Комментарии 41
Эх, не хватает в законах какого нибудь Статья 0: не быть мудаком. Хотя нет, многие будут нарушать эту статью, пользуясь этой статьёй. Надо бы подумать над этим.
https://www.reddit.com/r/ethtrader/comments/4ot3vi/warning_another_successful_attack_recursive_split/
Там ещё одна «атака» была, уже на 7,913,177 ETH…
Там ещё одна «атака» была, уже на 7,913,177 ETH…
Если администрация не заблокирует сделку, то инвесторы потеряют деньги, но если администрация заблокирует сделку, то цена этой криптовалюты упадет и инвесторы все равно потеряют деньги, дело труба.
Цугцванг.
Остается только хорошенько подумать и выбрать меньшее из зол.
Если они заблокируют сделку — то потеряют не только эти деньги, но и всё остальное что было вложено в Etherum как систему в целом. Можно признать факап вселенских масштабов в коде The DAO, наказать ответственных и двигаться дальше, но нельзя переписывать историю блокчейна.
Я не совсем понимаю логику тех кто защищает хакера. Там была проблема в том что, вывод и уничтожение токена были не одновременны, это сложно назвать правомерными действиями. Таким атакам подвержены и структуры в реальности… например набрать миллион кредитов, пока базы данных не синхронизированы. И как то такую атаку в реальности никто не назовет законной.
Вы неправы. Рекурсивный сплит, это часть контракта. Идиоты из The DAO просто позволили это сделать. Как результат, — вывод денег из The DAO в sub-DAO.
Вот пример:
http://etherscan.io/address/0xfe24cdd8648121a43a7c86d289be4dd2951ed49f#internaltx
Это уже 2-й сплит. Он на ~7 миллионов ETH. Кол-во монет в The DAO уменьшилось ровно на эту сумму.
То есть, транзакции по сути легитимные, т.к. позволены контрактом. Автоматическое вознаграждение за сплит… Вывод этих монет будет возможен только ч-з 27 дней.
Им кстати говорили о том, что рекурсия в данном случае это зло.
Вот пример:
http://etherscan.io/address/0xfe24cdd8648121a43a7c86d289be4dd2951ed49f#internaltx
Это уже 2-й сплит. Он на ~7 миллионов ETH. Кол-во монет в The DAO уменьшилось ровно на эту сумму.
То есть, транзакции по сути легитимные, т.к. позволены контрактом. Автоматическое вознаграждение за сплит… Вывод этих монет будет возможен только ч-з 27 дней.
Им кстати говорили о том, что рекурсия в данном случае это зло.
Ага.
Технически же возможно?
И можно ставить нелицензионное ПО, если авторы не предусмотрели жесткой защиты от этого.
И людей убивать.
И пр. и пр.
Технически же возможно?
И можно ставить нелицензионное ПО, если авторы не предусмотрели жесткой защиты от этого.
И людей убивать.
И пр. и пр.
Да нет же! Можно и дело завести и человека посадить, только потом ни одного либертарианца в этой сети не будет. И очень интересно кто там останется? Как в реальном монетарном мире? Юристы сажающие друг-друга по кругу?
Будут. Халявщики никогда не переведутся.
А биткоином одни либертанцы занимаются? прям вот миллионы долларов вкладывают в ДЦ, скупают разработчиков асиков, это все либертанцы?
А речь не про биткоин, а про Эфир(иум). Там его основа/привлекательность весьма забористая идеология круто замешанная как раз на либертарианстве.
Ну а биткоин сейчас по меркам таких альтернатив уже довольно "консервативная" и стабильная система. Потому туда и пришли "серьезные дяди, чтобы рубить деньги", а не только идеями и перспективами гоняться.
Нельзя, хакер не нарушил законов. Пруфы сами найдете если интересно.
Вы можете объяснить, пожалуйста, что имел в виду хакер, когда утверждал, что возможность «кражи» легальна? Судя по тому, что написано в статье — это настоящий баг: можно перевести на свой счет чужие средства, правильно выполнив функцию проверки баланса.
Здесь хорошо расписано:
https://www.reddit.com/r/ethereum/comments/4os7l5/the_big_thedao_heist_faq/
What happened? 3,641,694 ETH where splitted out of theDAO. The attacker found a loophole in the regular splitDAO function so that they could reuse the same DAO tokens over and over again.
По простому: Используя тот-же самый токен «The DAO», производится сплит этого DAO в саб-дао, однако возврата из функции сплита не происходит, она выполняется рекурсивно (то-есть 1- сплит ещё не завершён, но уже начат 2-й, и так рекурсивно).
>>The following calls are done in a state before the balance of the attacker is set back to 0. This allowed the attacker to split 20 times (have to look up the exact number) per transaction.
Как можно было позволить рекурсивный сплит в контракте? Хотя конечно это теперь всем ясно, но на момент создания, The DAO и компания получившая от них 6-ти значную сумму, аудит безопасности, посчитали, что это нормально, хотя их предупреждали (ссылки можно найти на reddit)
https://www.reddit.com/r/ethereum/comments/4os7l5/the_big_thedao_heist_faq/
What happened? 3,641,694 ETH where splitted out of theDAO. The attacker found a loophole in the regular splitDAO function so that they could reuse the same DAO tokens over and over again.
