Geekly articles weekly

Effondrement de la crypto-monnaie Ethereum et avenir douteux des organisations décentralisées

Les organisations décentralisées ( DAO : Organisme autonome décentralisé ) sont l'une des principales innovations rendues possibles grâce à la blockchain Ethereum, qui permet de stocker les soi-disant « contrats »". Chaque contrat a sa propre adresse (par analogie avec les adresses des portefeuilles Bitcoin), mais c'est essentiellement un programme avec un ensemble de règles qui est exécuté en cas de transaction avec lui. La principale caractéristique de DAO en tant qu'organisation est l'absence d'intermédiaires en la personne les règles de prise de décision et, par conséquent, les moyens de l'organisation sont pris lors de l'exécution du code utilisé pour créer ce contrat, qui est précisément ce qui a joué un rôle clé dans l'attaque de la plus grande organisation décentralisée. déclassement - " The DAO " le 17 juin 2016 (plus d'informations sur l'organisation peuvent être trouvées dans un récent article sur Geektimes).

image

L'attaquant a utilisé une vulnérabilité d'appel récursive, un avertissement qui est apparu au moins depuis le 12 juin , mais le co-fondateur de DAO Stephan Tual dans son blog a affirmé que la présence de ce bogue n'affecterait pas les fonds de l'organisation (au total - 11,08 millions d'ETH, soit environ 13,64% de la taille totale du marché) et toutes les précautions nécessaires ont été prises, ce qui n'a pas empêché 5 jours de retirer avec succès à un attaquant plus de 32% des fonds de l'organisation dans votre portefeuille . Vous pouvez en savoir plus sur les caractéristiques techniques de l'attaque ici , mais en général, la vulnérabilité a été rendue possible en raison d'une combinaison de plusieurs facteurs et problèmes dans le développement du contrat.

L'attaque a été suivie de la réaction du fondateur d'EthereumVitalik Buterin , qui a demandé à la bourse de suspendre le retrait des fonds de l'ETH en bitcoins et en dollars jusqu'à ce que les raisons de la fuite soient clarifiées. Il est curieux que la proposition de suspension concerne toutes les transactions, malgré la présence d'une erreur dans un seul, sinon le plus petit, contrat sur le réseau. Ce comportement des principaux développeurs de blockchain a fortement divisé l'humeur de la communauté Ethereum sur Reddit.com en diamétralement opposé: certains utilisateurs étaient satisfaits d'une réaction rapide au problème, tandis que l'autre pointait les préférences des propriétaires de grands comptes (contrats) par rapport aux utilisateurs ordinaires - en fait, dans le cas de suspension du commerce, tous les utilisateurs perdraient la possibilité d'enregistrer des transactions indépendamment de leur connexion avec l'organisation qui a été attaquée.

La poursuite du développement des événements est possible dans trois directions:

  • " Soft-fork ": restreignez les transactions depuis le portefeuille d'un attaquant, mais ne retournez pas d'argent à The DAO
  • " Hard-fork ": annuler la transaction de transfert de fonds sur les comptes de l'attaquant et restituer les fonds aux propriétaires des tokens DAO
  • Inaction : laisser tous les fonds dans le compte de l'attaquant et lui donner la possibilité d'en disposer à sa guise

Le dilemme moral est que le fait même d'effectuer des transactions pour transférer des fonds à un fraudeur dans le cadre d'un contrat programmé par la DAO, selon les règles de la même organisation, les légitime:

The terms of The DAO Creation are set forth in the smart contract code existing on the Ethereum blockchain at 0xbb9bc244d798123fde783fcc1c72d3bb8c189413. Nothing in this explanation of terms or in any other document or communication may modify or add any additional obligations or guarantees beyond those set forth in The DAO’s code. Any and all explanatory terms or descriptions are merely offered for educational purposes and do not supercede or modify the express terms of The DAO’s code set forth on the blockchain; to the extent you believe there to be any conflict or discrepancy between the descriptions offered here and the functionality of The DAO’s code at 0xbb9bc244d798123fde783fcc1c72d3bb8c189413, The DAO’s code controls and sets forth all terms of The DAO Creation.

:

The DAO « » Ethereum 0xbb9bc244d798123fde783fcc1c72d3bb8c189413. The DAO. The DAO . 0xbb9bc244d798123fde783fcc1c72d3bb8c189413, The DAO

Ainsi, dans la libre interprétation des règles proclamées indépendamment par les créateurs du système, toutes les opérations autorisées par le code du programme lui-même devraient être reconnues comme légales (ce avec quoi les avocats traditionnels peuvent ne pas être d'accord, mais il s'agit d'une conversation distincte). Une tentative de limiter l'accès aux fonds reçus dans le cadre des fourches souples et dures proposées par l'organisation est en contradiction directe avec l'idéologie des organisations contrôlées exclusivement par le code machine.

Il est curieux que les principales propriétés des applications construites sur la base de cette blockchain soient indiquées sur la page principale de l'organisation Ethereum:

Ethereum is a decentralized platform that runs smart contracts: applications that run exactly as programmed without any possibility of downtime, censorship, fraud or third party interference.

:

Ethereum — : , , , , ,

Les créateurs de la blockchain font également référence au strict respect des instructions du code et à la non-ingérence de tiers dans les travaux du code, cependant, les modifications proposées indiquent le contraire - si elles sont adoptées, la question de l'impartialité du système est remise en cause. Les opposants à l'annulation des opérations indiquent également que malgré l'existence de vulnérabilités dans de nombreux contrats précédents, les opérations n'ont pas été annulées plus tôt, et la direction de la blockchain est d'abord engagée dans la résolution de problèmes au niveau d'un contrat séparé, et non la blockchain dans son ensemble, qui a agi strictement selon ses instructions et dans les limites de normes. L'impartialité des créateurs du système est également remise en cause, car malgré le choix des mineurs de suivre ou non le chemin du soft fork déjà proposé, le lancement de la mise à jour de la plateforme avec modifications se fait par défaut,tandis que pour le rejet des modifications - il est nécessaireutilisez le drapeau optionnel --no-dao-soft-fork .

Naturellement, le manque d'action des principaux programmeurs de blockchain peut également provoquer une réaction négative du marché, car les investisseurs peuvent avoir peur de perdre une telle somme d'argent (au moment de l'attaque - le compte de l'attaquant contenait de l'éther d'une valeur d'environ 50 millions de dollars) par plus de 18 mille «déposants», ce qui peut entraîner une baisse de l'intérêt pour la devise dans son ensemble.

Ainsi, tout scénario entraîne des conséquences négatives, un recul des opérations et une limitation des flux de fonds - contrairement au concept même de systèmes décentralisés et de DAO, le manque d'action - pourrait affecter négativement l'image d'Ethereum aux yeux des financiers mondiaux. Dans tous les cas, la décision sur le sort futur des fonds volés sera prise par la communauté, car pour apporter des modifications au code de la blockchain, au moins 51% de tous les mineurs du système doivent l'installer et la question de la future plateforme reste ouverte.

Bonus : une lettre non confirmée d'un attaquant demandant de laisser ses fonds tranquilles.

Source: https://habr.com/ru/post/fr395427/

More articles:


All Articles