa ngày càng gia tăng đối với tính phi tập trung của DAO khi bị tấn công bởi những chiến lược thống nhất và hợp đồng thông minh hối lộ.

Tại Hội nghị Khoa học Blockchain diễn ra tại Đại học Columbia vào đầu tháng 8, Mahimna Kelkar đã có cuộc phỏng vấn với Cointelegraph về nghiên cứu liên quan đến khái niệm mật mã học mới mang tên chứng minh kiến thức hoàn chỉnh (CK), được công bố vào năm 2023.

Chứng minh kiến thức cho phép bên chứng minh thuyết phục bên kiểm chứng rằng họ nắm một thông tin bí mật, chẳng hạn như khóa mật mã, mà không phải tiết lộ thông tin đó.

Dù đã rất phổ biến trong việc bảo đảm an toàn các giao dịch trong ngành công nghiệp crypto, khái niệm này vẫn tồn tại "lỗ hổng tinh vi" khi thông tin bí mật có thể được lưu trữ bởi các cơ chế bên ngoài, như phần cứng tin cậy. Kelkar giải thích:

"Khi khóa bí mật được lưu trữ trong phần cứng tin cậy, điều đó tạo ra một cái gọi là gánh nặng của khóa bí mật, và bạn vẫn có thể chứng minh kiến thức mà không cần trực tiếp nắm giữ kiến thức về khóa bí mật đó."

Tấn công đút lót qua bỏ phiếu

Sự thiếu hụt trong định nghĩa về bằng chứng tiêu chuẩn có thể làm cho các giao thức bỏ phiếu trở nên dễ gặp phải tấn công từ đút lót, như Kelkar đã lý giải.

Một trong những triết lý của DAO là quản lý không cần có sự can thiệp từ một đơn vị trung ương. Người tham gia DAO, đa phần là chủ token, có quyền bỏ phiếu về các quy định và quyết định. Tuy nhiên, trong trường hợp tấn công bằng đút lót, kẻ xấu có thể dùng hợp đồng thông minh để đưa ra các phần thưởng tài chính, dẫn dắt những người nắm giữ token để bỏ phiếu theo ý mình.

Kelkar giải thích: “Hệ thống bỏ phiếu có thể trở thành nạn nhân của các cuộc tấn công này, khi người dùng có thể bán phiếu bầu của mình cho kẻ đút lót thông qua thị trường đen. Nghiên cứu của chúng tôi hướng đến việc tạo lập quyền sở hữu dữ liệu cá nhân thực sự."

Kẻ tấn công có thể áp dụng môi trường thực thi tin cậy (TEE) để ngăn không cho người đã nhận hối lộ tự do biến đổi phiếu bầu của mình. Trường hợp này, kẻ tấn công có quyền kiểm soát thời điểm và cách thức dùng khóa.

Các nhà nghiên cứu đã phát hiện ra hai cách để thực hiện bằng chứng về kiến thức hoàn thiện. Một trong số đó là dùng TEE để chứng minh cử tri đang có và có thể tận dụng một khóa bí mật. Người sở hữu token cũng có thể rút khóa này khỏi môi trường để dùng bất cứ khi nào họ mong muốn.

Bằng phương pháp này, người sở hữu token vẫn giữ quyền kiểm soát hoàn toàn khóa của họ. Ngay cả khi kẻ tấn công mong muốn khóa để kiểm soát cử tri, khóa vẫn nằm trong sự quản lý của hệ thống TEE.

Cách tiếp cận thứ hai là dùng các mạch ASIC, thường thấy trong khai thác Bitcoin. Khi chuyển khóa vào ASIC, không hề có TEE, nhưng người dùng có thể vẫn truy cập khóa và quản lý hoàn toàn, chứng minh khóa đã được dùng qua ASIC, và ngăn chặn sự dụng nó trong TEE.

Theo Kelkar, nghiên cứu vẫn đang trong giai đoạn nguyên mẫu. “Chúng tôi minh chứng đây là một mối đe dọa thực sự đối với DAO thông qua việc triển khai DAO tối, có khả năng thực hiện thao tác mua phiếu trong các DAO hiện tại. Dù chưa thể triển khai ngay được, nhưng có thể thử nghiệm ở định dạng nguyên mẫu,” Kelkar cho biết thêm.