klbax381
|
|
July 14, 2016, 11:11:13 AM |
|
не, ну тут двойные стандарты у вас. то есть хакнуть хакера и не дать ему превратить его токены/эфиры в другие деньги - это типа нормально, если делается контрактом. а если делается голосованием и форком - то это неправильно. а в чем разница-то? для простого человека важен результат а не способ.
Тут как раз важен способ. Одно дело если у тебя увели бабки и ты пошел в банк и тебе их вернули(откатили транзакцию), а другое - если у тебя увели, а ты сам увел у того, кто их у тебя увел Первый вариант - это цензура фиат итд, а второй - это свобода, то есть крипта А смысл усложнять, если хотят просто откатить одну транзакцию с переводом эфира из ДАО в даркДАО, разве все последующие операции из этой цепочки не будут невалидными? Не все так просто. Дело в том, что хард-форк сам по себе невалидный, с точки зрения кода нормального geth и математики. Тем более в эфире аккаунты, здесь нет непотраченных выходов, как в битке. Я думаю, тут 99% читателям этого форума ни черта не понятно со всякими контрактами-хуяктрами. Я лично не понимаю - не скрываю этого. Народ просто жуёт попкорн, глядя на это представление. ну народ знал куда идет
|
|
|
|
klbax381
|
|
July 14, 2016, 11:16:43 AM |
|
ну народ знал куда идет Smiley Напомню, если кто забыл https://en.bitcoin.it/wiki/Main_Page Bitcoins are sent easily through the Internet, without needing to trust any third party. Transactions: Are irreversible by design .... https://ethereum.org/Ethereum is a decentralized platform that runs smart contracts: applications that run exactly as programmed without any possibility of downtime, censorship, fraud or third party interference.
|
|
|
|
blackyblack
|
|
July 14, 2016, 11:21:52 AM |
|
теперь у хакера нет токенов и он почти ничего не сможет сделать со своим dark-dao. Правда он еще куратор, но то другая песня.
Он не куратор. По крайней мере разрабы заявили, что ключи от контракта им настоящий куратор отдал.
|
|
|
|
markiz73
|
|
July 14, 2016, 11:39:46 AM |
|
у меня только один вопрос, эфир лежит на счете хацкера. Что помешает ему им воспользоваться если не будет хардфорка? токены отжали но эфир нет
|
|
|
|
klbax381
|
|
July 14, 2016, 12:07:20 PM |
|
Он не куратор. По крайней мере разрабы заявили, что ключи от контракта им настоящий куратор отдал. бред сывой кобылы. Он куратор b656b2a9c3b2416437a811e07466ca712f5a5b5a своего DAO 304a554a310c7e546dfe434669c62820b7d83490 Он же и создал splitProposal ID=59 в оригинальном DAO https://live.ether.camp/transaction/5798fbc45e3b63 description → lonely, so lonely у меня только один вопрос, эфир лежит на счете хацкера. Эфир лежит на ChildDAO контракте. Был бы на его счету - давно бы продал его. Что помешает ему им воспользоваться если не будет хардфорка? Отсутствие токенов и modifier onlyTokenholders Он не сможет вызвать newProposal, vote (не может голосовать) и splitDAO (не может выполнить сплит-атаку на свой dao). Он тупанул, надо было ему все токены распылить по другим адресам, а так они остались закреплены за его дырявыми контрактами. А может это и специально было сделано, хез. Но тк он куратор - может некоторые действия еще производить, например changeAllowedRecipients. Хотя это вряд ли ему поможет.
