Profesor de Cornell aboga por el movimiento DAO 2.0

El científico informático de Cornell que ayudó a identificar vulnerabilidades en The DAO reveló 10 nuevos exploits en su código en un evento en Nueva York.

Las declaraciones de Emin Gün Sirer, un crítico del proyecto desde hace mucho tiempo, se producen en medio de una amplia preocupación por los acontecimientos en The DAO, un vehículo de financiación basado en contratos inteligentes construido con Ethereum que colapsó efectivamente después de una explotación de una vulnerabilidad dentro de su código de contrato inteligente.

Sirer advirtió que, si bien la vulnerabilidad que condujo ala eliminación Si bien ahora se comprende bien el valor de decenas de millones de dólares de la Criptomonedas Ether, aún queda mucho por arreglar antes de que se pueda lanzar otra DAO (organización autónoma descentralizada).

Las declaraciones fueron las primeras en establecer un camino claro sobre cómo construir una organización operada en gran medida con código y así cumplir con la visión original de The DAO.

Sirer, quien es codirector de laIniciativa para Criptomonedas y Contratos (IC3), un proyecto de investigación académica centrado en la Tecnología, utilizó el foro para presentar un relato detallado de posibles exploits para este tipo de proyectos que llegan hasta el propio lenguaje de codificación de Ethereum .

Sirer continuó argumentando que las cuestiones destacadas son relevantes cuando se analiza la cuestión de crear proyectos similares en el futuro.

Le dijo a la multitud:

El DAO 2.0 requiere muchísimo más esfuerzo. Es un campo mucho más profundo de lo que la gente cree.

Vulnerabilidades detalladas

En los días previos a la detección inicial del error, Sirer y sus colegas publicaron una descripción general de lo que llamaron una vulnerabilidad de "llamada recursiva" que permitía al explotador mover fondos a un llamado "DAO secundario" que se separa del DAO original.

Al dirigirse a una multitud de alrededor de 70 codificadores de Bitcoin , desarrolladores de Ethereum , científicos informáticos y profesionales financieros en el evento de anoche, Sirer entró en detalles sobre otras posibles amenazas.

Por ejemplo, el error de “acecho”, que actualmente se utiliza para montarun contraataque contra un ataque de sombrero blanco diseñado para mover fondos a una cuenta segura - es un ejemplo de una de las vulnerabilidades que Sirer identificó en el evento de anoche.

Las 10 vulnerabilidades de SirerdiscutidoEn detalle, incluye una "trampa de propuesta concurrente" donde un atacante realiza una propuesta arbitraria como "¿Crees en Dios?", diseñada para generar un alto nivel de respuesta, e incluye un largo periodo de votación durante el cual el token utilizado para votar queda atrapado. Posteriormente, el atacante podría realizar una propuesta alternativa después de que los fondos hayan sido bloqueados.

Otro exploit, llamado ataque de "toma de control mayoritaria", disfraza el voto mayoritario de un solo partido que podría beneficiarse de una propuesta exitosa al dividir el poder de voto en votos más pequeños emitidos por separado, para lo cual, dijo, no existe defensa conocida.

Algunos de los exploits discutidos anoche fueron publicados en detalle en elmás tempranodocumento. Se puede encontrar una lista completa, junto con una descripción de cómo funciona la DAO.aquí.

"El objetivo de los contratos inteligentes es crear instrumentos financieros emocionantes y peculiares", explicó Sirer a los asistentes, y añadió:

"Esto no es emocionante, es simplemente extraño".

Amor duro

En las horas previas al evento de ayer, Sirercomprometido en un debate en Twitter en el que argumentó que la comunidad Ethereum debería excluir a los miembros fundadores de Slock.it, una startup con sede en Alemania que escribió el código de The DAO y encabezó su implementación.

En el evento de Nueva York, Sirer reafirmó su llamado y nombró en particular a los fundadores Stephan Tual y Christoph Jentzsch.

Si bien Sirer criticó duramente a Slock.it, afirmó que los problemas se extienden al propio Ethereum . Calificó a The DAO como una "enorme recompensa de $220 millones por errores", una crítica que se extendió no solo a las DAO, sino también al lenguaje de programación de contratos inteligentes de Ethereum, Solidity, que, según él, está en desarrollo.

Sirer dijo a los asistentes:

Deberíamos rediseñar Solidity, repensar qué significa escribir máquinas de estados seguras, cómo especificarlas y cómo asegurarnos de que no fallen.

Imagen de Michael del Castillo para CoinDesk