[PROPOSAL] - Security committee operating conditions

Sylvain Leroux

🇫🇷

Résumé de la proposition

La DAO doit mettre en place un comité de sécurité pour geler temporairement les DApps critiques (RMM, YAM, Bridge, etc.) en cas d'urgence. Cette proposition définit les conditions de fonctionnement du comité de sécurité, les critères d'éligibilité des membres et l'organisation pratique de l'élection.

En votant pour cette proposition, vous confirmez votre acceptation des termes et conditions énoncés.

Note : La version anglaise de ce document constitue la seule référence faisant foi.

Motivation

Les DApps de la DAO sont susceptibles de subir divers incidents entraînant une perte potentielle de fonds pour les utilisateurs et des dégâts d'image pour la crédibilité et de la confiance dans la DAO. Afin de limiter les dégâts, il est crucial de stopper rapidement tout ou partie de ces services lorsqu'un tel incident est signalé.

Un vote traditionnel de la DAO prendrait du temps et nous ne pouvons pas confier cette responsabilité à une seule personne. Cela souligne la nécessité d'un comité de sécurité permanent et réactif.

Contexte

Suite à l'approbation du RIP00006, il est crucial de définir les procédures opérationnelles du comité de sécurité et les critères d'éligibilité des membres. Un cadre clair garantit l'efficacité des interventions d'urgence et la confiance de la communauté. Il s'agit notamment de

Définir le champ d'action du comité de sécurité
Identifier les compétences et les engagements nécessaires des membres du comité.
Définir les modalités pratiques de l'élection des membres.
Garantir une disponibilité et une répartition suffisantes entre les différents fuseaux horaires pour assurer une couverture 24 heures sur 24 et 7 jours sur 7.

Cette proposition a été rédigée grâce à l'aide des participants à la discussion correspondante dans la section des suggestions. 🙏

Conditions de fonctionnement

Pouvoirs du comité

Le comité peut geler temporairement les DApps critiques (RMM, YAM, Bridge, etc.) via un système de multi-signature (Gnosis Safe). Un vote de la DAO doit valider le dégel.

Les premiers mois seront plus difficiles, mais des développements ultérieurs devraient simplifier le processus de gel des DApps.

Procédures d'urgence

Rédiger un message d'alerte dans le groupe dédié.
Activer les mesures d'urgence via Gnosis Safe après accord des 3/10 membres du comité.
Soumettre un rapport détaillé au DAO pour analyse.

Durée du mandat

Les membres du comité seront élus pour un mandat renouvelable de 6 mois. Ce rôle est exigeant et demande de l'engagement. Un mandat plus court permet une certaine flexibilité pour l'organisation personnelle.
Le comité compte 10 membres.
Un seuil de 3/10 signatures est requis pour valider une action d'urgence.
Des alertes d'entraînement régulières seront déclenchées pour vérifier la disponibilité des membres.
Le comité est responsable de son auto-organisation pour :
1. Garantir qu'un nombre suffisant de membres peut répondre à tout moment.
2. Viser une couverture 24 heures sur 24 et 7 jours sur 7 en répartissant les heures de service des membres sur plusieurs fuseaux horaires.
3. Identifier et signaler les comportements malveillants d'un ou plusieurs de ses membres

Objectif : Avoir au moins 6 membres actifs en permanence pour garantir une réponse rapide.

Critères d'éligibilité des membres

Etre conscient des problèmes de sécurité de web3 et des menaces et attaques possibles. A prouver par la possession des NFT Quest Ledger suivants : Web3 Basics, Crypto Wallet 101, et Boring Security.
Maîtrise de l'utilisation de Gnosis Safe pour signer et exécuter des transactions à signatures multiples.
Maîtrise de l'utilisation d'un explorateur de blocs de type GnosisScan pour suivre les transactions.

Bien que cela ne soit pas obligatoire, l'utilisation d'un portefeuille matériel, ou au moins d'un portefeuille logiciel dédié aux activités du comité de sécurité, est recommandée.

