A DAO Hack

DAO feltört

Támadás történt a DAO ellen! A támadó jelenleg a DAO-ban lévő étert „gyermek DAO -vá” szippantja. Egyszerűen fogalmazva: ez a személy gyengeséget látott a platformon, és kihasználta azt, és ezzel mintegy 40 millió dollár értékű étert ürített. A hack a Split DAO függvény újbóli belépési problémájára irányult. A hacker meghívja a split funkciót a split belsejében, és többször gyűjthet egy tranzakció során.

Eddig semmilyen intézkedés nem történt, de a hacker nem lesz képes visszavonni semmilyen ETH-t, csak 27 nap elteltével, ami a gyermek DAO-k stagnáló időszaka. Ez egy hatalmas probléma, amely érinti a DAO-t. Maga az Ethereum platform sem osztja ezt a biztonsági rést.

Ennek a feltörésnek az eredményeként felmerült egy puha villa javaslata; a szoftver bevezetését követően egyetlen blokk vagy tranzakció sem változik meg. Ez kikényszeríti azokat a tranzakciókat, amelyek delegált hívásokat kezdeményeznek, vagy híváskódokat, amelyek minimalizálják a kódkivonattal rendelkező számlák egyenlegét.

Mi az a hack, ha nincs specifikációd?

Először is, ha valamit hibának vagy hacknek mondunk, meg kell adni a hiba vagy a nem kívánt viselkedés specifikációit. A DAO-nak még nem voltak ilyen hangos specifikációi. Ezen túlmenően nincs megadva specifikáció a szervezet számára a siker érdekében.

A kódban nincs olyan dokumentáció, amely elmagyarázná, mit tettek a fejlesztők, amikor a kódot írták. Az emberek azt mondják, hogy a kód saját önmaga volt, saját szülője volt.

Köznyelven a hacker talán jobban olvasta az apró betűs részt, mint maguk a fejlesztők.

Jelenleg nincs biztonságos menedékhely

Gondolhatja, hogy ha egyszer támadással szembesül, könnyen kivonhatja az összes pénzeszközt a DAO-ból, de ez nem mindig így van. A DAO fejlesztői úgy döntöttek, hogy bárki számára megnehezítik pénzeszközeik kivonását a DAO-ból. Önnek nincs lehetősége arra, hogy csak kivegye az éterét. Ami általában történik, hogy regisztrálnia kell egy új gyermek DAO fiókot, és áthelyezheti az éterét az új fiókba, és ott tárolhatja legalább 27 napig. Tehát, ha a támadó úgy dönt, hogy figyelemmel kíséri a fiókok létrehozását, bekerülhet az amatőr számlákba, és lemondhatja az alapokat, mielőtt azok frissítésre kerülnének. Ezt nem könnyű megtenni, ha ez megtörténik, bizalmatlanságra hivatkozik.

A pénzmozgás költségekkel jár

A DAO nem azért jött létre, hogy egyszerű frissítési funkcióval rendelkezzen. Különösen most nem lehet visszaállítani a DAO-fiókot a jelenlegi állapotáról egy új szerződéses kódra. Az egyenlegen kívüli számla nem konvertálható új szerződéses verzióvá. Ez egyszerűen azt jelenti, hogy egy egyenlegen kívüli számla, amelynek millió dollárnyi éterje van, leírást jelent.

Az Ethereum ideális biztonságos intelligens szerződésekhez?

Most már egyértelmű, hogy egy átfogó és biztonságos intelligens szerződés megírása sok szorgalmat és fegyelmet igényel, ugyanúgy, mint az atomreaktor kódjának megírása. Úgy tűnik azonban, hogy a szilárdsági nyelvet inkább a laza webkódra tervezték. Az alábbiakban bemutatunk néhány miss funkciót.

A kódolás nagyszerű nyelve biztosítaná, hogy nincs olyan állapot, amelyet nehéz helyreállítani.

A kódolás remek nyelve kristálytisztává tenné, hogy mikor lehet állapotkonverziókat végrehajtani és mikor nem.

A rendszer karbantartásának hihetetlen nyelvével megvannak a jellemzők az élő szerződés biztonságának javítására.

A kódolás kifogástalan nyelve egyértelműen előírná, hogy nem szabad implicit műveletet végrehajtani, a kód egyértelműen végrehajtja, ahogy olvasható.

A DAO jelenlegi nyelve a fenti parancsok egyikét sem teljesíti. Valójában a parancs végrehajtása, amely kódvégrehajtásokat és implicit műveleteket tartalmaz, az történt a DAO-ban. A fejlesztőknek még a megvalósító és a szilárdság megtervezője is átírta a kód áttekintését. Ha ezek az emberek nem tudják megerősíteni a DAO biztonságát, akkor senki más nem tudja.

Másolat támadások

Jelenleg a fő probléma a másolási támadásokkal jár. Más emberek tanulhatnak ebből az eseményből, és pontosan ugyanezt tehetik.

A támadó megállítása

A fő kérdés az, hogy senki sem tudja, hogy az Ethereum közösség hogyan reagál erre az eseményre. Továbbá a blokklánc visszagörgetése nem fog mást tenni, mint negatív üzenetet küldeni. Ha a szerződések visszafordítása egyszerű volt, akkor az intelligens szerződések hogyan biztonságosabbak, mint a normál papír alapú szerződések.

Figyelni, hogy a szervezetet hackerek támadják meg, valóban nyomasztó és teljesen új érzelmeket kelt a DAO-val kapcsolatban. Nyilvánvalóan nincs megbízható és hosszú távú megoldás. Talán a fejlesztők csak befagyasztják a DAO-t, és lehetővé teszik a befektetők számára, hogy visszavonják az éterüket a rossz érzések csökkentése érdekében. De mindezek végén valóban nincs olyan megközelítés, amely mosolyt csalna mindenki arcára.

Következtetés

Az intelligens szerződések forradalmi jellegűek, és a fintech világ egyik legizgalmasabb területe maradnak. Csak a felületet kezdtük vakarózni. Mint mondják, minden új projektnek egyre nagyobb a fájdalma. Minden kezdeti szakasz általában némi hátránnyal szembesül, és az emberek reményei szerint az Ethereum a következő hetekben remek megoldással fog előállni – minden eddiginél erősebbnek bizonyulva.