Взлом на 55 миллионов долларов, который едва не обрушил Ethereum

Новая книга репортера Bloomberg News Мэтью Лейзинга «Из эфира: удивительная история Ethereum и кража на 55 миллионов долларов, которая едва не уничтожила все» рассказывает историю печально известного взлома DAO, который едва не обрушил второй по величине блокчейн в мире.

В июне 2016 года неизвестный нападавший (или нападавшие) начал выкачивать средства из первой децентрализованной автономной организации Ethereum, или DAO, BIT программного обеспечения, функционирующего как корпорация. Несколькими неделями ранее DAO заработала после краудсейла на 150 миллионов долларов.

«[T]DAO сыграла огромную роль в ранней истории Ethereum», — пишет Лейзинг. «Не будет преувеличением сказать, что DAO создала Ethereum». Это потому, что это был ONE из самых ранних примеров того, что сеть компьютеров Ethereum была достаточно устойчивой для поддержки сложных приложений.

См. также: Дэвид Сигел –Понимание атаки DAO

Хотя атака не взломала код Ethereum — она просто использовала лазейку в смарт-контракте The DAO — она поставила под сомнение жизнеспособность «мирового компьютера» на основе блокчейна. Это также стало началомEthereum — два Ethereum.

Лейзинг, освещавший деятельность Криптo на протяжении почти половины десятилетия, взял больничный на работе в тот день, когда хакер скрылся с украденными 55 миллионами долларов. ETH. Но он T дал истории умереть. За последние четыре года он докладывал историю, рассказанную в книге, изучал данные блокчейна, следовал зашифрованным подсказкам и в конечном итоге выслеживал своего главного подозреваемого.

В приведенном ниже отрывке читатели оказываются в Восточной Германии вместе с Кристофом Йенцшем, ONE из главных архитекторов DAO, который проснулся и понял, что проект, на создание которого он потратил несколько месяцев, грабят «со скоростью около 8 миллионов долларов в час».

Будучи верующим семьянином, Йенч решил воспользоваться этим неожиданным моментом, чтобы поразмышлять о трудностях, с которыми пришлось столкнуться при создании DAO — от проблем с безопасностью, которые до сих пор преследуют проекты токенов, до критических мнений раннего сообщества Ethereum — прежде чем приступить к действиям. – Дэн Кун

Глава 7

Город Митвайда в федеральной земле Саксония в Германии избежал бомбардировок во время Второй мировой войны. В центре города старые каменные улицы разделяют ряды ярко окрашенных зданий. Если вы выйдете с городской площади и пройдете около 10 минут, вы попадете на тихую улицу с полицейским участком; по соседству находится мятно-зеленый дом с коричневой отделкой и ставнями. В пятницу, 17 июня 2016 года, сразу после 8 утра Кристоф Йенцш лежал на бежевом ковре в офисе на первом этаже внутри. Он пытался успокоить свое дыхание, сделать глубокие вдохи, чтобы не позволить миру уйти от него. Воры были внутри DAO, его творения, грабя его со скоростью около 8 миллионов долларов в час.

ONE из первых вещей, которую почувствовал Кристоф, было облегчение: наконец-то сага DAO подойдет к концу. Она захватила его жизнь на протяжении последних шести месяцев.

Он боролся с тревогой, депрессией и истощением; он пренебрегал своей женой и пятью детьми. Были моменты, когда он застывал при мысли о выпуске кода DAO, потому что как только он попадал в мир, его T было изменить. В программном обеспечении могла быть ошибка, или, может быть, террористы могли выяснить, как использовать его для финансирования атаки, которую он был бы бессилен остановить. Из-за давления ему несколько раз становилось физически плохо. Его рвало от напряжения. Боже, пожалуйста, пусть это будет концом всего этого.

Но Кристоф также чувствовал сильное чувство ответственности. Его потрясло, что он так сильно облажался и что люди из-за этого теряли деньги. Он верил в идеи, лежащие в основе DAO. (Язык здесь становится BIT запутанным, поскольку в то время существовали и другие DAO, в том числе MakerDAO. DAO — это общее название структуры, в которую вписываются смарт-контракты, но из-за своего конечного размера и высокого статуса DAO Йенцша стала ДАО.)

«Было так много страхов», — сказал Грифф. «Уничтожит ли это Ethereum? Уничтожит ли это DAO? Что будет со всеми этими деньгами?

DAO — это то, что привело его в Ethereum в первую очередь, в тот момент, когда он осознал его потенциал. Белая книга Виталика изложила видение того, как DAO могли бы демократизировать корпоративные структуры, чтобы заменить владельцев, сотрудников и инвесторов пользователями, которые напрямую управляли бы делами фирмы с помощью смарт-контрактов, закодированных в блокчейне. Этот прорыв заставил Кристофа прервать свою докторскую диссертацию и начать работать в Ethereum в 2015 году. А затем, как ни странно, он построил ONE: фактически самый большой DAO из когда-либо созданных, что сделало его жирной мишенью. После всех проверок безопасности Кристоф T мог понять, почему ONE не нашел нужную ошибку вовремя.

Он поднялся с пола в офисе и вернулся к своему ноутбуку IBM ThinkPad. Кристоф знал, что соседние копы T смогут ему помочь. Нет, это был его беспорядок, и ему придется его убрать.

В ONE-то смысле, если бы тостерам и дверным замкам было разрешено иметь банковские счета, DAO никогда бы не появился.

См. также: Кристоф Йенч –«Благословение и проклятие»: разработчики DAO о блокчейне в 2016 году

По крайней мере, эта финансовая дискриминация в отношении приборов и оборудования взбудоражила воображение Кристофа, когда он впервые столкнулся с Ethereum. Теперь, когда Криптовалюта Ether была создана, вопрос, который терзал разум Кристофа, был: как ее лучше всего использовать? Не как прямую Криптовалюта, как Bitcoin. Скорее, эфир казался идеально подходящим в качестве формы микроплатежа для того, что Кристоф любит называть «экономикой вещей». Airbnb стал популярным примерно в это время, и когда Кристоф посмотрел на компанию через призму Ethereum , он не увидел ничего, кроме посредника, которого нужно было устранить. Что, если бы с помощью умного замка на входной двери, подключенного к блокчейну Ethereum , вы могли бы сдавать свою квартиру напрямую кому-то другому? Все еще был бы веб-сайт, такой как у Airbnb, чтобы позволить владельцу квартиры найти арендатора, но версия Ethereum отличалась бы ONE ключевым моментом: веб-сайт соединял бы людей по принципу «равный-равному», и не было бы Airbnb посередине, забирающего свою 30-процентную долю прибыли. Где бизнес-модель Airbnb учитывает такого рода нарушения?

Это именно та простая, но очень мощная идея, которая захватывает последователей Ethereum . Она заставила меня осознать ее потенциал в тот день в Бруклине [Нью-Йорк], когда JOE Любин объяснил мне ее. Установите на свою машину замок такого же типа. Что думает об этом Hertz? Посмотрите на Uber с этой точки зрения: выйти на их рынок совместных поездок может быть так же легко, как им было легко выйти на рынок такси.

Перспективы Ethereum, на мой взгляд, во многом переплетены с этим видом переосмысления всемирной паутины. Если Виталик и его друзья смогут предложить альтернативный одноранговый Интернет, где посредники будут исключены, все будет стоить дешевле, а Политика конфиденциальности и безопасность данных будут восприниматься серьезно, это будет убийственная комбинация. Я бы подписался на это. Но далеко не факт, что они справятся. В течение многих лет эти сомнения относительно того, сможет ли Ethereum действительно выполнить свое обещание, были фоном всей моей работы над ним. Это не говоря уже о тысячах людей, работающих над Ethereum в качестве разработчиков, предпринимателей и продавцов. Все они делают удивительные вещи. Но, возможно, это окажется изящным развлечением, которое захватило воображение людей на многие годы, но в конечном итоге ни к чему не привело. Ему придется бороться за любые достижения, это точно.

Airbnb, Hertz и Uber T позволят Ethereum просто так появиться и уничтожить их бизнес. Это глобальные корпорации, за которыми стоят миллиарды долларов. А еще есть состояние самой Технологии. Ethereum еще далек от масштаба и надежности, необходимых для поддержки миллионов пользователей. Еще одним препятствием являются вопросы регулирования. Но хотя шансы невелики, есть много людей, таких как Кристоф, физик-теоретик, которые готовы бросить все, чтобы работать над Ethereum , и готовы сделать ставку на выплаты.

Во время исследования своей диссертации Кристофу нужно было собрать кластер жестких дисков компьютера, чтобы смоделировать его работу по созданию очень длинных молекул. Он узнал, что лучше, чем центральные процессоры, работали графические процессоры, или ГП, которые были быстрее и эффективнее при обработке данных. Он задумался о покупке нескольких ГП и сразу же обратился к Bitcoin, поскольку ГП были предпочтительным оборудованием для майнеров Bitcoin . Вскоре он оказался в кроличьей норе, а затем в январе 2014 года наткнулся на white paper Виталика.

«Я был совершенно потрясен», — сказал Кристоф. «Теперь все стало понятно. Bitcoin был просто Криптовалюта, но это была децентрализованная платформа приложений». Возможности того, что можно было сделать на Ethereum, казались ему безграничными.

У Кристофа так много детей, что он может забыть, сколько их у него было в определенный момент жизни. Но летом 2014 года ему нужно было заработать немного дополнительных денег — и T , было ли у него тогда трое или четверо детей. Он видел презентацию, где соучредитель Ethereum Гэвин Вуд рассказывал о деньгах, которые Ethereum собирал на краудсейле, и о том, что компания надеется открыть офис в Берлине и нанять разработчиков C++. Это именно то, что Кристоф умел делать, и Гэвин вскоре нанял его.

Он стал ведущим тестировщиком протокола блокчейна. Ethereum был написан с использованием трех языков программирования: C++, Python и Go. Это клиенты, которые заставили блокчейн работать. Но если они T общаются друг с другом так, чтобы действие на C++ интерпретировалось точно так же на клиенте Go, все ломается. Блокчейн должен быть прежде всего последовательным, поэтому если происходит сбой, это вызывает то, что называется форком. Когда происходит форк, создаются две строки блоков, и может быть трудно узнать, какая строка является официальной записью транзакции. Кристоф поставил себе задачу атаковать трех клиентов, чтобы попытаться заставить их потерпеть неудачу: форкнуть. Он тесно сотрудничал с Виталиком, Гэвином и Джеффом Вилке.

«Они все пытались пройти мои тесты», — сказал Кристоф.

Примерно через 10 месяцев работы над Ethereum Кристоф захотел вывести его на новый уровень. Он размышлял о лучшем применении эфира и решил, что это будут микроплатежи на подключенные к Интернету устройства. Он создал slock.it со своим братом Саймоном и Стефаном Туалом, каждый из которых контролировал треть компании.

На встрече BitDevs в Нью-Йорке 13 июня 2015 года в офисе венчурной компании Union Square Ventures Кристоф впервые публично представил идею slock.it. В тот день там был JOE Любин. Кристоф использовал свой телефон, чтобы подключиться к Ethereum и разблокировать дверную ручку, которую он принес с собой. Это было так рано в истории компании, что они назвали себя EtherLock.

Кристоф получил теплый прием, когда он начал знакомить людей с умными замками. Идея приобрела последователей, и теперь ему нужно было придумать, как финансировать ее разработку. Вскоре он понял, что его желание построить DAO может быть реализовано, и он начал выяснять, как это будет работать. Но ему нужно было не только разобраться с механикой умного контракта. Были и более сложные вопросы, например, будет ли команда slock.it нести юридическую ответственность за то, что включил DAO?

У них были юристы, работавшие над этим вопросом в Нью-Йорке, Швейцарии и Германии. «Они на самом деле сказали, ну, если вы не очень привязаны к проекту, вы просто пишете контракт и публикуете его, а позже вы просите работать на эту компанию, это будет юридически нормально», — сказал Кристоф. Это было признаком того, насколько децентрализованной была цель здесь — даже люди, которые воплотили DAO в жизнь, представляли, что им придется просить работать на свое собственное творение. Как, черт возьми, вы это делаете? Легко; это как любое другое предложение для DAO — за него голосуют держатели токенов DAO. Кристоф и остальная часть команды slock.it чувствовали себя комфортно с идеей, что держатели токенов DAO будут голосовать за финансирование их стартапа, из вежливости к создателям DAO, если не из каких-либо других соображений.

Затем им пришлось столкнуться с тем, что регулятор, такой как [Комиссия по ценным бумагам и биржам США], подумает о DAO. Будет ли токен DAO считаться ценной бумагой? Если да, то им нужно будет пройти строгую процедуру регистрации и предоставить потенциальным инвесторам всевозможную информацию о бизнес-плане, рисках и других деталях, призванных повысить прозрачность для инвесторов.

См. также: Дрю Хинкс – Закон ДАО

У их юристов был ответ и на это. «Даже если это ценная бумага, создание компании — это не то, что нужно просить одобрения SEC», — сказал Кристоф. «Мы рассматривали создание DAO как создание компании, но не с 3 учредителями, а с 23 000 основателей».

Давайте на мгновение перемотаем вперед и зададим интересный вопрос. По словам юристов slock.it, продажа токенов T будет считаться предложением ценных бумаг отчасти потому, что у DAO были тысячи основателей. Что это говорит о том, что Ethereum сделал со своим краудсейлом эфира? Помните, это разные Мероприятия. Соучредители Ethereum , включая Гэвина Вуда, Виталика и Михая Алиси, продали эфир публике в середине 2014 года, чтобы собрать деньги на финансирование разработки блокчейна Ethereum . Отдельная небольшая группа людей заработала много денег на продаже токенов Ethereum . Разве это T означает, что эфир является ценной бумагой? Продажа эфира привлекла 18 миллионов долларов; Такие соучредители, как JOE Любин и Энтони Ди Иорио, были непреклонны в том, что эфир не является ценной бумагой, но на самом деле все, что у них было для подтверждения этого, это их собственное мнение и юридическое Мнение юриста в ситуации, которая T была проверена правительственным агентством, таким как SEC. Затем появляется DAO и slock.it юристы говорят, что если его руководители не привязаны к проекту, и каждый, кто покупает токены DAO, считается основателем, бум! Вы не ценная бумага. Видите несоответствие? Согласно этой логике, либо токен DAO, либо эфир являются ценной бумагой, но оба они T могут избежать обозначения.

По крайней мере, на американском фронте реальность такова, что в 2014–2015 годах SEC спала у переключателя. ONE в правительстве не обращал внимания на то, что происходило с зарождающимся рынком ICO. SEC T начала возбуждать дела о принудительном исполнении в течение многих лет, и она T удосужилась написать свое Мнение о DAO в течение года после того, как он взорвался. Мы вернемся к этому BIT позже в этой истории.

Теперь вернемся к DAO. Люди, которые купили токены DAO, никогда не отдавали свои деньги Кристофу или кому-либо еще в slock.it. Они контролировали все это время и взаимодействовали только со смарт-контрактом, который обменивал их эфир на токены DAO. Они могли вернуть свой эфир, если бы захотели.

Не будет преувеличением сказать, что DAO создала Ethereum.

