ДАО под атакой: Эфириум и Биткоин стремительно дешевеют

[KuklaJane]

Сегодня девиз ДАО по 70 и меньше покупаем по 78-89 продаём (dao/eth)

держимся, всего нам хорошего :)

[Alex03]

«Сообщество разработчиков предлагает софтфорк, (без отката; ни одна транзакция или блоки не будут «аннулированы»), который сделает так, что любые транзакции, использующие команды call/callcode/delegatecall и исполняющие код с хэшем 0x7278d050619a624f84f51987149ddb439cdaadfba5966f7cfaea7ad44340a4ba (т.е. The DAO и дочерние ДАО) приведут к недействительности транзакции (не только команды, но и транзакции), начиная с блока номер 176000 (точный номер блока, с которого изменения вступят в силу до момента выпуска кода), предотвращая возможность вывода эфиров после 27-дневного окна. После этого будет осуществлен хардфорк, который позволит держателям токенов забрать свои эфиры», — разъяснил ситуацию Бутерин.

 

Даниэль Надь, разработчик в проекте Ethereum:

«Суть бага в том, что единовременность (атомарность) вывода средств и уничтожения права голоса была нарушена, и при хитром инициировании раздела [на дочернюю DAO — прим.ред] образовался промежуток, куда можно было впихнуть запуск еще одного раздела. Таким образом, злоумышленники могут вывести все средства из DAO. Медленно, но верно. Этот конкретный контракт DAO — мертв, все вложенные в него эфиры потеряны вкладчиками и достанутся злоумышленнику. Хотя потратить он их сможет только через три недели. Тех, кто не вкладывались в DAO, проблема затронула лишь косвенно, путем влияния на цену эфира. Осталось два важных вопроса: Кто виноват? Что делать?»

[stavros1]

А разве на всех пулах сидят яйцеголовые и после каждого апдейта проводят анализ кода прежде чем обновиться?

Кто мешает узкому кругу программистов биткоина или любого альта внести изменения и выдать обновлённую версию без предупреждения о новом (естественно замаскированном) функционале?

 

Я так каждый год делаю, как битки кончаются и нужна новая яхта.  За 10BTC могу показать и рассказать как это делается.  B)

[Alex03]

Биткоин я бы из этой компании исключил..В плане из заголовка..!!

[ZakharN]

Биток не при делах. У него своя жизнь и текущая коррекция к эфиру отношения не имеет.

[cryptonfly]

Прочитал на форму, что "Vitalic has switched the DAO to use Proof of Vitalik" и это является еще более худшим для эфира, нежели атака на ДАО. 

 

"хакер не сможет вывести средства еще 27 дней". За это время кто-то будет искать хакера, чтобы мотивировать его не делать так больше. Злоумышленник мог бы делать все гораздо тоньше, выводить маленькие суммы. Тогда бы он их легко обналичивал.

[ZakharN]

@cryptonfly, думаю хакер не предполагал, что Виталя решится на форк с блокировкой кошеля.

Что хуже - блокировка или слив 2m украденных эфиров, я даже не скажу. Возможно, что форк хуже.

[Akvilon]

Ржалъ))) Этого и следовало ожидать и следует ожидать события повеселее в будущем

 

@cryptonfly, думаю хакер не предполагал, что Виталя решится на форк с блокировкой кошеля.

Конечно, Виталя даже не предполагал, что Виталя решится на форк с блокировкой кошеля :D  :D  :D

 

Копия моей мессаги недельной давности из приватного форума, и ведь не ошибся же:  :D  :D  :D

****, че ты по трешу лазаешь? Зайди в ветку ДАО, вот где Всевышний оперативно всех гениев собрал. Одно удовольствие читать перед сном :D

 

 10 июня 2016 г., 7:38

 

Изменено 17 июн 2016, 18:00 пользователем Akvilon

[Har01d]

