Бутерин: Как в DAO допустили атаку, о возможности которой знали заранее, и что теперь с этим делать

Развитие событий: Qiwi: Вопрос создания полноценной системы ИБ – это вопрос финансовых возможностей (11 июля)

В прошлую пятницу взлом «первого в мире полностью автономного инвестфонда» Decentralized Autonomous Organization (DAO) и лежащей в его основе инфраструктуры Ethereum поставил под вопрос перспективы идей блокчейна и использования криптовалют. Создатель Ethereum Виталик Бутерин рассказал Roem.ru почему основатели компании ничего не предприняли, хотя об угрозе было известно задолго до даты взлома, а также поделился надеждами на то, что пользователи одобрят «перезагрузку» системы, которая нарушит изначально оговоренные правила ее функционирования, но позволит вернуть контроль над похищенными $44 миллионами.

бутерин-1

В основе DAO лежит Ethereum — проект создания различных платформ на базе распределенного реестра (блокчейна). В том числе на базе этой технологии работает криптовалюта «эфир» (ether) — аналог «Биткойнов», а также сама DAO. DAO — это по замыслу его создателей полностью автономный инвестфонд. Инвесторы вносят в него средства, номинированные в «эфирах», затем эти средства инвестируются в проекты, поддержанные большинством инвесторов, а также участников проекта имеющих статус модераторов — это инвесторы, получившие определенный мандат доверия от других участников проекта, проголосовавших за них.

Проект Ethereum запущен в 2013 году вундеркиндом Виталиком Бутериным, который окончил школу в Торонто и бросил местный университет через восемь месяцев учебы. В 2014 году инвестором проекта стал один из основателей PayPal миллиардер и легенда венчурной индустрии Питер Тиль. Ethereum серьезно заинтересовались банки Goldman Sachs, Credit Suisse, Barclays и JP Morgan. DAO, которая является только частью проекта Бутерина, привлекла по состоянию на май 2016 года более $100 миллионов. В мае этого года Бутерин приехал в Россию, где участвовал в ряде встреч с представителями российского банковского сообщества и регуляторов — ЦБ и Минкомсвязи, которые состоялись в Сколково.

Предсказанный взлом

О проблемах Ethereum стало известно в пятницу, когда неназванный пользователь системы вывел из DAO сумму в ethers, эквивалентную на тот момент $43,9 млн. Автор взлома использовал одну из функций системы, предполагавшей создание дочерней организации, за что полагалось определенное вознаграждение в криптовалюте. «Хакер» ввел систему в бесконечный цикл, за счет чего ему удалось по крайней мере на две трети опустошить счета DAO. Правда выевести деньги из системы он сможет только через три недели, а курс «эфира» только за выходные упал на 20% из-за информации о проблемах криптовалюты.

ether

Проблема в том, что эта функция оказалась легитимной — автору взлома не понадобилось модифицировать код системы, он использовал код, который был заложен в ней изначально. Это создало практически нерешаемую проблему для DAO, так как фонд изначально позиционировался как полностью автономный и управляемый программным алгоритмом — слоган системы «DAO is the code». Более того, предполагаемый хакер проконсультировался с юристами и пригрозил подать на Бутерина в суд, если он попробует модифицировать код DAO для того, чтобы вернуть деньги их изначальным владельцам.

Дополнительные волнения на форумах, посвященных крипотовалютам, вызвала информация о том, что DAO прошла аудит в сфере информационной безопасности, о чем в апреле 2016 года сообщала компания Deja Vu Security, позиционирующая себя как «ведущая мировая компания в сфере информационного аудита» — в сети об этой компании почти нет информации не считая данных, связанных с работой с Ethereum. По словам Бутерина, тема возможной уязвимости всплыла еще раньше — за два года до проведения аудита. Также он говорит, что взлом — это локальная проблема, которая позволит сделать технологии блокчейн и крипотовалют, а также автоматизированного инвестировния более надежными:

Что вы думаете о будущем DAO как проекта, возможно ли вернуть доверие клиентов и как вы намерены это сделать?

Я думаю, важнее всего избежать риска возникновения подобных ситуаций в будущем, а не зацикливаться на краткосрочной перспективе и подробностях конкретного инцидента, я более конкретно изложил свои соображения в блоге.

