Leaderless DAO ievieto testam pēc Ethereum neaizsargātības | LV.democraziakmzero.org

Leaderless DAO ievieto testam pēc Ethereum neaizsargātības

Leaderless DAO ievieto testam pēc Ethereum neaizsargātības

Ievainojamību, kā daži attīstītāji īsteno Ethereum ir radījusi pēdējā brīdī noteikt uz Dao, kas ir izplatīts autonomo organizācija ar vairāk nekā $ 150m tās rīcībā esošo ieguldīt Ethereum balstītu projektu.

Bez vadītājs vai oficiāla drošības komanda, lai identificētu un novērstu iespējamos drošības draudus, ka atbildība gulstas uz atvērtā pirmkoda kopienu, kas sastāv no locekļiem, kuri iegādājās balsstiesības organizācijā ar ēteris kā daļu no tās izveides posmā.

Lai gan identitātes dažu iesaistīto vēl joprojām nav skaidrs, metode, ar kuru ievainojamības tika identificēti un ziņots fiksēto summas pirmās reālās pasaules pārbaudi DAO struktūra un problēmu risināšanas metodes.

Caur vīnogulāju

Jautājums kicked off pagājušajā nedēļā, kad GitHub lietotājs chriseth "nejauši norādīja uz briesmīgi, briesmīgi uzbrukumu Maka līgumiem", kas varētu rasties no tā, kā daži izstrādātāji bija ievieš viedos līgumus rakstīts ar Ethereum s izturīgumu valodā, saskaņā ar Blockchain Foundation dibinātājs Peter Vessenes.

Vessenes 'pašu blog post par šo jautājumu, tad nozvejotas uzmanību, Reddit lietotājs saistīta ar Maker DAO, kas uzcelta uz Ethereum blockchain.

Ievainojamība, kas ļauj uzbrucēji aizplūšanu viena konkrēta veida kontu, pēc tam tika veiksmīgi pārbaudīta ar Maker DAO, pēc to pastu, kas savukārt nozvejotas uzmanību eththrowa, lietotājam ir DAO dalībnieku forumā.

Eththrowa confirmedthat ievainojamību pastāvējusi arī īstenojot The DAO, kas tika veidota, izmantojot atvērtā pirmkoda programmatūru, raksta Slock.it tam tiek izmantota, un tā ir lielākā izplatīts autonoma organizācija ar apmēram $ 162m vērtu ētera pašlaik ir tās rīcībā.

Tas bija tas, ka pēc, ka galu galā, piesaistīja uzmanību Slock.it dibinātājs Stephen Tual. Viņš, kopā ar citiem foruma dalībniekiem, nekavējoties reaģēja un dienu vēlāk ievietojis saiti uz noteikt.

Vakar, Tual announceda virkne uzlabojumu veikšanas projekta programmatūru, lai cīnītos pret šo ievainojamību un citas spēles teorētiskos uzbrukuma vektori, kas nav saistīta ar "rekursīvs zvanu" ievainojamību, kā tas tagad tiek saukta.

Savā pastu, Tual rakstīja:

"Mēs paplašināt mūsu pateicību kopienai., Kurš vēlreiz pierādīja, ka atklāts izstrādes procesā noved pie straujas identifikācijas, izolāciju un potenciālo ievainojamības izšķirtspēju, un šajā gadījumā, vispārējā uzlabošanā dizaina modeļus kā daļu no programmēšanas valodām."

Nav DAO fondi bija pakļauti riskam sakarā ar ievainojamību, saskaņā ar atsevišķu pastu.

Plašāka jautājums

Uzsākta šogad ar nenosauktu personu vai personu grupu, The DAO ir veidota uz atvērtā avota kodu, kas ļauj lietotājiem balsot kolektīvi, kā gan izkliedētu līdzekļus projektiem, kas liekas, ir vērts, un saņemt dividendes, ja projekts ir veiksmīgs.

Tādā gadījumā ievainojamība būtu ļaut saņēmējam šīm dividendēm "drenāžas daudzas reizes viņa tiesībām zvanot līgumu rekursīvi," saskaņā ar eththrowa.

