Na colusão
2000 Jan 01
See all posts
Na colusão
Agradecimentos especiais a Glen Weyl, Phil Daian e Jinglan Wang
para revisão, e Jeff Prestes para tradução
Nos últimos anos, tem havido um interesse crescente em usar
incentivos econômicos e design de mecanismos para alinhar o
comportamento dos participantes em vários contextos. No mundo
blockchain, o design dos mecanismos fornece, acima de tudo, a segurança
para o próprio blockchain incentivando mineradores ou validadores de
provas de depósitos com desafios de modo a que eles participem
honestamente, mas, mais recentemente, está sendo também aplicado em mercados de predição, "token
com curadoria" e outros contextos. O nascente movimento RadicalXChange
entretanto fez surgir experimentações com Harberger
taxes, voto quadrático, Financiamento
quadrático e muito mais. Mais recentemente, tem havido também um
interesse crescente em utilizar incentivos baseados em tokens para
tentar encorajar textos de qualidade nos meios de comunicação social. No
entanto, à medida que o desenvolvimento destes sistemas se aproxima da
teoria à prática há uma série de desafios que têm de ser enfrentados,
desafios que, a meu ver, ainda não foram adequadamente enfrentados. Como
um exemplo recente deste movimento da teoria para a implantação, surgiu
a Bihu, uma plataforma chinesa que libertou recentemente um mecanismo
baseado em moedas para incentivar as pessoas a escrever postagens. O
mecanismo básico (veja o whitepaper em chinês aqui)
é que se um usuário da plataforma possui tokens KEY, ele têm a
capacidade de colocar esses tokens KEY nos artigos; todos os usuários
podem fazer k "votos favoritos" por dia, e o "peso" de cada
voto positivo é proporcional à participação do usuário fazendo o voto
favorável. Artigos com uma maior quantidade de participações votando-os
são exibids de maneira mais proeminente, e o autor do artigo recebe uma
recompensa de KEY tokens aproximadamente proporcional à quantidade de
votos positivos do KEY. Trata-se de uma simplificação excessiva e o
próprio mecanismo tem nele algumas não-linearidades em si mas não são
essenciais para o funcionamento básico do mecanismo. KEY tem valor
porque pode ser usado de várias formas dentro da plataforma, mas
especialmente uma porcentagem de todas as receitas de anúncios é usada
para comprar e queimar KEY (ótimo!, grande ponto positivo a eles por
fazer isto e não fazer outro token de meio de troca!). Este
tipo de design está longe de ser único. Incentivar a criação de conteúdo
online é algo com que muitas pessoas se preocupam e houve muitas
tentativas de natureza semelhante, bem como alguns com desenhos bastante
diferentes. E, neste caso, esta plataforma específica já está sendo
utilizada de forma significativa:
Alguns meses atrás, o subreddit sobre negociações na Ethereum /r/ethtrader introduziu um
recurso experimental pouco similar onde é emitido um token chamado
"donuts" para usuários que fazem comentários que recebem um voto
favorito, com uma quantidade definida de doações semanais para os
usuários, proporcionais ao número de votos positivos que seus
comentários receberam. Os donuts poderiam ser usados para comprar o
direito de definir o conteúdo do banner no topo do subreddit, e poderiam
também ser utilizados para votar nas sondagens comunitárias. No entanto,
ao contrário do que acontece no sistema KEY, aqui as recompensas que B
recebe quando A vota favoravelmente a B não são proporcionais à oferta
existente de moeda de A. Em vez disso, cada conta Reddit tem a mesma
capacidade de contribuir para outras contas do Reddit.
Este tipo de experimentos, que tentam recompensar a criação de
conteúdo de qualidade de uma forma que vá além das limitações conhecidas
de doações/micropublicações, são muito valiosos; subremuneração do
conteúdo de internet gerado pelo usuário é um problema muito
significativo na sociedade em geral (veja "radicalismo
liberal" e "dados como
trabalho"), e é animador ver comunidades criptográficas tentando
usar o poder do design do mecanismo para fazer incursões na resolução do
problema. Mas, infelizmente, estes sistemas também são
vulneráveis ao ataque. Votação independente,
plutocracia e subornos Aqui está como se pode atacar
economicamente o projeto proposto acima. Suponha que algum usuário rico
adquira alguma quantidade N de tokens, e como resultado,
cada um dos k de votos a favor dos usuários dá ao
destinatário uma recompensa de N * q (q aqui
provavelmente sendo um número muito pequeno, p. ex. pensar
q = 0.000001). O usuário simplesmente vota a favor das suas
próprias contas de sockpuppet, dando a si mesmo a recompensa de
N * k * q. Então, o sistema simplesmente entra em colapso
com cada usuário com uma "taxa de juro" de k * q por
período, e o mecanismo não realiza mais nada. O atual mecanismo do Bihu
parecia prever isto, e tem alguma lógica superlinear em que artigos com
mais KEY positivos ganham uma recompensa desproporcionadamente maior,
aparentemente para encorajar votos em publicações populares ao invés de
se auto-votar. Acrescentar este tipo de linearidade, para evitar que o
auto-voto prejudique todo o sistema, é um padrão comum entre os sistemas
de governança de votos; a maioria dos regimes DPOS tem um número
limitado de faixas horárias delegadas com zero recompensas para quem não
tiver votos suficientes para se juntar a um dos slots, com efeito
similar. Mas estes regimes introduzem invariavelmente dois novos pontos
fracos:
- Eles subsidiam plutocracia , já que indivíduos
muito ricos e cartéis ainda podem obter fundos suficientes para votar em
si.
- Eles podem ser contornados pelos usuários
subornando outros usuários para votar neles em
massa.
