CoinDesk fête ses 10 ans : 2016 – Comment le piratage de la DAO a changé Ethereum et les Crypto

La plupart d’entre nous ont poussé un soupir de soulagement désespéré en se réveillant d’un cauchemar terrifiant. Le 17 juin 2016, Christoph Jentzch s’est réveillé à l’intérieur d’ un cauchemar.

« Je dormais. Mon frère m’a appelé, alors ma femme m’a réveillé. Elle m’a dit : « [Ton frère] dit que quelque chose ne va pas », se souvient-il. « J’ai vu que c’était un piratage. Le sevrage était régulier et répété. »

« À ce moment-là, j’ai immédiatement réalisé : la DAO est terminée. »

Cet article fait partie de notre série «CoinDesk fête ses 10 ans » qui revient sur les histoires marquantes de l’histoire de la Crypto . Le « piratage de la DAO » est notre choix pour l’histoire la plus importante de 2016.

De nos jours, certains peuvent être déroutés par la référence à « The DAO », au singulier. En 2023, les organisations autonomes décentralisées sont partout – ou du moins, l’étiquette l’est. Mais il n’y a qu’une ONE « The DAO ».

En 2016, quelques mois seulement après le lancement de la plateforme de contrats intelligents Ethereum, Jentzsch et d’autres ont lancé une démonstration ambitieuse de ce qu’elle pouvait accomplir. La DAO utiliserait la technologie Ethereum pour permettre aux investisseurs du monde entier de mettre en commun leurs fonds, puis de voter sur la manière de les déployer. Il s’agissait probablement du premier fonds d’investissement mondial de l’histoire de Human ouvert à toute personne ayant un pouls.

Mais ce matin de juin, le rêve de la DAO s'est évanoui. Le piratage massif allait drainer jusqu'à 60 millions de dollars d'Ether, soit un tiers des fonds apportés par les participants potentiels à la DAO. Même après une contre-attaque white hat, les fonds volés représenteraient au final environ 5 % de tous les jetons Ethereum existants à l'époque.

Comme l'a déclaré un initié, l'effondrement de la DAO « a créé Ethereum tel qu'il est aujourd'hui »

Cela a conduit à ce qui est peut-être encore aujourd’hui la décision la plus controversée de l’histoire d’Ethereum : un hard fork coordonné. Parfois qualifié de manière ironique de « changement d’état irrégulier », le fork a simplement récupéré l’argent du pirate en réécrivant le registre Ethereum . Avant et après le fork, cette décision a déclenché d’énormes et importants débats sur ce que l’on appelle « l’immuabilité » des blockchains. Certains craignaient que cela ne devienne un précédent, rendant le système moins fiable.

Dans l’ensemble, l’épisode a été ONE pour beaucoup d’ Ethereum. Mais Jentzch et d’autres personnes proches de la situation le voient désormais moins comme une tragédie que comme un moment formateur. Comme l’a déclaré un initié, l’effondrement de la DAO « a créé Ethereum tel qu’il est aujourd’hui ». On pourrait le considérer comme un parallèle avec l’impact du piratage de Mt. Gox sur Bitcoin: un test de résistance qui a poussé la communauté au bord de la destruction, mais qui a créé des liens et créé des précédents qui ont contribué à créer le succès que nous connaissons aujourd’hui.

Cela inclut de contribuer à faire des DAO un pilier majeur d’ Ethereum. Des collectifs comme PleasrDAO fonctionnent désormais sur un modèle assez proche de ce modèle initial de fonds d’investissement, tandis que des projets comme MakerDAO utilisent des modèles de gouvernance similaires pour atteindre des objectifs différents – dans le cas de Maker, définir la Juridique monétaire plutôt que guider les investissements. (Et bien sûr, de nombreux projets ont également adopté la désignation « DAO » davantage parce que cela semble cool que pour la façon dont ils fonctionnent réellement.)

J'étais moi-même présent lors du piratage de The DAO, couvrant leterrible Événementspour la fortune. Mais en repensant à l’épisode, des initiés ont souligné une autre conséquence de la DAO à laquelle je n’avais jamais pensé auparavant. Son échec a forcé les projets à chercher des financements par le biais de mécanismes différents. Cela a conduit directement au boom des ICO de 2017 et 2018 – et à la pléthore de jetons de projets réels et faux échangés sur les bourses du monde entier aujourd’hui.

En d’autres termes, sans la DAO et son échec, une grande partie de la Crypto telle que nous la connaissons aujourd’hui n’existerait T .

Les origines de la DAO

Tout a commencé parce que la Fondation Ethereum , l’organisme à but non lucratif qui supervise le développement de la blockchain, manquait de fonds.

Cristoph Jentzch a été très impliqué dans le développement initial d' Ethereum, après avoir découvert le livre blanc en 2014. Il a rapidement rejoint la Fondation Ethereum et a servi de codeur et de testeur pour la version C++ du client Ethereum . Jentzch dit qu'il a travaillé en parallèle avec Vitalik Buterin, qui construisait alors le client Python.

Mais à l'été 2015, le travail sur le C++ était terminé, alors que le financement de la Fondation était faible. Beaucoup de ces La rédaction sont donc partis pour poursuivre des projets connexes. Le cofondateur Ethereum, Gavin Wood, s'est séparé pour créer Parity (et plus tard Polkadot), tandis que Jentzsch a fondé un développeur de contrats intelligents appelé Slock.it.Slock.itétait en partie axé sur la construction du « Réseau de partage universel »,une « économie de partage » sur Etherparfois résumé comme « Uber décentralisé ».

Jentszch et son équipe ont initialement conçu The DAO comme un mécanisme de collecte de fonds spécifiquement destinéSlock.itIl dit que l'objectif était désormais de récolter entre 5 et 10 millions de dollars auprès des utilisateurs Ethereum .

Mais – un phénomène qui allait se répéter à l’ère des ICO – les choses ont rapidement dérapé à mesure que le buzz autour de The DAO s’intensifiait. Le projet a largement dépassé ses objectifs de financement.

Sur le même sujet : CoinDesk fête ses 10 ans – L’héritage de Mt. Gox : pourquoi le plus grand piratage de Bitcoin est toujours d’actualité

Cela a nécessité une réflexion fondamentale.

« Après avoir récolté 20 ou 30 millions de dollars », explique Jentzsch, « tout le monde disait que ce T seulement pour Slock.itou l'USN. Le récit a changé deSlock.it financement pour… finançons chaque application sur Ethereum avec lui. » En fin de compte, la DAO récolterait la somme stupéfiante de 150 millions de dollars.

C'est bien plus que ce qu'il avait prévu, selon Jentszch. Même avant le piratage, il avait le sentiment que la DAO avait attiré trop d'argent et trop de buzz.

« Avant le piratage, c’était la seule fois de ma vie où j’étais complètement épuisé », se souvient Jentzsch aujourd’hui. « Je me promenais dans les bois pendant des heures par jour. Mon énergie était à -10. Je commençais à m’inquiéter pour la DAO, car je voulais 5 à 10 millions de dollars, pas 150 millions de dollars et 15 % de tout ETH. C’était fou… Je donnais naissance à ce projet qui pouvait échapper à mon contrôle et devenir quelque chose de vraiment mauvais dans le monde. »

Le hack

Jentzch n'était T le ONE à paniquer lorsque le piratage a commencé. Toute l'équipe DAO s'est mobilisée.

« Tout est devenu rouge, mon téléphone et mon ordinateur », raconte un membre de l'équipe de support de DAO. Il souhaite rester anonyme, nous l'appellerons donc « Igor ».

« Griff [Green, plus tardcofondateur de Giveth.io] Je me suis dit : « Regardez ce qui se passe ici. Il m’envoyait des liens Etherscan », raconte Igor. « Je ne suis pas très technique, alors je me suis dit : « Les gars, ça n’a T l’air bien, n’est-ce pas ? » Et ils m’ont répondu : « Non, ça n’a T l’air bien. »

L'attaquant, comme il est apparu plus tard, a utilisé ce que l'on appelle aujourd'hui un« attaque de réentrée » qui exploitait une fonction dite de « repli » native du langage de codage alors novateur d'Ethereum, Solidity. En quelques semaines, le pirate a presque entièrement vidé les 150 millions de dollars d' ETH contrôlés par la DAO.

En réponse, non seulement les dirigeants Ethereum , mais aussi des personnalités de l’ensemble de l’espace Crypto se sont mobilisés pour chercher une solution. Vitalik Buterin lui-même, qui n’avait pas été directement impliqué dans la DAO, a pris part à l’effort de sauvetage. Étonnamment, certains Bitcoiners purs et durs ont également fait de même.

Il s’est avéré que l’attaque avait un avantage salvateur : elle fonctionnait dans les deux sens.

L'équipe de crise de la DAO comprenait des hackers Ethereum « white hat » qui « ont commencé à utiliser le même exploit » contre le hacker, raconte Igor. Les white hats, connus sous le nom de groupe Robin Hood, « ont tiré le maximum possible avant que le hacker ne l'obtienne… Et après cela, ils l'ont attaqué [en retour] », explique Igor. « C'étaient vraiment des génies, vous savez. »

En d’autres termes, les white hats se sont retrouvés à voler un braqueur de banque. Ces tactiques ont permis de récupérer une grande partie des fonds piratés, mais loin de la totalité. Et il y avait un problème plus grave : la DAO était (contrairement à beaucoup de ses progénitures) véritablement décentralisée. Il n’y avait aucun moyen facile de « débrancher » complètement la banque, pour ainsi dire, ce qui signifiait que les fonds seraient en danger indéfiniment.

La DAO est rapidement devenue une triple menace pour Ethereum

Ce phénomène, associé à la répétabilité de l’attaque de réentrée dans les deux sens, signifiait que même après les victoires des white hat, il n’y avait pas de véritable fin en vue. « À l’époque, nous pensions que cela allait durer éternellement, juste des allers- FORTH», explique Jentzch.

Dans le même temps, la DAO devenait rapidement une triple menace pour Ethereum. Elle risquait de perdre de l'argent et d'endommager sa réputation. Mais elle avait également attiré l'attention des développeurs qui essayaient de faire avancer les choses.

« Cela a pris deux mois à réfléchir à tout l’écosystème Ethereum », explique Jentzch. « Il y avait donc une idée, il fallait que nous allions au-delà de cela. Un hard fork était juste une fin très nette à cette phase. »

Le hard fork Ethereum

Finalement, une solution radicale a été proposée : et si la seule façon de vraiment vaincre le hacker était de changer les règles du jeu ?

Un « hard fork » de l’ensemble de la blockchain Ethereum n’inclurait pas seulement un correctif pour le bug qui a paralysé The DAO, mais quelque chose de beaucoup plus radical : un soi-disant « changement d’état irrégulier ». C’est ONEune des expressions les plus drôles jamais inventées dans le Crypto, car sous son abstraction rigide, elle signifie quelque chose de simple et de choquant : le hard fork priverait l’utilisateur de son argent.

Concrètement, le hard fork proposé a simplement récupéré tous les fonds piratés et les a restitués, en fin de compte, à leurs propriétaires légitimes. Le fork était comme agiter une baguette magique et téléporter un coffre-fort de banque depuis la cachette d'un voleur vers la banque.

A première vue, cela semble fantastique. Mais les implications à long terme sont bien plus complexes : un avertissement qui a atteint la communauté Ethereum , en partie, par l’intermédiaire des Bitcoiners.

« Au début, la plupart des gens étaient des investisseurs [dans la DAO], et ils se disaient : « Je veux récupérer mon argent », explique Igor. « Mais plus tard, Vitalik est arrivé [dans la discussion], ainsi que certains Bitcoiners. Et il y a eu des discussions fascinantes sur la question de savoir si le hard fork était la voie à suivre. »

Bientôt, en écho au conflit sur la taille des blocs dans Bitcoin, deux camps fortement idéologiques se sont formés sur la question du hard fork Ethereum.

Sur le même sujet : CoinDesk fête ses 10 ans : ce que nous avons appris en relatant une décennie d'histoire de la Crypto

D’ un côté, il y avait ceux que l’on pourrait qualifier de pragmatiques. Il s’agissait non seulement d’investisseurs qui voulaient récupérer leur argent, mais aussi de personnalités de l’écosystème Ethereum qui voyaient une menace beaucoup plus large pour leurs objectifs à long terme. Même après les efforts de l’équipe de Robin Hood, le pirate contrôlait toujours 40 millions de dollars d’Ether – ce qui représentait à l’époque environ 5 % de la capitalisation boursière totale du système. Ainsi, si le pirate gardait le contrôle des fonds piratés, il aurait eu une position dominante permanente dans l’écosystème. Il aurait donc été difficile de prendre Ethereum à nouveau au sérieux.

« Je pense que les gens de la fondation [Ethereum] n’étaient pas contents de ce qui se passait à la DAO, même avant le piratage », explique Igor. « Parce qu’ils pensaient que c’était beaucoup trop tôt. Et c’était ONEune des principales raisons du retour en arrière – c’était très tôt. » Étonnamment tôt, en fait : la DAO avait été proposée, lancée, financée et piratée en juin 2016, moins d’un an après la mise en service Ethereum .

Mais, en partie sous l’influence de Bitcoiners qui se sont fait entendre, cette démarche pragmatique a rencontré une forte opposition. Pour eux, le « changement d’état irrégulier » n’était pas seulement une forme de tricherie, mais une profonde trahison de l’objectif même d’une blockchain. Certains se sont ralliés à l’éthique « le code est la loi », encore en vogue à l’époque – l’idée selon laquelle les blockchains devraient supplanter les tribunaux et les États-nations en tant qu’arbitres de l’équité. Selon certaines versions de cette idée, si vous trouviez un moyen de voler de l’argent en piratant ou en exploitant une blockchain, vous l’aviez mérité de façon honnête et honnête.

Mais le problème le plus important était la fiabilité. Si Ethereum pouvait être modifié pour confisquer les fonds d’un utilisateur – même si cet utilisateur était un hacker – cela posait la possibilité que la même chose puisse arriver à n’importe qui. Selon les opposants au hard fork, cela T serait-il pas encore plus préjudiciable à l’intégrité d’ Ethereum que de laisser un hacker posséder 5 % de la chaîne ?

Ce contingent « le code est la loi » démontrerait toute la portée de la démocratie blockchain en choisissant de s’en tenir à l’ancienne chaîne après le fork. Cette chaîne – où le hacker avait encore une grande partie de son trésor – est devenue connue sous le nom d’ Ethereum Classic. ETC a bénéficié d’un grand soutien au cours de ses premières années et compte toujours des adeptes aujourd’hui, bien qu’il ait inévitablement pris du retard par rapport à Ethereum, tant en termes d’intérêt du marché que de Technologies.

Qu'est-ce qui est venu après

Sept ans plus tard, la chose la plus remarquable à propos du piratage de la DAO est qu’aucun hard fork similaire n’a été évoqué depuis ; il semble que ceux qui s’inquiètent du risque moral des hard forks de type sauvetage aient été trop prudents. Plus particulièrement, il n’y a jamais eu de proposition sérieuse de solution au hard fork de fin 2017Incident du portefeuille Parity, lorsqu'une série d'accidents catastrophiques a bloqué de manière permanente environ 150 millions de dollars d'Ether. Un autre hard fork aurait également pu restituer cet argent, mais cela n'a jamais eu lieu.