Incitation

Lors de l'enregistrement de leur candidature, les candidats doivent placer entre 250 et 1 000 REG dans un Vault dédié,
Les REG des candidats rejetés seront déverrouillés à la fin de l'élection.
Les REG des candidats élus restent bloqués jusqu'à l'expiration du mandat.
À la fin du mandat, les membres recevront de 80 % à 130 % de leurs fonds bloqués en fonction de leurs réactivité face aux alertes d'entraînement + ≈8 %+ par alerte réelle (en supposant une alerte de formation par mois). La formule : 80 + 50×(training_alerts_answered+real_alerts_answered)/total_training_alerts.

alertes de formation

Les alertes de formation sont conçues pour tester la réactivité des membres, valider les procédures et assurer le bon fonctionnement du comité. Contrairement aux alertes réelles, elles n'exigent pas un quorum immédiat, mais imposent un délai de réponse maximal (par exemple, 24 heures). Chaque membre est tenu de signer la transaction, avec un objectif de participation de 100 % avant la date limite. Si un membre ne le fait pas, sa récompense de fin de mandat sera affectée selon la formule donnée plus haut.

Ces alertes servent également de mécanisme de contrôle pour identifier les membres potentiellement indisponibles. En cas d'absence ou de non-réponse dans les délais, le comité peut décider d'enquêter pour évaluer la situation. Les membres du comité sont tenus de s'auto-organiser pour garantir une couverture continue et adapter les rotations en fonction de leur disponibilité.

La réactivité est primordiale pour les alertes réelles : la transaction est validée dès que le quorum est atteint, et, hors limitations techniques, seules les** trois premières réponses comptent pour le bonus associé**.

Ce système est conçu pour favoriser une réaction rapide aux alertes réelles tout en veillant à ce que les membres du comité respectent leurs responsabilités en restant disponibles et impliqués.

Étapes de la mise en œuvre

Annonce : L'ouverture de la période électorale sera annoncée sur Telegram, Discord, et via un sujet dédié sur le forum de la DAO.
Candidatures : A partir de l'ouverture, les candidats ont 2 semaines pour se faire connaître via le forum. Chaque candidat explique en quoi il répond aux critères et répond aux questions de la communauté.
Vérification de l'éligibilité : RealT dispose d'une semaine pour vérifier les critères techniques d'éligibilité (KYC, NFT, dépôt du REG dans le coffre-fort dédié). La liste finale des candidats est publiée sur le forum.
Vote :
a) S'il y a 10 candidats ou moins, un seul vote approuve tous les candidats.
b) S'il y a plus de 10 candidats ou si l'approbation globale est rejetée, il y aura des votes par candidat. Les 10 candidats ayant obtenu le plus grand nombre de « oui » sont élus. Les litiges relatifs aux ex-æquo seront résolus à la discrétion des membres déjà élus.
Formation du comité : La liste des membres élus est publiée et ils ont accès à un canal de communication privé. RealT organise des sessions de formation dans les deux semaines. Les REG des candidats rejetés sont débloqués.

Équipe

RealT : Vérification technique des candidatures (y compris la fourniture du formulaire d'inscription).
RealT : Responsabilité de déclencher des alertes de formation sur une base régulière.
RealT : Organisation de la session de formation.
DAO : Participation aux débats et au vote final.
Équipe du forum : Créer le sujet de l'élection.
Équipe Discord, Telegram ou Forum : Créer le canal de discussion privé de la commission.

Budget

Au moins 3 000 REGs par semestre pour payer les primes (voir détails plus haut).

Note : Si la DAO vote pour un changement dans la méthode ou le calcul des incitations, les changements s'appliqueront à partir du prochain terme.

Objectifs

Répondre rapidement aux urgences afin de limiter les dommages financiers et de réputation potentiels pour la DAO.
S'assurer que le comité fonctionne de manière transparente et maintient la confiance de la communauté.
Fournir des lignes directrices claires et réalisables pour l'établissement et le fonctionnement du comité.

