هاك DAO

DAO اخترق

كان هناك هجوم على DAO! يقوم المهاجم حاليًا بسحب الأثير في DAO إلى “DAO التابع”. ببساطة ، رأى هذا الشخص نقطة ضعف في النظام الأساسي واستغلها وبالتالي أفرغ ما قيمته 40 مليون دولار من إيثر. كان الاختراق يهدف إلى مشكلة إعادة الدخول في وظيفة Split DAO. يستدعي المتسلل وظيفة التقسيم داخل الانقسام ويمكنه جمع عدة مرات في معاملة واحدة.

لم يتم اتخاذ أي إجراء حتى الآن ، ولكن المخترق لن يكون قادرًا على سحب أي ETH ، حتى انقضاء 27 يومًا وهي فترة الركود بالنسبة للأطفال DAOs. هذه مشكلة كبيرة تؤثر على DAO. منصة Ethereum نفسها لا تشارك هذه الثغرة الأمنية.

نتيجة لهذا الاختراق ، كان هناك اقتراح للشوكة اللينة ؛ لن يتم عكس أي كتل أو معاملات بمجرد تنفيذ البرنامج. سيؤدي ذلك إلى فرض المعاملات التي تقوم بإجراء مكالمات للمفوضين أو رموز الاتصال التي تقلل من رصيد الحسابات باستخدام تجزئة الكود.

ما هو الاختراق عندما لا يكون لديك مواصفات?

أولاً ، لقول شيئًا ما على أنه خطأ أو اختراق ، يجب أن تكون هناك مواصفات للخلل أو سلوك غير مرغوب فيه. لم تكن هناك مثل هذه المواصفات الصوتية لـ DAO. بالإضافة إلى ذلك ، لا توجد مواصفات محددة للمؤسسة لتحقيق النجاح.

لا يوجد توثيق في الكود يشرح ما فعله المطورون عندما كانوا يكتبون الكود. يقول الناس أن الكود كان في حد ذاته ، كان والدًا له.

بالعامية ، قد يكون المخترق قد قرأ النصوص الدقيقة بشكل أفضل من المطورين أنفسهم.

لا يوجد ملاذ آمن في الوقت الحالي

قد تعتقد أنه من السهل سحب جميع أموالك من DAO بمجرد أن تواجه هجومًا ، ولكن هذا ليس هو الحال دائمًا ، فقد قرر مطورو DAO أن يجعلوا من الصعب على أي شخص سحب أمواله من DAO. لا يُتاح لك خيار إخراج إيثر فقط. ما يحدث عادةً هو أنه يتعين عليك التسجيل للحصول على حساب DAO طفل جديد ونقل إيثر إلى الحساب الجديد وتخزينه هناك لمدة 27 يومًا على الأقل. لذلك إذا اختار المهاجم مراقبة عمليات إنشاء الحساب ، فيمكنه الدخول إلى حسابات الهواة واستنزاف الأموال قبل ترقيتها. ليس من السهل القيام بذلك ، إذا حدث هذا ، فسوف يستدعي اللوم.

نقل الأموال له تكلفة

لم يتم إنشاء DAO للحصول على وظيفة تحديث بسيطة. خاصة الآن ، لا توجد طريقة لإعادة حساب DAO من حالته الحالية إلى رمز عقد جديد. لا يمكن تحويل حساب الرصيد الإضافي إلى إصدار عقد جديد. هذا يعني ببساطة أن حساب الرصيد الإضافي الذي تبلغ قيمته مليون دولار من إيثر هو شطب.

هل Ethereum مثالي للعقود الذكية الآمنة?

من الواضح الآن أن كتابة عقد ذكي واسع وآمن يتطلب الكثير من الاجتهاد والانضباط ، تمامًا مثل كتابة كود مفاعل الطاقة النووية. ومع ذلك ، يبدو أن لغة الصلابة قد تم تصميمها بشكل أكبر لشفرة ويب فضفاضة. فيما يلي بعض الميزات المفقودة.

ستضمن لغة البرمجة الرائعة عدم وجود حالة يصعب استردادها.

ستوضح لغة البرمجة الرائعة متى يمكن إجراء تحويلات الحالة ومتى لا يمكن إجراؤها.

سيكون للغة المدهشة لصيانة النظام ميزات لتحسين أمان عقد مباشر.

تنص لغة الترميز التي لا تشوبها شائبة بوضوح على أنه لا ينبغي أن يكون هناك أي إجراء ضمني ، حيث يتم تنفيذ الكود بوضوح ، كما هو مقروء.

لا تتناول اللغة الحالية في DAO بشكل كامل أيًا من الوصايا المذكورة أعلاه. في الواقع ، الوصية التي تتضمن تنفيذ التعليمات البرمجية والإجراءات الضمنية هي ما حدث في DAO. حتى أن المطورين طلبوا من المنفذ ومصمم الصلابة كتابة مراجعة للكود. إذا لم يتمكن هؤلاء الأشخاص من تأكيد أمان DAO ، فلن يتمكن أي شخص آخر من ذلك.

هجمات التقليد

في الوقت الحالي ، تتضمن المشكلة الرئيسية هجمات مقلدة. يمكن للآخرين التعلم من هذا الحدث والقيام بنفس الشيء بالضبط.

وقف المهاجم

المشكلة الرئيسية هي أنه لا أحد يعرف كيف سيستجيب مجتمع Ethereum لهذا الحدث. علاوة على ذلك ، فإن استرجاع blockchain لن يفعل شيئًا سوى إرسال رسالة سلبية. إذا كان من السهل عكس العقود ، فكيف تكون العقود الذكية أكثر أمانًا من العقود الورقية العادية.

إن مشاهدة المنظمة وهي تتعرض للهجوم من قبل أحد المتطفلين أمر محبط حقًا ويخلق مجموعة جديدة كاملة من المشاعر فيما يتعلق بـ DAO. على ما يبدو ، لا يوجد حل موثوق وطويل الأمد. ربما يقوم المطورون فقط بتجميد DAO والسماح للمستثمرين بسحب إيثر للحد من المشاعر السيئة. ولكن في نهاية الأمر كله ، لا يوجد حقًا نهج يرسم الابتسامة على وجه الجميع.

استنتاج

تعد العقود الذكية ثورية وستظل واحدة من أكثر المجالات إثارة في عالم التكنولوجيا المالية. لقد بدأنا فقط في خدش السطح. كما يقولون ، كل مشروع جديد يعاني من آلامه المتزايدة. عادة ما تواجه كل مرحلة أولية بعض النكسات ، ويأمل الناس أن تتوصل Ethereum إلى حل رائع في الأسابيع القليلة المقبلة – تظهر أقوى من أي وقت مضى.