По простому: Используя тот-же самый токен «The DAO», производится сплит этого DAO в саб-дао, однако возврата из функции сплита не происходит, она выполняется рекурсивно (то-есть 1- сплит ещё не завершён, но уже начат 2-й, и так рекурсивно).
>>The following calls are done in a state before the balance of the attacker is set back to 0. This allowed the attacker to split 20 times (have to look up the exact number) per transaction.
Как можно было позволить рекурсивный сплит в контракте? Хотя конечно это теперь всем ясно, но на момент создания, The DAO и компания получившая от них 6-ти значную сумму, аудит безопасности, посчитали, что это нормально, хотя их предупреждали (ссылки можно найти на reddit)
Суть кроется в переводе его открытого письма. Прежде чем инвестировать в ДАО он проанализировал Открытый код программы, а так же контракт, который они ему предлагали, в котором черным по белому было прописано, что все что может делать код контракта — легально. Проконсультировался со своими юристами по поводу законодательства США и только после этого принял решение вступить в ДАО.
Т.е. они ему предложили условия, на которые он согласился и которыми он воспользовался. Как если бы банк вам предложил кредит со ставкой -100%.
Т.е. они ему предложили условия, на которые он согласился и которыми он воспользовался. Как если бы банк вам предложил кредит со ставкой -100%.
Кстати сигнатура письма «злоумышленника», фейковая.
Ага, был такой товарищ, пытался банк Тинькофф нагнуть. Потом сам же на попятную пошел. Но он там договор изменил, который затем принял банк. А тут это уровня, я посмотрел интернет-банк, этого банка, понял что он полная лажа, и заключил договор, затем воспользовался дыркой и перевел себе 10млн на счет. Да прогеры ДАО оказались так себе, но это не делает законным эксплуатацию эксполойта.
Мне так же вспомнился случай с Тинькофф и вот что мне принесли несколько минут в гугле «Сам Дмитрий Агарков в интервью интернет-изданию slon пояснил, что высказывания предпринимателя Олега Тинькова вынудили его покинуть пределы страны.» В более цивилизованной стране, где в твиттере нельзя позволить себе угрозы своему клиенту, думаю клиент выиграл бы суд, ведь банк, который _не_читает_ контракты, всё таки его подписал. Мо мнение: не хотите читать контракты — закладывайте это в риски)
Я бы согласился с вами, но у кейса с интернет-банком есть одна особенность. Есть контракт, который оговаривает ваши отношения с банком и возможные транзакции между вами, а есть софт, который позволяет вам совершать те или иные транзакции. Так вот в случае с нахождением эксплойта в софте интернет банка, вы можете им воспользоваться, но по контракту вы не имеете на это права. Банк даже может вам сделать отдельную форму, через которую вы сможете начислять себе деньги, но вот воспользоваться ей вы не сможете, поскольку это будет противозаконно.
В случае с DAO договор звучал примерно так: «Условия работы The DAO Creation установлены в коде smart contract, существующем на блокчейне Etherium по адресу 0xbb9bc244d798123fde783fcc1c72d3bb8c189413. Ничто в текущем тексте или в любом другом документе или сообщении не может изменить или добавить гарантии или обязательства, помимо тех, которые прописаны в коде DAO». (Взято из письма)
Т.е. они прямо пишут. Всё что может делать наш код — легитимно и не может быть изменено в будущем никаким другим способом)
Я бы согласился с вами, но у кейса с интернет-банком есть одна особенность. Есть контракт, который оговаривает ваши отношения с банком и возможные транзакции между вами, а есть софт, который позволяет вам совершать те или иные транзакции. Так вот в случае с нахождением эксплойта в софте интернет банка, вы можете им воспользоваться, но по контракту вы не имеете на это права. Банк даже может вам сделать отдельную форму, через которую вы сможете начислять себе деньги, но вот воспользоваться ей вы не сможете, поскольку это будет противозаконно.
В случае с DAO договор звучал примерно так: «Условия работы The DAO Creation установлены в коде smart contract, существующем на блокчейне Etherium по адресу 0xbb9bc244d798123fde783fcc1c72d3bb8c189413. Ничто в текущем тексте или в любом другом документе или сообщении не может изменить или добавить гарантии или обязательства, помимо тех, которые прописаны в коде DAO». (Взято из письма)
Т.е. они прямо пишут. Всё что может делать наш код — легитимно и не может быть изменено в будущем никаким другим способом)
тут еще дело в том что на сайте DAO прямо сказано что всякие разьяснения как все работает — это именно — разьяснения а код смарт контракта — имеет приоритет перед ними. Ну вот и получили. Если код смарт контракта имеет приоритет перед описанием как этот смарт контракт должен работать то багов в нем не может быть по определению.
А по какому закону набор миллиона кредитов неправомерен?
Чего не сделаешь ради защиты The DAO.