Mesure du succès

Dans le cas d'une alerte d'entraînement, au moins 5/10 signatures de transactions dans la première heure.
En cas d'alerte d'entrainement, 100% des signatures de la transaction dans les délais impartis.
En cas d'alerte réelle, le quorum de 3/10 doit être atteint et la transaction validée en moins d'une heure. L'arrêt effectif du (des) service(s) considéré(s) dépend des nécessités techniques.

Termes clés

DApps : Applications décentralisées (par exemple, RMM, YAM, Bridge).
Gnosis Safe : Un système de portefeuille multi-signature utilisé pour gérer des fonds en toute sécurité.
Système de multi-signature** : Un système nécessitant des approbations multiples pour exécuter des transactions.
REGs : Les jetons de gouvernance utilisés dans le cadre de l'initiative Gnosis : Les jetons de gouvernance utilisés dans l'écosystème DAO RealToken.
KYC : Know Your Customer, un processus de vérification pour assurer la conformité de l'identité.
Alerte d'entraînement : Alertes simulées utilisées pour tester l'état de préparation et le temps de réponse du comité de sécurité.
NFT Quest Ledger : Mécanisme de certification permettant de prouver les connaissances dans des domaines spécifiques liés à web3.
GnosisScan : Un outil d'exploration de blocs pour suivre et analyser les transactions de la blockchain.
Vault : Un mécanisme pour verrouiller les jetons à des fins diverses, telles que la démonstration de l'engagement ou la sécurisation des incitations.

Note: Ce document a été traduit tout ou en partie par un processus automatique. En cas de dispute, seule la version Anglaise fait autorité.

Michael-RealT

Sylvain Leroux Critères d'éligibilité des membres

Etre conscient des problèmes de sécurité de web3 et des menaces et attaques possibles. A prouver par la possession des NFT Quest Ledger suivants : Web3 Basics, Crypto Wallet 101, et Boring Security.

La preuvent devra t'elle est fournie avant ou après postulation ?

Quelles vont etre les processus pour protégé les données personnel des candidate (lien entre adresse, poseudo, investissement perso.... ?

Sylvain Leroux

Sylvain Leroux

Michael-RealT La preuvent devra t'elle est fournie avant ou après postulation ?

Quelles vont etre les processus pour protégé les données personnel des candidate (lien entre adresse, poseudo, investissement perso.... ?

Je dois avouer que je n'ai pas suivi comment ça s'est passé dans les cas précédents.

Dans mon esprit, pour postuler le candidat doit être déjà en possession des NFT et des REGs nécessaires sur son compte. Nous suggérions d'ailleurs d'avoir un compte dédié à cette activité.

Le candidat dépose la quantité de REGs qui sert de caution dans le Vault. Techniquement, c'est cet évènement qui officialise la candidature et déclenche la validation de la présence des NFT (par les équipes de RealT, ou est-ce que la DAO en a les moyens humain et techniques? Ou est-ce qu'un smart-contract peut le faire automatiquement?).
Ensuite, RealT utilise sa base de donnée KYC pour vérifier que le compte est bien associé à un utilisateur connu et unique. Le personnel de RealT et seul à pouvoir associer un compte à une identité réelle.
En parallèle, le candidat rend publique sa candidature sur le forum. Pour le public, le candidat est connu par son pseudo sur le forum.

Question: Comment aviez-vous fait lors des candidatures précédentes afin d'associer un compte et un pseudo? Est-ce que les candidats ont dû transmettre cette information à RealT à un moment?

DRKTT

Sylvain Leroux

Question: Comment aviez-vous fait lors des candidatures précédentes afin d'associer un compte et un pseudo? Est-ce que les candidats ont dû transmettre cette information à RealT à un moment?

