TLDR: Yönetişim riskleri çok yönlüdür ve sosyal, ekonomik veya teknolojik olabilir, hatta bazen üçünün kesişimi olabilir. Bu risklerin nasıl azaltılacağını anlamak, gelecekteki gelişimimiz için kritik öneme sahip olan geleceğin yönetişim sistemini oluşturmak için kritik öneme sahiptir. Dahası, her kararın oylama ile belirlenmesi gerekmez.
Merkezi olmayan sözleşmelerin belirli dayanıklılık özellikleri vardır. Bu sözleşmelerde yapılacak herhangi bir değişikliğin bir yönetişim süreci aracılığıyla kararlaştırılması gerekir. Yönetişim süreci doğası gereği yapaydır, bu nedenle sözleşmenin kendisinden çok daha karmaşıktır.
Bu makalenin amacı, idare sürecinin olası risklerini araştırmak ve idare riskleri hakkında düşünmek için temel bir çerçeve sağlamaktır. Genellikle, etkili bir yönetişim sürecinin amacı, projenin veya anlaşmanın orijinal amacından sapan kararların alınmasını önlemektir.
Burada üç ana risk türünü tanıtacağız: teknik risk, sosyal risk ve ekonomik risk. Buna ek olarak, yönetişim sürecinden öğrenilen bazı önemli dersleri paylaşacağız.
Yönetişim basitleştirme süreci
Yönetişim davranışlarını en aza indiren idare sistemleri daha sağlam ve savunulabilirdir. Ne kadar az değişiklik, o kadar iyi. Bununla birlikte, anlaşmanın yükseltilmesi, fonların akıllıca harcanması ve kalkınma yönünün açık olması gerekiyor.
Geniş yönetişim sistemi ayrıca, tartışmasız kritik bir karar olan ancak anlaşmanın kendisini temelden etkilemeyen hibelere bağlılık miktarı gibi protokole özgü bir dizi konuyu da içerir. Protokole özgü ve sosyal düzeydeki kararlar arasında net bir ayrım yapan bir sistem, yönetişim davranışının genel kapsamını etkili bir şekilde azaltabilir.
*Özerk kuruluşlar özerk olacak şekilde tasarlanmıştır ve yönetişim davranışlarını azaltmak, manuel işlemlere olan bağımlılıklarını azaltır. *
Söylediğimiz gibi, protokollerin, protokolü doğrudan etkileyenlerin aksine, sosyal veya insan tarafından koordine edilmiş yönetişim davranışlarını içeren farklı yönetişim eylemleri gerçekleştirmesine yardımcı olmak için bir dizi araç geliştirilmektedir. Örneğin, kullanıcıların işlemleri göndermesine ve iyimser doğrulama yoluyla onaylamasına olanak tanıyan Zodyak Modülünün ortaya çıkışı. İşlemler, zincir üzerindeki her işlem için oylanmak zorunda kalmadan gönderilebilir ve oylama yalnızca işlemin niteliği hakkında bir anlaşmazlık varsa gereklidir.
Teknik Güvenlik Açıkları
Akıllı sözleşmelerdeki güvenlik açıkları birçok protokolü defalarca rahatsız etmiştir ve yönetişim protokolleri de bir istisna değildir. Birçok yönetişim sözleşmesi, amacı önceden belirlenmiş bir dizi talimatı yerine getirmek olan zincir üstü bir oylama mekanizmasına sahiptir. Ancak kod zincir üzerinde var olduğu sürece, teknik güvenlik açıklarının saldırıya uğrama riski vardır.
Dikkate değer bir örnek, Compound'un yönetişim sistemine yapılan 22 milyon dolarlık güvenlik ihlali saldırısıdır. Compound sisteminde likidite madenciliği ödüllerinin dağıtılmasından sorumlu sözleşme kusurludur.
Sorunu değiştirmeye yetkili tek sözleşme Vali sözleşmesidir, bu da hatalı sözleşmeyi düzeltmek için değişikliklerin yalnızca bir yönetim oylaması yoluyla yapılabileceği anlamına gelir.
