В The DAO устранена уязвимость, позволявшая опустошать некоторые аккаунты

internetofthings
internetofthings

Уязвимость в методах имплементации протокола Ethereum отдельными разработчиками привела к необходимости фикса в The DAO. Напомним, что в распоряжении первого децентрализованного венчурного фонда находится порядка $165 млн, собранных в ходе недавно завершившегося краудсейла.

Сама по себе необходимость исправление ошибок в коде не является чем-то необычным. Однако в случае с The DAO ситуация по своему уникальна, поскольку организация не имеет какого-либо формального лидера или команды безопасности, которая бы идентифицировала и устраняла потенциальные угрозы. В итоге эта ответственность ложится на сообщество, состоящее из членов, которые приобрели право голосования в ходе краудсейла, купив за монеты Ethereum токены The DAO

С учетом того, что личности и имена инвесторов не всегда известны, то, каким именно образом уязвимость была идентифицирована и устранена, можно считать первым серьёзным испытанием для всей экосистемы The DAO.

Как сообщает CoinDesk, о проблеме стало известно на прошлой неделе, когда пользователь GitHub под ником chriseth вскользь указал на возможность осуществления «ужасной атаки на контракты кошельков» как результат того, каким образом некоторые разработчики имплементировали смарт-контракты, написанные на языке Solidity.

Этот вопрос также поднял в своём блоге основатель Bitcoin Foundation Питер Вессенс, после чего проблема привлекла внимание пользователя Reddit, ассоциированного с Maker DAO, построенной на блокчейне Ethereum ДАО.

Уязвимость, которая позволяет атакующим опустошить определенный тип аккаунтов, впоследствии была успешно протестирована разработчиками Maker DAO, и соответствующая запись в блоге, в свою очередь, уже попала в поле зрение eththrowa, пользователя с форума The DAO.

Последний подтвердил, что уязвимость также присутствовала в имплементации, которую на тот момент использовала The DAO. Поскольку программное обеспечение для The DAO было написано командой немецкого стартапа Slock.it, к решению проблемы в итоге подключился его основатель Стефан Туаль. Туаль отреагировал достаточно оперативно, уже на следующий день он опубликовал ссылку на фикс.

На этом Стефан Туаль, впрочем, не остановился, анонсировав в понедельник серию апгрейдов ПО, нацеленных на противодействие описываемой уязвимости, которая теперь называется «рекурсивным вызовом», а также другим потенциальным векторам атак.

В частности, сооснователь Slock.it написал:

«Мы исключительно благодарны сообществу, которое в очередной раз доказало, что процесс открытой разработки помогает быстро идентифицировать, изолировать и устранить потенциальные уязвимости, а, если говорить о данном конкретном случае, то и произвести общие улучшение паттернов дизайна как части языков программирования».

Как подчёркивается в отдельной записи в блоге Slock.it, за всё это время никакой угрозы средствам The DAO не было.

Рекурсивный вызов

Запущенный ранее в этом году группой остающихся инкогнито лиц, The DAO представляет собой открытый код, позволяющий пользователям коллективно голосовать по вопросам инвестиций в проекты, которые они сочтут заслуживающими внимания, и получать дивиденды в случае успеха этих проектов.

В данном случае, как это описывает eththrowa, выявленная уязвимость позволила бы получателю этих дивидендов «многократно получать причитающуюся ему выплату, рекурсивно вызывая контракт».

В то же время Питер Вессенс отметил, что угроза рекурсивного вызова — это речь не только о слабых местах The DAO, скорее, это более широкая проблема того, каким образом отдельные разработчики имплементируют смарт-контракты, написанные на языке Solidity.

Правоту Вессенса подтвердил и член Ethereum Foundation Тейлор Герринг. При этом Герринг отдельно подчеркнул, что выявленная уязвимость не требует каких-либо изменений или исправлений в кодовой базе Ethereum.

Напомним, недавно сооснователь Slock.it Стефан Туаль рассказал ForkLog о том, насколько защищены инвестиции, вложенные в проект The DAO.

Подписывайтесь на новости ForkLog в Twitter!

Подписывайтесь на ForkLog в социальных сетях

Telegram (основной канал) Discord Instagram
Нашли ошибку в тексте? Выделите ее и нажмите CTRL+ENTER

Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!

*Ежедневная рассылка — краткая сводка наиболее важных новостей предыдущего дня. Чтение занимает не больше двух минут. Выходит в рабочие дни в 06:00 (UTC)
*Еженедельная рассылка — объясняем, кто и как изменил индустрию за неделю. Идеально подходит для тех, кто не успевает за новостным потоком в течение дня. Выходит в пятницу в 16:00 (UTC).

Мы используем файлы cookie для улучшения качества работы.

Пользуясь сайтом, вы соглашаетесь с Политикой приватности.

OK