Les candidats sont passés par un formulaire et où il était demandé entre autres le pseudo utilisé ici et un wallet, exemple ici : https://forum.realtoken.community/d/26-proposal-election-of-proposers-following-rip00005-approval/2

Sylvain Leroux

DRKTT Les candidats sont passés par un formulaire et où il était demandé entre autres le pseudo utilisé ici et un wallet, exemple ici : https://forum.realtoken.community/d/26-proposal-election-of-proposers-following-rip00005-approval/2

OK, merci DRKTT.
Le Google Form est fermé donc je n'ai pas pu voir en détail comment c’était fait, mais j'imagine à peu près.
Je note pour référence:

Informations requises :

Nom d'utilisateur forum de gouvernance (sera public)

Adresse wallet utiliser pour la gouvernance (sera public)

Adresse wallet Détenant les REG (sera privé)

Adresse wallet Détenant les RealTokens (sera privé)

Mail utiliser sur RealT.co (sera privé)

Motivation et vision pour la postulation au role de proposant (sera public)

Expérience en gouvernance (sera public)

Conflit d’intérêt en lien avec la postulation (sera public)

Vision de la DAO Realtoken (sera public)
(emphasis mine)

Par contre, qui a eu accès aux réponses et quelles mesures (si nécessaires) ont été prises pour protéger ces données et garantir le pseudonymat des candidats?

Benoist-Not-for-sale

Quests Ledger:

impossible de connecter/minter sur un Safe (+les nft sont non transférables)
première quête ok, puis impossible de passer la seconde:
premier essai échec (score9/10), seconde tentavive remise à zéro par un anti-bot, troisième tentative : "identifié" comme bot et bloqué

Quelle saloperie, d'autant que "savoir" que l'on peut acheter des cryptos en passant par Ledger Live ou que leur OS s'appelle BOLOS ou encore connaître Spreekaway, ZachXBT ne me semble pas d'une utilité opérationnelle évidente.

Signature Request
An error occurred while minting the NFT. Please try again.

NFT qui ne se mint pas après envoi de la tx

En moyenne il me faut 3 à 4 essais pour arriver à minter

Franchement quelle application sublime !

EzSwim

Benoist-Not-for-sale J'ai eu 2 fois des problèmes similaires où j'avais eu un score de 100 mais le site plante au moment de claim ^^. Après je me dis ça fera mieux le tri de ceux qui pensent que c'est une bonne idée au début puis se désistent (il y en a eu dans les candidatures précédentes)

Sylvain Leroux

Benoist-Not-for-sale En moyenne il me faut 3 à 4 essais pour arriver à minter

@Benoist-Not-for-sale
@EzSwim

Quand ça a été proposé, j'ai testé moi-même avant d'inclure cette idée dans la Proposal.

J'ai eu les mêmes problèmes que vous, et moi aussi j'ai trouvé que certaines questions étaient un peu trop "commerciales" à mon goût.

Néanmoins, c'est mieux que rien. Et honnêtement, j'ai appris des choses en passant ces tests: donc ils ne me semblent pas inutiles pour s'assurer que les candidats ont un minimum de connaissances dans le domaine.

Concernant les problèmes techniques: c'est pénible, mais je suis d'accord avec le commentaire qui dit qu'il faut considérer cela comme un test de persévérance 😉

Benoist-Not-for-sale

EzSwim :-)

Pour les quests :

ne pas valider avant 3 (ou 4) minutes
recharger la page entre chaque quête
être patient

Sylvain Leroux

Sylvain Leroux protéger ces données et garantir le pseudonymat des candidats?

D'ailleurs pour mon édification personnelle:
Je vois que le pseudonymat semble important pour beaucoup d'acteurs crypto. Ce qui est un peu paradoxal pour moi étant donné la nature publique des données stockées dans la blockchain.

Pouvez-vous donc m'expliquer quels sont les risques pour un candidat ou pour sa fonction dans la DAO s'il est possible d'associer un compte et un "pseudo" sur le forum? 🤔

Michael-RealT

Sylvain Leroux Par contre, qui a eu accès aux réponses et quelles mesures (si nécessaires) ont été prises pour protéger ces données et garantir le pseudonymat des candidats?

moi uniquement

Benoist-Not-for-sale

Sylvain Leroux
Connaissant le nom et les wallets d'une personne
https://freelanceinfos.fr/hasheur-agresse-domicile-cryptomonnaies/
https://fr.news.yahoo.com/p%C3%A8re-dun-influenceur-cryptomonnaie-enlev%C3%A9-173516207.html
https://cointelegraph.com/news/5-wrench-attacks-appear-to-be-on-the-rise-in-the-crypto-community
plus les risques de corruption par un concurrent