Первый звоночек прозвенел ещё в тот момент, когда шёл краудфандинг. Если кто помнит. там была такая ситуация, что все думали, что определённый день - последний день, когда за 1 ETH можно было купить 100 токенов, а со следующего дня должен был быть рост . В итоге оказалось, что в этот следующий день так и осталось 100 токенов, потому что рост был в 1 раз. Вот здесь видно эту свечку, когда все закупались "в последний момент": http://slacknation.github.io/medium/8/8.html

 

Я токены так и не купил, потому что видел слишком большие в этом риски:

 

Пристально слежу за The DAO, проект безусловно интересный, на мой взгляд - это наконец-то использование криптовалют как "программируемых денег", но вот что меня волнует:

 

1. Риски из-за масштабности. В The DAO уже запузырили 10М монет, т.е. если будет ещё какой-то темп закупки токенов, то получится, что в The DAO будет около 15% всей монетарной базы криптовалюты. Понятно, что какая-то довольно большая часть токенов выйдет назад в монеты до первого голосования, но всё равно, на мой взгляд, это довольно большие риски для всей экосистемы (если что-то при таких масштабах пойдёт не так с The DAO, то это может потянуть за собой все проекты на Ethereum).

 

<...>

 

4. Технические риски. Вот это очень важно, потому что тут уже система свою течь показала. Тот ужасный факт, что ещё несколько дней назад все думали, что последний день соотношения 1 ETH = 100 токенов это 13 мая, а тут выяснилось, что на самом деле это 14 мая, потому что невнимательно посмотрели код, говорит о том, что никто вообще не проводил технический анализ того, во что вкладывал деньги. Ну либо таковые были, но поделиться этим по какой-то причине не хотели (трейдеры понятно почему не заметили или заметили и не поделились, но почему это не заметил хотя бы кто-то из тех же кураторов - непонятно). Какие там ещё проблемы - неизвестно. Нужен реально хороший аудит.

Чем сложнее или "умнее" контракт - тем больше вероятность, что в нём найдут дырку. Любая программа рано или поздно взламывается. Увы, создан прецедент, что взломали контракт, который в себя вобрал четверть миллиарда долларов (уже меньше).

 

Красивого выхода из этой ситуации нет. Если ничего не делать, то это огромное количество украденных монет и (мягко сказано) расстроенных инвесторов. Монеты выльются на рынок. Если делать хард-форк - то всё возвращается к центральному планированию, где играет роль человеческий фактор, потому что начнутся вопросы из серии "а если бы в ДАО было в 10 раз меньше монет, то нужен был бы хард-форк?" или "а если было бы сейчас 10 разных крупных ДАО, а не 1, нужно ли делать хард-форк каждый раз, когда в каком-то контракте найдут дырку?".

 

Но это конкретная ситуация, а в целом всё, на мой взгляд, ещё хуже. У людей вполне может пропасть вера в безопасность умных контрактов в децентрализованных сетях. Если нашли дырку в контракте, который рассматривался лучшими умами, и в который вложили огромное количество денег, дырки в контрактах поменьше будут и подавно.

 

Ещё большая проблема заключается в том, что код для контрактов копипастится. Т.е. находиться будут дырки не в каком-то одном небольшом ДАО, а сразу в сотне, потому что все они используют одинаковый код.

 

Другая проблема в том, что такие еле заметные дырки могут вкладываться как бэкдоры создателями контрактов, чтобы выводить средства. И у них всегда будет plausible deniability, потому что доказать, что дырка встроена специально, а не оказалась в коде по недосмотру, нереально.

 

Да, Биткоин тоже ломали, была история, когда там кто-то 184 миллиарда монет из воздуха сделал, тогда тоже хард-форком откатывали, но ситуация была принципиально другая: Биткоин - вещь в себе, тут можно делать сколько угодно хард-форков при уязвимостях в нём, а умные контракты в Ethereum - это умные контракты, им нельзя сделать хард-форк, а из-за каждой дырки никто не будет делать хард-форк всего Ethrereum.

 

В общем грустно, потому что у всей экосистемы есть огромный потенциал. Сейчас очень многое зависит от действий разработчиков в ближайшие дни. Если не будет найден какой-то способ гарантировать безопасность контрактов (если такое вообще теоретически возможно), то после случившегося будет очень сложно искать инвесторов в свои контракты. Что, как я говорил, может потянуть за собой весь Ethereum.