Yönetişim sürecinin yavaşlığı aslında güvenlik açıklarının hızlı bir şekilde yamalanmasını ve fon kaybının durdurulmasını engelliyor. Neyse ki, Compound ekibi olabildiğince duyarlıydı ve yönetişim sistemi olabildiğince hızlı tepki verdi.
Öte yandan, sözleşme, güvenlik açıkları da dahil olmak üzere tüm işlemleri kesinlikle tasarlandığı gibi gerçekleştirir. Sorun şu ki, sözleşme aslında insanların çalışmasını beklediğinden farklı bir şekilde programlanmış. Pek çok insan bu argümanı satın almıyor ve Robert Leshner onlardan biri.
*"Şüphesiz, bu Compound protokolünün tarihindeki en kötü gündü. " —— Robert Leshner。 *
Her birimizin neyin doğru ya da yanlış olduğunu düşündüğünden bağımsız olarak, değişmeyen bir şey, insanların kodun yapabileceğini düşündükleri ile amaca verilen şey arasında her zaman bir fark olacağıdır. Şok edici gerçek şu ki, çoğu zaman bunu gerçekleşene kadar fark etmiyoruz.
Sosyal boşluklar
Teknik boyutu bir yana, yönetişimin sosyal boyutu da zorlayıcıdır. İnsan davranışı ve motivasyonu koddan çok daha karmaşıktır.
Bu bölüm ayrıntılı bir makale yazmak için yeterlidir, ancak her ayrıntıya girmek yerine, bu makale sosyal riskteki güncel eğilimler olduğunu düşündüğümüz beş temel noktayı seçmektedir.
Zincir içi ve zincir dışı oylama: Yukarıda belirtildiği gibi, protokol yönetişim eylemleri temel ilkelere indirgenmelidir. Zincir içi oylama yalnızca zincir içi sözleşmelerle ilgili kararları etkilemek için kullanılırken, zincir dışı oylama, sosyal fikir birliği yoluyla üzerinde anlaşmaya varılabilecek konular içindir. Yumuşak fikir birliği ile kolayca çözülebilecek sorunlar için çok sayıda zincir içi oylama görmek benim için yaygındır, bu da kritik oylama ile düzenli operasyonel projeler arasındaki ayrımın önemini kesinlikle azaltır.
Oylama mekanizmaları ve süreçleri: Tüm oylama süreçleri bu modeli takip etmese de, insanların belirli oylama yöntemlerinden nasıl bıktığına dair yeterli örnek var. Bazen, zincir dışı "sıcaklık kontrolleri", çok imzalı bir mekanizma tarafından gerçekleştirilen resmi bir zincir içi oylamayı tetikler. Bu uygulama, zincir içi oylamadan yürütmeye kadar olan adımları karmaşıklaştırdığı için nadiren mantıklıdır. Ya zincir üstü kısımdan vazgeçin ve yumuşak fikir birliğine dayalı yönetişim kararları almak için güvenilir bir çoklu imza cüzdanına sahip olun ya da zincir üstü oylamanın doğrudan gerekli eylemleri tetiklemesine izin verin.
Yönetişim sürecindeki en değerli kaynak, nitelikli seçmenlerin dikkatidir: sık sık oy kullanmak, seçmenlerin ilgisizliğine ve uzun vadede katılımın azalmasına neden olabilir. Her anketin anlamlı, hedefli ve kapsamlı bir anketin kalite standartlarını karşılamasını sağlamak, iyi bir oy katılımı sağlayacaktır.
Karar yeter sayısı ve gerekli katılım: Önceki makalelerde de belirttiğimiz gibi, seçmen katılımı ile örgütsel büyüklük arasında bir denge olması gerekir. Benzer şekilde, ademi merkeziyetçilik derecesi ile kurucu ekibin azınlık bir üyesinin bir oylamanın sonucunu kolayca tersine çevirme yeteneği arasında bir değiş tokuş vardır. Tokenler yeterince geniş bir alana dağılmamışsa, ekip üyeleri oylama için nisap gereksinimini kolayca karşılayabilir.