Ataques de suborno podem parecer distantes (quem aqui já aceitou um
suborno na vida real?!), mas num ecossistema maduro isso é muito mais
realista do que parece. Na maioria dos contextos onde o suborno
ocorreu no mundo blockchain, os operadores usam um novo nome
eufemista para dar ao conceito um rosto amigável: não é um suborno, é um
"pool de depósitos" que "partilha dividendos". Subornos podem até ser
ofuscados: imaginem uma bolsa de criptomoedas que oferece taxas zero e
gasta o esforço para fazer uma interface de usuário anormalmente boa e
nem sequer tenta obter lucros. Em vez disso, utiliza as moedas que os
clientes depositam para participar em vários sistemas de votação de
moedas. Também haverá, inevitavelmente, pessoas que vêem a cumplicidade
no grupo como simplesmente normal; veja um recente escândalo envolvendo
EOS DPOS por exemplo:
Por último, existe a possibilidade de um "suborno negativo",
chantagem ou coação, ameaçando os participantes com danos, a menos que
atuem dentro do mecanismo de uma certa maneira. No experimento
/r/ethtrader, o medo de que as pessoas entrem e comprem donuts
para mudar as sondagens de governança levaram a comunidade a decidir
fazer apenas trancado (ex. não negociáveis) donuts elegíveis para uso na
votação. Mas há um ataque ainda mais barato do que comprar donuts (um
ataque que pode ser considerado como um tipo de suborno ofuscado):
alugando eles. Se um invasor já estiver segurando ETH, eles
podem usá-lo como garantia em uma plataforma como Compound para contrair um
empréstimo de algum token, dando a você todo o direito de usar esse
token para qualquer fim, incluindo participar de votos, e quando eles
estão feitos, eles simplesmente enviam os tokens de volta ao contrato de
empréstimo para obter suas garantias de volta - tudo sem terem que
suportar nem um segundo de exposição de preços para o token que eles
usavam apenas para balançar um voto de moeda, mesmo que o mecanismo de
voto em moedas inclua um tempo de bloqueio (por exemplo o que o Bihu
faz). Em todos os casos, as questões relacionadas com o suborno e,
acidentalmente, com o excesso de poder dos participantes bem conectados
e ricos, são surpreendentemente difíceis de evitar.
Identidade Alguns sistemas tentam mitigar os aspectos
plutocráticos dos votos das moedas, fazendo uso de um sistema de
identidade. No caso do sistema de donut /r/ethtrader, por exemplo,
embora sondagens de governança sejam feitas via votação de
moedas, o mecanismo que determina quantos donuts</0> (no caso
moedas) você recebe no primeiro lugar é baseado em contas do
Reddit: 1 voto a favor de 1 conta Reddit = N donuts ganhados. O objetivo
ideal de um sistema de identidade é tornar relativamente fácil para os
indivíduos obter uma identidade, mas relativamente difícil de conseguir
muitas identidades. No sistema de donut /r/ethtrader, isso é contas
Reddit, no gadget de verificação Gitcoin CLR são contas do Github que
são usadas para o mesmo propósito. Mas a identidade, pelo menos na forma
como tem sido aplicada até agora, é uma coisa frágil....
Ah, você é muito preguiçoso para fazer um grande racha de telefones?
Bem, talvez você esteja procurando por
isto:
Normalmente avisos sobre como sites esboçados podem ou não
enganar você, realizar suas próprias pesquisas, etc. etc. se
aplica.
Provavelmente, atacar esses mecanismos simplesmente controlando
milhares de identidades falsas como um fantoche é ainda mais
fácil do que ter que brigar pessoas. E se você acha que a resposta
é apenas aumentar a segurança para subir até IDs emitidos a nível
governamental? Bem, se você quer alguns deles, você pode começar a
explorar aqui, mas
tenha em mente que existem organizações criminosas especializadas que
estão muito à frente de você e mesmo que todos as organizações nefastas
sejam retiradas, governos hostis definitivamente vão criar passaportes
falsificados pelos milhões, se somos estúpidos o suficiente para criar
sistemas que tornam esse tipo de atividade rentável. E isto nem sequer
começa a mencionar ataques no sentido oposto, instituições emissoras de
identidades tentando desempoderar comunidades marginalizadas
negando a elas documentos de identidade... Colusão Dado que
tantos mecanismos parecem falhar de formas tão parecidas, assim que
múltiplas identidades ou mesmo mercados líquidos entram na situação,
podemos perguntar: existe alguma profunda vertente comum que cause todas
estas questões? Diria que a resposta é sim, e o "fio comum" é este: é
muito mais difícil e muito mais impossível, criar mecanismos que
mantenham propriedades desejáveis em um modelo onde os participantes
podem colidir, do que em um modelo onde não podem. A maioria das pessoas
provavelmente já tem alguma intuição sobre isso; exemplos específicos
deste princípio estão por trás de normas bem estabelecidas e,
frequentemente, de leis que promovem mercados competitivos e restringem
os cartéis fixos de preços, a compra e venda de votos, e o suborno. Mas
a questão é muito mais profunda e geral. Na versão da teoria do jogo que
se concentra na escolha individual - isto é, a versão que parte do
princípio de que cada participante toma decisões de forma independente e
que não permite a possibilidade de grupos de agentes trabalharem como
uma única para seu benefício mútuo, existem provas
matemáticas que pelo menos um equilíbrio de Nash estável deve
existir em qualquer jogo, e designers de mecanismos têm uma latitude
muito ampla para "desenvolver" jogos para obter resultados específicos.
Mas na versão da teoria do jogo que permite a possibilidade de
coligações trabalhando juntos, chamada teoria cooperativa do
jogo, existem classes
grandes de jogos que não têm nenhum resultado
estável que uma coligação não possa desviar de forma rentável.
Jogos majoritários, formalmente descrito como jogos de agentes
N onde qualquer subconjunto de mais de metade deles pode
capturar uma recompensa fixa e dividi-la entre si, uma configuração
semelhante a muitas situações no governo corporativo, a política e
muitas outras situações na vida humana, são parte
desse conjunto de jogos inerentemente instáveis. Ou seja, se existe
uma situação com um conjunto fixo de recursos e um mecanismo atualmente
estabelecido para a distribuição desses recursos e é inevitavelmente
possível para 51% dos participantes poderem conspirar para tomar
controle dos recursos não importa qual é a configuração atual, há sempre
alguma conspiração que pode emergir que seria lucrativa para os
participantes. No entanto, essa conspiração seria, por sua vez,
vulnerável a potenciais novas conspirações, incluindo possivelmente uma
combinação de conspiradores anteriores e vítimas... e assim por
diante.
| 1 |
1/3 |
1/3 |
1/3 |
| 2 |
1/2 |
1/2 |
0 |
| 3 |
2/3 |
0 |
1/3 |
| 4 |
0 |
1/3 |
2/3 |
Este fato, a instabilidade dos jogos majoritários na teoria
do jogo cooperativo, é indiscutivelmente altamente subavaliado como um
modelo matemático geral simplificado que permite que não exista um "fim
da história" em política e um sistema que se revele totalmente
satisfatório. Pessoalmente, acredito que é muito mais útil do que a
famosa Teorema
da Seta , por exemplo. Há duas maneiras de contornar esta
questão. O primeiro é tentar restringir-nos à classe de jogos que
são "sem identidade" e "sem conluio seguro", portanto, nos
casos em que não precisamos de nos preocupar com subornos ou
identidades. O segundo é tentar atacar directamente os problemas de
identidade e de resistência de conluio e na verdade resolvê-los bem o
suficiente para que possamos implementar jogos não-seguros com as
propriedades mais ricas que eles oferecem. **Desenho de jogos sem
identidade e sem conluio A classe de jogos que é livre de
identidade e segura de conluio é substancial. Até mesmo a prova de
trabalho é segura até o limite de um único ator ter ~23.1% do total de
hashpower, e este limite pode ser aumentado até 50% com engenharia inteligente.
