The DAO, la première « organisation autonome décentralisée » mettant en œuvre la blockchain d’Ethereum vient d’être délestée d’une grande partie de ses devises virtuelles par l’un de ses utilisateurs, pour un montant de 3 millions d'ETH équivalent alors à plus de 50 M$ (le cours a chuté depuis mettant l'Ether à environ 12 $). L’attaquant a exploité de façon récursive une faille du code de The DAO qui lui a permis de collecter des ethers de façon répétée dans une DOA secondaire (child), explique dans un billet Vitalik Buterin, co-fondateur d’Ethereum, en assurant que ce problème ne touche que The DAO et n’affecte pas la plateforme Ethereum elle-même.
En fin de semaine dernière, pour empêcher l’attaquant de retirer l’argent dérobé et invalider les transactions effectuées, Ethereum a proposé un fork de son logiciel qui permettrait aussi à la communauté de se donner du temps afin de définir les prochaines actions à mener. Cette mesure de gouvernance centralisée pourrait, aux yeux d’une partie de ses utilisateurs, porter atteinte au crédit de cet écosystème distribué. Aujourd'hui, Vitalik Buterin indiquait dans un nouveau billet qu’avec l’aide de la communauté, l’organisation a recensé une liste des principaux bugs découverts dans les contrats.
Né en Suisse, le projet Ethereum (réseau décentralisé et plateforme de développement) s’est constitué grâce au crowdfunding pour faciliter la création de monnaies virtuelles. Il permet à des développeurs de concevoir des applications décentralisées (dApp) qui s’exécutent sur un réseau d’ordinateurs répartis, afin de créer des marchés et de stocker des promesses de dons ou de déplacer des fonds en conservant la confidentialité des données.
Fpuuu
Signaler un abusL'attaquant a exploité certaines loops
(des récursives) à son propre
avantage en dérivant une function mal sécurisée.
Il n'y avait pas de pre-check/post-check
d'auto-contrôle ni de système secondaire
de vérifications à multiples arguments. lol
Manipuler la chaine c'est le risque de rompre la confiance.
Signaler un abusCasser le jouet : Car manipuler l
Signaler un abusEn tant que mineur débutant, je ne comprends pas ce qui pourrait "casser le jouet".
Signaler un abusPourriez vous me/nous l'expliquer ?
La grande idée :
Signaler un abusc'est qu'il s'agit d'une machine a fabriquer de la démocratie. En tant que mineur, je prends part au vote de passer la proposition Fork-1 Fork-2 ?
Ce qui se résume pour moi, au choix cornélien d’arrêter un voleur ou de casser le jouet.
Ce n'était pas un "piratage". Le "pirate" n'a rien fait d'autre que de jouer selon les règles établies (le code). Que ces règles étaient différentes que ce qu'on croyait naïvement, n'est pas une raison de dire que ce n'était pas selon les règles.
Signaler un abusC'est exactement comme un avocat qui trouve une faille dans un contrat compliqué, et en fait profiter son client.
Pas beau, d'accord, mais un système "distribué sans confiance" ne doit pas compter sur "pas beau".
Exacte ce n'est en rien de la "Gouvernance centralisée", mais plutôt de la "Démocratie directe" :
Signaler un abus-La Fondation s'occupe de la résolution technique du problème, mais n'a AUCUN pouvoir de l'imposer à la communauté
-Les Mineurs sont au centre du jeu puisque c'est eux qui décident à la majorité absolue si on réalise le "Soft-Fork" du gel de toute la DAO et ses presque 12M Ethers...
-Et pour rembourser les Porteurs de TheDAO : la Communauté entière devra être d'accord, ce qui semble impossible à l'heure actuelle...
Je ne comprends pas en quoi les solutions proposées sont des "mesures de gouvernance centralisée".
Signaler un abusCes solutions (soft et hard forks) ne peuvent pas, à ma connaissance, être mises en place sans la mise à jour de plus de la moitié des nœuds du réseau.
Le choix revient donc à la communauté des nœuds et non à une quelconque autorité centralisée, non ?
erratum: ce n'est pas une attaque contre DAO, ou la DAO, c'est une attaque contre 'THE DAO', le 'the' est important.
Signaler un abusLe scénario du Bitcoin se répète : une grande idée qui permettrait à l'économie réelle de se libérer des banques et des marchés financiers est mise à mal par un acte de piraterie. A qui profite le crime ? (au delà des 36M$ dérobés, le pirate aurait gagné autant honnêtement en créant sa propre monnaie virtuelle). Comme si les faux-monnayeurs avaient jamais détruit une monnaie papier... Mais l'écho donné dans ce cas est bien moindre et la confiance n'est généralement pas entachée.
Signaler un abus