Эмин Гюн Сирер: ДАО 2.0 должна быть продумана более тщательно

Профессор Корнелльского университета Эмин Гюн Сирер(Emin G?n Sirer), который помог идентифицировать уязвимости в TheDAO, продемонстрировал на форуме в Нью-Йорке ещё 10 новых ошибок в его коде, которые потенциально могут быть использованы для взлома .

Сирер является одним из руководителей научно-исследовательского проекта IC3( Initiative for Cryptocurrencies and Contracts), сфокусированный на блокчейн-технологиях. На этом мероприятии он представил подробный отчет о возможностях и недостатках программного кода Эфириума и в частности ДАО (децентрализованная автономная организация).

​

Отчет Эмина, который не только очень внимательно следил за развитием событий, но и принимал в них активное участие, сопровождается обширной критикой разработчиков ДАО, созданной на платформе Эфириум и потерпевшей неудачу вследствие обнаруженного бага в коде смарт-контракта.
Сирер заявил о релевантности обнаруженных недочётов и сообщил, что, в то время как уязвимость, которая привела к несанкционированному перемещению десятков миллионов долларов, на данный момент окончательно обозначена и подробно изучена, остается ещё ряд ошибок, которые необходимо исправить прежде чем создавать ДАО в будущем, а также обозначил пути решения этих фундаментальных проблем.

Детализированые уязвимости

Сирер и его коллеги опубликовали обзор того, что называется "уязвимость рекурсивного вызова", которая позволяет перемещать средства в так называемую “дочернюю ДАО”, которая образуется из исходной ДАО.

Общаясь с группой, состоящей примерно из 70-ти специалистов по блокчейну, разработчиков самого Эфириума, а также различных программистов и специалистов в финансовой сфере, Сирер всё глубже вникал в детали других возможных угроз.

К примеру, "ошибка преследования"( "stalking" bug), которая в настоящее время используется для контратаки против взлома, перемещая деньги в безопасную учетную запись, на самом деле является одной из уязвимостей.

Среди этих 10 уязвимостей, которые Эмин подробно изложил, можно выделить такие как "параллельное прерывание предложения"( concurrent proposal trap), посредством которого атакующий вносит своё произвольное предложение , созданное для заморозки средств на долгосрочный период голосования, а также "атака поглощения большинства"(majority takeover), которая создаёт видимость большинства голосов, в то время как решение принимается одним участником, представленным несколькими голосами.
С полным списком уязвимостей ДАО можно ознакомиться здесь.

Строго, но справедливо

Сирер активно участвовал в дебатах Twitter, в которых он утверждал, что сообщество Эфириум должно дистанцироваться от членов-учредителей Slock.it, немецкого стартапа, который инициировал запуск TheDAO, назвав проект "ошибкой щедрости на $220 миллионов", он также заявил, что проблемы затрагивают и саму платформу Эфириум.


Сирер пояснил:

coindesk / cryptoscope

 

Такое ощущение после всей этой истории что все специально придумано именно с ошибками.У меня точно мания какая то появилась

 

Будем заводить новую тему - "проекты на основе эфира, и обогащение их создателей":D

 

Да просто запускали все в спешке. Особо думаю нечего не тестировали.