В The DAO устранена уязвимость, позволявшая опустошать некоторые аккаунты

Тема в разделе "Общий раздел", создана пользователем foserfox, 15 июн 2016.

Метки:
  1. foserfox

    foserfox drunk fox

    Уязвимость в методах имплементации протокола Ethereum отдельными разработчиками привела к необходимости фикса в The DAO. Напомним, что в распоряжении первого децентрализованного венчурного фонда находится порядка $165 млн, собранных в ходе недавно завершившегося краудсейла.

    Сама по себе необходимость исправление ошибок в коде не является чем-то необычным. Однако в случае с The DAO ситуация по своему уникальна, поскольку организация не имеет какого-либо формального лидера или команды безопасности, которая бы идентифицировала и устраняла потенциальные угрозы. В итоге эта ответственность ложится на сообщество, состоящее из членов, которые приобрели право голосования в ходе краудсейла, купив за монеты Ethereum токены The DAO

    С учетом того, что личности и имена инвесторов не всегда известны, то, каким именно образом уязвимость была идентифицирована и устранена, можно считать первым серьёзным испытанием для всей экосистемы The DAO.

    Как сообщает CoinDesk, о проблеме стало известно на прошлой неделе, когда пользователь GitHub под ником chriseth вскользь указал на возможность осуществления «ужасной атаки на контракты кошельков» как результат того, каким образом некоторые разработчики имплементировали смарт-контракты, написанные на языке Solidity.

    Этот вопрос также поднял в своём блоге основатель Bitcoin Foundation Питер Вессенс, после чего проблема привлекла внимание пользователя Reddit, ассоциированного с Maker DAO, построенной на блокчейне Ethereum ДАО.

    Уязвимость, которая позволяет атакующим опустошить определенный тип аккаунтов, впоследствии была успешно протестирована разработчиками Maker DAO, и соответствующая запись в блоге, в свою очередь, уже попала в поле зрение eththrowa, пользователя с форума The DAO.

    Последний подтвердил, что уязвимость также присутствовала в имплементации, которую на тот момент использовала The DAO. Поскольку программное обеспечение для The DAO было написано командой немецкого стартапа Slock.it, к решению проблемы в итоге подключился его основатель Стефан Туаль. Туаль отреагировал достаточно оперативно, уже на следующий день он опубликовал ссылку на фикс.

    На этом Стефан Туаль, впрочем, не остановился, анонсировав в понедельник серию апгрейдов ПО, нацеленных на противодействие описываемой уязвимости, которая теперь называется «рекурсивным вызовом», а также другим потенциальным векторам атак.

    В частности, сооснователь Slock.it написал:

    «Мы исключительно благодарны сообществу, которое в очередной раз доказало, что процесс открытой разработки помогает быстро идентифицировать, изолировать и устранить потенциальные уязвимости, а, если говорить о данном конкретном случае, то и произвести общие улучшение паттернов дизайна как части языков программирования».

    Как подчёркивается в отдельной записи в блоге Slock.it, за всё это время никакой угрозы средствам The DAO не было.

    РЕКУРСИВНЫЙ ВЫЗОВ
    Запущенный ранее в этом году группой остающихся инкогнито лиц, The DAO представляет собой открытый код, позволяющий пользователям коллективно голосовать по вопросам инвестиций в проекты, которые они сочтут заслуживающими внимания, и получать дивиденды в случае успеха этих проектов.

    В данном случае, как это описывает eththrowa, выявленная уязвимость позволила бы получателю этих дивидендов «многократно получать причитающуюся ему выплату, рекурсивно вызывая контракт».

    В то же время Питер Вессенс отметил, что угроза рекурсивного вызова — это речь не только о слабых местах The DAO, скорее, это более широкая проблема того, каким образом отдельные разработчики имплементируют смарт-контракты, написанные на языке Solidity.

    Правоту Вессенса подтвердил и член Ethereum Foundation Тейлор Герринг. При этом Герринг отдельно подчеркнул, что выявленная уязвимость не требует каких-либо изменений или исправлений в кодовой базе Ethereum.

    Напомним, недавно сооснователь Slock.it Стефан Туаль forklog.com/the-dao-moratorium/ ForkLog о том, насколько защищены инвестиции, вложенные в проект The DAO.

    ForkLog
     
  2. casio

    casio Постоянный пользователь Проверенный

    А сколько еще осталось там дыр один только бог наверное знает. Ибо по сути их код еще и не проверяли на безопасность.
     
  3. FanatMonet

    FanatMonet Новичок

    проверяли и говорили что там 2-3 серьёзных косяка, но им щас некогда им надо заключить 1 сделку чтобы нельзя было ДАО в Кефир обменять обратно
     
  4. casio

    casio Постоянный пользователь Проверенный

    Понятно. В общем судя по всему проект еще ой как сырой.
     
  5. FanatMonet

    FanatMonet Новичок

    это большая стрижка:) хомяки то много бабла принесли теперь осталось все пути отхода убрать и всё.
     
  6. casio

    casio Постоянный пользователь Проверенный

    Ну это изначально понятно было. Но совесть какую не какую нужно иметь все таки.
     
  7. FanatMonet

    FanatMonet Новичок

    зачем тебе совесть когда у тебя есть 120 млн$? :)
     
  8. casio

    casio Постоянный пользователь Проверенный

    Ну если следовать идеи это не их деньги. Это деньги фонда которые будут распределяться по проектам.