ONEun des résultats du piratage de la DAO a été le déplacement des modèles de financement des organisations collectives vers les ventes ICO directes aux investisseurs.

Un autre fait remarquable concernant le piratage de la DAO est que le coupable n'a toujours pas été identifié. Le piratage a exploité des bugs qui avaient été identifiés par l'équipe de la DAO ; ils ont étéen train de réparerCe timing a peut-être contribué à alimenter les rumeurs selon lesquelles le piratage était un « travail de l’intérieur », mais ce n’est que pure spéculation.

Malgré l'embarras de son implication dans le piratage du DAO,Slock.itest resté un acteur pertinent dans le développement des contrats intelligents, jusqu'à saacquisition par Blockchains.comà la mi-2019. Christoph Jentzch est désormais, entre autres fonctions, investisseur en capital-risque.

Une chose n'a T changé : les piratages de grands projets et échanges de Crypto sont restés courants dans la DeFi. Mais ils sont devenus bien plus importants que les quelque 60 millions de dollars drainés avec succès de la DAO. Des exemples comme celui de l'année dernièrePiratage de Wormole(325 millions de dollars) etExploit de Ronin (625 millions de dollars) me viennent facilement à l'esprit. Selon Chainalysis, les piratages DeFi ont représenté82 % de tous les vols par piratage informatiqueen 2022.

Le côté lumineux

Mais sans l’exemple précurseur de la DAO, la situation pourrait être encore pire aujourd’hui. « Avec le recul, l’ensemble du secteur s’est entièrement tourné vers la sécurité après [la DAO] », explique Jentszch. « Avant cela, c’était plutôt un [environnement] qui bougeait vite… « L’ensemble du secteur de la sécurité [de la blockchain] a essentiellement commencé après la DAO. »

Jentzch estime que ONEune des pires conséquences du piratage de la DAO a été le déplacement des modèles de financement des Crypto des organisations collectives vers les ventes ICO directes aux investisseurs. La DAO avait prouvé qu'il était possible de lever des fonds sur la chaîne, mais elle s'est ensuite effondrée, laissant les projets en quête de fonds les mains vides.

« Beaucoup de projets qui prévoyaient de lever des fonds auprès de la DAO ont fini par faire des ICO », explique Jentzch. « Le bon, la brute et le truand. »

Ce qui a été perdu lors du passage de la DAO aux ICO, c’est toute forme de contrôle ou de vérification par des experts, explique Jentzch. « La DAO était en quelque sorte un mélange de la sagesse de la foule et de ces investisseurs matures qui faisaient preuve de diligence raisonnable et savaient ce qu’ils faisaient. Environ 50 % [des investisseurs] étaient des particuliers et des petits actionnaires, et environ 50 % étaient détenus par 51 personnes. L’idée était que les projets iraient à la DAO, et qu’ils ne recevraient T seulement un chèque, mais un contrat intelligent qui enverrait de l’argent au fil du temps. »

« Donc oui, il aurait fallu faire preuve de beaucoup plus de sagesse », déclare Jentzch. « Il aurait été plus difficile d’obtenir de l’argent de la DAO que de faire sa propre ICO. » Cela aurait pu permettre d’orienter davantage de capitaux vers des projets légitimes, et moins vers des escroqueries pures et simples, lors de la manie des ICO qui a suivi.

Plus largement, Jentzch déplore le déclin de l’éthique plus large qui a conduit à la DAO.

« L’esprit d’ Ethereum à l’époque, la vision que nous avions du monde : c’était très similaire à celui des premiers bitcoiners », dit-il aujourd’hui. « Nous en avons encore une partie, mais nous en avons perdu une partie. Nous n’avons T poursuivi la vision que nous avions à l’époque de créer des applications véritablement décentralisées. Et aujourd’hui, nous sommes en bien meilleure position pour sécuriser les contrats intelligents. »

« Nous ne devrions T être trop timides et tenter à nouveau de grandes choses. »