Des chercheurs de l’Université Cornell étudient les menaces potentielles qui pourraient se transformer en systèmes de vote « obscurs » dans les organisations autonomes décentralisées (DAO). En collaboration avec Vitalik, leur travail consiste à atténuer une menace imminente pour la décentralisation à mesure que les DAO se généralisent.
Les DAO permettent aux communautés de prendre des décisions sans autorité centrale. Cependant, à mesure qu'elles gagnent en popularité, elles sont également confrontées à de nouvelles menaces qui pourraient mettre à mal leur nature décentralisée. Parmi celles-ci figure le risque d'attaques d'achat de votes, où des acteurs malveillants pourraient manipuler les votes des DAO par le biais de pots-de-vin.
Buterin combat l'achat de votes avec la preuve de connaissance complète (PoCK)
Les DAO fonctionnent selon un système dans lequel les détenteurs de jetons ont un droit de vote sur les décisions. Bien que démocratique en théorie, ce mécanisme est susceptible d'être manipulé. Des acteurs malveillants peuvent offrir des incitations financières aux détenteurs de jetons, en les soudoyant pour qu'ils votent pour des propositions spécifiques. C'est ce qu'on appelle une attaque d'achat de votes.
Les DAO n'ayant pas d'organisme de contrôle, il est assez compliqué de détecter et d'arrêter les attaques. De plus, l'anonymat fourni par la technologie peut aider les attaquants à éviter de se faire prendre.
Pour résoudre ce problème, Buterin et ses collègues ont introduit un concept connu sous le nom de preuve de connaissance complète (PoCK). Ce concept garantit qu'un électeur possède réellement une clé et a la capacité de l'utiliser sans restriction.
De plus, cette approche peut aider à empêcher les attaquants de manipuler les votes à l’aide d’environnements d’exécution de confiance (TEE) ou de circuits intégrés spécifiques à l’application (ASIC).
Source : Initiative pour les cryptomonnaies et les contrats (IC3)
L’utilisation de PoCK permet de garantir et de vérifier que les électeurs ont un contrôle total sur leurs clés, ce qui rend la manipulation des résultats de vote beaucoup plus difficile pour les attaquants. Cette approche renforce l’intégrité du processus de gouvernance de la DAO.
Les pirates informatiques exploitent les failles des DAO
La récente violation de Compound DAO nous rappelle l’importance de mettre en œuvre des protocoles de sécurité solides. Un groupe appelé les Golden Boys a profité de l’engagement des électeurs et de leurs motivations contradictoires pour faire passer une proposition qui les favorisait financièrement. Cet événement montre à quel point les DAO sont susceptibles d’être influencées et contrôlées.
Une étude menée par des chercheurs de l’Université Complutense de Madrid a révélé que la moitié des DAO comptent moins de dix électeurs actifs. De plus, entre 1 000 et 10 000 membres des DAO participent au processus de gouvernance pour moins de 30 % des propositions présentées, tandis que moins de 1 % des membres contrôlent plus de 50 % du pouvoir de vote.
L’attaque contre la DAO de Compound pourrait donc être une conséquence inévitable de la faible participation électorale associée à l’architecture des organisations autonomes décentralisées. Ces forces créent des opportunités pour les entités aux poches profondes et aux motivations mal alignées de s’emparer d’un processus de gouvernance intrinsèquement chargé.
Même si l’enquête sur PoCK n’en est qu’à ses débuts, elle montre que des progrès ont été réalisés en matière de protection des DAO. La lutte contre des problèmes tels que la manipulation des votes sera essentielle à la prospérité des DAO.