Bet kā Vessenes 'post piektdien skaidri, rekursīvas zvanu draudi nebija par tikai vājums Dao, bet vairāk vispārēja problēma ar to, kā daži izstrādātāji ieviest viedos līgumus rakstīts ar izturīgumu programmēšanas valodu.

Šajā e-pasta ziņojumā CoinDesk, Vessenes sniedza detalizētāku tehnisko aprakstu ievainojamību:

"Visi publiski izturīgumu funkcijas, kas sūta naudu, vai izmantot" zvanīt ", uz citu līgumu var saukt rekursīvi ar uzbrukt saņēmējs. Tas nav kā Bitcoin darbojas, lai tā varētu būt pārsteigums nepieredzējušiem Ethereum izstrādātājiem. Praktiskā Ietekme ir tāda, ka katrs no funkcijām (un patiesībā visa jūsu līgums), būtu jābūt "reentrant", kas ir teikt, tām jādarbojas tā pati, ja tā daļas ir atkārtoti aicināja pirms pabeigšanas. "

Par labojumi

Ethereum Foundation biedrs Taylor Gerring pastāstīja CoinDesk ka Vessenes "sākotnējais apraksts problēmas bija precīzs. Tomēr viņš piebilda, ka ievainojamību nav nepieciešama nekādas izmaiņas Ethereum codebase noteikt.

Drīzāk, neaizsargātību nepieciešama dažāda veida īstenošanas ar izstrādātājiem.

Šajā intervijā, Gerring teica neaizsargātība "ir bažas ciktāl cilvēka programmētājs var veikt šo problēmu", bet "tas nav raksturīga problēma stiprībai vai EVM ka [Ethereum Virtual Machine]", ar skriptu valodas un kodu tulkus, ka spēks tīkls.

Vessenes ietvēra divus iespējamos risinājumus, "rekursīvas zvanu" vājums amata.

Citi labojumi specifiski DAO kodam arī paziņoja vakar Slock.it ir paredzēti, lai atrisinātu iespējamās problēmas, kas daži norādīja outregarding organizācijas pārvaldības modelis.

Proti, tie ir labojumi uz noteiktiem spēles teorētiskiem uzbrukumi, tai skaitā to, ko sauc par "jā aizspriedumi", kas izriet no bremzējošs faktors nodot balsis "pret". Par labojumi ir ieviesti veidā izvelkamām pieprasījumu uz GitHub.

Tagad tas ir līdz pat 23000 balsstiesīgie locekļi DAO piekrist izmaiņām vai virzīt alternatīvu risinājumu.

Tual wroteon šo Slock.it blogu:

"Tas ir pilnīgi atvērtā koda projekts. Sākot no šodienas un gaitā divu nedēļu pārskata periodā, visi ieskaitot kuratori ir aicināti pārskatīt un piedalīties atbrīvošanu."

EthereumThe DAO

Saistītās ziņas


Post Ethereum

Bitcoin Pioneer Charlie Shrem uzsāk jaunu Blockchain Venture

Post Ethereum

Ko mēs varam mācīties no DAO

Post Ethereum

Bitcoin nebija vienīgā digitālā valūta, lai redzētu pēc vēlēšanām lielo

Post Ethereum

Metropolis Šodien: maiņas plāni Ethereum nākamajam lielajam jauninājumam

Post Ethereum

ANO filiāle tikai uzsāka savu pirmo liela mēroga Ethereum testu

Post Ethereum

$ 160 miljoni piesprādzējies: vai vienība vēl var sajaukt Ethereum?

Post Ethereum

Trust vai No Trust, tirgotāji joprojām nav pārliecināti par Ethereum Classic

Post Ethereum

Cornell profesors aicina DAO 2.0 kustību

Post Ethereum

Vai Ethereum dakša apstiprina Bitcoin Block izmēra konservatīvisma?

Post Ethereum

Bitcoin Netīrs Push for Innovation ir pārsteigums par maksājumu izstrādātājiem

Post Ethereum

Ethereum pārblīvētajam slakam

Post Ethereum

Ethereum uzsāk ilgstošu decentralizētu lietotņu tīklu