Seçmen uzmanlığı: Yönetişim riskindeki en ciddi zorluklardan biri, seçmenlerin bilinçli kararlar verecek uzmanlığa sahip olup olmadığıdır. Çoğu durumda, kullanıcılar airdrop'lar veya likidite madenciliği projelerine katılım yoluyla düşük bir maliyetle yönetişim tokenleri kazanır ve oy haklarına sahiptir. Bu seçmenler neye oy verdikleri hakkında yeterince bilgi sahibi değiller ve sonuç olarak ya çekimser kalıyorlar ya da çoğunluk ile oy kullanıyorlar, bu da gerçekten merkezi olmayan ve temsili bir oylama ile sonuçlanmıyor.
Ekonomik boşluklar
Ekonomik saldırı, bir saldırganın oylama sürecini manipüle etmek için sermayenin gücünü kullanma eylemidir. Tipik olarak yönetişim, satın alınabilir yönetişim tokenleri aracılığıyla uygulanır, bu da oy haklarının çoğunluğunu (örneğin, %51) elde etmek için bir bedel ödemek anlamına gelir.
Bazı teorik verilere bakarsak, böyle bir saldırıyı gerçekleştirmek için saldırganın başka herhangi bir protokolün hazinesinde oylama gücü değerinin en az %50'sine sahip olması gerekir. Bazı protokollerin diğerlerinden çok daha büyük kasalara sahip olduğu göz önüne alındığında, bu tür bir riskin gerçekleşmesi imkansız değildir.
Neyse ki, birçok protokolde çok sayıda kilitli token ve yetersiz dolaşım vardır, bu da bu tür saldırıları olası kılmaz. Bununla birlikte, zaman geçtikçe, kilitli tokenlerin kilidi kademeli olarak açılırsa ve dolaşımdaki arz artarsa, ekonomik bir saldırının uygulanabilirliği artar.
Zamanla, bu tür saldırılar her zaman doğrudan finansal kazanç sağlamayı amaçlamaz. Rakipleri bozmak, önemli kararları etkilemek için oyları kontrol etmek ve hatta karar vermede bir çıkmaz yaratmak için tasarlanabilirler.
Ekonomik saldırıdan yararlanma protokolüne bir örnek, nispeten az bilinen bir protokolde ortaya çıkar: Gerçek Senyoraj.
Özetle, True Seignorage'ın küçük piyasa değeri nedeniyle, bir saldırgan protokolün oylama tokenlerinin %51'ini satın aldı. Saldırganlar bu tokenleri elde ettikten sonra adreslerine 11,5 trilyon token basmak için bir teklifte bulundular. Teklif kolayca kabul edildi ve saldırganlar tokenleri Pancake Swap platformunda serbestçe satabildiler.
Saldırganın token satışından elde ettiği kâr, satın alma oylamasının maliyetini aştı ve geliştiricinin cüzdanı saldırganın eylemlerini durdurmak için yetersizdi.
*CertiK güvenlik ekibi, DAO'nun (Merkezi Olmayan Otonom Organizasyon) mekanizma tasarımından başlayarak, proje ekibinin, saldırının tekrarlanmasını önlemek için teklifin "ele geçirilmemesini" sağlamak için oy haklarına sahip olması gerektiğini önerdi. *
Sonuç
Yönetişim vazgeçilmezdir ve ortak gelecek vizyonumuzu yansıtan, sürekli gelişen ve gelişen bir yönetişim süreci oluşturmalıyız. Yönetişim sistemindeki riskleri sürekli olarak belirlemek ve bunlara yanıt vermek devam eden bir görevdir. Yönetişim sisteminin mükemmel olmadığı açıktır ve asıl amacına ulaşmak için bu eksiklikleri gidermek için ciddi çaba sarf etmemiz gerekir.
Merkezi olmayan yönetişim henüz emekleme aşamasındadır ve arkasındaki teknoloji de öyle. Alan olgunlaştıkça, yönetişim için potansiyel saldırı noktaları kademeli olarak azalacaktır.
View Original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Web3'te Sağlam Yönetişim İnşa Etmek: Teknik, Sosyal ve Ekonomik Risklerin Analizi
Yazar: Chandler; Derleme: Sissi@TEDAO
TLDR: Yönetişim riskleri çok yönlüdür ve sosyal, ekonomik veya teknolojik olabilir, hatta bazen üçünün kesişimi olabilir. Bu risklerin nasıl azaltılacağını anlamak, gelecekteki gelişimimiz için kritik öneme sahip olan geleceğin yönetişim sistemini oluşturmak için kritik öneme sahiptir. Dahası, her kararın oylama ile belirlenmesi gerekmez.
Merkezi olmayan sözleşmelerin belirli dayanıklılık özellikleri vardır. Bu sözleşmelerde yapılacak herhangi bir değişikliğin bir yönetişim süreci aracılığıyla kararlaştırılması gerekir. Yönetişim süreci doğası gereği yapaydır, bu nedenle sözleşmenin kendisinden çok daha karmaşıktır.
Bu makalenin amacı, idare sürecinin olası risklerini araştırmak ve idare riskleri hakkında düşünmek için temel bir çerçeve sağlamaktır. Genellikle, etkili bir yönetişim sürecinin amacı, projenin veya anlaşmanın orijinal amacından sapan kararların alınmasını önlemektir.
Burada üç ana risk türünü tanıtacağız: teknik risk, sosyal risk ve ekonomik risk. Buna ek olarak, yönetişim sürecinden öğrenilen bazı önemli dersleri paylaşacağız.
Yönetişim basitleştirme süreci
Yönetişim davranışlarını en aza indiren idare sistemleri daha sağlam ve savunulabilirdir. Ne kadar az değişiklik, o kadar iyi. Bununla birlikte, anlaşmanın yükseltilmesi, fonların akıllıca harcanması ve kalkınma yönünün açık olması gerekiyor.
Geniş yönetişim sistemi ayrıca, tartışmasız kritik bir karar olan ancak anlaşmanın kendisini temelden etkilemeyen hibelere bağlılık miktarı gibi protokole özgü bir dizi konuyu da içerir. Protokole özgü ve sosyal düzeydeki kararlar arasında net bir ayrım yapan bir sistem, yönetişim davranışının genel kapsamını etkili bir şekilde azaltabilir.
*Özerk kuruluşlar özerk olacak şekilde tasarlanmıştır ve yönetişim davranışlarını azaltmak, manuel işlemlere olan bağımlılıklarını azaltır. *
Söylediğimiz gibi, protokollerin, protokolü doğrudan etkileyenlerin aksine, sosyal veya insan tarafından koordine edilmiş yönetişim davranışlarını içeren farklı yönetişim eylemleri gerçekleştirmesine yardımcı olmak için bir dizi araç geliştirilmektedir. Örneğin, kullanıcıların işlemleri göndermesine ve iyimser doğrulama yoluyla onaylamasına olanak tanıyan Zodyak Modülünün ortaya çıkışı. İşlemler, zincir üzerindeki her işlem için oylanmak zorunda kalmadan gönderilebilir ve oylama yalnızca işlemin niteliği hakkında bir anlaşmazlık varsa gereklidir.
Teknik Güvenlik Açıkları
Akıllı sözleşmelerdeki güvenlik açıkları birçok protokolü defalarca rahatsız etmiştir ve yönetişim protokolleri de bir istisna değildir. Birçok yönetişim sözleşmesi, amacı önceden belirlenmiş bir dizi talimatı yerine getirmek olan zincir üstü bir oylama mekanizmasına sahiptir. Ancak kod zincir üzerinde var olduğu sürece, teknik güvenlik açıklarının saldırıya uğrama riski vardır.
Dikkate değer bir örnek, Compound'un yönetişim sistemine yapılan 22 milyon dolarlık güvenlik ihlali saldırısıdır. Compound sisteminde likidite madenciliği ödüllerinin dağıtılmasından sorumlu sözleşme kusurludur.
Sorunu değiştirmeye yetkili tek sözleşme Vali sözleşmesidir, bu da hatalı sözleşmeyi düzeltmek için değişikliklerin yalnızca bir yönetim oylaması yoluyla yapılabileceği anlamına gelir.
