Professor de Cornell pede movimento 'DAO 2.0'

O cientista da computação de Cornell que ajudou a identificar vulnerabilidades no The DAO revelou 10 novas explorações em seu código em um evento em Nova York.

As declarações de Emin Gün Sirer, um crítico de longa data do projeto, ocorrem em meio a uma ampla preocupação com os acontecimentos no The DAO, um veículo de financiamento baseado em contratos inteligentes construído com Ethereum que efetivamente entrou em colapso após uma exploração de uma vulnerabilidade em seu código de contrato inteligente.

Sirer alertou que, embora a vulnerabilidade que levou àa remoção de dezenas de milhões de dólares em Criptomoeda ether agora é bem compreendido, ainda há muito a ser corrigido antes que outra DAO (organização autônoma descentralizada) possa ser lançada.

As declarações foram as primeiras a estabelecer um caminho claro sobre como construir uma organização administrada em grande parte com código e, assim, cumprir a visão original do DAO.

Sirer, que é o codiretor doIniciativa para Criptomoedas e Contratos (IC3), um projeto de pesquisa acadêmica focado na Tecnologia, usou o fórum para apresentar um relato detalhado de possíveis explorações para tais projetos que vão até a própria linguagem de codificação Ethereum .

Sirer continuou argumentando que as questões destacadas são relevantes quando se analisa a questão da criação de projetos semelhantes no futuro.

Ele disse à multidão:

"O DAO 2.0 requer muito, muito mais esforço. É um campo muito mais profundo do que as pessoas podem pensar."

Vulnerabilidades detalhadas

Nos dias que antecederam a detecção inicial do bug, Sirer e seus colegas publicaram uma visão geral do que chamaram de vulnerabilidade de “chamada recursiva” que permitia ao explorador mover fundos para um chamado “DAO filho” que se separa do DAO original.

Discursando para uma multidão de cerca de 70 programadores de Bitcoin , desenvolvedores de Ethereum , cientistas da computação e profissionais financeiros no evento de ontem à noite, Sirer entrou em detalhes sobre outras possíveis ameaças.

Por exemplo, o bug “stalking” – que está sendo usado atualmente para montarum contra-ataque contra um hack de chapéu branco projetado para mover fundos para uma conta segura – é um exemplo de uma das vulnerabilidades identificadas por Sirer no evento de ontem à noite.

As 10 vulnerabilidades Sirerdiscutidoem detalhes incluem uma "armadilha de proposta concorrente" pela qual um invasor faz uma proposta arbitrária como 'Você acredita em Deus?' projetada para atrair um alto grau de resposta, e inclui um longo período de votação durante o qual o token usado para votar fica preso. Então, uma proposta concorrente pode ser feita pelo invasor após os fundos terem sido bloqueados.

Outra exploração, chamada de ataque de "tomada de controle majoritária", disfarça um voto majoritário de um único partido que poderia se beneficiar de uma proposta bem-sucedida, dividindo o poder de voto em votos menores emitidos separadamente, para os quais, segundo ele, não há defesa conhecida.

Algumas das façanhas discutidas ontem à noite foram publicadas em detalhes nomais cedoartigo. Uma lista completa, juntamente com um relato de como o DAO funciona, pode ser encontradaaqui.

"O objetivo dos contratos inteligentes é criar instrumentos financeiros estranhos e interessantes", disse Sirer aos participantes, acrescentando:

"Isso não é emocionante, é apenas estranho."

Amor duro

Nas horas que antecederam o evento de ontem, Sirernoivo em um debate no Twitter no qual ele argumentou que a comunidade Ethereum deveria ostracizar os membros fundadores da Slock.it, uma startup sediada na Alemanha que escreveu o código DAO e liderou sua implantação.

No evento em Nova York, Sirer reforçou seu apelo, nomeando os fundadores Stephan Tual e Christoph Jentzsch, em particular.

Mas enquanto Sirer tinha algumas palavras duras para Slock.it, ele disse que os problemas se estendem ao próprio Ethereum . Ele chamou o DAO de "uma gigantesca recompensa por bugs de US$ 220 milhões", uma crítica que se estendeu não apenas aos DAOs, mas à linguagem de codificação de contratos inteligentes Solidity do ethereum, que ele disse ser um trabalho em andamento.

Sirer disse aos participantes:

"Devemos redesenhar o Solidity, devemos repensar o que significa escrever máquinas de estado seguras, como devemos especificá-las e como devemos garantir que elas não causem problemas."

Imagem de Michael del Castillo para CoinDesk