Какова ваша позиция в отношении идеи изменения изначального кода платформы. Вы заявляли, что планируете это сделать, чтобы вернуть средства инвестров, а ваш оппонент ответил, что это будет нарушением американских законов и что в этом случае он подаст на вас в суд. Готовы ли вы защищать свои интересы в суде?

Я не думаю, что я тот, кто «меняет программный код». Я думаю, что я тот, кто может только предлагать что-то, а уже пользователи и майнеры должны будут одобрить форк.

Есть ли другие способы вернуть деньги вкладчикам?

Мы сейчас изучаем все существующие возможности.

В прессе сообщалось, что данные об уязвимости системы стали достоянием общественности задолго до взлома, почему ничего не было сделано чтобы предотвратить проблемы?

Данные о возможности такого типа атак [recursive calling vulnerability] было известно уже два года. Изначально о нем сообщил Эндрю Миллер [аспирант университета Мериленда, специализирующийся в области компьютерной безопасности] и также всплывала в процессе аудита по информационной безопасности. Эта проблема был недостаточно акцентирована, а тот факт, что ей подвержена DAO был обнаружен за пару дней до самой атаки, причем он обсуждается только как потенциальная опасность, а не как угроза, требующая немедленного решения. Во всем остальном атака была для нас неожиданностью.

Вечные вопросы

Сообщество инвесторов в крипотвалюты и блокчейн пока не успело разобраться с вопросом «кто виноват». По одной версии это авторы контракта DAO, которые сами подставились и прописали заведомо проигрышные для себя условия — а злоумышленнику нужно было всего лишь внимательно прочитать пользовательское соглашение. По другой версии, уязвимость заложена в самой идее криптовалют, которые по сути являются финансовой пирамидой, не имеющей прямого отношения к реальным деньгам.

Сооснователь «Рокетбанка» и вице-президент по блокчейн Acronis Виктор Лысенко считает, что взлом пойдет только на пользу всей индустрии:

«Сейчас уже становится понятно, что это не проблема уязвимости кода или ошибки вычисления, а проблема в недостаточной продуманности алгоритма контракта. Думаю, что этот случай пойдёт на пользу для Ethereum. Большие публичные блокчейн системы, такие как Ethereum и Bitcoin и так находятся под постоянной атакой хакеров, поскольку одновременно являются открытыми и содержат в себе ценности на сотни миллионов и миллиарды долларов. Но, вероятно, данный случай ещё подстегнёт внимание хакеров и дыры в системе, если они есть, будут обнаружены раньше», — говорит он.

Пока главный вопрос, занимающий владельцев «эфиров» — нужно ли аннулировать результаты действий условного хакера, от которых пострадали клиенты DAO, тем самым дискредитируя других пользователей «эфиров», которые купили криптовалюту, но не участвовали в деятельности инвестфонда. Если это будет сделано, вопрос возврата денег будет частично решен. С другой стороны, криптовалюта уже успела существенно подешеветь, а форк системы может быть обжалован в суде. В любом случае, Бутерин прав в том, что на ошибках Ethereum явно научатся его последователи, если кто-нибудь вообще решится в будущем заниматься этим сегментом.

Добавить 8 комментариев

  • Ответить
    Cat

    «Взлом … Ethereum поставил под вопрос перспективы идей блокчейна и использования криптовалют.» — скорее это несанкционированное начисление бабел за пустое действие, поставило вопрос о дальнейшей судьбе этого прыщаго ушастика. Между тем криптовалюта Bitcoin достигла своего максимума в 770 $ за штуку, то есть через день после «адского взлома» 17 июля 2019 за более чем два года наблюдений и выросла с начала года почти в 2 раза по отношению к доллару, в отличие от нашей родимки рублега, учитывая, что биткоин это фактически никем не контролируемый воздух не имеющий под собой не одного актива, типа нефти, газа, земли, леса, остаётся только пожелать рублю таких же перспиктив как у криптовалюты Bitcoin и лежащей в её основе технлогии Blockchain :)