Yönetişim sürecinin yavaşlığı aslında güvenlik açıklarının hızlı bir şekilde yamalanmasını ve fon kaybının durdurulmasını engelliyor. Neyse ki, Compound ekibi olabildiğince duyarlıydı ve yönetişim sistemi olabildiğince hızlı tepki verdi.
Öte yandan, sözleşme, güvenlik açıkları da dahil olmak üzere tüm işlemleri kesinlikle tasarlandığı gibi gerçekleştirir. Sorun şu ki, sözleşme aslında insanların çalışmasını beklediğinden farklı bir şekilde programlanmış. Pek çok insan bu argümanı satın almıyor ve Robert Leshner onlardan biri.
*"Şüphesiz, bu Compound protokolünün tarihindeki en kötü gündü. " —— Robert Leshner。 *
Her birimizin neyin doğru ya da yanlış olduğunu düşündüğünden bağımsız olarak, değişmeyen bir şey, insanların kodun yapabileceğini düşündükleri ile amaca verilen şey arasında her zaman bir fark olacağıdır. Şok edici gerçek şu ki, çoğu zaman bunu gerçekleşene kadar fark etmiyoruz.
Sosyal boşluklar
Teknik boyutu bir yana, yönetişimin sosyal boyutu da zorlayıcıdır. İnsan davranışı ve motivasyonu koddan çok daha karmaşıktır.
Bu bölüm ayrıntılı bir makale yazmak için yeterlidir, ancak her ayrıntıya girmek yerine, bu makale sosyal riskteki güncel eğilimler olduğunu düşündüğümüz beş temel noktayı seçmektedir.
Zincir içi ve zincir dışı oylama: Yukarıda belirtildiği gibi, protokol yönetişim eylemleri temel ilkelere indirgenmelidir. Zincir içi oylama yalnızca zincir içi sözleşmelerle ilgili kararları etkilemek için kullanılırken, zincir dışı oylama, sosyal fikir birliği yoluyla üzerinde anlaşmaya varılabilecek konular içindir. Yumuşak fikir birliği ile kolayca çözülebilecek sorunlar için çok sayıda zincir içi oylama görmek benim için yaygındır, bu da kritik oylama ile düzenli operasyonel projeler arasındaki ayrımın önemini kesinlikle azaltır.
Oylama mekanizmaları ve süreçleri: Tüm oylama süreçleri bu modeli takip etmese de, insanların belirli oylama yöntemlerinden nasıl bıktığına dair yeterli örnek var. Bazen, zincir dışı "sıcaklık kontrolleri", çok imzalı bir mekanizma tarafından gerçekleştirilen resmi bir zincir içi oylamayı tetikler. Bu uygulama, zincir içi oylamadan yürütmeye kadar olan adımları karmaşıklaştırdığı için nadiren mantıklıdır. Ya zincir üstü kısımdan vazgeçin ve yumuşak fikir birliğine dayalı yönetişim kararları almak için güvenilir bir çoklu imza cüzdanına sahip olun ya da zincir üstü oylamanın doğrudan gerekli eylemleri tetiklemesine izin verin.
Yönetişim sürecindeki en değerli kaynak, nitelikli seçmenlerin dikkatidir: sık sık oy kullanmak, seçmenlerin ilgisizliğine ve uzun vadede katılımın azalmasına neden olabilir. Her anketin anlamlı, hedefli ve kapsamlı bir anketin kalite standartlarını karşılamasını sağlamak, iyi bir oy katılımı sağlayacaktır.
Karar yeter sayısı ve gerekli katılım: Önceki makalelerde de belirttiğimiz gibi, seçmen katılımı ile örgütsel büyüklük arasında bir denge olması gerekir. Benzer şekilde, ademi merkeziyetçilik derecesi ile kurucu ekibin azınlık bir üyesinin bir oylamanın sonucunu kolayca tersine çevirme yeteneği arasında bir değiş tokuş vardır. Tokenler yeterince geniş bir alana dağılmamışsa, ekip üyeleri oylama için nisap gereksinimini kolayca karşılayabilir.