Возможность контроля обсуждалась давно, наверное с того момента как добыча биткоинов перешла на пулы.
Если 51% по мощности пулов согласится, можно создать реестр запрещенных адресов и не включать транзакции с их участием в блоки.
Увы, но это вполне возможный сценарий для любой крипты. Подконтрольную крипту государство примет с радостью.
Возможность контроля обсуждалась давно, наверное с того момента как добыча биткоинов перешла на пулы.
Если 51% по мощности пулов согласится, можно создать реестр запрещенных адресов и не включать транзакции с их участием в блоки.
Увы, но это вполне возможный сценарий для любой крипты. Подконтрольную крипту государство примет с радостью.
Вся ситуация очень проста, — в коде смарт контрактов ДАО, позволена рекурсия чем и воспользовался вполне себе легитимный участник DAO. Сплит из DAO несёт вознаграждение за этот сплит. Никто в ДАО не подумал о том, что-бы убрать рекурсию. В итоге рекурсивный сплит привёл к тому, что сеть вознаграждает данного участника и его под-дао также рекурсивно, но в том-же объёме что и за 1-й сплит.
Это The DAO было изначально мёртвой организацией, т.к. никаких конкретных целей у неё не было. И эта организация обанкротилась, — она мертва. Неверно прописанный контракт привёл к тому, что человек сумел получить около 3 миллионов ETH вознаграждений. The DAO — банкрот. Все кто в него вложился потеряли свои средства. Кстати 75% участников уже вывели свои средства из DAO.
Будет значительно хуже, если форкнут (неважно софт или хард). Это будет означать манипуляцию контрактом. Кому нужны такие smart contracts ??? Их смысл в том, что-бы они соблюдались, независимо от желаний разработчиков или сторон контракта.
Ethereum должен дистанцироваться от «The DAO». Вообще разработчики Ethereum, не должны были в нём участвовать.
Это The DAO было изначально мёртвой организацией, т.к. никаких конкретных целей у неё не было. И эта организация обанкротилась, — она мертва. Неверно прописанный контракт привёл к тому, что человек сумел получить около 3 миллионов ETH вознаграждений. The DAO — банкрот. Все кто в него вложился потеряли свои средства. Кстати 75% участников уже вывели свои средства из DAO.
Будет значительно хуже, если форкнут (неважно софт или хард). Это будет означать манипуляцию контрактом. Кому нужны такие smart contracts ??? Их смысл в том, что-бы они соблюдались, независимо от желаний разработчиков или сторон контракта.
Ethereum должен дистанцироваться от «The DAO». Вообще разработчики Ethereum, не должны были в нём участвовать.
Кстати 75% участников уже вывели свои средства из DAO.
BBC?
сколько читал, нигде такой инфы нету, даже самые большие хейтеры такое не пишут.
на полоне «24hr Change 19.10%» было недавно для ДАО.
Со вчерашней ночи выводят в Bitcoin. Посмотрите сюда: http://coinmarketcap.com/assets/the-dao/
Я не совсем в этой теме, но по графику я вижу что упала их цена, да в связи с паникой и тем что народ начал выводить ДАО в ВТС.
Но означает это что вывели 75%?
Просто хочу понять, спс.
Но означает это что вывели 75%?
Просто хочу понять, спс.
75% цифра из головы, не продиктованная расчётами. И да кто-то же покупал инфлировавышие токены, так-что признаю что я не прав. Там теперь новые владельцы, которые скупали инфлировавшие токены. Кол-во беглецов должно как и всегда оказаться ~60-70% (нормальное распределение). Но это-же можно сказать и о том что The DAO приобрело новых стэйк-холдеров. А объём торгов вырос почти в 3.5 раза относительно пика роста перед самым падением (суточные объём $3.4миллиона на пике роста, против $12.8 миллионов в пике падения 17:19 время по coinmarket.cap)
Будет форк: https://blog.ethereum.org/2016/06/17/critical-update-re-dao-vulnerability/
НЛО прилетело и опубликовало эту надпись здесь
Пожалуйста поправьте в статье — проблемы у The DAO! взломали DAO! Ethereum тут страдает только опосредованно, и только если будет хард и софт форки, отменяющие последствия 'взлома' хакером.
Ага, вот тоже читаю и вижу уже в комментариях пишут: — что делать? С моего кошелька могут украсть деньги!
Ну как так можно новости писать? В лучших традициях первого канала и НТВ?
Ну как так можно новости писать? В лучших традициях первого канала и НТВ?
Остаётся лишь порадоваться, что до гиктаймс ещё не добрались новости в стиле: «Очевидцы заявляют, что злоумышленники были одеты в одинаковые чёрные футболки, выглядели технически грамотными и трезвыми. По мнению экспертов, данный взлом мог быть осуществлен внештатными сотрудниками Роскомнадзора в интересах предпринимателя Аркадия Ротенберга».
27 дней это не три недели, а почти 4
Какой странный подход, прям дети. Ушами хлопали в компании, а он такой злодей.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Цена популярности: злоумышленник, атаковавший Ethereum, получил криптовалюты на $53 млн