Der DAO-Hack

DAO gehackt

Es hat einen Angriff auf die DAO gegeben! Der Angreifer saugt derzeit den Äther im DAO in ein „untergeordnetes DAO“ um. Einfach ausgedrückt, diese Person sah eine Schwäche in der Plattform und nutzte sie aus, wodurch Ether im Wert von etwa 40 Millionen Dollar geleert wurde. Der Hack zielte auf das Wiedereintrittsproblem in der Split DAO-Funktion ab. Der Hacker ruft die Split-Funktion innerhalb eines Split auf und kann mehrere Male in einer Transaktion sammeln.

Bisher wurden keine Maßnahmen ergriffen, aber der Hacker kann keine ETH zurückziehen, bis 27 Tage vergangen sind. Dies ist die stagnierende Zeit für DAOs von Kindern. Dies ist ein großes Problem, das das DAO betrifft. Die Ethereum-Plattform selbst teilt diese Sicherheitsanfälligkeit nicht.

Infolge dieses Hacks wurde eine weiche Gabel vorgeschlagen; Sobald die Software implementiert ist, werden keine Blöcke oder Transaktionen mehr rückgängig gemacht. Dadurch werden Transaktionen erzwungen, bei denen delegierte Anrufe getätigt werden, oder Anrufcodes, die den Kontostand mit Code-Hash minimieren.

Was ist ein Hack, wenn Sie keine Spezifikationen haben??

Erstens muss es Spezifikationen für den Fehler oder unerwünschtes Verhalten geben, um zu sagen, dass etwas ein Fehler oder Hack ist. Für das DAO gab es keine derart vokalisierten Spezifikationen. Darüber hinaus gibt es keine vorgegebene Spezifikation für die Organisation, die für den Erfolg realisiert werden soll.

Der Code enthält keine Dokumentation, die erklärt, was die Entwickler beim Schreiben des Codes getan haben. Die Leute sagen, dass der Code für sich selbst war, es war sein eigenes Elternteil.

Umgangssprachlich hat der Hacker das Kleingedruckte möglicherweise besser gelesen als die Entwickler selbst.

Im Moment gibt es keinen sicheren Hafen

Sie könnten denken, dass es einfach ist, alle Ihre Gelder vom DAO abzuheben, wenn Sie einem Angriff ausgesetzt sind, aber dies ist nicht immer der Fall. Die Entwickler des DAO haben beschlossen, es jedem schwer zu machen, ihr Geld aus dem DAO abzuheben. Sie haben nicht die Möglichkeit, nur Ihren Äther herauszunehmen. Normalerweise müssen Sie sich für ein neues untergeordnetes DAO-Konto anmelden, Ihren Ether in das neue Konto verschieben und dort mindestens 27 Tage lang speichern. Wenn der Angreifer also die Kontoerstellung überwacht, kann er auf die Amateurkonten zugreifen und das Geld abfließen lassen, bevor sie aktualisiert werden. Es ist nicht einfach, dies zu tun. In diesem Fall wird er sich auf Kritik berufen.

Der Umzug von Geldern ist mit Kosten verbunden

Das DAO wurde nicht für eine einfache Aktualisierungsfunktion erstellt. Insbesondere jetzt gibt es keine Möglichkeit, das DAO-Konto von seinem aktuellen Status auf einen neuen Vertragscode zurückzusetzen. Das Extra-Guthaben-Konto kann nicht in eine neue Vertragsversion konvertiert werden. Dies bedeutet einfach, dass ein Extra-Balance-Konto mit Ether im Wert von einer Million Dollar eine Abschreibung ist.

Ist Ethereum ideal für sichere intelligente Verträge??

Es ist jetzt klar, dass das Schreiben eines umfassenden und sicheren Smart-Vertrags viel Sorgfalt und Disziplin erfordert, genau wie das Schreiben eines Kernkraftreaktor-Codes. Die Soliditätssprache scheint jedoch eher für losen Webcode konzipiert worden zu sein. Im Folgenden sind einige der Fehlfunktionen aufgeführt.

Eine großartige Sprache für die Codierung würde sicherstellen, dass es keinen Zustand gibt, der schwer wiederherzustellen ist.

Eine großartige Sprache für die Codierung würde kristallklar machen, wann Zustandskonvertierungen durchgeführt werden können und wann sie nicht durchgeführt werden können.

Eine unglaubliche Sprache für die Wartung des Systems hätte Funktionen zur Verbesserung der Sicherheit eines Live-Vertrags.

Eine einwandfreie Sprache für die Codierung würde eindeutig festlegen, dass keine implizite Aktion ausgeführt werden sollte. Der Code wird beim Lesen klar ausgeführt.

Die aktuelle Sprache im DAO spricht keines der oben genannten Gebote vollständig an. Tatsächlich ist das Gebot, das Codeausführungen und implizite Aktionen beinhaltet, das, was im DAO passiert ist. Die Entwickler ließen sogar sowohl den Implementierer als auch den Designer von Solidity eine Überprüfung des Codes schreiben. Wenn diese Personen die Sicherheit des DAO nicht bestätigen können, kann dies niemand anderes.

Nachahmer-Angriffe

Im Moment besteht das Hauptproblem in Nachahmerangriffen. Andere Menschen können aus diesem Ereignis lernen und genau das Gleiche tun.

Den Angreifer stoppen

Das Hauptproblem ist, dass niemand weiß, wie die Ethereum-Community auf dieses Ereignis reagieren wird. Wenn Sie die Blockchain zurücksetzen, wird lediglich eine negative Nachricht gesendet. Wenn es einfach war, Verträge rückgängig zu machen, wie sind intelligente Verträge dann sicherer als normale Papierverträge?.

Zu sehen, wie die Organisation von einem Hacker angegriffen wird, ist wirklich deprimierend und erzeugt eine ganz neue Reihe von Emotionen in Bezug auf das DAO. Anscheinend gibt es keine zuverlässige und langfristige Lösung. Vielleicht werden die Entwickler das DAO einfach einfrieren und den Investoren erlauben, ihren Äther zurückzuziehen, um Unwohlsein zu reduzieren. Aber am Ende gibt es wirklich keinen Ansatz, der jedem ein Lächeln ins Gesicht zaubert.

Fazit

Intelligente Verträge sind revolutionär und werden eines der aufregendsten Bereiche der Fintech-Welt bleiben. Wir haben erst angefangen, die Oberfläche zu kratzen. Wie sie sagen, hat jedes neue Projekt seine wachsenden Schmerzen. Jede Anfangsphase ist normalerweise mit einigen Rückschlägen verbunden, und es besteht die Hoffnung der Menschen, dass Ethereum in den nächsten Wochen eine großartige Lösung finden wird – stärker als je zuvor.