Un professeur de Cornell appelle au mouvement « DAO 2.0 »

L'informaticien de Cornell qui a aidé à identifier les vulnérabilités du DAO a révélé 10 nouveaux exploits dans son code lors d'un événement à New York.

Les déclarations d'Emin Gün Sirer, critique de longue date du projet, interviennent dans un contexte d'inquiétude générale concernant les développements au sein de The DAO, un véhicule de financement basé sur des contrats intelligents construit avec Ethereum qui s'est effectivement effondré suite à l'exploitation d'une vulnérabilité dans son code de contrat intelligent.

Sirer a averti que, bien que la vulnérabilité qui a conduit àl'enlèvement L'exploitation de dizaines de millions de dollars de la Cryptomonnaie éther est désormais bien comprise, mais il reste encore beaucoup à faire avant qu'une autre DAO (organisation autonome décentralisée) puisse être lancée.

Ces déclarations ont été les premières à établir une voie claire sur la manière de construire une organisation fonctionnant en grande partie avec du code, et ainsi de réaliser la vision originale de The DAO.

Sirer, qui est le codirecteur duInitiative pour les cryptomonnaies et les contrats (IC3), un projet de recherche universitaire axé sur la Technologies, a utilisé le forum pour présenter un compte rendu détaillé des exploits possibles pour de tels projets qui vont jusqu'au langage de codage Ethereum lui-même.

Sirer a ensuite soutenu que les problèmes mis en évidence sont pertinents lorsqu’on examine la question de la création de projets similaires à l’avenir.

Il a dit à la foule :

« La DAO 2.0 exige beaucoup plus d'efforts. C'est un domaine bien plus vaste qu'on ne le pense. »

Vulnérabilités détaillées

Dans les jours précédant la détection initiale du bug, Sirer et ses collègues ont publié un aperçu de ce qu'ils ont appelé une vulnérabilité d'« appel récursif » qui permettait à l'exploitant de déplacer des fonds vers un « DAO enfant » qui se sépare du DAO d'origine.

S'adressant à une foule d'environ 70 codeurs Bitcoin , développeurs Ethereum , informaticiens et professionnels de la finance lors de l'événement d'hier soir, Sirer a détaillé d'autres menaces possibles.

Par exemple, le bug de « traque » – qui est actuellement utilisé pour monterune contre-attaque contre un piratage informatique en chapeau blanc conçu pour déplacer des fonds vers un compte sécurisé – est un exemple de ONEune des vulnérabilités identifiées par Sirer lors de l'événement d'hier soir.

Les 10 vulnérabilités SirerdiscutéLe détail comprend un « piège à propositions concurrentes » par lequel un attaquant émet une proposition arbitraire, telle que « Croyez-vous en Dieu ? », conçue pour susciter un fort taux de réponse. Il inclut également une longue période de vote pendant laquelle le jeton utilisé pour voter est piégé. L'attaquant peut ensuite émettre une proposition concurrente après le blocage des fonds.

Un autre exploit, appelé attaque de « prise de contrôle majoritaire », dissimule un vote majoritaire d'un seul parti qui pourrait bénéficier d'une proposition réussie en divisant le pouvoir de vote en votes plus petits exprimés séparément, contre lesquels, selon lui, il n'existe aucune défense connue.

Certains des exploits évoqués hier soir ont été publiés en détail dans leplus tôtpapier. Une liste complète, ainsi qu'un compte rendu du fonctionnement du DAO, peuvent être trouvésici.

« L'objectif des contrats intelligents est de créer des instruments financiers intéressants et originaux », a déclaré Sirer aux participants, ajoutant :

« Ce n’est pas excitant, c’est juste bizarre. »

Amour dur

Dans les heures qui ont précédé l’événement d’hier, Sirerengagé dans un débat sur Twitter dans lequel il a soutenu que la communauté Ethereum devrait ostraciser les membres fondateurs de Slock.it, une startup basée en Allemagne qui a écrit le code de The DAO et a dirigé son déploiement.

Lors de l'événement à New York, Sirer a doublé la mise dans son appel, nommant notamment les fondateurs Stephan Tual et Christoph Jentzsch.

Si Sirer a eu des mots durs à l'encontre de Slock.it, il a affirmé que les problèmes s'étendaient à Ethereum lui-même. Il a qualifié la DAO de « puce géante de 220 millions de dollars », une critique qui s'étendait non seulement aux DAO, mais aussi à Solidity, le langage de programmation des contrats intelligents d'Ethereum, qui, selon lui, est en cours de développement.

Sirer a déclaré aux participants :

« Nous devrions repenser Solidity, nous devrions repenser ce que signifie écrire des machines à états sécurisées, comment nous devrions les spécifier et comment nous devrions nous assurer qu'elles ne se détraquent pas. »

Image de Michael del Castillo pour CoinDesk