Новая атака в адрес The DAO, на этот раз с целью защиты активов фонда от дальнейших посягательств, была запущена командой Ethereum-разработчиков при поддержке кураторов ДАО и Slock.it.
О запуске «белой» атаки сообщил разработчик Ethereum-браузера Mist и один из кураторов проекта The DAO, Алекс Ван де Санде.
«ДАО ОПУСТОШАЕТСЯ В БЕЗОПАСНОМ РЕЖИМЕ. НЕ ПАНИКУЙТЕ», — написал Ван де Санде в своем Twitter.
Follow
alex van de sande @avsa
DAO IS BEING SECURELY DRAINED. DO NOT PANIC.
8:53 PM - 21 Jun 2016
89 89 Retweets 93 93 likes
Очевидные причины для запуска такой контратаки описаны ниже.
НОВАЯ АТАКА И БУДУЩАЯ БЕЗОПАСНОСТЬ
Решение организовать контратаку было принято в свете новой хакерской атаки на The DAO, кратко упомянутой Ван де Санде в последующем сообщение в твиттере:
«Повторяю. На The DAO зафиксирована атака, поэтому мы запустили нашу «белую» контратаку. Ждите обновлений».
Follow
alex van de sande @avsa
I repeat. There was an attack on the DAO so we launched our white hat counter attack. More updates will follow
9:11 PM - 21 Jun 2016
43 43 Retweets 45 45 likes
Контратака команды Ethereum-разработчиков поможет, по их собственному утверждению, защитить фонды The DAO от нынешней и от последующих хакерских атак. Очевидно, технология атаки использует ту же уязвимость, что и хакер, атаковавший The DAO в пятницу. Однако, на сегодня не так много известно кроме того, что «белая» атака прошла успешно, а при выводе средств было использовано несколько адресов.
Этот факт подтверждает один из участников Slock.it Лефтерис Карапетсас:
«Пожалуйста, обратите внимание, что предложение о разделении #TheDAO под номером 99 с дочерним аккаунтом
http://etherscan.io/address/0x84ef4b2357079cd7a7c69fd7a37cd0609a679106 тоже является дружественным выводом средств», — написал он Twitter.
Follow
Lefteris Karapetsas @LefterisJP
Please note that #TheDAO Split Proposal #99 with Child DAO account:
http://etherscan.io/address/0x84ef4b2357079cd7a7c69fd7a37cd0609a679106 … is also a friendly whitehat draining.
3:55 AM - 22 Jun 2016
5 5 Retweets 4 4 likes
Более полная информация об используемых адресах указана в соответствующей публикации на Reddit.
Таким образом, в самом The DAO осталось около 2,9% изначальных средств, насколько нам известно, необходимых для осуществления будущей контратаки (подробности пока не сообщаются). При помощи контратаки было выведено более двух третей (63%) средств фонда на основной счет и около 3% средств на дополнительный счет. В то же время, более трети средств The DAO были выведены хакером еще в пятницу, 17 июня, а последняя «черная» хакерская атака позволила вывести лишь 0.1% средств фонда, что приблизительно равно 11,6 тыс эфиров или $143 000. Помимо этого, есть еще три дочерних ДАО, характер которых пока что не установлен, а суммарные активы составляют около 2.3% изначальных фондов.
Адрес последней хакерской атаки по данным Etherscan
Ближе к завершающей стадии контратаки Алекс Ван де Санде сообщил о текущей ситуации:
«The DAO уже практически опустошена. 7,2 млн эфиров были защищены. Требуется помощь сообщества в идентификации остальных».
Follow
alex van de sande @avsa
DAO is now mostly empty. 7.2M ether have been secured so far. The community needs to help by identifying the rest.
https://etherscan.io/address/0xb136707642a4ea12fb4bae820f03d2562ebff487 …
12:16 AM - 22 Jun 2016
37 37 Retweets 40 40 likes
Несмотря на вынужденный ускоренный запуск вывода средств за пределы материнского ДАО, нельзя говорить об отсутствии подготовки или спонтанности этого события, как сообщает Ван де Санде в одной из последних публикаций, такое мнение не совсем соответствует действительности:
«Начиная с пятницы, я был на связи с группой очень умных людей с целью копирования атаки, чтобы избежать потерю еще большего количества эфиров. Назовем эту группу в целом «Робином Гудом». Каждый в группе действовал от своего имени и не представлял, а также не получал указаний от своих работодателей.
Робин смог повторить атаку в рамках тестовой сети, однако не мог быть уверен, что она сработает, пока не протестирует её на практике. В первую очередь, это потребовало бы от группы успешно преследовать и внедриться в несколько предложений о разделении, открытых на данный момент.
После некоторых изначальных приготовлений группа смогла внедриться во все открытые предложения о разделении и постаралась определить лучшее для использования.
Лучшим кандидатом для разделения стало предложение номер 78, так как в нем было не так много участников, и мы смогли идентифицировать куратора. Мы контролируем 3 из 5 аккаунтов, которые отделились вместе с нами, и если у вас есть информация о других аккаунтах, пожалуйста, свяжитесь с нами, чтобы мы могли защитить средства», — заявил куратор The DAO, координировавший контратаку.
Кроме того, Ван де Санде намекнул на будущее развитие событий, что, возможно, предполагает возврат средств, контроль над которыми утерян вследствие первой атаки.
УЯЗВИМОСТЬ ДАО И ПОЛИТИЧЕСКИЕ ВЫЗОВЫ
Учитывая, что проблема возможности рекурсивного вызова при разделении ДАО в исходном контракте фонда The DAO пока не решена, всегда найдутся те, кто захочет поживиться тем, что плохо лежит. Даже если получить доступ к похищенным средствам не удастся, можно получить выгоду от последующей после атаки волны волатильности на рынках ETH и DAO. Кроме того, не стоит забывать о политике, ведь очевидную выгоду от атаки на любую ДАО под эгидой Ethereum получат так называемые биткоин-максималисты в виде очередного довода в пользу собственной модели развития концепции умных контрактов — на основе блокчейна биткоина, однако не будем строить пустых домыслов. Достаточно понимания того, что новые атаки неизбежны и разрушительны.
В пользу возможной разрушительности последующих атак говорит и то, что даже в команде «белых хакеров», и по совместительству Ethereum-разработчиков, существуют диаметрально противоположные позиции относительно необходимости будущего хардфорка. Таким образом, вопреки расхожему мнению, говорить о беспрекословном повиновении Виталику Бутерину не приходится. Это значит, что хардфорка, который волшебным образом спасет The DAO от банкротства, может и не случиться. Сама эта контратака предпринята, в частности, для того, чтобы существенно снизить негативный эффект от отказа от хардфорка и, таким образом, убрать чрезмерное давление на майнеров при принятии окончательного решения.
Напомним, что по предварительным данным Ethereum-майнеры поддерживают необходимость софтфорка подавляющим большинством. Однако, вопрос о хардфорке пока что не ставился на голосование, так как на сегодня все ещё нет четко сформулированного предложения.
