- Vitalik Buterin đang nghiên cứu các phương pháp để giảm thiểu nguy cơ bị hối lộ.
- Một trong những giải pháp được đề xuất là Proof of Complete Knowledge (PoCK), nhằm ngăn chặn các cuộc tấn công hối lộ bằng cách đảm bảo rằng người dùng có quyền kiểm soát thực sự đối với các khóa bỏ phiếu của mình.
Một nhóm các nhà nghiên cứu từ Đại học Cornell đang điều tra các mối đe dọa tiềm tàng có thể dẫn đến các hệ thống bỏ phiếu “tối tăm” trong các tổ chức tự trị phi tập trung (DAO).
Nhóm nghiên cứu này bao gồm Vitalik Buterin, đồng sáng lập Ethereum, cùng các sinh viên tiến sĩ Mahimna Kelkar, Kushal Babel, Philip Daian và James Austgen.
Họ đang tập trung vào việc giảm thiểu nguy cơ hối lộ hợp đồng thông minh, một mối đe dọa ngày càng nghiêm trọng khi các DAO trở nên phổ biến.
Tại Hội nghị Khoa học Blockchain tổ chức tại Đại học Columbia vào đầu tháng 8, Cointelegraph đã trò chuyện với Mahimna Kelkar về nghiên cứu của nhóm liên quan đến bằng chứng về kiến thức hoàn chỉnh (CK) — một khái niệm mật mã mới được nhóm giới thiệu vào năm 2023.
Proof of knowledge là một khái niệm mật mã cho phép một bên (người chứng minh) thuyết phục bên khác (người xác minh) rằng họ sở hữu một thông tin bí mật, như một khóa bí mật, mà không cần tiết lộ thông tin đó. Khái niệm này đã được ứng dụng rộng rãi trong ngành công nghiệp crypto để cải thiện quyền riêng tư trong các giao dịch. Tuy nhiên, vẫn tồn tại một “khoảng trống tinh vi” cho phép thông tin bí mật được giữ bởi một cơ chế bên ngoài, như phần cứng tin cậy, thay vì do chính người chứng minh nắm giữ. Theo Kelkar:
“Khi khóa bí mật được giữ trong phần cứng tin cậy, trong cái mà chúng tôi gọi là sự ràng buộc của khóa bí mật, bạn vẫn có thể hoàn thành bằng chứng về kiến thức này mà không thực sự nắm giữ khóa bí mật cơ bản.”
Các cuộc tấn công hối lộ
Các hạn chế trong định nghĩa của các proofs of knowledge tiêu chuẩn có thể khiến các giao thức bỏ phiếu dễ bị tấn công hối lộ, theo Kelkar. Trong một DAO, thiếu sự quản lý trung tâm là một khái niệm chính. Các thành viên của DAO thường là những người nắm giữ token với quyền bỏ phiếu về các quy tắc và quyết định. Tuy nhiên, trong một cuộc tấn công hối lộ, một tác nhân độc hại có thể cung cấp các ưu đãi tài chính cho những người nắm giữ token thông qua các hợp đồng thông minh, để hối lộ họ bỏ phiếu cho một đề xuất hoặc kết quả cụ thể.
“[…] Một nền tảng bỏ phiếu có thể dễ bị tấn công hối lộ […], nơi người dùng có thể bán phiếu bầu của họ cho những kẻ hối lộ trong một thị trường tối tăm,” Kelkar giải thích. “Những gì công việc của chúng tôi cố gắng làm là thiết lập một dạng quyền sở hữu dữ liệu thuộc về một cá nhân thực sự.”
Proof of complete knowledge (PoCK)
Một kẻ tấn công có thể lợi dụng môi trường thực thi tin cậy (TEE) để đảm bảo rằng các chủ sở hữu token đã nhận hối lộ không thể bỏ phiếu tự do. Trong môi trường này, kẻ tấn công kiểm soát thời điểm và cách thức các khóa có thể được sử dụng.
Các nhà nghiên cứu đã xác định hai phương pháp để triển khai proof of complete knowledge. Phương pháp đầu tiên bao gồm việc sử dụng TEE để chứng minh rằng một cử tri sở hữu một khóa và có thể sử dụng nó. Chủ sở hữu token cũng có thể loại bỏ khóa khỏi môi trường này và sử dụng tự do bất cứ khi nào họ muốn.
Với phương pháp này, các chủ sở hữu token vẫn giữ quyền kiểm soát hoàn toàn đối với khóa của họ. Ngay cả khi một kẻ tấn công muốn khóa lại để kiểm soát cử tri, khóa vẫn được quản lý bởi TEE của hệ thống bỏ phiếu.
Phương pháp thứ hai liên quan đến việc sử dụng các mạch tích hợp ứng dụng (ASIC), thường là thiết bị được dùng trong khai thác Bitcoin. Bằng cách gửi một khóa tới ASIC — vốn không có môi trường TEE — khóa vẫn có thể được truy cập bởi người dùng, đảm bảo rằng họ có quyền kiểm soát hoàn toàn đối với khóa. Đồng thời, phương pháp này chứng minh rằng khóa đã được sử dụng bởi ASIC và ngăn không cho nó được sử dụng trong TEE.
Theo Kelkar, nghiên cứu hiện đang ở giai đoạn nguyên mẫu. “Chúng tôi đã chứng minh rằng đây là một mối đe dọa thực tế đối với các DAO, và điều này được thể hiện qua việc giới thiệu một DAO tối tăm có thể triển khai thực tế, có khả năng tạo điều kiện cho việc mua phiếu bầu trong các DAO hiện tại. Đây không phải là một giải pháp có thể triển khai ngay lập tức, nhưng nó gần như có thể được triển khai như một nguyên mẫu nghiên cứu hiện tại,” Kelkar cho biết thêm.