Michael-RealT

Sylvain Leroux

le pseudonyme permet de créer une personnalité qui oeuvre dans un contexte et qui n'es pas relier au reste de ça vie, cela permet de se protégé physiquement, ça famille, ses amis.
Si tu as 1000$ de crypto tu risque pas grand chose mais si tu as 100k ou plus, le fait de pouvoir te retrouvé pourrais mettre en dangé ta personne ou ton entourage.

La v2 avec les NFT permettra de créer "ton avatars" de la DAO, et donc ne pas communiquer qui tu es réellement, l'objectif étant que sur le forum et l'interface de vote tu soie identifier par ton NFT pas pas un pseudo qui lui serais reliable a d'autre chose, ainsi tenter de préserver la vie privé de la personne tout en exposent sont engagement dans l'écosystème (temps, financier, action, investissement)

EzSwim

Benoist-Not-for-sale +1
Si tu as tout bien fait pour protéger tes fonds en ligne, il ne reste plus que ta sécurité physique qui peut être atteinte 😬

Sylvain Leroux

@Benoist-Not-for-sale @EzSwim
Merci pour cette piqûre de rappel qu'il y a plus que la sécurité en ligne 😱

Sylvain Leroux

Michael-RealT le pseudonyme permet de créer une personnalité qui oeuvre dans un contexte et qui n'es pas relier au reste de ça vie, cela permet de se protégé physiquement, ça famille, ses amis.

Merci pour cette mise au point. Pour être honnête, vous me faites pas mal flipper.

Si je prends ton exemple, Michael, tu utilises ton vrai nom et ton identité est "publique". On peut supposer que tu possèdes un nombre significatif de REGs. As-tu le sentiment que ton investissement dans RealT et la DAO te mette physiquement en danger?

Phedba

Michael-RealT Dommage que ce ne soit pas déjà en place. Cela aurait répondu à de nombreuses problématiques soulevées ici. Je dis ça en espérant que ces fonctionnalités ne soient pas trop reléguées au second plan dans votre planning 2025. :-D

Michael-RealT

Sylvain Leroux Si je prends ton exemple, Michael, tu utilises ton vrai nom et ton identité est "publique". On peut supposer que tu possèdes un nombre significatif de REGs. As-tu le sentiment que ton investissement dans RealT et la DAO te mette physiquement en danger?

c'est tout a fais possible, après il faut venir me chercher ici, pas si simple.
de plus je reste très discret sur les montant investit, je t'ente de ne pas donné les infos perso comme la localisation exacte ici ou ailleur sur le net, mon plus gros problème ce'st les fuite de données.

en suite j'ai mis en place des processus de protection, se qui fais que même si je suis physiquement menacé c'est impossible que je donne la crypto simplement depuis mon domicile, donc ça crée des opportunité pour alerter les autorité car il faut se déplacé, aller dans des lieux précis...
j'ai aussi d'autre processus qui permet de mettre potentiellement fin a l'action, mais la encore bien que cela pourrais etre utils a d'autre, il faut rester discret pour ne pas dévoilé les plan afin qu'il puissent fonctionner en cas de besoin.

Donc oui c'est un risque et il faut se préparer, en être conscient, mais avec les bonnes précaution, ont peux rendre le vole plus compliquer que pour une banque classique.

PhilP

Bonjour,
Comme je l'avais exprimé dans la Suggestion qui a précédé cette Proposal : PhilP , je pense que la principale difficulté va être de trouver 10 volontaires ( cf expérience : pour les Proposers, dont le nombre s'est limité à 3 ! ; et 9 pour PowerVoting où il y avait aucune contrainte..).

Je serais donc d'avis :

de limiter les contraintes pour la première mandature de 6 mois.
d'engager une transition plus progressive entre RealT et la DAO : sur plusieurs mandatures.

