Der Cornell-Informatiker, der zur Identifizierung von Schwachstellen in The DAO beigetragen hat, hat auf einer Veranstaltung in New York 10 neue Exploits in seinem Code entdeckt.

Die Aussagen von Emin Gün Sirer, einem langjährigen Kritiker des Projekts, sind von einer breiten Besorgnis über die Entwicklungen bei The DAO, einem intelligenten, mit ethereum aufgebauten, vertragsbasierten Finanzierungsvehikel, das nach einem Exploit einer Schwachstelle in seinem Smart effektiv kollabiert ist, geprägt Vertragscode.

Sirer warnte, dass, während die Verwundbarkeit, die zur Entfernung des Kryptowährungseters im zweistelligen Millionenbereich geführt hat, jetzt gut verstanden ist, noch viel zu klären ist, bevor eine andere DAO (dezentralisierte autonome Organisation) gestartet werden kann.

Die Statements waren die ersten, die einen klaren Weg für den Aufbau einer Organisation mit weitgehendem Code vorgaben und damit die ursprüngliche Vision von The DAO erfüllten.

Sirer, der Co-Direktor der Initiative für Cryptocurrencies and Contracts (IC3) ist, ein akademisches Forschungsprojekt, das sich auf die Technologie konzentriert, nutzte das Forum, um einen detaillierten Bericht über mögliche Exploits für solche Projekte zu erstellen bis hinunter zur Programmiersprache von Ethereum.

Sirer fuhr fort zu argumentieren, dass die hervorgehobenen Themen relevant sind, wenn es um die Frage geht, ob in Zukunft ähnliche Projekte erstellt werden sollen.

Er sagte der Menge:

"Die DAO 2. 0 erfordert viel, viel mehr Aufwand. Es ist ein viel tieferer Bereich, als die Leute denken."

Vulnerabilities detailliert

In den Tagen vor der Sirer und seine Kollegen veröffentlichten eine Übersicht über eine sogenannte "rekursive Call" -Vulnerabilität, die es dem Ausbeuter ermöglichte, Gelder in ein sogenanntes "Child DAO" zu verschieben, das vom ursprünglichen DAO abbricht.

Sirer wandte sich am Abend der Veranstaltung an eine Gruppe von etwa 70 Bitcoin-Programmierern, Ethereum-Entwicklern, Informatikern und Finanzexperten und ging auf weitere mögliche Bedrohungen ein.

Zum Beispiel ist der "Stalking" -Bug - der derzeit verwendet wird, um einen Gegenangriff gegen einen White-Hat-Hack zu starten, der Fonds auf ein sicheres Konto verschieben soll - ein Beispiel für eine der Schwachstellen, die Sirer zuletzt identifiziert hat Ereignis der Nacht.

Zu ​​den zehn detailliert beschriebenen Sicherheitslücken gehört eine "gleichzeitige Vorschlagsfalle", bei der ein Angreifer einen willkürlichen Vorschlag wie "Glauben Sie an Gott?" "entworfen, um ein hohes Maß an Antwort zu locken, und eine lange Wahlperiode beinhalten, während der das zur Abstimmung verwendete Token gefangen wird. Dann könnte ein konkurrierender Vorschlag vom Angreifer gemacht werden, nachdem die Mittel gesperrt worden sind.

Ein weiterer Exploit, der als "Mehrheitsübernahme" bezeichnet wird, verschleiert die Mehrheit einer einzigen Partei, die von einem erfolgreichen Vorschlag profitieren könnte, indem sie das Stimmgewicht in kleinere, getrennt abgegebene Stimmen aufteilt, für die es keine Verteidigung gibt.

Einige der in der letzten Nacht besprochenen Exploits wurden in der früheren Veröffentlichung ausführlich veröffentlicht. Eine vollständige Liste mit einem Bericht darüber, wie das DAO funktioniert, finden Sie hier.

"Der ganze Sinn von Smart Contracts besteht darin, aufregende, seltsame Finanzinstrumente zu schaffen", sagte Sirer den Anwesenden und fügte hinzu:

"Das ist nicht aufregend, es ist einfach komisch."

Tough Love

In der Stunden vor der gestrigen Veranstaltung führte Sirer eine Twitter-Debatte durch, in der er argumentierte, dass die Ethereum-Gemeinschaft Gründungsmitglieder von Slock ausgrenzen sollte. es, ein in Deutschland ansässiges Start-up, das den DAO-Code schrieb und seinen Einsatz anführte.

Auf der Veranstaltung in New York verdoppelte Sirer seinen Ruf und nannte insbesondere die Gründer Stephan Tual und Christoph Jentzsch.

Aber während Sirer ein paar harte Worte für Slock hatte. es, sagte er, die Probleme erstrecken sich auf ätherum selbst. Er nannte The DAO eine "ginormous $ 220m Bug Bounty", eine Kritik, die nicht nur auf DAOs, sondern auf ethereum Smart Contracts Programmiersprache Solidität, die er sagte, ist ein Work in Progress.

Sirer sagte den Teilnehmern:

"Wir sollten Solidität umgestalten, wir sollten überdenken, was es bedeutet, sichere Zustandsautomaten zu schreiben, wie wir sie spezifizieren sollten und wie wir sicherstellen sollten, dass sie nicht durcheinander kommen."

Bild von Michael del Castillo für CoinDesk