Самые яркие умы Ethereum того времени также собрались, чтобы действовать как своего рода предохранительный механизм для предотвращения атаки на DAO. Известные как кураторы, члены группы включали Виталик, Влада Замфира, Алекса Ван де Санде, Гэвина Вуда, Тейлора Джерринга, Аэрона Бьюкенена и других. Группа должна была дать понять, что самые умные люди в комнате посмотрели на DAO и подразумевали своего рода печать одобрения. Однако кураторы были разоблачены как не более чем показуха, после того как в коде DOA был обнаружен ряд уязвимостей безопасности.

После презентации идеи DAO на DevCon 1 в Лондоне в ноябре 2015 года ажиотаж вокруг проекта только рос. Публичный канал DAO в Slack вскоре насчитывал 5000 участников. Кристоф подумал, что если каждый из них купит токены DAO на сумму $1000, то они будут иметь дело с $5 миллионами. Это казалось управляемым.

Но по мере того, как шли и шли месяцы, Кристофа начала терзать новая проблема. Теперь, когда он был в самом сердце написания кода DAO, он T мог избежать его фундаментальной природы. После того, как он был выпущен в мир, его было не остановить. Это было чертовски большим давлением, чтобы справиться с ним, когда код, который вы пишете, существует всего несколько месяцев, и в нем постоянно обнаруживаются ошибки.

В марте 2016 года slock.it заплатил $10 000 за аудит безопасности кода DAO сиэтлской фирме Deja vu Security. Компания специализируется на проверке и тестировании программного обеспечения, предназначенного для питания IoT. Кристоф отправился в Сиэтл на неделю, чтобы поработать с командой Deja vu Security.

«Я жил в Airbnb и чувствовал себя почти больным, как будто я действительно хочу это делать? Я очень нервничал, во что я ввязался?» — сказал Кристоф. «Еще было время сказать нет», — подумал он.

Смотрите также:Атака на DAO: проблема с кодом привела к краже эфира на сумму 60 миллионов долларов

Но Кристоф T мог сдаться, ни на своих партнерах, ни на своем брате Саймоне, генеральном директоре slock.it. Они исчерпали все свои кредитные карты, банковский счет был пуст. Они заплатили Deja vu Security из своих карманов, и Кристоф знал, что T может KEEP просить еще ONE месяц для тестирования. Затем было более широкое сообщество, которое следило за каждым развитием событий.

Здесь важно отметить, что DAO сыграла огромную роль в ранней истории Ethereum. Не будет преувеличением сказать, что DAO сделал Ethereum. Здесь и там были небольшие проекты, но ничего с масштабом и амбициями того, что хотел сделать DAO. Вы можете увидеть его влияние на цену эфира. В начале 2016 года единственное, чего сообщество Ethereum могло ожидать с точки зрения прогресса, — это выпуск новых версий программного обеспечения базового уровня. Иными словами, T было особого катализатора для роста стоимости цифровой валюты Ether. И хотя работа над базовой сетью Ethereum была важна, ONE не стал бы использовать сеть, на которой T приложений. Вот почему DAO был жизненно важен.

По мере того, как шли месяцы 2016 года, цена эфира начала расти. Помимо упомянутых мною обновлений сети, я T могу найти никакой другой причины, кроме неизбежного развертывания DAO, для роста стоимости эфира. К середине марта он торговался по $15. Требование стать частью DAO было топливом. Сначала нужно было купить эфир, а затем купить токены DAO, поэтому легко увидеть, что тысячи людей конвертировали Bitcoin в эфир, чтобы затем купить токены DAO, подняв цену эфира до рекордно высокого уровня.

Все были в этом замешаны. В то время T было ничего другого, что можно было бы сделать с эфиром, если честно. Это важная причина, по которой DAO вырос до $150 миллионов в чистых покупках эфира.

