Профессор Корнелла призывает к движению «DAO 2.0»

Ученый-компьютерщик из Корнелла, который помог выявить уязвимости в The DAO, раскрыл 10 новых уязвимостей в коде на мероприятии в Нью-Йорке.

Заявления Эмина Гюна Сирера, давнего критика проекта, прозвучали на фоне широкой обеспокоенности по поводу событий в The DAO — платформе финансирования на основе смарт-контрактов, созданной на базе Ethereum , которая фактически рухнула после использования уязвимости в коде смарт-контракта.

Сирер предупредил, что, хотя уязвимость, которая привела кудаление Теперь, когда Криптовалюта эфир стоимостью в десятки миллионов долларов хорошо изучена, многое еще предстоит исправить, прежде чем можно будет запустить еще одну DAO (децентрализованную автономную организацию).

Эти заявления впервые четко обозначили путь к построению организации, работающей в основном на основе кода, и, таким образом, к реализации первоначального видения The DAO.

Сирер, который является содиректоромИнициатива по криптовалютам и контрактам (IC3), академический исследовательский проект, посвященный этой Технологии, использовал форум для изложения подробного отчета о возможных уязвимостях для таких проектов, которые затрагивают весь язык программирования Ethereum .

Сирер продолжил утверждать, что затронутые вопросы актуальны при рассмотрении вопроса создания подобных проектов в будущем.

Он сказал толпе:

«DAO 2.0 требует гораздо, гораздо больше усилий. Это гораздо более глубокая область, чем люди могут подумать».

Подробное описание уязвимостей

За несколько дней до первоначального обнаружения ошибки Сирер и его коллеги опубликовали обзор того, что они назвали уязвимостью «рекурсивного вызова», которая позволяла злоумышленнику переводить средства в так называемый «дочерний DAO», который отделяется от исходного DAO.

Выступая на вчерашнем мероприятии перед аудиторией из примерно 70 программистов Bitcoin , разработчиков Ethereum , специалистов по информатике и финансистов, Сирер подробно рассказал о других возможных угрозах.

Например, «преследующий» жук, который в настоящее время используется для установкиконтратака против взлома, направленного на перевод средств на безопасный счет, — пример ONE из уязвимостей, выявленных Сирером на вчерашнем мероприятии.

10 уязвимостей Sirerобсудилиподробно включают «ловушку параллельных предложений», посредством которой злоумышленник делает произвольное предложение, например «Вы верите в Бога?», призванное вызвать высокую степень отклика, и включают длительный период голосования, в течение которого токен, используемый для голосования, оказывается в ловушке. Затем злоумышленник может сделать конкурирующее предложение после того, как средства будут заблокированы.

Другой способ атаки, называемый атакой «захват большинства», маскирует большинство голосов одной партии, которая может выиграть от успешного предложения, путем разделения голосов на более мелкие голоса, поданные отдельно. По его словам, от этого не существует известной защиты.

Некоторые из подвигов, обсуждавшихся вчера вечером, были подробно опубликованы вранеебумага. Полный список, а также описание того, как функционирует DAO, можно найти здесьздесь.

«Весь смысл смарт-контрактов заключается в создании захватывающих, необычных финансовых инструментов», — сказал Сирер участникам, добавив:

«Это не волнительно, это просто странно».

Жесткая любовь

За несколько часов до вчерашнего события Сирерпомолвлен в ходе дебатов в Twitter он утверждал, что сообщество Ethereum должно подвергнуть остракизму основателей Slock.it, немецкого стартапа, который написал код The ​​DAO и возглавил его развертывание.

На мероприятии в Нью-Йорке Сирер еще раз подчеркнул свою позицию, назвав, в частности, основателей Стефана Туаля и Кристофа Йенцша.

Но хотя Сирер и высказал несколько резких слов в адрес Slock.it, он сказал, что проблемы распространяются и на сам Ethereum . Он назвал DAO «гигантской наградой за баги в размере 220 млн долларов», критика, которая распространилась не только на DAO, но и на язык программирования смарт-контрактов Ethereum Solidity, который, по его словам, находится в стадии разработки.

Сирер сказал присутствующим:

«Нам следует перепроектировать Solidity, нам следует переосмыслить, что значит писать безопасные конечные автоматы, как их определять и как гарантировать, что они не дадут сбоев».

Изображение Майкла дель Кастильо для CoinDesk