Smuthul i blockchain-kontrakt kan have kostet investorer millioner i tab

Snu investor har udnyttet hul i kontrakt til at tappe sin investering til en crowdsourcet venturefond.

Investorer har måske tabt kryptovaluta til en værdi af millioner af dollars, fordi de overså noget af det skrevet med småt i en intelligent kontrakt, der var udformet på den relativt nye offentlige blockchain, Ethereum, skriver CIO.com.

Kontrakten blev skrevet i Ethereums Solidity programmeringssprog - et Javascript-lignende sprog - og det med småt var reglerne for investering i, drift af og exit fra en crowd-baseret venturekapitalfond kaldet The DAO (Distributed Autonomous Organization).

Ethereums kryptovaluta hedder Ether. Men Ethereum er også en platform, der kan håndtere intelligente kontrakter.

Udvikleren af teknologien, Ethereum Foundation, beskriver intelligente kontrakter som ‘applikationer, der håndteres præcis som de er programmeret - uden mulighed for nedetid, censur, bedrageri eller tredjeparts-indblanding.’

Og det viste sig at være korrekt:

Kontrakten for DAO kapitalfonden blev gennemført præcis som programmeret - men måske ikke helt efter hensigten.

En snu investor opdagede, at kontrakten ikke helt var skruet sammen, som de fleste investorer havde forventet.

I fredags benyttede denne investor sig af et smuthul til at kanalisere DAO’s beholdning af Ether til en til en anden konto, som investoren kaldte et "barn" til DAO.

I henhold til kontrakten kan valutaen ikke trækkes ud af kontoen før efter en karensperiode på 27 dage. Men derefter er der intet til hinder for at gøre det.

Dette smuthul, kaldet 'recursive call'-sårbarhed eller 'race to empty', er fundet i en række Ethereum-baserede intelligente kontrakter og blev faktisk offentliggjort for mere end en uge siden.

DAO var blevet opfordret til kontraktændring

Slock.it, som har udviklet det framework, som er anvendt til at udvikle DAO, udtalte den 12. juni, at man har justeret koden og opfordret DAO at vedtage en ny kontraktversion - men Slock.it påpegede dog også, at andre faktorer ville forhindre, at smuthullet blev udnyttet.

De andre faktorer beskyttede dog ikke DAO, som CIO.com bemærker.

Smuthullet består i at kalde koden, som gør en investor i stand til at trække sine penge ud af DAO-kontrakten. Koden laver først en udbetaling, hvorefter antallet af investorens tilgængelige midler bliver opdateret. På den måde er det muligt at overføre det samme beløb flere gange ved at kalde koden igen, før debit-operationen finder sted.

CIO.com beskriver det som at bede en bankekspedient om alle pengene på en konto, tage pengene, og så bede om beløbet en gang til, før kontoen bliver opdateret.

Om det er bedrageri afhænger af en nærmere juridiske vurdering, men det er næppe et hack, mener en ekspert:

»Jeg er ikke sikker på, at det kan betegnes som et hack,« skiver lektor Emin Gün Šírera, Cornell University, i et blogindlæg, som analyserer DAO fadæsen.

»For at betegne noget som et hack, en fejl eller uønsket adfærd, er vi nødt til at have en specifikation af den ønskede adfærd. Vi havde ingen specifikationer af den art for DAO.«

Sagen er slem nok for DAO investorerne, hvis penge nu kan være gået tabt, men den skaber også et eksistentielt problem for Ethereum.

Sagen har fået værdien af ​​Ether til at kollapse fra 20,51 dollars pr Ether torsdag til 11,81 dollars mandag, hvilket har den samlede værdi af Etherum til at falde med 700 millioner dollars.

For at genskabe tilliden og give mulighed for DAO investorerne at få deres penge tilbage, har Ethereum Foundation foreslået at ændre regelsættet og fastfryse den konto, hvortil DAOs penge blev tappet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jimmie Jensen

Når man udbyder en blockchain med kontrakter under sloganet "applikationer, der håndteres præcis som de er programmeret - uden mulighed for nedetid, censur, bedrageri eller tredjepart indblanding"(taget fra artiklen), og har muligheden for at enten fastfryse, eller resette (aka. hard fork) fra en central parts side, giver jeg ikke to potter p.. for deres produkt ærlig talt. Hvis fastfrysningen dog sker med flertal på blockchainen, er det en anden sag. Måske deres slogan skal postfixes med " - pånær de applikationer vi ikke kan lide" ? :-)
Er der overhovedet sket en ulovlighed, kan man måske også spørge?

Iøvrigt:
Det trækker lidt paralleller til sagen om iPhonen FBI ville have låst op - her har/havde Apple mulighed for at lave et FBI-OS. Først når de ikke har denne mulighed længere, har deres "sikkerhedsfeatures" en reel værdi (uanset hvor stor eller lille denne måtte være).

  • 3
  • 0
Log ind eller Opret konto for at kommentere