Os mercados competitivos estão razoavelmente seguros até um limite
relativamente elevado, o que é facilmente alcançado em alguns casos, mas
em outros não o é. No caso de governança e da curadoria de
conteúdo (ambos são realmente apenas casos especiais do problema
geral de identificação de bens públicos e emblemas públicos) uma grande
classe de mecanismo que funciona bem é futarchy
- normalmente retratada como "governança por mercado de previsão",
embora eu também defenda que a utilização de depósitos de segurança se
situa fundamentalmente na mesma classe de técnica. A forma como os
mecanismos de contestação, na sua forma mais geral, funcionam é que eles
fazem "votar" e não apenas uma expressão de opinião, mas também uma
previsão , com uma recompensa por fazer previsões que são
verdadeiras e uma penalização por fazer previsões que são falsas. Por
exemplo, minha
proposta para "mercados de predição de DAOs de curadoria de
conteúdo" sugere um design semi-centralizado onde qualquer pessoa pode
votar a favor ou contra o conteúdo enviado com conteúdos que são mais
visíveis, onde existe também um "painel de moderação" que toma as
decisões finais. Para cada postagem, há uma pequena probabilidade
(proporcional ao volume total de votos+votos contra naquele post) de o
painel de moderação ser chamado a tomar uma decisão final sobre o post.
Se o painel de moderação aprovar uma postagem, todos os que votaram a
favor são recompensados e todos os que votaram contra são penalizados, e
se o painel de moderação desaprova um post, acontece o contrário; este
mecanismo encoraja os participantes a compor votos positivos e votos
negativos que tentam "prever" os acórdãos do painel de moderação. Outro
possível exemplo de negação é um sistema de governança para um projeto
com um token, onde quem vota a favor de uma decisão é obrigado a
adquirir uma quantidade de fichas ao preço no momento em que a votação
se inicia se a votação tiver resultado; isto garante que a votação de
uma má decisão é cara, e no limite, no caso de uma má decisão resultar
numa votação, todos os que aprovaram a decisão terão de vender a sua
mercadoria essencialmente a todos os que participam no projeto. Isto
garante que um voto individual a favor de uma decisão "errada" possa ser
muito dispendioso para o eleitor, excluindo a possibilidade de ataques
de suborno barato.
Uma descrição gráfica de uma forma de contestação, a criação de
dois mercados que representam os dois "possíveis futuros mundos" e a
escolha do mercado com um preço mais favorável. Fonte este
post em ethresear.ch
No entanto, esse leque de coisas que mecanismos deste tipo podem
fazer é limitado. No caso do exemplo de curadoria de conteúdo acima, não
estamos realmente resolvendo a governança, estamos apenas
dimensionando a funcionalidade de um gadget de governança que
já é considerado confiável. Poderia se tentar substituir o painel de
moderação por um mercado de predição sobre o preço de um token que
representa o direito de comprar espaço publicitário, mas, na prática, os
preços são um indicador demasiado ruidoso para que tudo isto seja viável
para além de um número muito reduzido de decisões muito grandes. E
muitas vezes o valor que estamos tentando maximizar é explicitamente
algo diferente do valor máximo de uma moeda. Vamos olhar mais claramente
porquê. No caso mais geral, onde não podemos facilmente determinar o
valor de uma decisão de governança através do seu impacto no preço de um
token, bons mecanismos para identificar bens e maus públicos,
infelizmente, não podem ser isentos de identidade, nem ser seguros para
conluios. Se tentarmos preservar a propriedade de um jogo sem
identidade, construindo um sistema onde as identidades não importam e
apenas as moedas importam existe um compromisso impossível entre
falhar em incentivar bens públicos legítimos ou subsidiar excessivamente
a plutocracia. O argumento é o seguinte. Suponha que há algum
autor que esteja produzindo um bem público (por exemplo uma série de
postagens do blog) que fornece valor para cada membro de uma comunidade
de 10.000 pessoas. Suponha que existe algum mecanismo onde os membros da
comunidade podem tomar uma ação que faz com que o autor receba um ganho
de US$ 1. A menos que os membros da comunidade sejam
extremamente altruístas, o custo de executar esta ação deve ser
muito menor do que US$ 1, como se a porção do benefício capturado pelo
membro da comunidade que apoia o autor fosse muito menor que o custo de
suporte ao autor, e assim o sistema cai em uma tragédia do
comum onde ninguém apoia o autor. Portanto, deve existir uma maneira
de fazer com que o autor ganhe US$ 1 por um custo muito inferior a US$ 1
Mas agora suponhamos que existe também uma comunidade falsa, que
consiste em 10.000 contas falsas de um mesmo agressor abastado que é
portador de riqueza. Esta comunidade toma todas as mesmas ações que a
comunidade real, exceto ao invés de apoiar o autor, eles suportam
outra conta falsa que também é um fantoche do invasor. Se foi
possível para um membro da "comunidade real" dar ao autor \(1 a um custo pessoal muito inferior a US\)
1, é possível o invasor dar a ele mesmo US$ 1 a um custo muito
menor que US$ 1 muitas vezes drenando assim o financiamento do sistema.
Qualquer mecanismo que possa ajudar partes verdadeiramente
subcoordenadas a coordenar irá, sem as salvaguardas certas, também
ajudar grupos já coordenados (como muitas contas controladas pela mesma
pessoa) sobrecoordenado, extraindo dinheiro do sistema. Um
desafio semelhante surge quando o objetivo não é o financiamento, mas
sim determinar qual o conteúdo que deve ser mais visível. Qual o
conteúdo que você acha que teria mais valor, em dólar, para suportá-lo:
um artigo de blog de alta qualidade legitimamente vantajoso para
milhares de pessoas, mas beneficiando cada pessoa de forma relativamente
ligeira ou isso?
Ou talvez isso?
