Un professore della Cornell University chiede il movimento "DAO 2.0"

L'informatico della Cornell University che ha contribuito a identificare le vulnerabilità di The DAO ha rivelato 10 nuovi exploit nel suo codice durante un evento a New York.

Le dichiarazioni di Emin Gün Sirer, storico critico del progetto, giungono in un momento di grande preoccupazione per gli sviluppi di The DAO, un veicolo di finanziamento basato su contratti intelligenti creato con Ethereum che è di fatto crollato a seguito dello sfruttamento di una vulnerabilità nel codice del suo contratto intelligente.

Sirer ha avvertito che, mentre la vulnerabilità che ha portato ala rimozione Sebbene il valore della Criptovaluta Ether sia ormai ben compreso, resta ancora molto da sistemare prima che possa essere lanciata un'altra DAO (organizzazione autonoma decentralizzata).

Tali dichiarazioni furono le prime a tracciare un percorso chiaro su come costruire un'organizzazione gestita in gran parte tramite codice, realizzando così la visione originale di The DAO.

Sirer, che è il co-direttore delIniziativa per criptovalute e contratti (IC3), un progetto di ricerca accademica incentrato sulla Tecnologie, ha utilizzato il forum per presentare un resoconto dettagliato dei possibili exploit di tali progetti, che arrivano fino al linguaggio di codifica Ethereum stesso.

Sirer ha continuato sostenendo che le questioni evidenziate sono rilevanti quando si esamina la questione della creazione di progetti simili in futuro.

Ha detto alla folla:

"Il DAO 2.0 richiede molto, molto più sforzo. È un campo molto più profondo di quanto la gente possa pensare."

Vulnerabilità dettagliate

Nei giorni precedenti al rilevamento iniziale del bug, Sirer e i suoi colleghi hanno pubblicato una panoramica di quella che hanno definito una vulnerabilità di "chiamata ricorsiva" che ha consentito allo sfruttatore di spostare fondi in un cosiddetto "DAO figlio" che si stacca dal DAO originale.

Rivolgendosi a un pubblico di circa 70 programmatori Bitcoin , sviluppatori Ethereum , informatici e professionisti della finanza presenti all'evento di ieri sera, Sirer ha parlato nel dettaglio di altre possibili minacce.

Ad esempio, il bug dello “stalking” – che attualmente viene utilizzato per montareun contrattacco contro un attacco informatico white-hat progettato per trasferire fondi in un conto sicuro, è un esempio di ONE delle vulnerabilità identificate da Sirer durante l'evento di ieri sera.

Le 10 vulnerabilità Sirerdiscussoin dettaglio includono una "trappola di proposta concorrente" in cui un aggressore fa una proposta arbitraria come "Credi in Dio?" progettata per invogliare un alto grado di risposta, e includono un lungo periodo di voto durante il quale il token utilizzato per votare rimane intrappolato. Quindi, una proposta concorrente potrebbe essere fatta dall'aggressore dopo che i fondi sono stati bloccati.

Un altro exploit, denominato attacco "majority takeover", maschera il voto di maggioranza di un singolo partito, che potrebbe trarre vantaggio da una proposta vincente, suddividendo il potere di voto in voti più piccoli, espressi separatamente, per i quali, a suo dire, non esiste alcuna difesa nota.

Alcune delle imprese discusse ieri sera sono state pubblicate in dettaglio nelprimacarta. Un elenco completo, insieme a un resoconto di come funziona The DAO, può essere trovatoQui.

"L'obiettivo principale dei contratti intelligenti è creare strumenti finanziari entusiasmanti e strani", ha detto Sirer ai partecipanti, aggiungendo:

"Non è niente di entusiasmante, è solo strano."

Amore severo

Nelle ore che hanno preceduto l’evento di ieri, Sirerimpegnato in un dibattito su Twitter in cui sosteneva che la comunità Ethereum avrebbe dovuto emarginare i membri fondatori di Slock.it, una startup con sede in Germania che ha scritto il codice DAO e ne ha guidato l'implementazione.

Durante l'evento di New York, Sirer ha raddoppiato il suo impegno, nominando in particolare i fondatori Stephan Tual e Christoph Jentzsch.

Ma mentre Sirer ha avuto parole dure per Slock.it, ha detto che i problemi si estendono a Ethereum stesso. Ha definito The DAO un "enorme bug bounty da 220 milioni di dollari", una critica che si è estesa non solo ai DAO, ma anche al linguaggio di codifica degli smart contract di ethereum Solidity, che ha detto essere un work in progress.

Sirer ha detto ai partecipanti:

"Dovremmo riprogettare Solidity, dovremmo riconsiderare cosa significa scrivere macchine a stati sicure, come dovremmo specificarle e come dovremmo assicurarci che non si guastino."

Immagine di Michael del Castillo per CoinDesk