Em 20 de maio, um agente mal-intencionado tomou o controle da governança do mixer Tornado Cash. O ataque foi executado através de uma proposta contendo um elemento malicioso, que a comunidade falhou em identificar antes de aprovar o que foi proposto. Guiriba, pesquisador e colaborador da Nouns DAO Brasil, afirma que o episódio destaca vulnerabilidades de outros sistemas de governança descentralizada.
Um cavalo de troia
O Tornado Cash usa uma organização autônoma descentralizada (DAO, na sigla em inglês) para decidir as mudanças relevantes do mixer. Através dos tokens TORN, membros da DAO podem votar em propostas, ou até mesmo sugeri-las, com o intuito de melhorar a utilização do mixer.
O ataque perpetrado em 20 de maio foi feito através da oferta de uma proposta que se assemelhava muito a outra mudança aprovada recentemente pela DAO. Havia, no entanto, um elemento lógico na proposta que permitiria ao atacante realizar uma mudança no código assim que a proposta recebesse o sinal verde da comunidade.
Por ser um elemento técnico, e tendo em vista que nem todos os membros da DAO possuem o conhecimento para identificar o trecho malicioso no código, a proposta foi aprovada. O autor, então, alterou a lógica e obteve o total de 1,2 milhão de votos. Na prática, o atacante conseguiu o controle sobre a DAO, e usou esse poder para drenar cerca de US$ 1 milhão em tokens TORN.
Embora tenha acontecido no sistema de governança do Tornado Cash, Guiriba destaca que esse problema é comum em outras DAOs. “O problema da proposta da Tornado Cash é o mesmo em muitas DAOs que usam governança on-chain: quase ninguém sabe o que, de fato, aquela proposta vai executar”, avalia o pesquisador.
Devido à falta de conhecimento técnico dos membros da comunidade, o que resta é ler o texto da proposta e acreditar no que está escrito. Guiriba avalia que a solução é melhorar a experiência do usuário que decide integrar uma DAO e participar das votações.
“Já existe uma dificuldade enorme de convencer pessoas a votarem conscientemente em propostas. Se elas não conseguem saber o impacto da sua execução, qual a chance de pegarem um problema ali? É muito importante fomentar a educação dos participantes de DAOs nesse sentido.
Principais desafios
A baixa participação de votantes mencionada por Guiriba é, em si, também um dos grandes desafios dos modelos de governança descentralizada. A consequência prática desse problema é, justamente, a centralização do consenso.
“Em governanças com alta participação, tem-se 15% de endereços que holdam os tokens votando. Em termos de comparação, a participação média em democracias é acima de 70%”, aponta o pesquisador. Guiriba aponta que uma solução para este problema tem sido implementada pela MakerDAO, que é o sistema de delegados.
Dentro da MakerDAO, delegados são instituições aprovadas que podem receber poder de voto de usuários que querem fortalecer a governança, mas não se sentem confortáveis votando. Na teoria, isso garante que uma parcela menor de poder de voto fique ociosa, reduzindo a facilidade de centralização. Nem todas as DAOs, contudo, utilizam esse sistema, salienta Guiriba.
Outro problema que as DAOs têm enfrentado é a compra de tokens, que se traduz na compra de poder de voto. “Nos últimos meses, vimos os RFV Raiders, coletivo que comprou saldos de tokens para dissolver DAOs e distribuir entre seus membros. [...] É necessário as DAOs escolherem: querem manter-se descentralizadas? Precisam estruturar governanças mais robustas, com entraves de decisão maior e incentivos suficientes para as pessoas participarem ativamente da governança”, afirma Guiriba.
O episódio mencionado pelo pesquisador tem a ver com alegações feitas pela Aragon no início de maio. A startup focada em facilitar a criação de DAOs afirmou que o fundo Arca está financiando os ataques descritos por Guiriba. As DAOs Rook, Invictus, Fei Protocol, Rome e Temple foram supostas vítimas dos ataques conduzidos pelos RFV Raiders.
A teoria é ótima
Os sistemas de governanças descentralizadas são, na teoria, idealizados para criar um sistema igualitário de participação da comunidade. Não cabe a uma empresa ditar os rumos de um protocolo descentralizado, mas à DAO. Na prática, contudo, essa visão ainda não tem se sustentado.
Para Guiriba, o maior aprendizado extraído do episódio com o Tornado Cash é, justamente, mostrar quão complexos são os modelos de governança em blockchain. “Pessoalmente, gosto muito de governanças on-chain, porque quando usamos o Snapshot, ferramenta para votação off-chain, confiamos que os responsáveis por executar a proposta, assinarão as transações. Isso é um risco, porque colocamos intermediários”, diz o pesquisador.
Além do sistema de delegados, Guiriba acredita que sistemas de “caça aos bugs” em modelos de governança também podem ser efetivos. Nesses sistemas, desenvolvedores seriam pagos para explorar vulnerabilidades através de ataques de governança, explica o pesquisador, e estudiosos de DAO tentassem atacar usando engenharia social.
“Só assim as DAOs conseguirão construir governanças mais fortes e proteger-se de ataques como o da Tornado Cash”, conclui Guiriba.
Leia mais: