康奈爾大學的一組研究人員正在調查可能演變爲去中心化自治組織（DAO）中“黑暗”投票系統的潛在威脅。

該小組由以太坊聯合創始人 Vitalik Buterin 和博士生 Mahimna Kelkar、Kushal Babel、Philip Daian 和 James Austgen 組成。他們的工作圍繞着如何緩解 DAO 成爲主流後對去中心化帶來的迫在眉睫的威脅：通過智能合約賄賂對協議進行統一攻擊。

在 8 月初於哥倫比亞大學舉行的區塊鏈科學會議上，Cointelegraph 採訪了 Mahimna Kelkar，討論了該團隊對完整知識證明 (CK) 的研究——這是他們在 2023 年提出的一種新的加密概念。

知識證明是一種密碼學概念，它允許一方（證明方）說服另一方（驗證方）他們擁有一些祕密信息，比如密鑰，但實際上並不透露這些信息。

這一概念已廣泛應用於加密行業，以提高交易的隱私性，但“微妙的差距”仍然允許出現這樣的情況：這些祕密信息可能由某種外部機制（如可信硬件）持有，而不是直接由證明者持有。根據 Kelkar 的說法：

“當密鑰被保存在可信硬件中時，我們稱之爲密鑰的負擔，你仍然可以完成這個知識證明，而無需真正瞭解底層密鑰。”

賄賂攻擊

凱爾卡爾解釋說，標準知識證明定義方式的這種限制可能會使投票協議容易受到賄賂攻擊。

缺乏中央權威是 DAO 治理背後的一個關鍵概念。DAO 的成員通常是代幣持有者，對規則和決策擁有投票權。然而，在賄賂攻擊中，惡意行爲者可以通過智能合約向代幣持有者提供財務激勵，賄賂參與者投票支持特定提案或結果。

“[...] 投票平臺可能容易受到賄賂攻擊 [...]，用戶可以在暗網市場將選票賣給賄賂者，”Kelkar 解釋道。“我們的工作是試圖建立一種個人的、真實的數據所有權。”

完整知識的證明

攻擊者可以使用可信執行環境 (TEE) 來確保接受賄賂的代幣持有者不能自由投票。在這種環境中，攻擊者可以控制密鑰的使用時間和方式。

研究人員確定了兩種強制執行完整知識證明的方法。一種方法是使用 TEE 來證明投票者擁有密鑰並可以使用它。代幣持有者還可以隨時刪除此環境的密鑰以自由使用它。

這樣，代幣持有者仍然完全控制着他們的密鑰。即使攻擊者想鎖定密鑰來控制投票者，密鑰也已經由投票系統自己的 TEE 管理。

第二種方法是使用專用集成電路 (ASICS) 來限制密鑰，ASICS 通常是用於比特幣挖礦的機器。通過將密鑰發送到缺乏 TEE 環境的 ASIC，用戶仍然可以訪問密鑰，確保他們完全控制密鑰，同時仍可證明密鑰由 ASIC 使用並阻止其在 TEE 中使用。

Kelkar 表示，這項研究仍處於原型階段。“我們表明，這對 DAO 來說是一個現實威脅，我們通過展示一個實際可部署的黑暗 DAO 來證明這一點，它可以促進現有 DAO 中的投票賄賂。這不是明天就可以部署的東西，但它實際上可以作爲今天的研究原型實例化，”Kelkar 補充道。

雜誌：DeFi 和以太坊是“新敘事”：Michaël van de Poppe，X Hall of Flame