Изменено 17 июн 2016, 18:50 пользователем Har01d

[ZakharN]

@Har01d, Пережили и Гокс на Битке, и багу в контракте переживём. Вопрос только как выйти с наименьшими потерями. То что со временем идеи эфира и дао будут востребованы сомнений нет.

[cryptor]

То что со временем идеи эфира и дао будут востребованы сомнений нет.

 

Не факт. Вполне возможно, что тюринг-полный язык является фундаментальной уязвимостью эфира. Умные контракты вполне себе возможно строить на классическом блокчейне. Там есть свои проблемы, но фундаментально такие решения более безопасны.

[Garrett]

Руководство Ethereum договорилось о «жесткой вилке», чтобы вернуть украденные средства The DAO

 

 

При Сатоши такой фигни не было!  

 

А Бутериум прикольный, как хочу так и кручу. Какой контракт неправильный - отменю. Хороший пропущу, а может и его отменю.

Я представляю, что было бы, если его не в стартапы, а в реальные бизнесы умудрились встроить?

 

Денег нет, но вы держитесь. :)

Изменено 17 июн 2016, 20:03 пользователем Garrett

[AlexWoods]

Не факт. Вполне возможно, что тюринг-полный язык является фундаментальной уязвимостью эфира. Умные контракты вполне себе возможно строить на классическом блокчейне. Там есть свои проблемы, но фундаментально такие решения более безопасны.

Что такое тюринг-полный язык , простыми словами? И как называется язык у биткойна? Вы уж простите за нубский  вопрос))).

Изменено 17 июн 2016, 20:13 пользователем AlexWoods

[Garrett]

@AlexWoods, Произвольный исполняемый код, который выполняет любой компьютер, подключенный к сети эфира.

И во время закачки блокчейна его исполняет, исполняет все программы, которые там были размещены. Они к вам отношения не имеют, но компьютер все равно будет их исполнять и повлиять на это вы не сможете. 

[phantom]

При Сатоши такой фигни не было!  

 

А Бутериум прикольный, как хочу так и кручу. Какой контракт неправильный - отменю. Хороший пропущу, а может и его отменю.

Я представляю, что было бы, если его не в стартапы, а в реальные бизнесы умудрились встроить?

 

Денег нет, но вы держитесь. :)

Именно такой фигни не было, но критические глюки были. Например, фокус с переполнением, когда 92 ярда битков было намайнено в одном блоке: overflow bug SERIOUS

 

 

@Har01d, Пережили и Гокс на Битке, и багу в контракте переживём. Вопрос только как выйти с наименьшими потерями. То что со временем идеи эфира и дао будут востребованы сомнений нет.

Откуда выйти? Из DAO? Так он уже всё. Хард форком будут спасать эфиры вкладчиков. Из Эфира? Ещё утром надо было выходить.

 

The DAO is Dead, Devs Say. But Can Anyone Decide its Fate?

Изменено 17 июн 2016, 21:06 пользователем phantom

[Kosta Fraskini]

@phantom, есть 2 дурака: один продает, второй покупает. :)  И если кто-то усиленно скупил массу эфира, то наверное не для того чтобы выкинуть деньги на ветер. Обычно на волне таких "панических атак" люди деляют состояние.

[phantom]

@phantom, есть 2 дурака: один продает, второй покупает. :)  И если кто-то усиленно скупил массу эфира, то наверное не для того чтобы выкинуть деньги на ветер. Обычно на волне таких "панических атак" люди деляют состояние.

 

Если смысл в том, чтоб ловить рыбу в мутной воде, не вопрос. То есть подставлять вёдра на низах и наливать другим на отскоках. Если же хомячить при таком медвежьем настрое, слишком рискованно.

[Kosta Fraskini]

@phantom, уж сколько раз биток сливали, а все никак не сольют. Та же история и здесь, побрили хомяков под ноль.