Aqueles que têm acompanhado políticas recentes "no mundo real"
poderiam também apontar um tipo diferente de conteúdo que beneficia
atores altamente centralizados: a manipulação das redes sociais por
parte de governos hostis. Em última análise, tanto os sistemas
centralizados como os sistemas descentralizados enfrentam o mesmo
problema fundamental que é: o mercado "das ideias" (e dos bens
públicos em geral) está muito longe de um "mercado eficiente" no sentido
em que os economistas normalmente usam o termo , e isto conduz
à subprodução de bens públicos, mesmo em "tempo de paz", mas também à
vulnerabilidade a ataques ativos. É só um problema difícil. É também por
isso que os sistemas de votação baseados em moedas (como o Bihu) têm uma
grande vantagem genuína sobre os sistemas baseados na identidade (como o
Gitcoin CLR ou a experiência de donut /r/ethtrader: pelo menos não há
nenhum benefício em comprar contas em massa, porque tudo o que você faz
é proporcional ao número de moedas que você tem, independentemente do
número de contas que as moedas estão divididas entre si. No entanto,
mecanismos que não dependem de qualquer modelo de identidade e apenas
dependem de moedas fundamentalmente não conseguem resolver o problema de
interesses concentrados que são concorrentes e que tentam apoiar os bens
públicos; um mecanismo sem identidade que autoriza comunidades
distribuídas não pode evitar empoderamento excessivo de plutocratas
centralizados fingindo ser distribuídos por comunidades. Mas não são
apenas problemas de identidade que os jogos de bens públicos também são
vulneráveis; também são subornos. Para ver porquê, considere novamente o
exemplo acima, mas onde a "comunidade falsa" é 10.001 sockpuppets do
atacante, o atacante tem apenas uma identidade, a conta que recebe
financiamento, e as outras 10.000 contas são usuários reais - mas
usuários que recebem um suborno de US$ 0,1 cada um para tomar a ação que
faria o atacante ganhar mais US$ 1. Como mencionado acima, estes
subornos podem ser altamente ofuscados, mesmo através de serviços de
custódia de terceiros que votam em nome do usuário em troca de
conveniência, e no caso do "voto de moeda", um suborno ofuscado é ainda
mais fácil: é possível alugar moedas no mercado e utilizá-las para
participar em votações. Assim, embora alguns tipos de jogos,
especialmente o mercado de predição ou os jogos baseados em depósitos de
segurança, podem se tornar seguros e isentos de identidade. O
financiamento generalizado de bens públicos parece ser uma classe de
problemas em que não é possível fazer funcionar abordagens seguras e sem
identidade. Resistência ao conluio e identidade A outra
alternativa é atacar de frente o problema de identidade. Como mencionado
acima, simplesmente ir até sistemas centralizados de identidade de maior
segurança, como passaportes e outras identificações do governo, não
funcionará na escala; num contexto suficientemente incentivado, elas são
muito inseguras e vulneráveis aos próprios governos emissores! Ao invés
o tipo de "identidade" de que estamos falando aqui é uma espécie de
robusto conjunto multi fatorial de afirmações de que um ator
identificado por algum conjunto de mensagens é, de fato, um indivíduo
único. Um recente proto-modelo deste tipo de identidade em rede é a
recuperação social no smartphone do blockchain do HTC:
A ideia básica é que sua chave privada é compartilhada em segredo
entre até cinco contatos confiáveis, de tal forma que matematicamente
garante que três deles possam recuperar a chave original, mas dois ou
menos não podem. Isso se qualifica como um "sistema de identidade" - são
seus cinco amigos determinando se alguém que tenta recuperar sua conta é
realmente você. No entanto, é um sistema de identidade especial tentando
resolver um problema - segurança da conta pessoal - que é diferente (e
mais fácil!) do problema de tentar identificar humanos únicos. Dito
isto, é muito possível que o modelo geral dos indivíduos que se
identificam uns sobre os outros seja introduzido numa espécie de modelo
de identidade mais robusto. Estes sistemas podem ser ampliados, se
desejado, usando o modelo "futarchy" descrito acima: se alguém fizer uma
reivindicação de que alguém é um homem único, e alguém discorda, e ambos
os lados estão dispostos a estabelecer uma ligação para contestar a
questão, o sistema pode convocar um painel de decisão para determinar
quem tem razão. Mas queremos também uma outra propriedade de importância
crucial: queremos uma identidade que não se pode alugar ou vender.
Claro, não podemos impedir que as pessoas façam um acordo "você me manda
$50, eu te mandarei minha chave", mas o que nós podemos tentar
fazer é impedir que tais negócios sejam rentáveis - torná-los
assim o vendedor pode facilmente enganar o comprador e dar ao comprador
uma chave que não funciona realmente. Uma maneira de fazer isso é fazer
um mecanismo através do qual o proprietário de uma chave pode enviar uma
transação que revoga a chave e a substitui por outra chave da escolha do
proprietário, de uma forma que não pode ser provada. Talvez a maneira
mais simples de contornar isto seja usar uma parte confiável que
administra o cálculo e publica apenas resultados (juntamente com zero
provas de conhecimento provando os resultados, então a parte confiável é
confiável apenas pela privacidade, não pela integridade), ou
descentralizar a mesma funcionalidade através da computação
multipartidaria. Tais abordagens não resolverão completamente o
conluio; um grupo de amigos ainda poderia se juntar e sentar-se no mesmo
lugar e coordenar os votos, mas pelo menos o reduzirão a um nível
exequível que não levará a que estes sistemas sofram uma completa falha.
Há ainda um outro problema: a distribuição inicial da chave. O que
acontece se um usuário criar sua identidade dentro de um serviço de
custódia de terceiros que depois armazena a chave privada e a usa para
votar clandestinamente? Este seria um suborno implícito, o poder de voto
do usuário em troca de fornecer ao usuário um serviço conveniente, e
mais, se o sistema estiver seguro na medida em que ele previne subornos
tornando inprováveis as votações clandestinas de anfitriões de terceiros
seriam também não detectáveis. A única abordagem que escamoteia
este problema parece ser.... verificação em pessoa. Por exemplo,
poderíamos ter um ecossistema de "emitentes" onde cada um emite cartões
inteligentes com chaves privadas, que o usuário pode baixar
imediatamente para seu smartphone e enviar uma mensagem para substituir
a chave por uma chave diferente que eles não revelam para ninguém. Estes
emitentes poderiam ser encontros e conferências, ou potencialmente
indivíduos que já foram considerados confiáveis por algum mecanismo de
votação. Construir a infraestrutura para tornar possíveis mecanismos de
resistência a conluios, incluindo robustos sistemas de identidade
descentralizados é um desafio difícil, mas se queremos desbloquear o
potencial de tais mecanismos, é inevitável que tenhamos de fazer o nosso
melhor para tentar. É verdade que o atual dogma da segurança dos
computadores, por exemplo, introduzir voto online é simplesmente um "não",
mas se queremos expandir o papel dos mecanismos de votação incluindo
formas mais avançadas, como votações quadráticas e finanças quadraticas,
para mais funções, não temos escolha senão enfrentar o desafio
frontalmente, tentar fazer algo suficientemente seguro e esperar que
seja bem sucedido, pelo menos para alguns casos de uso.