|
|
|
|
klbax381
|
|
July 14, 2016, 12:27:49 PM |
|
Если будет хардфорк - скорее будут и биржи, которые будут торговать оригинальным эфиром и хардфорком
|
|
|
|
|
myxamop
|
|
July 14, 2016, 01:25:06 PM |
|
Если будет хардфорк - скорее будут и биржи, которые будут торговать оригинальным эфиром и хардфорком Мало вероятно, а даже если и будут то этим торговцам хакер нальет полные щечки эфира своего
|
|
|
|
klbax381
|
|
July 14, 2016, 01:55:12 PM |
|
Похоже врут про ключи. Он создал предложение с обычного аккаунта b656b2a9c3b2416437a811e07466ca712f5a5b5a , а голосовал с контрактов f835a0247b0063c04ef22006ebe57c5f11977cc4 и c0ee9db1a9e07ca63e4ff0d5fb6f86bf68d47b89 чтобы провести с них атаку. Какой смысл голосовать за чужое предложение, если можешь создать сам и стать куратором своего будущего childDAO? Да и если на историю транзакций посмотреть(их всего 8 ), то видно, что это акк специально был создан для атаки, тк там больше никаких транзакций нет https://live.ether.camp/account/b656b2a9c3b2416437a811e07466ca712f5a5b5a
|
|
|
|
Little_boo
|
|
July 14, 2016, 01:56:24 PM |
|
klbax381 Я вас читаю и офигиваю, там что дырка на дырке и дыркой погоняет? Чую не скоро народ вложиться в новый ДАО, очевидно что 99,99% инвесторов не понимают в коде ничего, а значит им нужны будут какие-то гарантии сохранности денег в контракте.
|
|
|
|
Little_boo
|
|
July 14, 2016, 01:57:44 PM |
|
Он создал предложение с обычного аккаунта b656b2a9c3b2416437a811e07466ca712f5a5b5a , а голосовал с контрактов f835a0247b0063c04ef22006ebe57c5f11977cc4 и c0ee9db1a9e07ca63e4ff0d5fb6f86bf68d47b89 чтобы провести с них атаку.
Вопрос, разве за вывод денег не все инвесторы должны были голосовать? почему он смог вывести деньги проголосовав какой-то малой долью голосов ДАО?
|
|
|
|
myxamop
|
|
July 14, 2016, 02:13:24 PM |
|
Он создал предложение с обычного аккаунта b656b2a9c3b2416437a811e07466ca712f5a5b5a , а голосовал с контрактов f835a0247b0063c04ef22006ebe57c5f11977cc4 и c0ee9db1a9e07ca63e4ff0d5fb6f86bf68d47b89 чтобы провести с них атаку.
Вопрос, разве за вывод денег не все инвесторы должны были голосовать? почему он смог вывести деньги проголосовав какой-то малой долью голосов ДАО? Он использовал recursive_split атаку через свой контракт. Обсуждалось уже 100 раз.
|
|
|
|
klbax381
|
|
July 14, 2016, 02:36:21 PM |
|
Мало вероятно, а даже если и будут то этим торговцам хакер нальет полные щечки эфира своего Grin Там появится пространство для манипуляций. Тут от реализации форка зависит и как будет учитываться баланс. Можно, скажем, ромбиком слить, получится, что в форк и не форк ветке последняя транзакция будет валидная. А если будут блочить всех, кто связан с darkDao, то он специально разошлет копеечные транзакции по всех влиятельных адресах Уверен, что во время перехода на форк(а это не быстро) будет не одна уязвимость и возможность его обойти. Тем более времени мало Чую не скоро народ вложиться в новый ДАО, очевидно что 99,99% инвесторов не понимают в коде ничего, а значит им нужны будут какие-то гарантии сохранности денег в контракте. Если не понимают, значит должны заплатить тому, кто понимает, кто проведет аудит кода, куда они собрались вкладывать. Хотя даже в closed-source контракты вкидывают и не боятся...
