黑暗 DAOs：维塔利克-布特林探索减轻贿赂威胁的方法

康奈尔大学的一组研究人员正在调查去中心化自治组织（DAO）中可能变成 "黑暗 "投票系统的潜在威胁。

该小组由以太坊联合创始人维塔利克-布特林（Vitalik Buterin）和博士生马希姆纳-凯尔卡尔（Mahimna Kelkar）、库沙尔-巴贝尔（Kushal Babel）、菲利普-戴安（Philip Daian）和詹姆斯-奥斯特根（James Austgen）组成。他们的工作围绕着如何在 DAO 成为主流时减轻去中心化面临的迫在眉睫的威胁：通过智能合约贿赂对协议进行统一攻击。

8 月初，在哥伦比亚大学举行的区块链科学大会（Science of Blockchain Conference）上，Cointelegraph 采访了马希姆纳-凯尔卡尔（Mahimna Kelkar），介绍了该小组对完全知识证明（CK）的研究--这是他们在 2023 年提出的一个新的加密概念。

知识证明是一种密码学概念，它允许一方（证明者）说服另一方（验证者），使其相信自己拥有某些秘密信息（如秘钥），而无需实际披露该信息。

这一概念已广泛应用于加密行业，以提高交易的私密性，但仍存在一个 "微妙的漏洞"，即这些秘密信息可能由某些外部机制（如可信硬件）掌握，而不是由证明者直接掌握。凯尔卡尔认为

"当秘钥被保存在可信硬件中时，也就是我们所说的秘钥加密，你仍然可以在不知道底层秘钥的情况下完成知识证明。"

贿赂攻击

凯尔卡尔解释说，标准知识证明定义方式的这种局限性可能会使投票协议容易受到贿赂攻击。

缺乏中央机构是 DAO 治理背后的一个关键概念。DAO 的成员通常是代币持有者，对规则和决策拥有投票权。然而，在贿赂攻击中，恶意行为者可以通过智能合约向代币持有者提供经济奖励，贿赂参与者投票支持特定提案或结果。

"[......]投票平台可能容易受到贿赂攻击[......]，在这种情况下，用户可以在暗市场上向贿赂者出售选票，"凯尔卡尔解释说。"我们的工作试图做的是建立一种个人的、真实的数据所有权。

完全知情证明

攻击者可以使用可信执行环境（TEE）来确保接受贿赂的代币持有者无法自由投票。在这种环境下，攻击者可以控制密钥的使用时间和方式。

研究人员确定了两种执行完全知情证明的方法。一种是使用 TEE 来证明投票者拥有密钥并能使用它。令牌持有者也可以移除该环境的密钥，随时自由使用。

这样，令牌持有者仍然可以完全控制自己的密钥。即使攻击者想锁定密钥以控制投票人，密钥也已经由投票系统自己的 TEE 管理。

第二种方法是使用特定应用集成电路（ASICS）限制密钥，ASICS 通常是比特币挖矿使用的机器。通过将密钥发送到专用集成电路（没有 TEE 环境），用户仍然可以访问密钥，确保他们可以完全控制密钥，同时还能证明密钥是由专用集成电路使用的，并防止在 TEE 中使用密钥。

Kelkar 表示，这项研究仍处于原型阶段。"我们展示了这是对 DAO 的现实威胁，并通过展示可实际部署的黑暗 DAO 来证明这一点，它可以促进现有 DAO 中的投票购买。凯尔卡尔补充说："这不是明天就能部署的东西，但它就像今天的研究原型一样，实际上是可以实例化的。