Ang walang pinunong DAO ay Sinubukan Kasunod ng Pagkakahinaan ng Ethereum

Ang kahinaan sa paraan ng pagpapatupad ng ilang developer ng Ethereum ay nagresulta sa huling-minutong pag-aayos sa The DAO, isang distributed na autonomous na organisasyon na may higit sa $150m sa pagtatapon nito upang mamuhunan sa mga proyektong nakabase sa Ethereum.

Kung walang pinuno o anumang pormal na team ng seguridad na tutukuyin at ayusin ang mga potensyal na banta sa seguridad, ang responsibilidad na iyon ay nasa isang open-source na komunidad na binubuo ng mga miyembro na bumili ng mga karapatan sa pagboto sa organisasyon gamit ang ether bilang bahagi ng yugto ng paggawa nito.

Habang ang mga pagkakakilanlan ng ilan sa mga kasangkot ay hindi pa malinaw, ang paraan kung saan natukoy ang kahinaan at naiulat na naayos ay katumbas ng unang real-world na pagsubok ng istruktura ng DAO at mga diskarte sa paglutas ng problema.

Sa pamamagitan ng ubasan

Nagsimula ang isyu noong nakaraang linggo, nang ang user ng GitHub chriseth "Kaswal na itinuro ang isang kahila-hilakbot, kakila-kilabot na pag-atake sa mga kontrata ng wallet" na maaaring lumitaw mula sa paraan ng pagpapatupad ng ilang mga developer ng mga matalinong kontrata na nakasulat sa wikang Solidity ng Ethereum, ayon sa tagapagtatag ng Blockchain Foundation na si Peter Vessenes.

Sariling blog ni Vessenes posttungkol sa isyu pagkatapos ay nakakuha ng atensyon ng isang user ng Reddit na kaanib sa Maker DAO, na binuo sa Ethereum blockchain.

Ang kahinaan, na nagpapahintulot sa mga umaatake na maubos ang ONE partikular na uri ng account, ay matagumpay na nasubok ng Maker DAO, ayon sa kanilang post, na nakakuha naman ng atensyon ni eththrowa, isang user ng forum ng mga miyembro ng DAO.

Eththrowa nakumpirma na ang kahinaan ay umiral din sa pagpapatupad noon na ginagamit ng The DAO, na binuo gamit ang open-source na software na isinulat ng Slock.it, at ito ang pinakamalaking distributed autonomous na organisasyon na may humigit-kumulang $162m na halaga ng ether na kasalukuyang nasa pagtatapon nito.

Ang post na iyon na, sa huli, ay nakakuha ng atensyon ng tagapagtatag ng Slock.it na si Stephen Tual. Siya, kasama ang iba pang mga miyembro ng forum, ay agad na tumugon at makalipas ang isang araw ay nag-post ng isang LINK sa isang pag-aayos.

Kahapon, Tual inihayag isang serye ng mga pag-upgrade sa software ng proyekto na idinisenyo upang labanan ang kahinaan at iba pang game theoretical attack vectors na hindi nauugnay sa "recursive call" na kahinaan na tinatawag na ngayon.

Sa kanyang post, isinulat ni Tual:

"Ipinaabot namin ang aming pasasalamat sa komunidad ... na muling nagpatunay na ang isang bukas na proseso ng pag-unlad ay humahantong sa mabilis na pagkilala, paghihiwalay at paglutas ng mga potensyal na kahinaan, at sa kasong ito, ang pangkalahatang pagpapabuti ng mga pattern ng disenyo bilang bahagi ng mga programming language."

Walang pondo ng DAO ang nasa panganib dahil sa kahinaan, ayon sa isang hiwalay post.

Mas malawak na isyu

Inilunsad noong unang bahagi ng taong ito ng isang hindi pinangalanang tao o grupo, Ang DAO ay binuo sa open-source code na nagbibigay-daan sa mga user na sama-samang bumoto kung paano magkalat ng mga pondo sa mga proyektong sa tingin ng mga miyembro ay karapat-dapat at makatanggap ng mga dibidendo kung matagumpay ang proyekto.

Sa kasong ito, ang kahinaan ay hahayaan ang isang tatanggap ng mga dibidendo na "maubos ng maraming beses ang kanyang karapatan sa pamamagitan ng pagtawag sa kontrata nang paulit-ulit," ayon kay ethrowa.

Ngunit bilang nilinaw ng post ni Vessenes noong Biyernes, ang banta ng recursive na tawag ay T tungkol lamang sa isang kahinaan sa The DAO, ngunit isang mas pangkalahatang isyu sa paraan ng pagpapatupad ng ilang developer ng mga matalinong kontrata na nakasulat gamit ang Solidity programming language.

Sa isang email sa CoinDesk, nagbigay si Vessenes ng mas teknikal na paglalarawan ng kahinaan:

"Lahat ng pampublikong Solidity function na nagpapadala ng pera o gumagamit ng "tawag" sa isa pang kontrata ay maaaring tawaging recursively ng umaatakeng recipient. T ito kung paano gumagana ang Bitcoin , kaya maaaring maging sorpresa ito sa mga walang karanasan na mga developer ng Ethereum . Ang praktikal na implikasyon ay ang bawat isa sa iyong mga function (at sa katunayan ang iyong buong kontrata) ay dapat na 'reentrant', ibig sabihin, ang mga bahagi ng mga ito ay dapat na gumana muli kung ang mga bahagi nito ay dapat na gumana muli kung ang mga bahagi nito ay dapat gumana muli kung ang mga bahagi nito ay dapat na muling gumana."

Ang mga pag-aayos

Sinabi ng miyembro ng Ethereum Foundation na si Taylor Gerring sa CoinDesk na tumpak ang orihinal na paglalarawan ni Vessenes sa problema. Gayunpaman, idinagdag niya na ang kahinaan ay T mangangailangan ng anumang mga pagbabago sa Ethereum codebase upang ayusin.

Sa halip, ang kahinaan ay nangangailangan ng ibang uri ng pagpapatupad ng mga developer.

Sa panayam, sinabi ni Gerring na ang kahinaan ay "isang alalahanin kung ang isang programmer ng Human ay maaaring gumawa ng problemang ito" ngunit "ito ay hindi isang likas na problema sa Solidity o EVM [ang Ethereum Virtual Machine]", ang scripting language at mga interpreter ng code na nagpapagana sa network.

Kasama ni Vessenes ang dalawang posibleng solusyon sa kahinaan ng "recursive call" sa kanya post.

Ang iba pang mga pag-aayos na partikular sa code ng DAO na inihayag din kahapon ng Slock.it ay idinisenyo upang malutas ang mga potensyal na isyu na mayroon ang ilan. itinuro tungkol sa modelo ng pamamahala ng organisasyon.

Sa partikular, ang mga ito ay mga pag-aayos sa ilang partikular na larong theoretical na pag-atake, kabilang ang tinatawag na "yes bias", na nagreresulta mula sa isang disinsentibo na bumoto ng "hindi". Ang mga pag-aayos ay ipinatupad sa anyo ng mga pull request sa GitHub.

Ngayon, nasa 23,000 bumoboto na miyembro ng The DAO ang sumang-ayon sa mga pagbabago o itulak ang alternatibong solusyon.

Tual nagsulat sa Slock.it blog:

"Ito ay isang ganap na open-source na proyekto. Simula ngayon at sa loob ng dalawang linggong panahon ng pagsusuri, lahat kabilang ang mga curator ay hinihikayat na suriin at lumahok sa pagpapalabas."

Imahe ng karamihan sa pamamagitan ng Shutterstock