Эмин Гюн Сирер: ДАО 2.0 должна быть продумана более тщательно


Профессор Корнелльского университета Эмин Гюн Сирер(Emin Gün Sirer), который помог идентифицировать уязвимости в TheDAO, продемонстрировал на форуме в Нью-Йорке ещё 10 новых ошибок в его коде, которые потенциально могут быть использованы для взлома . 

Сирер является одним из руководителей научно-исследовательского проекта IC3( Initiative for Cryptocurrencies and Contracts), сфокусированный на блокчейн-технологиях. На этом мероприятии он представил подробный отчет о возможностях и недостатках программного кода Эфириума и в частности ДАО(децентрализованная автономная организация). 

Отчет Эмина, который не только очень внимательно следил за развитием событий, но и принимал в них активное участие, сопровождается обширной критикой  разработчиков ДАО, созданной на платформе Эфириум и потерпевшей неудачу вследствие обнаруженного бага в коде смарт-контракта.

Сирер заявил о релевантности обнаруженных недочётов и сообщил, что, в то время как уязвимость, которая привела к несанкционированному перемещению десятков миллионов долларов, на данный момент окончательно обозначена и подробно изучена, остается ещё ряд ошибок, которые необходимо исправить прежде чем создавать ДАО в будущем, а также обозначил пути решения этих фундаментальных проблем.

ДАО 2.0 требует гораздо больше усилий. Это более сложная задача, чем кажется на первый взгляд 

— отметил Эмин

Детализированые уязвимости

Сирер и его коллеги опубликовали обзор того, что называется «уязвимость рекурсивного вызова», которая позволяет перемещать средства в так называемую “дочернюю ДАО”, которая образуется из исходной ДАО.
Общаясь с группой, состоящей примерно из 70-ти  специалистов по блокчейну, разработчиков самого Эфириума, а также различных программистов и специалистов в финансовой сфере, Сирер всё глубже вникал в детали других возможных угроз.

К примеру, «ошибка преследования»( «stalking» bug), которая в настоящее время используется для  контратаки против взлома, перемещая деньги в безопасную учетную запись, на самом деле является одной из уязвимостей.

Среди этих 10 уязвимостей, которые Эмин  подробно изложил, можно выделить такие как «параллельное прерывание предложения»( concurrent proposal trap), посредством которого атакующий вносит своё произвольное предложение , созданное для заморозки средств на долгосрочный период голосования, а также «атака поглощения большинства»(majority takeover), которая создаёт видимость большинства голосов, в то время как решение принимается одним участником, представленным несколькими голосами.
С полным списком уязвимостей ДАО можно ознакомиться здесь.

На самом деле, смарт-контракты дают нам потрясающие, просто фантастические возможности использования в финансовой сфере

— резюмировал Сирер

Строго, но справедливо

Сирер активно участвовал в дебатах Twitter, в которых он утверждал, что сообщество Эфириум должно дистанцироваться от членов-учредителей Slock.it, немецкого стартапа, который инициировал запуск TheDAO, назвав проект  «ошибкой щедрости на $220 миллионов», он также заявил, что проблемы затрагивают и саму платформу Эфириум.



Сирер пояснил:

Нам необходимо модернизировать Solidity и заново пересмотреть все аспекты безопасности, чтобы впоследствии быть абсолютно уверенными в том, что такого больше не произойдёт

Источник 

Реклама

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s