Questa mattina è emersa la notizia che TheDAO, la nota DAO che gira sulla piattaforma Ethereum, ha subito un pesante attacco con conseguente sottrazione di fondi.
I fondi attualmente sottratti all'account dello smart contract della DAO ammontano a 3,641,694.2418985067 Ether, per un controvalore di oltre 55 milioni di euro. I fondi sottratti alla DAO si trovano a questo indirizzo.
Il problema è dovuto ad un bug nello smart contract della DAO che ha afflitto la funzione split della DAO. In breve, e senza nessuna pretesa di accuratezza tecnica, la funzione split consente a ciascun investitore della DAO di spostare i propri fondi, denominati in Ether, dal balance della DAO madre al balance di una propria DAO figlia, di cui colui che invoca la funzione diverrebbe controllore. Passato un determinato lasso di tempo, l'investitore che abbia invocato la funzione split sarebbe in grado di riottenere i fondi originariamente investiti.
Questa funzione è stata introdotta nel codice della DAO per impedire un attacco del tipo 51%, laddove il detentore della maggioranza dei coin TheDAO avrebbe potuto votare una proposta di pagare a se stesso l'intero saldo dei fondi, così sottraendo l'investimento agli investitori più piccoli.
Va peraltro da subito ricordato come la funzione split sia stata pesantemente utilizzata anche quale strumento di marketing durante il periodo di crowdsale della DAO, pubblicizzandola di fondo come la possibilità di investire nel progetto senza rischi, qualcosa del tipo: non ti piace quello che fa la DAO? splitta e riottieni i tuoi fondi!
Il crowdsale di TheDAO ha avuto un successo strepitoso, raccogliendo 9,23 milioni di Ether per un controvalore di centinaia di milioni di dollari (ammontare che ovviamente dipende dalla quotazione di mercato degli Ether).
La funzione split ha però da subito destato preoccupazione:
in prima battuta perchè si è compreso come il processo di split, sul lato tecnico, fosse tutt'altro che banale per un utente non esperto del protocollo;
in secondo luogo perché il tempo per riottenere i fondi a seguito di uno split non era affatto breve, ma invece consistesse in alcune settimane;
ed infine perchè sono da subito emerse preoccupazioni circa il fatto che la funzione split potesse consentire ad un attaccante di sottrarre i fondi all'investitore che avesse richiamato la funzione (c.d. stalker attack).
Nulla di tutto questo ha però scosso la fiducia degli investitori sia nella piattaforma Ethereum che nella sua più famosa creazione: theDAO.
Ciò almeno fino a questa mattina.
Il 9 giugno ha iniziato a circolare documentazione circa un bug sul codice dello smart contract. In sostanza (anche qui, senza alcuna pretesa di accuratezza tecnica) il bug consentiva di chiamare più volte la funzione di prelievo dello stesso saldo. In sostanza, pur avendo un saldo di 100, invece di chiamare la funzione di prelievo solo 1 volta, era possibile chiamarla n volte, ottenendo dal balance del contratto n volte 100.
Ciò che è però sfuggito è che questo bug affliggesse anche il codice dello smart contract di TheDao, che lo utilizzava nell'ambito della funzione split già descritta.
A quanto risulta, quindi, questa mattina, qualcuno ha sfruttato questa vulnerabilità ed utilizzando questo bug ha iniziato a drenare fondi dal balance dello smart contract di TheDAO.
La reazione della community Ethereum non si è fatta attendere, infatti è stato quasi immediatamente pubblicato questo da parte di Vitalik Buterlin.
In sostanza, ciò che si propone di fare è un soft fork del codice Ethereum per bloccare la legittimità delle transazioni poste in essere dall'attaccante e, successivamente, implementare un hard fork per consentire agli investitori di recuperare i propri fondi.
Ovviamente le reazioni non si sono fatte attendere.
- da un lato si è applaudito alla proposta come un modo per proteggere gli investitori e negare all'attaccante il profitto della propria impresa;
- dall'altro si è avversata ferocemente la proposta che introduce una componente "politica" e "dirigista" all'interno dell'ambiente crypto che ha, verrebbe da dire, da sempre costituzionalmente avversato questo tipo di intervento.
In primo luogo perchè mette in evidenza l'immaturità della comunità Ethereum che si è raccolta intorno al progetto TheDAO più sulla spinta del desiderio speculativo che in base ad una reale compressione della tecnologia di fondo.
In seconda battuta perchè le soluzioni proposte fanno emergere tratti di leadership e centralizzazione nel progetto Ethereum che non passeranno senza lasciare traccia.
please use it-category if you're writing in italian
Downvoting a post can decrease pending rewards and make it less visible. Common reasons:
Submit
ok thanks!
Downvoting a post can decrease pending rewards and make it less visible. Common reasons:
Submit