|
|
|
|
blackyblack
|
|
July 14, 2016, 03:45:59 PM |
|
Похоже врут про ключи. Он создал предложение с обычного аккаунта b656b2a9c3b2416437a811e07466ca712f5a5b5a , а голосовал с контрактов f835a0247b0063c04ef22006ebe57c5f11977cc4 и c0ee9db1a9e07ca63e4ff0d5fb6f86bf68d47b89 чтобы провести с них атаку. Какой смысл голосовать за чужое предложение, если можешь создать сам и стать куратором своего будущего childDAO? Да и если на историю транзакций посмотреть(их всего 8 ), то видно, что это акк специально был создан для атаки, тк там больше никаких транзакций нет https://live.ether.camp/account/b656b2a9c3b2416437a811e07466ca712f5a5b5aСмысл в том, чтобы атаковать немедленно, а не ждать, пока твой сплит созреет.
|
|
|
|
klbax381
|
|
July 14, 2016, 05:12:25 PM |
|
Может и так, только почему голосовали за только атакующие контракты, а не кто-то другой или создатель proposal?
|
|
|
|
blackyblack
|
|
July 14, 2016, 06:20:31 PM |
|
Может и так, только почему голосовали за только атакующие контракты, а не кто-то другой или создатель proposal?
Вроде как решили, что создатель сплита передумал и проголосовал против своего же предложения. Остальные участники DAO проигнорировали этот сплит. Ну а хакер воспользовался.
|
|
|
|
Little_boo
|
|
July 14, 2016, 06:53:46 PM |
|
Он использовал recursive_split атаку через свой контракт. Обсуждалось уже 100 раз.
Круто ты ещё раз объяснил, я уже 100 раз слышал про слит атаку, только где ответ на конкретный вопрос? Если решения по фонду эфира должно принимать инвесторы, как умудрился создать дочерний ДАО без решения большинства? Как-то слишком жирная дыра, если в контракте была возможность каких либо действий с баблом без решения большинства.
|
|
|
|
klbax381
|
|
July 14, 2016, 07:03:28 PM |
|
Вроде как решили, что создатель сплита передумал и проголосовал против своего же предложения. Остальные участники DAO проигнорировали этот сплит. Ну а хакер воспользовался. Голоса создателя b656b2a9c3b2416437a811e07466ca712f5a5b5a против нет, голосовали против 2 акка ca8e11c876180c9f2115fa61fe2a1a3a6f66ebaf и 347c28ef5487b37a8e03040653a739f19b986b2d Если решения по фонду эфира должно принимать инвесторы, как умудрился создать дочерний ДАО без решения большинства? Как-то слишком жирная дыра, если в контракте была возможность каких либо действий с баблом без решения большинства. Потому что если ты решил, что хочешь отпачковаться от большинства - ты можешь это сделать, забрав с собой свое бабло, которое ты вложил, и за неделю к тебе еще могут присоединится твои единомышленники тоже со своим баблом. Чтобы не зависеть от большинства - децентрализация. Дыры в самой задумке нет, дыра в реализации, тк писали контракт криворукие потому что не отладили в тестнете и явно не знают, что такое reentrant function https://en.wikipedia.org/wiki/Reentrancy_%28computing%29 Интересно, хоть кто-то, кто вкладывал в dao читал хотя бы его wiki, не говоря уже о просмотре исходников?
|
|
|
|
blackyblack
|
|
July 14, 2016, 07:34:44 PM |
|
Вроде как решили, что создатель сплита передумал и проголосовал против своего же предложения. Остальные участники DAO проигнорировали этот сплит. Ну а хакер воспользовался. Голоса создателя b656b2a9c3b2416437a811e07466ca712f5a5b5a против нет, голосовали против 2 акка ca8e11c876180c9f2115fa61fe2a1a3a6f66ebaf и 347c28ef5487b37a8e03040653a739f19b986b2d Да, действительно. Ну разницы особой нет. Сделал чувак предложение и не стал голосовать. Почему бы и нет?
|
|
|
|
igorokkk
Legendary
Offline
Activity: 2898
Merit: 1041
|
|
July 14, 2016, 08:39:11 PM |
|
Ну что товарищи, кто что думает по кефиру? Думаю, после решения всех проблем могут загнать к осени на новый уровень.
|
|
|
|
|