Seçmen uzmanlığı: Yönetişim riskindeki en ciddi zorluklardan biri, seçmenlerin bilinçli kararlar verecek uzmanlığa sahip olup olmadığıdır. Çoğu durumda, kullanıcılar airdrop'lar veya likidite madenciliği projelerine katılım yoluyla düşük bir maliyetle yönetişim tokenleri kazanır ve oy haklarına sahiptir. Bu seçmenler neye oy verdikleri hakkında yeterince bilgi sahibi değiller ve sonuç olarak ya çekimser kalıyorlar ya da çoğunluk ile oy kullanıyorlar, bu da gerçekten merkezi olmayan ve temsili bir oylama ile sonuçlanmıyor.
Ekonomik boşluklar
Ekonomik saldırı, bir saldırganın oylama sürecini manipüle etmek için sermayenin gücünü kullanma eylemidir. Tipik olarak yönetişim, satın alınabilir yönetişim tokenleri aracılığıyla uygulanır, bu da oy haklarının çoğunluğunu (örneğin, %51) elde etmek için bir bedel ödemek anlamına gelir.
Bazı teorik verilere bakarsak, böyle bir saldırıyı gerçekleştirmek için saldırganın başka herhangi bir protokolün hazinesinde oylama gücü değerinin en az %50'sine sahip olması gerekir. Bazı protokollerin diğerlerinden çok daha büyük kasalara sahip olduğu göz önüne alındığında, bu tür bir riskin gerçekleşmesi imkansız değildir.
Neyse ki, birçok protokolde çok sayıda kilitli token ve yetersiz dolaşım vardır, bu da bu tür saldırıları olası kılmaz. Bununla birlikte, zaman geçtikçe, kilitli tokenlerin kilidi kademeli olarak açılırsa ve dolaşımdaki arz artarsa, ekonomik bir saldırının uygulanabilirliği artar.
Zamanla, bu tür saldırılar her zaman doğrudan finansal kazanç sağlamayı amaçlamaz. Rakipleri bozmak, önemli kararları etkilemek için oyları kontrol etmek ve hatta karar vermede bir çıkmaz yaratmak için tasarlanabilirler.
Ekonomik saldırıdan yararlanma protokolüne bir örnek, nispeten az bilinen bir protokolde ortaya çıkar: Gerçek Senyoraj.
Özetle, True Seignorage'ın küçük piyasa değeri nedeniyle, bir saldırgan protokolün oylama tokenlerinin %51'ini satın aldı. Saldırganlar bu tokenleri elde ettikten sonra adreslerine 11,5 trilyon token basmak için bir teklifte bulundular. Teklif kolayca kabul edildi ve saldırganlar tokenleri Pancake Swap platformunda serbestçe satabildiler.
Saldırganın token satışından elde ettiği kâr, satın alma oylamasının maliyetini aştı ve geliştiricinin cüzdanı saldırganın eylemlerini durdurmak için yetersizdi.
*CertiK güvenlik ekibi, DAO'nun (Merkezi Olmayan Otonom Organizasyon) mekanizma tasarımından başlayarak, proje ekibinin, saldırının tekrarlanmasını önlemek için teklifin "ele geçirilmemesini" sağlamak için oy haklarına sahip olması gerektiğini önerdi. *
Sonuç
Yönetişim vazgeçilmezdir ve ortak gelecek vizyonumuzu yansıtan, sürekli gelişen ve gelişen bir yönetişim süreci oluşturmalıyız. Yönetişim sistemindeki riskleri sürekli olarak belirlemek ve bunlara yanıt vermek devam eden bir görevdir. Yönetişim sisteminin mükemmel olmadığı açıktır ve asıl amacına ulaşmak için bu eksiklikleri gidermek için ciddi çaba sarf etmemiz gerekir.
Merkezi olmayan yönetişim henüz emekleme aşamasındadır ve arkasındaki teknoloji de öyle. Alan olgunlaştıkça, yönetişim için potansiyel saldırı noktaları kademeli olarak azalacaktır.