DAO senza leader messo alla prova dopo la vulnerabilità Ethereum

Una vulnerabilità nel modo in cui alcuni sviluppatori stanno implementando Ethereum ha richiesto una correzione dell'ultimo minuto per The DAO, un'organizzazione autonoma distribuita con oltre 150 milioni di dollari a disposizione da investire in progetti basati su Ethereum.

Senza un leader o un team di sicurezza formale che identifichi e risolva potenziali minacce alla sicurezza, tale responsabilità ricade su una comunità open source composta da membri che hanno acquistato diritti di voto nell'organizzazione con l'ether come parte della sua fase di creazione.

Sebbene l'identità di alcuni dei soggetti coinvolti non sia ancora chiara, il metodo con cui la vulnerabilità è stata identificata e, a quanto si dice, risolta costituisce il primo test pratico della struttura e delle tecniche di risoluzione dei problemi del DAO.

Attraverso il passaparola

Il problema è iniziato la scorsa settimana, quando l'utente di GitHubCristoforo"hanno segnalato casualmente un terribile, terribile attacco ai contratti wallet" che potrebbe derivare dal modo in cui alcuni sviluppatori stavano implementando contratti intelligenti scritti con il linguaggio Solidity di Ethereum, secondo il fondatore della Blockchain Foundation Peter Vessenes.

Il blog di VessenesinviareLa questione ha poi attirato l'attenzione di un utente di Reddit affiliato a Maker DAO, basato sulla blockchain Ethereum .

La vulnerabilità, che consente agli aggressori di svuotare ONE particolare tipo di account, è stata poi testata con successo da Maker DAO, secondo il loro inviare,che a sua volta ha catturato l'attenzione di eththrowa, un utente del forum dei membri del DAO.

Ethrowaconfermatoche la vulnerabilità esisteva anche nell'implementazione allora utilizzata da The DAO, che era stata creata utilizzando un software open source scritto da Slock.it ed è la più grande organizzazione autonoma distribuita con circa 162 milioni di dollari in ether attualmente a sua disposizione.

Fu quel post che, alla fine, catturò l'attenzione del fondatore di Slock.it, Stephen Tual. Lui, insieme ad altri membri del forum, rispose prontamente e un giorno dopo pubblicò un LINK a una correzione.

Ieri, Tualannunciatouna serie di aggiornamenti al software del progetto, studiati per combattere la vulnerabilità e altri vettori di attacco basati sulla teoria dei giochi, non correlati alla vulnerabilità "chiamata ricorsiva", come viene ora chiamata.

Nel suo post, Tual ha scritto:

"Esprimiamo la nostra gratitudine alla comunità ... che ha dimostrato ancora una volta che un processo di sviluppo aperto porta alla rapida identificazione, all'isolamento e alla risoluzione di potenziali vulnerabilità e, in questo caso, al miglioramento generale dei modelli di progettazione come parte dei linguaggi di programmazione."

Nessun fondo DAO era a rischio a causa della vulnerabilità, secondo un rapporto separatoinviare.

Problema più ampio

Lanciato all'inizio di quest'anno da una persona o un gruppo di cui non è stato reso noto il nome, The DAO si basa su un codice open source che consente agli utenti di votare collettivamente su come distribuire i fondi ai progetti che i membri ritengono meritevoli e su come ricevere i dividendi in caso di successo del progetto.

In questo caso, la vulnerabilità avrebbe consentito al beneficiario di tali dividendi di "sprecare molte volte i propri diritti chiamando il contratto in modo ricorsivo", secondo eththrowa.

Ma come ha chiarito il post di Vessenes di venerdì, la minaccia delle chiamate ricorsive T riguardava solo una debolezza di The DAO, ma un problema più generale nel modo in cui alcuni sviluppatori implementano contratti intelligenti scritti con il linguaggio di programmazione Solidity.

In un'e-mail a CoinDesk, Vessenes ha fornito una descrizione più tecnica della vulnerabilità:

"Tutte le funzioni pubbliche di Solidity che inviano denaro o usano "call" su un altro contratto possono essere chiamate ricorsivamente da un destinatario attaccante. T è così che funziona Bitcoin , quindi potrebbe sorprendere gli sviluppatori Ethereum inesperti. L'implicazione pratica è che ciascuna delle tue funzioni (e in effetti l'intero contratto) dovrebbe essere "rientrante", il che significa che dovrebbe funzionare allo stesso modo se parti di esso vengono richiamate prima del completamento."

Le correzioni

Il membro della Ethereum Foundation Taylor Gerring ha detto a CoinDesk che la descrizione originale del problema fatta da Vessenes era accurata. Tuttavia, ha aggiunto che la vulnerabilità T richiederà alcuna modifica alla base di codice Ethereum per essere risolta.

Piuttosto, la vulnerabilità richiede un diverso tipo di implementazione da parte degli sviluppatori.

In un'intervista, Gerring ha affermato che la vulnerabilità "è preoccupante nella misura in cui un programmatore Human potrebbe creare questo problema", ma "non è un problema intrinseco di Solidity o EVM [ Ethereum Virtual Machine]", il linguaggio di scripting e gli interpreti di codice che alimentano la rete.

Vessenes ha incluso due possibili soluzioni alla debolezza della "chiamata ricorsiva" nel suoinviare.

Altre correzioni specifiche al codice di The DAO annunciate ieri da Slock.it sono progettate per risolvere potenziali problemi che alcuni hannosottolineatoriguardo al modello di governance dell’organizzazione.

Nello specifico, si tratta di correzioni a determinati attacchi teorici del gioco, tra cui quello che viene chiamato "bias del sì", che deriva da un disincentivo a esprimere voti "no". Le correzioni sono state implementate sotto forma di richieste pull su GitHub.

Ora spetta ai 23.000 membri votanti del DAO accettare i cambiamenti o spingere per una soluzione alternativa.

Tualeha scrittosul blog Slock.it:

"Questo è un progetto completamente open source. A partire da oggi e durante il periodo di revisione di due settimane, tutti, compresi i curatori, sono incoraggiati a rivedere e partecipare alla pubblicazione."

Immagine della folla tramiteImmagine