Na colusão
2000 Jan 01 See all postsAgradecimentos especiais a Glen Weyl, Phil Daian e Jinglan Wang para revisão, e Jeff Prestes para tradução
Nos últimos anos, tem havido um interesse crescente em usar incentivos econômicos e design de mecanismos para alinhar o comportamento dos participantes em vários contextos. No mundo blockchain, o design dos mecanismos fornece, acima de tudo, a segurança para o próprio blockchain incentivando mineradores ou validadores de provas de depósitos com desafios de modo a que eles participem honestamente, mas, mais recentemente, está sendo também aplicado em mercados de predição, "token com curadoria" e outros contextos. O nascente movimento RadicalXChange entretanto fez surgir experimentações com Harberger taxes, voto quadrático, Financiamento quadrático e muito mais. Mais recentemente, tem havido também um interesse crescente em utilizar incentivos baseados em tokens para tentar encorajar textos de qualidade nos meios de comunicação social. No entanto, à medida que o desenvolvimento destes sistemas se aproxima da teoria à prática há uma série de desafios que têm de ser enfrentados, desafios que, a meu ver, ainda não foram adequadamente enfrentados. Como um exemplo recente deste movimento da teoria para a implantação, surgiu a Bihu, uma plataforma chinesa que libertou recentemente um mecanismo baseado em moedas para incentivar as pessoas a escrever postagens. O mecanismo básico (veja o whitepaper em chinês aqui) é que se um usuário da plataforma possui tokens KEY, ele têm a capacidade de colocar esses tokens KEY nos artigos; todos os usuários podem fazer
k"votos favoritos" por dia, e o "peso" de cada voto positivo é proporcional à participação do usuário fazendo o voto favorável. Artigos com uma maior quantidade de participações votando-os são exibids de maneira mais proeminente, e o autor do artigo recebe uma recompensa de KEY tokens aproximadamente proporcional à quantidade de votos positivos do KEY. Trata-se de uma simplificação excessiva e o próprio mecanismo tem nele algumas não-linearidades em si mas não são essenciais para o funcionamento básico do mecanismo. KEY tem valor porque pode ser usado de várias formas dentro da plataforma, mas especialmente uma porcentagem de todas as receitas de anúncios é usada para comprar e queimar KEY (ótimo!, grande ponto positivo a eles por fazer isto e não fazer outro token de meio de troca!). Este tipo de design está longe de ser único. Incentivar a criação de conteúdo online é algo com que muitas pessoas se preocupam e houve muitas tentativas de natureza semelhante, bem como alguns com desenhos bastante diferentes. E, neste caso, esta plataforma específica já está sendo utilizada de forma significativa:Alguns meses atrás, o subreddit sobre negociações na Ethereum /r/ethtrader introduziu um recurso experimental pouco similar onde é emitido um token chamado "donuts" para usuários que fazem comentários que recebem um voto favorito, com uma quantidade definida de doações semanais para os usuários, proporcionais ao número de votos positivos que seus comentários receberam. Os donuts poderiam ser usados para comprar o direito de definir o conteúdo do banner no topo do subreddit, e poderiam também ser utilizados para votar nas sondagens comunitárias. No entanto, ao contrário do que acontece no sistema KEY, aqui as recompensas que B recebe quando A vota favoravelmente a B não são proporcionais à oferta existente de moeda de A. Em vez disso, cada conta Reddit tem a mesma capacidade de contribuir para outras contas do Reddit.
Este tipo de experimentos, que tentam recompensar a criação de conteúdo de qualidade de uma forma que vá além das limitações conhecidas de doações/micropublicações, são muito valiosos; subremuneração do conteúdo de internet gerado pelo usuário é um problema muito significativo na sociedade em geral (veja "radicalismo liberal" e "dados como trabalho"), e é animador ver comunidades criptográficas tentando usar o poder do design do mecanismo para fazer incursões na resolução do problema. Mas, infelizmente, estes sistemas também são vulneráveis ao ataque. Votação independente, plutocracia e subornos Aqui está como se pode atacar economicamente o projeto proposto acima. Suponha que algum usuário rico adquira alguma quantidade
Nde tokens, e como resultado, cada um doskde votos a favor dos usuários dá ao destinatário uma recompensa deN * q(qaqui provavelmente sendo um número muito pequeno, p. ex. pensarq = 0.000001). O usuário simplesmente vota a favor das suas próprias contas de sockpuppet, dando a si mesmo a recompensa deN * k * q. Então, o sistema simplesmente entra em colapso com cada usuário com uma "taxa de juro" dek * qpor período, e o mecanismo não realiza mais nada. O atual mecanismo do Bihu parecia prever isto, e tem alguma lógica superlinear em que artigos com mais KEY positivos ganham uma recompensa desproporcionadamente maior, aparentemente para encorajar votos em publicações populares ao invés de se auto-votar. Acrescentar este tipo de linearidade, para evitar que o auto-voto prejudique todo o sistema, é um padrão comum entre os sistemas de governança de votos; a maioria dos regimes DPOS tem um número limitado de faixas horárias delegadas com zero recompensas para quem não tiver votos suficientes para se juntar a um dos slots, com efeito similar. Mas estes regimes introduzem invariavelmente dois novos pontos fracos:Ataques de suborno podem parecer distantes (quem aqui já aceitou um suborno na vida real?!), mas num ecossistema maduro isso é muito mais realista do que parece. Na maioria dos contextos onde o suborno ocorreu no mundo blockchain, os operadores usam um novo nome eufemista para dar ao conceito um rosto amigável: não é um suborno, é um "pool de depósitos" que "partilha dividendos". Subornos podem até ser ofuscados: imaginem uma bolsa de criptomoedas que oferece taxas zero e gasta o esforço para fazer uma interface de usuário anormalmente boa e nem sequer tenta obter lucros. Em vez disso, utiliza as moedas que os clientes depositam para participar em vários sistemas de votação de moedas. Também haverá, inevitavelmente, pessoas que vêem a cumplicidade no grupo como simplesmente normal; veja um recente escândalo envolvendo EOS DPOS por exemplo:
