La amenaza de las DAO oscuras: la vulnerabilidad electoral podría perjudicar las elecciones Cripto

Es posible que haya cárteles maliciosos acechando en su cadena de bloques.

Al menos, ese es el último hallazgo de los investigadores de la Universidad de Cornell Philip Daian, Tyler Kell, Ian Miers y Ari Juels, quienes llegaron a la conclusión en unartículo publicadoLa semana pasada, sobre un plan de manipulación de votos que denominó "oscuro".organización autónoma descentralizada, o "DAO oscuro".

Al describir la DAO oscura como una entidad configurada mediante contratos inteligentes, sería indetectable y compraría votos de los usuarios para saturar los sistemas de gobernanza, emitir señales falsas o manipular el mercado. Según el documento, un ataque de este tipo tendría consecuencias de gran alcance, ya que es aplicable a cualquier proyecto que utilice una forma de gobernanza en la que los propietarios de las monedas tengan voz y voto en las decisiones.

Lo que refuerza este hallazgo es que esta distinción se aplica a una cantidad cada vez mayor de criptomonedas, incluidas aquellas con valoraciones de miles de millones.

Proyectos como EOS, Tezos, TRON, Decred y Polkadot, por ejemplo, han implementado diversas formas de votación en blockchain en un esfuerzo por formalizar la toma de decisiones en su software.

Varios de estos sistemas se basan en una Tecnología llamada prueba de participación delegada, que requiere la selección de un número determinado de nodos para validar las transacciones en la red. Por lo tanto, los poseedores de tokens pueden apostar sus monedas (básicamente, publicarlas en la blockchain para demostrar que las controlan) para que sus votos rindan más.

Otros buscan superar los obstáculos de gobernanza que enfrentan las principales cadenas de bloques al permitir que las partes interesadas voten sobre los cambios técnicos, o lo que Tezos llama un "libro contable Cripto automodificable".

Y aunque algunos de estos proyectos ya se han...toparse con obstáculosEn su experimentación, según los investigadores de Cornell, un DAO oscuro podría causar estragos de una manera que supere lo que ha sucedido en el pasado.

"Toda la iniciativa de descentralización se basa en ideales democráticos, por lo que la votación parece un mecanismo de gobernanza natural", declaró Juels a CoinDesk. "Desafortunadamente, es difícil acertar y, hasta que ocurre una catástrofe, la gente tiende a asumir que los problemas teóricos no se materializarán".

El coautor señaló el hackeo de The DAO en 2016, donde un usuario malicioso drenó 3,6 millones de ether del primer DAO creado en Ethereum, y agregó:

En un mundo posterior a 2016, debería ser clarísimo que los sistemas electorales pueden ser y serán subvertidos.

Precedente pasado

Según los investigadores, este dilema particular es otro caso en el que los empresarios en el espacio blockchain parecen estar haciendo la vista gorda ante los análisis pasados.

Fundador de Ethereum Vitalik Buterin y el investigador de EthereumVlad Zamfir, por ejemplo, han criticado los mecanismos de votación en cadena como "plutocracias", mediante las cuales los ricos (aquellos que poseen más monedas) gobiernan.

El documento afirma:

Hoy en día, el sector blockchain, con resultados predecibles, continúa su tradición de ignorar décadas de estudio y, en su lugar, opta por implementar la forma de votación más ingenua posible.

Según el documento, una DAO oscura funciona básicamente dominando la participación de los votantes, lo que resulta especialmente desconcertante ya que muchas de estas votaciones han sufrido una baja participación.

Una de las variantes de ataque que describe el artículo es el impacto del hardware de confianza. Dado que este hardware permite que la computación se realice en un enclave o entorno privado durante el cual aún se envían pruebas, los autores argumentan que esto permitiría a actores maliciosos participar en los ataques sin que se revele su identidad.

Esto también significa que los votos manipulados no pudieron ser detectados.

"Potencialmente, nadie, ni siquiera el creador de la DAO, puede determinar el número de participantes de la DAO, la cantidad total de dinero comprometida para el ataque o la lógica precisa del ataque", afirma el documento.

Un cártel de este tipo podría inundar una Criptomonedas, "recolectando monedas de manera encubierta hasta que alcance un umbral oculto y luego diciéndoles a sus miembros que vendan la moneda en corto", continúa.

Más ataques

Pero eso no quiere decir que sistemas diferentes a los empleados por las cadenas de bloques de gobernanza en cadena sean particularmente seguros.

Por ejemplo, los investigadores también detallan un ataque de soborno que podría perpetrarse contra la herramienta de señalización de Ethereum, llamada Carbon Vote. (Se publicó una prueba de concepto del ataque coincidiendo con la publicación del artículo).

