Опечатка перевела $36 млн в изъятых токенах JUNO на неправильный кошелек

Блокчейн Juno на базе Cosmos продолжает служить примером испытаний и трудностей управления на основе блокчейна.

Беспрецедентныйголосование сообществаНа прошлой неделе предполагалось изъять токены JUNO на миллионы долларов из кошелька кита (крупного инвестора), обвиняемого в мошенничестве с эйрдропом сообщества. Вместо того, чтобы отправить средства на адрес, контролируемый сообществом Juno, как изначально планировалось, программная путаница отправила средства на неправильный адрес в среду.

Читать дальше: Сообщество Juno Blockchain официально голосует за отзыв токенов Whale

Обещание управления на основе блокчейна заключается в том, что воля сообщества напрямую кодифицируется в цепочке. В мире, где «код — это закон», простого голосования сообщества должно было быть достаточно для перемещения токенов с ONE конкретного адреса блокчейна на другой.

И все же провал нескольких контролируемых человеком мер безопасности на этой неделе показывает, что управление, ориентированное на код, еще не оправдало своих головокружительных обещаний.

Юнона и кит

Предложение Джуно 20, который прошел сподавляющая поддержка сообществана прошлой неделе отозваны токены у Такуми Асано, японского инвестора, обвиняемого в спекуляции на эйрдропе Juno на сумму $120 млн в феврале. Это был первый на сегодняшний день крупный пример голосования сообщества блокчейна за изменение баланса токенов одного пользователя, обвиняемого в злонамеренных действиях.

Согласно голосованию сообщества, Асано управлял биржевым сервисом, который должен был лишить его кошельки возможности участвовать в так называемом «стейкдропе» Juno, который предоставлял токены JUNOстейкеры на блокчейне Cosmos Hub.

После задержки в несколько дней голосование на прошлой неделе должно было автоматически запустить код, переводящий «игровые» средства — теперь на сумму около 36 миллионов долларов — из кошелька Асано на адрес «Unity», контролируемый сообществом Juno.

Все пошло T так, как планировалось.

Когда код был выполнен в среду, ошибка программирования привела к перемещению 3 миллионов отозванных токенов JUNO наошибочный адресна блокчейне, к которому никто — ни Асано, ни сообщество Juno — не имеет доступа.

Предложение 20: Копипаст

Андреа Ди Микеле, член команды разработчиков-основателей Juno «CORE-1», известный под псевдонимом «Дими», рассказал CoinDesk , что фиктивный перевод произошел в результате ошибки копирования и вставки.

«Когда я дал разработчикам [Предложения 20] адрес смарт-контракта [Unity], я вставил адрес смарт-контракта и сразу под ним поместил хэш транзакции. Но я T написал «хэш транзакции такой», я просто поместил хэш транзакции», — объяснил Дими.

По словам Дими, разработчики случайно скопировали хэш транзакции, который выглядел похожим на адрес кошелька, а не сам адрес. В результате изъятые средства оказались в трещине блокчейна Juno, куда никто не имеет доступа.

Кто виноват?

Валидаторы, которые развертывают узлы для запускаблокчейны с доказательством доли владения Такие как Juno, теоретически несут ответственность за проведение комплексной проверки обновлений в цепочке, подобных ONE , что было включено в Предложение 20. Именно это независимое сообщество валидаторов, а не какой-либо конкретный разработчик, отвечает за выпуск блоков, защиту сети и обработку обновлений «децентрализованным» образом.

Из более чем 120 валидаторов Juno ни ONE не заметил, что адрес Unity был вставлен неправильно.

Дэниел Хванг, глава протоколов в stakefish, ONE из валидаторов Juno, подытожил свои мысли в сообщении для CoinDesk: «Мы крупно облажались».

Хванг заявил, что Мероприятия этой недели были «большей ошибкой валидаторов», чем программистов, вставивших неправильный адрес в код Предложения 20, которые в конечном итоге выполнили этот код.

«Разработчики могут ошибаться… но в конце концов должны быть предположения о доверии, на которые нельзя полагаться», — сказал Хван. «Валидаторы должны проявлять должную осмотрительность, чтобы на самом деле проверять код, который мы выполняем и запускаем».

Так что же теперь с Джуно?

Ответ кита? «Ладно».

CORE команда разработчиков Juno и сообщество сети по-прежнему намерены перевести средства Asano в контролируемый сообществом контракт Unity, а не «сжигать» их непреднамеренно, как Асано говоритможет случиться. (Асано ранеерассказал CoinDesk(Он подаст в суд на валидаторов Juno, если его средства будут списаны, а не дойдут до его предполагаемых «инвесторов»).

На данный момент планируется перевести средства на адрес Unity через уже запланированное обновление блокчейна. Вместо того, чтобы просто вносить улучшения в код, это обновление теперь перепишет реестр Juno, так что застрявшие средства будут переназначены Unity.

Расплывчато сформулированное предложение по управлению, чтобы дать зеленый свет обновлению,Предложение 21, включает строки, в которых говорится, что обновление «завершает перевод средств по предложению Unity» и «переносит средства с адреса-заполнителя на смарт-контракт Unity».

Предложение 21 , LOOKS, готовится к принятию, и трудно себе представить, что на этот раз валидаторы, разработчики и Асано T будут трижды проверять код.

Еще одна неровность на дороге

Хотя Juno получил значительную поддержку со стороны блокчейн-сообщества Cosmos , это лишь последняя из серии неудач проекта.

После того, как в марте сообщество впервые проголосовало за отзыв токенов Асано,таинственная атака на смарт-контрактв апреле на несколько дней отключил цепочку. За последние два месяца цена токена JUNO снизилась с максимума около $40 до примерно $10, где она находится и сегодня.

ИСПРАВЛЕНИЕ (5 мая, 19:01 UTC):В эту статью были внесены исправления с целью отразить тот факт, что Juno не была первой цепочкой на базе Cosmos с развертыванием смарт-контрактов без разрешения.