Por último, existe a possibilidade de um "suborno negativo", chantagem ou coação, ameaçando os participantes com danos, a menos que atuem dentro do mecanismo de uma certa maneira. No experimento /r/ethtrader, o medo de que as pessoas entrem e comprem donuts para mudar as sondagens de governança levaram a comunidade a decidir fazer apenas trancado (ex. não negociáveis) donuts elegíveis para uso na votação. Mas há um ataque ainda mais barato do que comprar donuts (um ataque que pode ser considerado como um tipo de suborno ofuscado): alugando eles. Se um invasor já estiver segurando ETH, eles podem usá-lo como garantia em uma plataforma como Compound para contrair um empréstimo de algum token, dando a você todo o direito de usar esse token para qualquer fim, incluindo participar de votos, e quando eles estão feitos, eles simplesmente enviam os tokens de volta ao contrato de empréstimo para obter suas garantias de volta - tudo sem terem que suportar nem um segundo de exposição de preços para o token que eles usavam apenas para balançar um voto de moeda, mesmo que o mecanismo de voto em moedas inclua um tempo de bloqueio (por exemplo o que o Bihu faz). Em todos os casos, as questões relacionadas com o suborno e, acidentalmente, com o excesso de poder dos participantes bem conectados e ricos, são surpreendentemente difíceis de evitar. Identidade Alguns sistemas tentam mitigar os aspectos plutocráticos dos votos das moedas, fazendo uso de um sistema de identidade. No caso do sistema de donut /r/ethtrader, por exemplo, embora sondagens de governança sejam feitas via votação de moedas, o mecanismo que determina quantos donuts</0> (no caso moedas) você recebe no primeiro lugar é baseado em contas do Reddit: 1 voto a favor de 1 conta Reddit = N donuts ganhados. O objetivo ideal de um sistema de identidade é tornar relativamente fácil para os indivíduos obter uma identidade, mas relativamente difícil de conseguir muitas identidades. No sistema de donut /r/ethtrader, isso é contas Reddit, no gadget de verificação Gitcoin CLR são contas do Github que são usadas para o mesmo propósito. Mas a identidade, pelo menos na forma como tem sido aplicada até agora, é uma coisa frágil....
Ah, você é muito preguiçoso para fazer um grande racha de telefones? Bem, talvez você esteja procurando por isto:
Normalmente avisos sobre como sites esboçados podem ou não enganar você, realizar suas próprias pesquisas, etc. etc. se aplica.
Provavelmente, atacar esses mecanismos simplesmente controlando milhares de identidades falsas como um fantoche é ainda mais fácil do que ter que brigar pessoas. E se você acha que a resposta é apenas aumentar a segurança para subir até IDs emitidos a nível governamental? Bem, se você quer alguns deles, você pode começar a explorar aqui, mas tenha em mente que existem organizações criminosas especializadas que estão muito à frente de você e mesmo que todos as organizações nefastas sejam retiradas, governos hostis definitivamente vão criar passaportes falsificados pelos milhões, se somos estúpidos o suficiente para criar sistemas que tornam esse tipo de atividade rentável. E isto nem sequer começa a mencionar ataques no sentido oposto, instituições emissoras de identidades tentando desempoderar comunidades marginalizadas negando a elas documentos de identidade... Colusão Dado que tantos mecanismos parecem falhar de formas tão parecidas, assim que múltiplas identidades ou mesmo mercados líquidos entram na situação, podemos perguntar: existe alguma profunda vertente comum que cause todas estas questões? Diria que a resposta é sim, e o "fio comum" é este: é muito mais difícil e muito mais impossível, criar mecanismos que mantenham propriedades desejáveis em um modelo onde os participantes podem colidir, do que em um modelo onde não podem. A maioria das pessoas provavelmente já tem alguma intuição sobre isso; exemplos específicos deste princípio estão por trás de normas bem estabelecidas e, frequentemente, de leis que promovem mercados competitivos e restringem os cartéis fixos de preços, a compra e venda de votos, e o suborno. Mas a questão é muito mais profunda e geral. Na versão da teoria do jogo que se concentra na escolha individual - isto é, a versão que parte do princípio de que cada participante toma decisões de forma independente e que não permite a possibilidade de grupos de agentes trabalharem como uma única para seu benefício mútuo, existem provas matemáticas que pelo menos um equilíbrio de Nash estável deve existir em qualquer jogo, e designers de mecanismos têm uma latitude muito ampla para "desenvolver" jogos para obter resultados específicos. Mas na versão da teoria do jogo que permite a possibilidade de coligações trabalhando juntos, chamada teoria cooperativa do jogo, existem classes grandes de jogos que não têm nenhum resultado estável que uma coligação não possa desviar de forma rentável. Jogos majoritários, formalmente descrito como jogos de agentes
Nonde qualquer subconjunto de mais de metade deles pode capturar uma recompensa fixa e dividi-la entre si, uma configuração semelhante a muitas situações no governo corporativo, a política e muitas outras situações na vida humana, são parte desse conjunto de jogos inerentemente instáveis. Ou seja, se existe uma situação com um conjunto fixo de recursos e um mecanismo atualmente estabelecido para a distribuição desses recursos e é inevitavelmente possível para 51% dos participantes poderem conspirar para tomar controle dos recursos não importa qual é a configuração atual, há sempre alguma conspiração que pode emergir que seria lucrativa para os participantes. No entanto, essa conspiração seria, por sua vez, vulnerável a potenciais novas conspirações, incluindo possivelmente uma combinação de conspiradores anteriores e vítimas... e assim por diante.Este fato, a instabilidade dos jogos majoritários na teoria do jogo cooperativo, é indiscutivelmente altamente subavaliado como um modelo matemático geral simplificado que permite que não exista um "fim da história" em política e um sistema que se revele totalmente satisfatório. Pessoalmente, acredito que é muito mais útil do que a famosa Teorema da Seta , por exemplo. Há duas maneiras de contornar esta questão. O primeiro é tentar restringir-nos à classe de jogos que são "sem identidade" e "sem conluio seguro", portanto, nos casos em que não precisamos de nos preocupar com subornos ou identidades. O segundo é tentar atacar directamente os