Професор Корнелла закликає до руху «DAO 2.0».

Комп’ютерний науковець Cornell, який допоміг виявити вразливості в DAO, розкрив 10 нових експлойтів у його коді на заході в Нью-Йорку.

Заяви Еміна Ґюна Сірера, давнього критика проекту, прозвучали на тлі широкого занепокоєння розвитком The DAO, механізму фінансування на основі смарт-контрактів, створеного за допомогою Ethereum , який фактично зазнав краху після використання вразливості в коді смарт-контракту.

Сірер попередив, що вразливість, яка призвела до видалення десятки мільйонів доларів Криптовалюта ефіру тепер добре зрозуміла, багато чого ще потрібно виправити, перш ніж можна буде запустити іншу DAO (децентралізовану автономну організацію).

Ці заяви були першими, які проклали чіткий шлях вперед для того, як побудувати організацію, яка в основному базується на коді, і таким чином реалізувати оригінальне бачення The DAO.

Сірер, який є співдиректором Ініціатива для криптовалют і контрактів (IC3), академічний дослідницький проект, зосереджений на Технології, використовував форум, щоб викласти детальний опис можливих експлойтів для таких проектів, які йдуть аж до самої мови кодування Ethereum .

Далі Сірер стверджував, що висвітлені проблеми є актуальними, якщо розглядати питання про створення подібних проектів у майбутньому.

Він сказав натовпу:

«DAO 2.0 вимагає набагато, набагато більше зусиль. Це набагато глибша сфера, ніж люди можуть подумати».

Деталі вразливостей

За кілька днів до початкового виявлення помилки Сірер та його колеги опублікували огляд уразливості, яку вони назвали «рекурсивним викликом», яка дозволяла експлуататору переміщувати кошти в так званий «дочірній DAO», який відривається від оригінального DAO.

Звертаючись до натовпу з приблизно 70 Bitcoin кодерів, розробників Ethereum , комп’ютерних науковців і фінансових спеціалістів на вчорашньому заході, Сірер детально розповів про інші можливі загрози.

Наприклад, помилка «переслідування», яка зараз використовується для монтування контратака проти злому білого капелюха, призначеного для переміщення коштів на безпечний рахунок, – це приклад ONE з вразливостей, які Sirer виявив на минулому вечірньому заході.

10 вразливостей Sirer обговорено детально включати «пастку одночасних пропозицій», за допомогою якої зловмисник робить довільну пропозицію, наприклад «Чи віриш ти в Бога?» призначені для отримання високого рівня відповіді та включають тривалий період голосування, протягом якого маркер, який використовується для голосування, потрапляє в пастку. Тоді зловмисник може зробити конкуруючу пропозицію після того, як кошти будуть заблоковані.

Інший експлойт, який називається атакою «поглинання більшості», приховує більшість голосів однієї партії, яка може отримати вигоду від успішної пропозиції, розділяючи право голосу на менші голоси, подані окремо, для чого, за його словами, немає відомого захисту.

Деякі експлойти, про які йшлося вчора ввечері, були детально опубліковані в раніше папір. Повний список, а також опис того, як функціонує DAO, можна знайти тут.

«Вся суть смарт-контрактів полягає у створенні захоплюючих, дивних фінансових інструментів», — сказав Сірер присутнім, додавши:

«Це не захоплююче, це просто дивно».

Жорстка любов

За кілька годин до вчорашньої події, Sirer займається у дебатах у Twitter, у яких він стверджував, що спільнота Ethereum повинна відсторонити членів-засновників Slock.it, німецького стартапу, який написав код DAO та очолював його розгортання.

На заході в Нью-Йорку Сірер подвоїв свій дзвінок, зокрема назвавши засновників Стефана Туала та Крістофа Єнцша.

Але хоча Сірер висловився різко на адресу Slock.it, він сказав, що проблеми поширюються на сам Ethereum . Він назвав DAO «величезною винагородою за помилки в розмірі 220 мільйонів доларів», критика поширилася не лише на DAO, але й на мову кодування смарт-контрактів Ethereum Solidity, яка, за його словами, ще триває.

Сірер сказав присутнім:

«Ми повинні перепроектувати Solidity, ми повинні переглянути, що означає писати безпечні кінцеві автомати, як ми маємо їх специфікувати та як ми маємо переконатися, що вони не зіпсуються».

Зображення Майкла дель Кастільо для CoinDesk