  • Ответить

    Даже если умрёт Едёр будет «Едёр 2», поплохело яху родился гугл, начались проблемы с майспейс родился фэйсбук и т. п. Не обязательно первый пожнёт сливки от перспективной технологии, Sun давно умер, но java работает в телефонах под Андроид. Вобщем статья слишком паническая, для рядовой проблемы, у Биткоина был крах Mt Gox гораздо более мрачный чем этот рядовой эпизод в Ёдер, с падением на жалкие 20 процентов. Другое дело, что возможно парниша много на себя взял, читал пару статеек на английском с критикой в его адрес, по поводу этого эпизода, что мол слишком молод он для миллиардера :)

  • Ответить

    > Более того, предполагаемый хакер проконсультировался с юристами и пригрозил подать на Бутерина в суд, если он попробует модифицировать код DAO для того, чтобы вернуть деньги их изначальным владельцам.

    Если речь об этом http://pastebin.com/CcGUBgDG, то это, вроде как, шутка. Подробности здесь https://www.reddit.com/r/ethereum/comments/4oo1io/an_open_letter_from_the_hacker/

    > тем самым дискредитируя других пользователей «эфиров», которые купили криптовалюту, но не участвовали в деятельности инвестфонда

    А как именно другие пользователи будут дискредитированы? Насколько мне известно, планируется:
    1. Софт-форк, которым будет заблокирован вывод итера с аккаунта хакера и аналогичных. Причём, софт-форк не будет действовать, если майнеры не проголосуют за него
    2. Затем хард-форк, с помощью которого вернут украденный итер.

    Т.е. транзакции, не затрагивающие ДАО, останутся без изменений.

  • Ответить
    Cat

    У нас слишком много людишек называются СМИ хакерами, хотя данный поц юзал вроде как стандартный в кавычках функционал начисления коммисии за «форк» нестандартным способом, более того вроде как «коллективные» владельцы кода, говорят что знали об этой фиче, но не думали что это будет опасно, видимо сказывалось отсутствие опыта работы с системами где общество голосует за изменения, тем не менее 17 все проголосовали за багфикс и всё бу хорошо, хорошо для них только одно, что обналичить эту х.йню можно не так быстро как американские доллары которые сп.здили из банков бангладеш :) Такая же история только с меньшими проблемами сейчас в Биткоин там идёт холивар на тему размера подписываемых блоков, куча китайских ферм заточена на текущий размер блока, но из-за его малого размера тупит вся система, ну это помимо того что главный разработчик подтвердил что Сатоши Накомото какой-то австралийский клоун самозванец, в свою очередь клоун самозванец разоблачённый сообществом пытается сейчас запатентовать систему блокчейн ;) ржака обоссака, конечно, та ещё, но таковы реалии высокоинтелектуальных компьютерных технологий.

  • Ответить

    Думаю, ещё не раз. Нельзя делать что-то новое, не совершая ошибок. Надеюсь, будущие факапы будут не такие эпичные, как этот.

    Есть мнение, что создатели ДАО и участники слегка недооценили риски. Может быть, это хорошо, что проблема проявилась на раннем этапе. Возможно, разработчики и сообщество сделают важные выводы из этого: будет меньше хайпа и больше анализа.

  • Ответить
    Cat > Альтер Эго контекст

    Как раз опыт развития сети интернет, а технология блокчэйн сейчас проповедуется как интернет денег, адептами данного культа перед ведущими банкирами, так вот опыт развития интернет сети показывает, что не нужны банки регуляторы и догмы вместе с судами и законами, всё это дополнительные издержки, все открытые свободные протоколы обмена битами и байтами были отлажены и баги пофикшены, сейчас всё летает и относительно безопасно, я надеюсь так будет и с цифровыми монетами, безопасно дёшево и чёткими правилами, в отличие от того же SWIFT через который украли 80 лямов (это рядовой эпизод), а собирались украсть 1 млрд, да английская граммотность подвела :) не говоря уже про наш цб который в прошлом году украл у 80% населения державших деньги в рублях половину покупательной способности вкладов, ну это не 90 е, когда украли всё, считай по божески, наверное :) но слава богу эти упырьки могут запретить биткоин только в нашей стране, все остальные страны, нам завидуют, как мы держимся и продолжают на огромной скорости развивать данную технологию не смотря на проблемы роста.