problemas de identidade e de resistência de conluio e na verdade resolvê-los bem o suficiente para que possamos implementar jogos não-seguros com as propriedades mais ricas que eles oferecem. **Desenho de jogos sem identidade e sem conluio A classe de jogos que é livre de identidade e segura de conluio é substancial. Até mesmo a prova de trabalho é segura até o limite de um único ator ter ~23.1% do total de hashpower, e este limite pode ser aumentado até 50% com engenharia inteligente. Os mercados competitivos estão razoavelmente seguros até um limite relativamente elevado, o que é facilmente alcançado em alguns casos, mas em outros não o é. No caso de governança e da curadoria de conteúdo (ambos são realmente apenas casos especiais do problema geral de identificação de bens públicos e emblemas públicos) uma grande classe de mecanismo que funciona bem é futarchy - normalmente retratada como "governança por mercado de previsão", embora eu também defenda que a utilização de depósitos de segurança se situa fundamentalmente na mesma classe de técnica. A forma como os mecanismos de contestação, na sua forma mais geral, funcionam é que eles fazem "votar" e não apenas uma expressão de opinião, mas também uma previsão , com uma recompensa por fazer previsões que são verdadeiras e uma penalização por fazer previsões que são falsas. Por exemplo, minha proposta para "mercados de predição de DAOs de curadoria de conteúdo" sugere um design semi-centralizado onde qualquer pessoa pode votar a favor ou contra o conteúdo enviado com conteúdos que são mais visíveis, onde existe também um "painel de moderação" que toma as decisões finais. Para cada postagem, há uma pequena probabilidade (proporcional ao volume total de votos+votos contra naquele post) de o painel de moderação ser chamado a tomar uma decisão final sobre o post. Se o painel de moderação aprovar uma postagem, todos os que votaram a favor são recompensados e todos os que votaram contra são penalizados, e se o painel de moderação desaprova um post, acontece o contrário; este mecanismo encoraja os participantes a compor votos positivos e votos negativos que tentam "prever" os acórdãos do painel de moderação. Outro possível exemplo de negação é um sistema de governança para um projeto com um token, onde quem vota a favor de uma decisão é obrigado a adquirir uma quantidade de fichas ao preço no momento em que a votação se inicia se a votação tiver resultado; isto garante que a votação de uma má decisão é cara, e no limite, no caso de uma má decisão resultar numa votação, todos os que aprovaram a decisão terão de vender a sua mercadoria essencialmente a todos os que participam no projeto. Isto garante que um voto individual a favor de uma decisão "errada" possa ser muito dispendioso para o eleitor, excluindo a possibilidade de ataques de suborno barato.
Uma descrição gráfica de uma forma de contestação, a criação de dois mercados que representam os dois "possíveis futuros mundos" e a escolha do mercado com um preço mais favorável. Fonte este post em ethresear.ch
No entanto, esse leque de coisas que mecanismos deste tipo podem fazer é limitado. No caso do exemplo de curadoria de conteúdo acima, não estamos realmente resolvendo a governança, estamos apenas dimensionando a funcionalidade de um gadget de governança que já é considerado confiável. Poderia se tentar substituir o painel de moderação por um mercado de predição sobre o preço de um token que representa o direito de comprar espaço publicitário, mas, na prática, os preços são um indicador demasiado ruidoso para que tudo isto seja viável para além de um número muito reduzido de decisões muito grandes. E muitas vezes o valor que estamos tentando maximizar é explicitamente algo diferente do valor máximo de uma moeda. Vamos olhar mais claramente porquê. No caso mais geral, onde não podemos facilmente determinar o valor de uma decisão de governança através do seu impacto no preço de um token, bons mecanismos para identificar bens e maus públicos, infelizmente, não podem ser isentos de identidade, nem ser seguros para conluios. Se tentarmos preservar a propriedade de um jogo sem identidade, construindo um sistema onde as identidades não importam e apenas as moedas importam existe um compromisso impossível entre falhar em incentivar bens públicos legítimos ou subsidiar excessivamente a plutocracia. O argumento é o seguinte. Suponha que há algum autor que esteja produzindo um bem público (por exemplo uma série de postagens do blog) que fornece valor para cada membro de uma comunidade de 10.000 pessoas. Suponha que existe algum mecanismo onde os membros da comunidade podem tomar uma ação que faz com que o autor receba um ganho de US$ 1. A menos que os membros da comunidade sejam extremamente altruístas, o custo de executar esta ação deve ser muito menor do que US$ 1, como se a porção do benefício capturado pelo membro da comunidade que apoia o autor fosse muito menor que o custo de suporte ao autor, e assim o sistema cai em uma tragédia do comum onde ninguém apoia o autor. Portanto, deve existir uma maneira de fazer com que o autor ganhe US$ 1 por um custo muito inferior a US$ 1 Mas agora suponhamos que existe também uma comunidade falsa, que consiste em 10.000 contas falsas de um mesmo agressor abastado que é portador de riqueza. Esta comunidade toma todas as mesmas ações que a comunidade real, exceto ao invés de apoiar o autor, eles suportam outra conta falsa que também é um fantoche do invasor. Se foi possível para um membro da "comunidade real" dar ao autor \(1 a um custo pessoal muito inferior a US\) 1, é possível o invasor dar a ele mesmo US$ 1 a um custo muito menor que US$ 1 muitas vezes drenando assim o financiamento do sistema. Qualquer mecanismo que possa ajudar partes verdadeiramente subcoordenadas a coordenar irá, sem as salvaguardas certas, também ajudar grupos já coordenados (como muitas contas controladas pela mesma pessoa) sobrecoordenado, extraindo dinheiro do sistema. Um desafio semelhante surge quando o objetivo não é o financiamento, mas sim determinar qual o conteúdo que deve ser mais visível. Qual o conteúdo que você acha que teria mais valor, em dólar, para suportá-lo: um artigo de blog de alta qualidade legitimamente vantajoso para milhares de pessoas, mas beneficiando cada pessoa de forma relativamente ligeira ou isso?
Ou talvez isso?
