Практически в каждой статье, где одновременно упоминаются Bitcoin и Ethereum, встречаются сведения о The DAO, как о печальном опыте для криптовалют в целом. Похоже, что эта некогда перспективная платформа войдет в историю блокчейна, как объект, поддавшийся взлому, допустив в своем коде курьезную ошибку. Все же The DAO был самым многообещающим проектом. Над его разработкой трудились сподвижники Виталика Бутерина, основавшего Ethereum. Впрочем, именно для обеспечения инструментарием, протоколами, прочими механизмами Эфириум и создавался The DAO.

Главная особенность этого проекта в том, чтобы полностью отдать бразды правления программному коду. Сервис Github позволил опубликовать исходные данные The DAO. Автоматизация процессов внутри этого офиса сопровождается общедоступностью к имеющейся информации по каждой, произведенной операции.

Задумывался проект, как аналог сайта Kickstarter, но только на основе блокчейна. Приобретение активов платформы давало право на участие в голосовании, где выбирался проект для вложения средств. При этом соблюдался принцип весомости мнения участника пропорционально имеющихся токенов платформы. Выборы стартовали и завершались автоматически, без участия регуляторов, аудиторов, других инспектирующих органов. Одновременно с этим, распределение и начисление финансов также происходило автоматически. Сам факт управления корпоративом с помощью программы вызывал восхищение у многих специалистов.

Огромное число уязвимостей, о которых знали еще до запуска The DAO

Краудфандинг стартовал 30 апреля 2016 года и обещал собрать довольно внушительную сумму. Активы компании продавались за эфириум при обменном курсе 100 DAO за 1 эфир. Все было абсолютно открыто на кошельках Ethereum. Информацию отслеживали все желающие с помощью сервисов подобных Etherscan.

По ходу событий, The DAO уверенно шла на втором месте среди всех стартапов подобного рода, отставая от лидера всего на 10 млн долларов. В итоге проект опередил платформу 21 Inc, собравшую в свое время чуть более 107 млн долларов. Сумма ДАО превысила 150 млн долларов всего за один месяц проведения распродажи.

Но еще до запуска проекта эксперты высказывали мнение о том, что разработка содержит значительное число уязвимостей. Вот целый список атак, которые могли быть осуществлены:

Добавление большого числа голосов «за» владельцем крупного объема активов в последний момент (игнорировался принцип очередности);

Возможность влиять на вывод средств участников, подробнее механизм не описан.

Влияние на мнение участников проектов посредством «желтой прессы», используя фактические события. Злоумышленник может сбить цену и скупить активы по дешевке.

Уязвимость «extraBalance». Создается «провальный» проект и поддерживается огромным числом голосов. Тогда вкладываться «против» становиться невыгодно.

Управление голосованием с помощью PR-акций. Актуально, если злоумышленник действует в сговоре с другими участниками платформы.

Ситуация, когда голосующие лишаются доступа к финансам до принятия решения. Если в этот момент создать проект с кратчайшим сроком голосования, в нем не смогут принять участие противники.

Эти уязвимости есть не только у The DAO. Подобным обладает Ethereum, Bitcoin, другие. У Биткоина даже был прецедент с угрозой совершения атаки по принципу «51%». Это также классический пример, когда платформе удалось избежать падения благодаря нравственной мотивации майнеров.

Трудно поверить, что реальной атаки не ожидали

Несмотря, на все перечисленные изъяны проекты запускались, что произошло и с The DAO. Собранные за время краудфандинга деньги были отправлены в хранилище Ethereum-блокчейн. Там финансы ожидали, пока инвесторы решат, как именно они хотят потратить накопленные 160 млн долларов. Для этого, по правилам проекта назначалось голосование, примененное к уже предложенным стартапам.

Но уже с 16 по 17 июня пользователи The DAO обнаружили, что из фонда стали выводиться средства с огромной скоростью. Объем активов менее, чем за сутки снизился на 3,6 млн эфиров, на тот момент приблизительно 79.6 млн долларов. Это вызвало панику, одновременно снизились курсы Эфириума на 27% и Биткоина на 6%. На новый проект приходилось 10% инвестиций. При этом пользователи, которые 100% доверяли разработчикам, ожидали каких-то действий. Ведь происходило ограбление «века», да еще и в реальном времени.

А был ли хакер?

Злоумышленник обнаружил еще один изъян в правилах самого эфириума и воспользовался ними. Суть заключалась в том, что каждый участник проекта The DAO может создать собственный филиал и получить за это вознаграждение. Таким образом, хакеру даже не пришлось взламывать код программы и как-то его переписывать. Все, что сделал взломщик – зациклил систему на выполнении одной и той же функции, неограниченной количеством созданных филиалов.

Пользователь даже не стал скрывать того факта, что именно он предпринял атакующие действия по отношению к программе и платформе в целом. Более того, он собирался судиться с разработчиками The DAO, если они внесут изменения в код «задним» числом. Кроме того, «хакер» поблагодарил компанию за выплаченное ему вознаграждение.

Самое интересное: как была закрыта брешь в коде?

Многие задумались о том, что подобная проблема может возникнуть с Ethereum, но как выяснилось, на этой платформе это правило имеет временной срок исполнения. Дочерняя компания создается в течение 27 дней. Этот факт снизил градус накала страстей и приостановил отток капитала.

The DAO могла «отмотать» все назад и вернуть на свои счета утекшие деньги. Но на кон ставилась репутация Эфириума. В итоге голосованием майнеров платформы Ethereum было принято решение, «отмотать» все назад, но не на The DAO, а именно на базовой платформе до момента взлома. Таким образом, правила дочерней компании не были нарушены, но получилось выиграть время, чтобы извлечь утекшие эфиры.

Транзакции, инициированные злоумышленником, были признаны недействительными и удалены и реестра. Ответственность за определние и устранение уязвимостей легла на пользователей Ethereum, которые голосовали за покупку токенов The DAO.

Послесловие

Мнений о произошедшем множество. Это был идеальный проект, который позволил бы заменить юристов на программистов. Но с мечтой прощаться рано, есть все шансы для возрождения.

Для Эфириума всплывшая ошибка стала камнем преткновения, ведь теперь каждый участник сети держит заднюю мысль о том, что транзакции можно «откатать» назад. Тем, не менее прошло около 6 месяцев с тех пор, как вопрос по взлому был закрыт. Ethereum продолжает работать и повышать свою котировочную стоимость. Но появилось много платформ, пылающих желанием выступить альтернативой и теперь у них гораздо больше шансов на выживание.