[Ross_ua]

хард форк перечеркнёт доверие к этой валюте, и практического применения она не получит

[DMaster2008]

Ситуация напоминает известную задачу по этике (http://pikabu.ru/story/neprostyie_zadachi_po_yetike_983725).

Условие: Отцепившийся вагон мчится по рельсам. На главном пути стоят пять человек, на боковом – один.
Вопрос: Имеет ли моральное право стрелочник перевести вагон на боковой путь и пожертвовать одним человеком?
Выбери правильный ответ: Да / Нет

Путевое хозяйство - эфир (с которым можно либо ничего не делать, либо сделать хардфорк - перевести стрелку), отцепившийся вагон - DAO, стрелочник - Бутерин.

Изменено 17 июн 2016, 22:59 пользователем DMaster2008

[Zetto]

Есть ещё такая "задачка" : Вы - доктор, и у Вас есть шанс вылечить ВСЁ человечество от рака/спида/ожирения (нужное подчеркнуть). Вот только чтобы воспользоваться этим шансом надо убить ребёнка. Вы согласитесь? Да/Нет.

Далее следует вопрос: а если 1000 детей? Да/Нет

Динамика ясна. Когда Вы дойдёте до нужной цифры и скажете нет, у Вас спросят: а на кой пенис было соглашаться сначала?

[Арчи]

Есть ещё такая "задачка" : Вы - доктор, и у Вас есть шанс вылечить ВСЁ человечество от рака/спида/ожирения (нужное подчеркнуть). Вот только чтобы воспользоваться этим шансом надо убить ребёнка. Вы согласитесь? Да/Нет.

 

Далее следует вопрос: а если 1000 детей? Да/Нет

 

Динамика ясна. Когда Вы дойдёте до нужной цифры и скажете нет, у Вас спросят: а на кой пенис было соглашаться сначала?

А если не существует нужной цифры ? К примеру готов положить всех ,  излечившиеся новых наделают  :D  Решение есть всегда , не надо ходить проторенным путем , надо заходить сзади 

[Zetto]

А если не существует нужной цифры ? К примеру готов положить всех ,  излечившиеся новых наделают  :D  Решение есть всегда , не надо ходить проторенным путем , надо заходить сзади 

Я весьма вольно изложил слова АГГ из фильма "Пароль рыба-меч". Здесь важен моральный аспект принятого решения. А почему Вы решили положить ХХХ здоровых людей ради ХХХ больных? Кто Вы такой чтобы решать за других.

[Арчи]

Вот как раз мораль тут не при чем , тупо числа -  если есть решение всех болезней то проще сразу положить  хххххх народа чтоб в перспективе сохранить бесконечность  - время  умножающий коэфицент.

 

Мораль же убьет схему.  

 

Кстати ученые мужи говорят что мораль не врожденный а приобретенный навык -  пережиток системы.  Если человека с рождения не обучать то морали у него не будет , как и знания языка .  

 

На нас очень влияет окружающая среда , и кто ей управляет - управляет народами. 

[Zetto]

Вы решаете задачу, заменив "человека" на "робота". В эдаком сферическом вакууме, где нет ни социума, ни морали, ни бла-бла-бла. В этом случае задача решена верно.
Повторюсь, эта "задачка" из фильма и там стоит именно вопрос морали и полномочий. Ведь предлагают доктору, который человек, который имеет моральные принципы (это подразумевается), иначе бы задача решалась "если есть решение всех болезней то проще сразу положить  хххххх народа чтоб в перспективе сохранить бесконечность  - время  умножающий коэфицент."

И касательно задачки с Виталиком: ответ вроде очевиден, поскольку здесь жертвами выступают "робот/роботы", и логично было бы задавить только одного. Вот только если представить, что убив робота пострадает человек появляется моральный аспект (скажем, вы лишаете средств человека, тот умирает от голода или замученный кредиторами вешается). Так что в любом из двух вариантов присутствует дизмораль, и выбрать надо тот вариант, где потерь меньше.

Усё, точно спать, третий час никак не уйду, обожаю этот ресурс)

Изменено 18 июн 2016, 00:12 пользователем Zetto