En este ejemplo, un contrato inteligente simplemente ofrece comprar votos y puede hacerlo de forma privada o pública.

La publicación del blog advierte que a medida que las cadenas de bloques comienzan a comunicarse entre sí (lo que se conoce como interoperabilidad), es probable que estos ataques basados en incentivos entre cadenas de bloques en competencia se vuelvan más frecuentes.

"En un mundo con un único sistema de contratos inteligentes, Ethereum, los incentivos internos pueden conducir a equilibrios estables", afirma el documento, y añade:

"Con dos jugadores, y el desvalido incentivado a lanzar un ataque de soborno para destruir a sus competidores, dichos equilibrios pueden verse alterados, modificados y destruidos".

Si bien Jake Yocom-Piatt de Decred reconoce que este tipo de ataques pueden ser muy problemáticos en el futuro, el problema ONE a ambos sistemas que implementan mecanismos de votación dentro y fuera de la cadena.

Le dijo a CoinDesk: "Es difícil defenderse de la compra de votos, y actualmente es un tema de investigación abierto cómo defenderse mejor de ella".

Mitigando la amenaza

En declaraciones a CoinDesk, representantes de varios proyectos de gobernanza en cadena ( Decred, Polkadot y Tezos ) dijeron que una estrategia de defensa crucial es aumentar el costo del ataque.

Arthur Breitman, cofundador del proyecto Tezos , afirmó: "En definitiva, el único mecanismo de protección viable es garantizar que las decisiones involucren suficiente participación para garantizar la rendición de cuentas a la red".

Breitman también dijo que la investigación sobre la futarquía, en la que las decisiones las toman los Mercados futuros, podría ayudar a la gobernanza en cadena en el futuro.

Pero según el documento, la única defensa contra tales ataques es un hardware más confiable: "para saber que un usuario tiene acceso a su propio material clave (y por lo tanto no puede ser coaccionado o sobornado), se requiere alguna garantía de que el usuario ha visto su clave".

Aun así, Juels señaló que la dependencia de hardware confiable resultará un anatema para gran parte de la comunidad de Criptomonedas . Por ello, sugirió la posibilidad de implementar medidas de mitigación social o disuasión comunitaria contra la subversión electoral.

Sin embargo, él y Daian advirtieron sobre la complejidad del asunto.

"Las mitigaciones para tales amenazas son principalmente sociales, en muchos casos imperfectas y en muchos casos probablemente lo suficientemente complejas como para introducir vulnerabilidades o ataques adicionales", dijo Daian a CoinDesk.

Según Daian, este tipo de descuidos son habituales dentro de la industria:

En general, el espacio blockchain es extremadamente miope: muchas de las ideas que se plantean actualmente no son sostenibles a largo plazo y solo funcionan porque los sistemas que se protegen son pequeños o poco interesantes para adversarios suficientemente motivados.

Sin embargo, los investigadores de Cornell planean publicar pronto otro artículo para discutir otros esquemas disponibles que podrían eliminar, o al menos disminuir, la posibilidad de que se perpetren estos ataques.

Daian dijo: "Advierto firmemente contra la confianza directa en cualquier sistema de votación vulnerable a la compra de votos o a la coerción en la toma de decisiones".

No le tengo miedo a la oscuridad

Aun así, aunque el artículo resulta inquietante, otros investigadores no parecen particularmente afectados por él.

Griff Green, de Giveth, una organización benéfica basada en Ethereum, dijo que se ha realizado poca experimentación con organizaciones autónomas basadas en contratos inteligentes desde el hackeo de The DAO en 2016. Como tal, la probabilidad de que un grupo haya creado un DAO oscuro es escasa, según él.

Las DAO están diseñadas para descentralizar la toma de decisiones entre las partes interesadas sobre recursos compartidos. Si ese recurso compartido está 'eludiendo una elección en cadena', claro que podría lograrse ONE día, pero aún no tenemos DAO en funcionamiento», declaró a CoinDesk.

"No hay ninguna base para sacar conclusiones reales sobre cómo las DAO pueden utilizarse para eludir a otras DAO en sus propias elecciones", continuó, desestimando el artículo como "masturbación mental".

Luke Duncan de Aragon, una aplicación de Ethereum para crear DAO, parecía igualmente tranquilo.

Si bien admite que la connotación en torno a las DAO oscuras es negativa, la industria está interesada en proteger la Privacidad de las organizaciones o personas que utilizan la Tecnología, por lo que, visto de otra manera, la investigación podría apuntar a aspectos positivos.

Añadió:

"Cualquiera de estas poderosas tecnologías puede utilizarse para aplicaciones útiles y para resistir la censura, y luego las personas pueden usar las mismas técnicas para cometer actos aún más nefastos".

Agua oscuraimagen vía Shutterstock