Hacker DAO

Hackl DAO

Došlo k útoku na DAO! Útočník v současné době nasává Ether v DAO na „dětský DAO“. Jednoduše řečeno, tato osoba viděla slabost na platformě a využila ji, čímž vyprázdnila ether za přibližně 40 milionů dolarů. Hack byl zaměřen na problém opětovného vstupu do funkce Split DAO. Hacker volá funkci split uvnitř rozdělení a může sbírat vícekrát v jedné transakci.

Doposud nebyly podniknuty žádné kroky, ale hacker nebude moci stáhnout žádný ETH, dokud neuplyne 27 dní, což je u dětských DAO stagnující období. To je obrovský problém, který ovlivňuje DAO. Samotná platforma Ethereum tuto chybu zabezpečení nesdílí.

V důsledku tohoto hacku došlo k návrhu měkké vidlice; po implementaci softwaru nebudou vráceny žádné bloky ani transakce. To vynutí transakce, které provádějí delegované hovory nebo volací kódy, které minimalizují zůstatek účtů s hash kódu.

Co je hack, když nemáte specifikace?

Za prvé, abychom něco řekli, je chyba nebo hack, musí existovat specifikace chyby nebo nežádoucího chování. Pro DAO neexistují žádné takové vokalizované specifikace. Kromě toho neexistuje žádná daná specifikace pro organizaci, která má být realizována pro úspěch.

V kódu není dokumentace, která vysvětluje, co vývojáři udělali, když psali kód. Lidé říkají, že kód byl sám o sobě, byl to jeho vlastní rodič.

Hovorově by hacker mohl číst drobný tisk lépe než samotní vývojáři.

V tuto chvíli neexistuje žádný bezpečný přístav

Možná si myslíte, že je snadné vybrat všechny své prostředky z DAO, jakmile čelíte útoku, ale není tomu tak vždy.Vývojáři DAO se rozhodli, že každému bude obtížné vybírat své prostředky z DAO. Nemáte možnost jen vyjmout svůj Ether. Obvykle se stane, že se musíte zaregistrovat k novému podřízenému účtu DAO, přesunout svůj Ether do nového účtu a uložit jej tam po dobu nejméně 27 dnů. Pokud se tedy útočník rozhodne sledovat vytváření účtů, mohl by se dostat do amatérských účtů a odčerpat prostředky, než budou upgradovány. Není snadné to udělat, pokud k tomu dojde, vyvolá nedůvěru.

Stěhování fondů má své náklady

DAO nebyl vytvořen, aby měl jednoduchou aktualizační funkci. Zvláště nyní neexistuje způsob, jak obnovit účet DAO z aktuálního stavu do nového kódu smlouvy. Účet mimořádného zůstatku nelze převést na novou smlouvu. To jednoduše znamená, že mimobilanční účet, který má Ether v hodnotě milionů dolarů, je odpisem.

Je Ethereum ideální pro zabezpečené inteligentní smlouvy?

Nyní je jasné, že sepsání široké a bezpečné inteligentní smlouvy vyžaduje hodně péče a disciplíny, stejně jako psaní kódu jaderného reaktoru. Zdá se však, že jazyk solidity byl navržen spíše pro uvolněný webový kód. Níže jsou uvedeny některé z funkcí slečny.

Skvělý jazyk pro kódování by zajistil, že neexistuje žádný stav, který by bylo obtížné obnovit.

Skvělý jazyk pro kódování by jasně ukázal, kdy lze provádět převody stavů a ​​kdy je nelze provést.

Neuvěřitelný jazyk pro údržbu systému by měl funkce pro zlepšení zabezpečení živé smlouvy.

Bezvadný jazyk pro kódování by jasně stanovil, že by nemělo dojít k žádné implicitní akci, kód se provede jasně, jak je přečteno.

Aktuální jazyk DAO plně neřeší žádné z výše uvedených přikázání. Ve skutečnosti se v DAO stalo přikázání, které zahrnuje provádění kódu a implicitní akce. Vývojáři dokonce nechali jak implementátora, tak i designéra solidnosti napsat recenzi kódu. Pokud tito lidé nemohou potvrdit bezpečnost DAO, pak nikdo jiný nemůže.

Napodobující útoky

V tuto chvíli hlavní problém zahrnuje napodobitelné útoky. Ostatní lidé se mohou z této události poučit a dělat přesně to samé.

Zastavení útočníka

Hlavním problémem je, že nikdo neví, jak bude na tuto událost reagovat komunita Ethereum. Vrácení blockchainu navíc neudělá nic jiného než vyslání negativní zprávy. Pokud bylo snadné reverzní smlouvy, jak jsou inteligentní smlouvy bezpečnější než běžné papírové smlouvy.

Sledování organizace, která je napadena hackerem, je opravdu depresivní a vytváří zcela novou sadu emocí týkajících se DAO. Zdá se, že neexistuje spolehlivé a dlouhodobé řešení. Možná vývojáři jen zmrazí DAO a umožní investorům stáhnout svůj Ether, aby omezili špatné pocity. Ale na konci toho všeho skutečně neexistuje žádný přístup, který by každému vykouzlil úsměv na tváři.

Závěr

Inteligentní smlouvy jsou revoluční a zůstanou jedním z nejzajímavějších oborů ve světě fintech. Začali jsme jen škrábat povrch. Jak se říká, každý nový projekt má stále větší bolesti. Každá počáteční fáze obvykle čelí určitým neúspěchům a je nadějí lidí, že Ethereum přijde v příštích několika týdnech se skvělým řešením – bude silnější než kdykoli předtím.