De façon concrète, pour la première mandature et uniquement pour celle-ci :

le volontaire ne doit pas être pénalisé sur les REG qu'il bloque : la restitution doit donc être de 100 à 130 % (et pas 80 à 130%),
les critères d'éligibilité doivent être indicatifs (trame à remplir) et non mandatory (cf tests ledger) : les votants jugeront des éléments transmis par chacun des postulants,
RealT doit garder la main sur le bouton d'arrêt (possibilité d'arrêter une DApp, si les élus sont pas assez rapides),
la réactivation de la DApp bloquée doit pouvoir être faite par RealT (vs par vote de la DAO). Si une erreur était commise par les élus, la DApp ne doit pas être bloquée, pendant les 10 jours minimum induits par un vote.
la prime (lors de la restitution des REG bloqués ) me semble devoir être exprimée en absolu et non en % (tout en restant liée à l'implication/disponibilité des élus),

Benoist-Not-for-sale

PhilP Il me semble que les rôles n'ont rien à voir et qu'il est difficile de préjuger du nombre de volontaires à l'avance. Pour le savoir il faudrait faire une sorte de sondage car là on spécule en brassant de l'air ... même si j'ai peur que tu aies raison.

Sinon, une fois l'alerte lancée, comment la/les tx de blocage de dapp(s) sont faites ? Est-ce un/des membre(s) du comité de sécurité qui initie(ent) (il existe depuis qq. temps dans Safe un role de proposer qui pourrait être utilisé
https://help.safe.global/en/articles/235770-proposers) ?

EzSwim

PhilP Je comprends ce que tu veux dire et je pense qu'il n'y aura pas beaucoup de candidature effectivement. Cependant ce rôle est plus cruciale car le security committee à la lourde tâche de limiter les dommages fait au fonds des utilisateurs. Une DAO est aussi sérieuse que sa capacité à ne pas perdre les fonds des utilisateurs qui utilisent ses Dapps. C'est make or break, après on a la chance que le RRM ait une petite TVL sur une blockchain avec peu de volume, ce qui est en soit une protection aujourd'hui contre des hackers.

Je suis un peu contre l'idée d'avoir des touristes pas des novices, et je pense que si on a 3 memebre du security committee c'est pas une mauvais chose tant qu'ils sont sérieux (d'ou la quête de l'enfer avec ledger qui est une bonne façon de trier). Ils pourront renouveller leur mandat et fort de leur expérience transmettre aux suivants.

Et tout à fait d'accord avec le fait que des membres de la team Realt doivent garder la mains sur le boutton d'arrêt, voire même faire partie du committe pourquoi pas

Michael-RealT

PhilP Si une erreur était commise par les élus, la DApp ne doit pas être bloquée, pendant les 10 jours minimum induits par un vote

ça c'est possible que dans le cas ou RealT conserve les droits fort sur les contrats, donc que la DAO et RealT puisse retirer le gel

Michael-RealT

EzSwim , voir même faire partie du committe pourquoi pas

si il y as pas le nombre nous serons dedans c'est évidant pour compléter et permettre la multi signature, nous avons déjà le safe et le processus en place en interne, donc soit il y as le nombre de candidat provenant de la communauté , dans ce cas on cède le safe, soit il en manque et dans ce cas il y aurais des membre de Realt en soutien a la communauté.

Pour garder du contrôle de la part de RealT, c'est a la DAO de décidé

PhilP

EzSwim

EzSwim je pense que si on a 3 memebre du security committee c'est pas une mauvais chose tant qu'ils sont sérieux (d'ou la quête de l'enfer avec ledger qui est une bonne façon de trier).

Pour mémoire, il faut faire du 24/24 : avec 3 élus je doute qu'on y arrive.
Tel que formulé actuellement : les élus pas dispo au moment d'un "entrainement" (en plein nuit par ex) pourrait perdre une partie de leur REG en dépôt !..
Pas de "touristes/novices", mais pas d'obligation du test Ledger : les postulants doivent pouvoir d'étayer leur compétence d'une autre façon, si ils ne souhaitent pas passer trop de temps avec le test.