Aqueles que têm acompanhado políticas recentes "no mundo real" poderiam também apontar um tipo diferente de conteúdo que beneficia atores altamente centralizados: a manipulação das redes sociais por parte de governos hostis. Em última análise, tanto os sistemas centralizados como os sistemas descentralizados enfrentam o mesmo problema fundamental que é: o mercado "das ideias" (e dos bens públicos em geral) está muito longe de um "mercado eficiente" no sentido em que os economistas normalmente usam o termo , e isto conduz à subprodução de bens públicos, mesmo em "tempo de paz", mas também à vulnerabilidade a ataques ativos. É só um problema difícil. É também por isso que os sistemas de votação baseados em moedas (como o Bihu) têm uma grande vantagem genuína sobre os sistemas baseados na identidade (como o Gitcoin CLR ou a experiência de donut /r/ethtrader: pelo menos não há nenhum benefício em comprar contas em massa, porque tudo o que você faz é proporcional ao número de moedas que você tem, independentemente do número de contas que as moedas estão divididas entre si. No entanto, mecanismos que não dependem de qualquer modelo de identidade e apenas dependem de moedas fundamentalmente não conseguem resolver o problema de interesses concentrados que são concorrentes e que tentam apoiar os bens públicos; um mecanismo sem identidade que autoriza comunidades distribuídas não pode evitar empoderamento excessivo de plutocratas centralizados fingindo ser distribuídos por comunidades. Mas não são apenas problemas de identidade que os jogos de bens públicos também são vulneráveis; também são subornos. Para ver porquê, considere novamente o exemplo acima, mas onde a "comunidade falsa" é 10.001 sockpuppets do atacante, o atacante tem apenas uma identidade, a conta que recebe financiamento, e as outras 10.000 contas são usuários reais - mas usuários que recebem um suborno de US$ 0,1 cada um para tomar a ação que faria o atacante ganhar mais US$ 1. Como mencionado acima, estes subornos podem ser altamente ofuscados, mesmo através de serviços de custódia de terceiros que votam em nome do usuário em troca de conveniência, e no caso do "voto de moeda", um suborno ofuscado é ainda mais fácil: é possível alugar moedas no mercado e utilizá-las para participar em votações. Assim, embora alguns tipos de jogos, especialmente o mercado de predição ou os jogos baseados em depósitos de segurança, podem se tornar seguros e isentos de identidade. O financiamento generalizado de bens públicos parece ser uma classe de problemas em que não é possível fazer funcionar abordagens seguras e sem identidade. Resistência ao conluio e identidade A outra alternativa é atacar de frente o problema de identidade. Como mencionado acima, simplesmente ir até sistemas centralizados de identidade de maior segurança, como passaportes e outras identificações do governo, não funcionará na escala; num contexto suficientemente incentivado, elas são muito inseguras e vulneráveis aos próprios governos emissores! Ao invés o tipo de "identidade" de que estamos falando aqui é uma espécie de robusto conjunto multi fatorial de afirmações de que um ator identificado por algum conjunto de mensagens é, de fato, um indivíduo único. Um recente proto-modelo deste tipo de identidade em rede é a recuperação social no smartphone do blockchain do HTC:
A ideia básica é que sua chave privada é compartilhada em segredo entre até cinco contatos confiáveis, de tal forma que matematicamente garante que três deles possam recuperar a chave original, mas dois ou menos não podem. Isso se qualifica como um "sistema de identidade" - são seus cinco amigos determinando se alguém que tenta recuperar sua conta é realmente você. No entanto, é um sistema de identidade especial tentando resolver um problema - segurança da conta pessoal - que é diferente (e mais fácil!) do problema de tentar identificar humanos únicos. Dito isto, é muito possível que o modelo geral dos indivíduos que se identificam uns sobre os outros seja introduzido numa espécie de modelo de identidade mais robusto. Estes sistemas podem ser ampliados, se desejado, usando o modelo "futarchy" descrito acima: se alguém fizer uma reivindicação de que alguém é um homem único, e alguém discorda, e ambos os lados estão dispostos a estabelecer uma ligação para contestar a questão, o sistema pode convocar um painel de decisão para determinar quem tem razão. Mas queremos também uma outra propriedade de importância crucial: queremos uma identidade que não se pode alugar ou vender. Claro, não podemos impedir que as pessoas façam um acordo "você me manda $50, eu te mandarei minha chave", mas o que nós podemos tentar fazer é impedir que tais negócios sejam rentáveis - torná-los assim o vendedor pode facilmente enganar o comprador e dar ao comprador uma chave que não funciona realmente. Uma maneira de fazer isso é fazer um mecanismo através do qual o proprietário de uma chave pode enviar uma transação que revoga a chave e a substitui por outra chave da escolha do proprietário, de uma forma que não pode ser provada. Talvez a maneira mais simples de contornar isto seja usar uma parte confiável que administra o cálculo e publica apenas resultados (juntamente com zero provas de conhecimento provando os resultados, então a parte confiável é confiável apenas pela privacidade, não pela integridade), ou descentralizar a mesma funcionalidade através da computação multipartidaria. Tais abordagens não resolverão completamente o conluio; um grupo de amigos ainda poderia se juntar e sentar-se no mesmo lugar e coordenar os votos, mas pelo menos o reduzirão a um nível exequível que não levará a que estes sistemas sofram uma completa falha. Há ainda um outro problema: a distribuição inicial da chave. O que acontece se um usuário criar sua identidade dentro de um serviço de custódia de terceiros que depois armazena a chave privada e a usa para votar clandestinamente? Este seria um suborno implícito, o poder de voto do usuário em troca de fornecer ao usuário um serviço conveniente, e mais, se o sistema estiver seguro na medida em que ele previne subornos tornando inprováveis as votações clandestinas de anfitriões de terceiros seriam também não detectáveis. A única abordagem que escamoteia este problema parece ser.... verificação em pessoa. Por exemplo, poderíamos ter um ecossistema de "emitentes" onde cada um emite cartões inteligentes com chaves privadas, que o usuário pode baixar imediatamente para seu smartphone e enviar uma mensagem para substituir a chave por uma chave diferente que eles não revelam para ninguém. Estes emitentes poderiam ser encontros e conferências, ou potencialmente indivíduos que já foram considerados confiáveis por algum mecanismo de votação. Construir a infraestrutura para tornar possíveis mecanismos de resistência a conluios, incluindo robustos sistemas de identidade descentralizados é um desafio difícil, mas se queremos desbloquear o potencial de tais mecanismos, é inevitável que tenhamos de fazer o nosso melhor para tentar. É verdade que o atual dogma da segurança dos computadores, por exemplo, introduzir voto online é simplesmente um "não", mas se queremos expandir o papel dos mecanismos de votação incluindo formas mais avançadas, como votações quadráticas e finanças quadraticas, para mais funções, não temos escolha senão enfrentar o desafio frontalmente, tentar fazer algo suficientemente seguro e esperar que seja bem sucedido, pelo menos para alguns casos de uso.