Вскоре Кристоф T чувствовать себя самим собой. Стресс побеждал. Это было T похоже на него; он происходил из большой, стабильной семьи. Клан Йенцш жил в районе Митвайда с 1500-х годов. У его родителей 36 внуков. Кристоф также был тесно связан со своей верой мормонов. Его дед принес религию в Митвайду, когда основал первую Церковь Иисуса Христа Святых последних дней в маленьком городке. Жена Кристофа оказала на него еще одно успокаивающее влияние и поддержала его во время американских горок DAO. И все же он чувствовал, что его затягивает хаос: он то поднимался, то опускался в депрессивных припадках. Как и код DAO, он казался неудержимым после развертывания.

Грифф Грин был в Митвайде в день атаки. Он проснулся в гостевой спальне дома матери Кристофа, а его смартфон разрывался от сообщений о взломе DAO. Он позвонил Саймону, а Саймон позвонил Кристофу.

Грифф никогда раньше T видел Кристофа в таком плохом состоянии. До того, как стать первым сотрудником slock.it, Грифф делал тайский массаж в Беверли-Хиллз. «У меня T было лицензии на это, потому что, знаете ли, я не из тех парней, которые получают лицензию», — сказал он. «В тот день был очень напряженный момент, когда [Кристоф] сказал: «Я T знаю, что делать». Он T плакал, но выглядел так, будто был на Verge , и ему просто нужно было лечь. У него было что-то вроде панической атаки». Грифф принялся за своего босса и друга, делая ему массаж, чтобы успокоить его. «Немцы T самые обидчивые парни», — сказал Грин.

«Было так много страхов», — сказал Грифф. «Уничтожит ли это Ethereum? Уничтожит ли это DAO? Что будет со всеми этими деньгами?»

Ни один цент в DAO не принадлежал Йенцшу. Это были чужие деньги, и для религиозного, семейного человека, хорошего человека это делало кражу еще более тревожной.

«Знаешь, иметь дело с чужими деньгами — это полный отстой?» — сказал Грифф.

По мере приближения крайнего срока сбора средств DAO 28 мая количество эфира в DAO продолжало расти. ONE не мог игнорировать масштаб того, во что превращался DAO прямо у них на глазах. Ожидаемые Кристофом 5 миллионов долларов стали каплей в море, и он начал сходить с ума.

См. также: Нолан Бауэрле – DAO — это новый Dow

«Я действительно не был хорошим мужем или отцом в то время», — сказал Кристоф. Он лежал в постели в то утро пятницы, когда зазвонил телефон. Его жена ответила и сказала Кристофу, что его брат сказал, что с DAO что-то не так, и ему нужно немедленно войти в систему. В своем домашнем офисе Кристоф проверил Etherscan, обозреватель блоков блокчейна Ethereum (что-то вроде Google для блокчейна). Он увидел, как деньги уходят из DAO через функцию разделения, которая существовала на случай, если пользователь DAO захочет вернуть свои деньги и уйти.

«Сначала я думал, ну, это просто кто-то покидает DAO», — сказал он. «Но потом это очень странно, всегда выходит одна и та же сумма. И это была ONE транзакция, так что ONE транзакция и много выплат. Но это должна быть только ONE выплата на транзакцию».

Что-то было совсем не так. Он лежал на полу своего кабинета, пытаясь KEEP миру ускользнуть. И все же он чувствовал смешанные эмоции. «Во мне было два вида чувств», — сказал Кристоф. «ONE чувство было — я чувствовал себя освобожденным, потому что это был явный конец DAO». Эта безумная, удивительная, напряженная глава в его жизни наконец-то закончилась. Его ответственность прекратилась.

«С другой стороны, был шок и чувство, что я, по сути, испортил всю систему. Мне нужно исправить это сейчас», — сказал он. «Мне нужно выяснить, что происходит, люди теряют деньги. Я могу сесть в тюрьму. Такой страх».

Он поднялся с пола и начал отбиваться.

Отрывок с разрешения издателя Wiley из книги «Out of the Ether» Мэтью Лейзинга. Авторские права (c) 2021 Мэтью Лейзинг. Все права защищены. Эта книга доступна везде, где продаются книги и электронные книги.