DAO без лидера подверглось испытанию после уязвимости Ethereum

Уязвимость в способе реализации Ethereum некоторыми разработчиками привела к необходимости в последнюю минуту устранить уязвимость The DAO — распределенной автономной организации, имеющей в своем распоряжении более 150 миллионов долларов для инвестиций в проекты на базе Ethereum.

При отсутствии лидера или какой-либо формальной группы безопасности, которая могла бы выявлять и устранять потенциальные угрозы безопасности, эта ответственность ложится на сообщество разработчиков ПО с открытым исходным кодом, состоящее из участников, которые приобрели право голоса в организации за эфир на этапе ее создания.

Хотя личности некоторых из причастных к этому лиц до сих пор неясны, метод, с помощью которого была обнаружена и, как сообщается, устранена уязвимость, можно считать первым реальным испытанием структуры The DAO и методов решения проблем.

Через виноградную лозу

Проблема возникла на прошлой неделе, когда пользователь GitHubхрисетПо словам основателя Blockchain Foundation Питера Вессенеса, «небрежно указал на ужасную, ужасную атаку на контракты кошелька», которая могла возникнуть из-за того, как некоторые разработчики реализовывали смарт-контракты, написанные на языке Solidity Ethereum.

Собственный блог ВессенесапочтаЗатем эта проблема привлекла внимание пользователя Reddit, связанного с Maker DAO, созданным на блокчейне Ethereum .

Уязвимость, которая позволяет злоумышленникам опустошать ONE конкретный тип аккаунта, была затем успешно протестирована Maker DAO, согласно их заявлению. почта, что, в свою очередь, привлекло внимание eththrowa, пользователя форума участников The DAO.

Эттроваподтвержденныйчто уязвимость также существовала в реализации, которая тогда использовалась The DAO, которая была создана с использованием программного обеспечения с открытым исходным кодом, написанного Slock.it, и является крупнейшей распределенной автономной организацией, в распоряжении которой в настоящее время находится эфир стоимостью около 162 млн долларов.

Именно этот пост в конце концов привлек внимание основателя Slock.it Стивена Туала. Он, вместе с другими участниками форума, оперативно отреагировал и через день опубликовал LINK на исправление.

Вчера, Туалобъявилряд обновлений программного обеспечения проекта, предназначенных для борьбы с уязвимостью и другими векторами атак теории игр, не связанными с уязвимостью «рекурсивного вызова», как ее теперь называют.

В своем посте Туал написал:

«Мы выражаем нашу благодарность сообществу... которое в очередной раз доказало, что открытый процесс разработки приводит к быстрому выявлению, изоляции и устранению потенциальных уязвимостей, а в данном случае — к общему улучшению шаблонов проектирования как части языков программирования».

По данным отдельного отчета, ни один фонд DAO не подвергся риску из-за уязвимости.почта.

Более широкая проблема

Проект The DAO, запущенный в начале этого года неназванным лицом или группой, построен на открытом исходном коде, который позволяет пользователям коллективно голосовать за то, как распределять средства между проектами, которые участники считают достойными, и получать дивиденды в случае успеха проекта.

По словам eththrowa, в этом случае уязвимость позволила бы получателю этих дивидендов «многократно истощить свои права, вызывая контракт рекурсивно».

Однако, как ясно показал пост Вессенеса в пятницу, угроза рекурсивного вызова была связана T только с уязвимостью The DAO, но и с более общей проблемой, связанной с тем, как некоторые разработчики реализуют смарт-контракты, написанные с использованием языка программирования Solidity.

В электронном письме CoinDesk Вессенес предоставил более техническое описание уязвимости:

«Все публичные функции Solidity, которые отправляют деньги или используют «вызов» в другом контракте, могут быть вызваны рекурсивно атакующим получателем. Bitcoin работает T так, поэтому это может оказаться сюрпризом для неопытных разработчиков Ethereum . Практический смысл заключается в том, что каждая из ваших функций (и фактически весь ваш контракт) должна быть «реентерабельной», то есть они должны функционировать так же, если ее части повторно вызываются до завершения».

Исправления

Член Ethereum Foundation Тейлор Джерринг сообщил CoinDesk , что первоначальное описание проблемы Вессенесом было точным. Однако он добавил, что для исправления уязвимости T потребуется вносить какие-либо изменения в кодовую базу Ethereum .

Скорее, уязвимость требует иного типа реализации со стороны разработчиков.

В интервью Джерринг сказал, что уязвимость «вызывает беспокойство, поскольку программист- Human может создать эту проблему», но «это не является изначальной проблемой Solidity или EVM [виртуальной машины Ethereum ]», языка сценариев и интерпретаторов кода, которые обеспечивают работу сети.

Вессен включил в свой текст два возможных решения проблемы «рекурсивного вызова».почта.

Другие исправления, специфичные для кода The DAO, также анонсированные вчера Slock.it, предназначены для устранения потенциальных проблем, которые некоторыеуказалотносительно модели управления организацией.

В частности, это исправления некоторых атак теории игр, включая то, что называется «предвзятостью да», которая возникает из-за отсутствия стимула голосовать «нет». Исправления были реализованы в форме запросов на извлечение на GitHub.

Теперь 23 000 голосующих членов DAO должны согласиться с изменениями или настаивать на альтернативном решении.

Туалнаписалв блоге Slock.it:

«Это полностью открытый проект. Начиная с сегодняшнего дня и в течение двухнедельного периода рассмотрения всем, включая кураторов, предлагается ознакомиться с релизом и принять в нем участие».

Изображение толпы черезШаттерсток