Leaderless DAO Ilagay sa Pagsubok Sumusunod Ethereum kahinaan | PH.democraziakmzero.org

Leaderless DAO Ilagay sa Pagsubok Sumusunod Ethereum kahinaan

Leaderless DAO Ilagay sa Pagsubok Sumusunod Ethereum kahinaan

Isang kahinaan sa paraan ng ilang mga developer ay pagpapatupad Ethereum ay nagdulot ng isang huling-minutong pag-aayos sa Ang DAO, isang ipinamamahagi autonomous organisasyon na may higit sa $ 150m sa kanyang pagtatapon upang mamuhunan sa Ethereum-based na mga proyekto.

Kapag walang leader o anumang pormal na koponan sa seguridad upang makilala at ayusin ang mga potensyal na banta sa seguridad, responsibilidad na babagsak sa isang open-source komunidad na binubuo ng mga miyembro na bumili ng mga karapatan sa pagboto sa organisasyon sa eter bilang bahagi ng phase paglikha.

Habang ang mga pagkakakilanlan ng ilan sa mga kasangkot ay hindi maliwanag pa rin, ang paraan kung paano ang kahinaan ay kinilala at reportedly nakapirming halaga sa unang real-world na mga pagsubok ng Ang DAO ni istraktura at problema-tuos diskarte.

Sa pamamagitan ng grapevine

Ang isyu kicked off noong nakaraang linggo, kapag GitHub user chriseth "casually itinuturo ang isang kahila-hilakbot, kahila-hilakbot na pag-atake sa mga kontrata wallet" na maaaring lumabas dahil sa ang paraan ng ilang mga developer ay pagpapatupad ng smart kontrata na nakasulat sa kabuuan ng wika ng Ethereum, ayon sa Blockchain Foundation tagapagtatag Peter Vessenes.

Sariling blog post Vessenes 'tungkol sa isyu at pagkatapos ay nahuli ng pansin ng isang Reddit user kaanib sa Maker DAO, na kung saan ay binuo sa Ethereum blockchain.

Ang kahinaan, na kung saan ay nagbibigay-daan sa attackers maubos ang isang partikular na uri ng account, ay pagkatapos ay matagumpay na nasubok sa pamamagitan ng Maker DAO, ayon sa kanilang mga post, na siya namang nahuli ang atensyon ng eththrowa, ang isang gumagamit ng forum ang DAO miyembro.

Eththrowa confirmedthat ang kahinaan umiiral din sa pagpapatupad pagkatapos ay ginagamit ng Ang DAO, na kung saan ay binuo gamit open-source software na nakasulat sa pamamagitan Slock.it, at ay ang pinakamalaking ipinamamahagi autonomous organisasyon na may tungkol sa $ 162m halaga ng ether sa kasalukuyan ay sa pagtatapon nito.

Ito ay na post na, sa wakas, nahuli ang atensyon ng Slock.it founder Stephen Tual. Siya, kasama ang ibang mga kasapi ng forum, agad na tumugon at isang araw sa ibang pagkakataon na nai-post ng isang link sa isang remedyo.

Kahapon, Tual announceda serye ng mga upgrade sa software ng proyekto na idinisenyo upang labanan ang kahinaan at iba pang mga laro teoretikal na pag-atake vectors na hindi nauugnay sa "recursive tawag" kahinaan dahil ito ay ngayon ay tinatawag na.

Sa kanyang post, sinulat ni Tual:

"Palawigin natin ang ating pasasalamat sa komunidad. Na sa sandaling muli pinatunayan na ang isang bukas na pag-unlad na proseso ay humantong sa mabilis na pagkilala, paghihiwalay at resolution ng mga potensyal na kahinaan, at sa kasong ito, ang pangkalahatang pagpapabuti ng mga pattern na disenyo bilang bahagi ng programa sa mga wika."

Walang DAO pondo ay nasa panganib dahil sa mga kahinaan, ayon sa isang hiwalay na post.

Mas malawak na isyu

Inilunsad mas maaga sa taong ito sa pamamagitan ng isang walang pangalan na tao o grupo, The DAO ay binuo sa open-source code na nagpapahintulot sa mga user kapag pinagsama-sama bumoto sa kung paano ang parehong maghiwa-hiwalay ng mga pondo sa mga proyekto na ang mga miyembro tingin karapat-dapat at makatanggap ng dividends kung ang proyekto ay matagumpay.

Sa kasong ito, ang kahinaan sana ay ipaalam sa isang tatanggap ng mga dividends "alisan ng tubig maraming beses ang kanyang karapatan sa pamamagitan ng pagtawag sa kontrata recursively," ayon sa eththrowa.

Ngunit tulad ng Vessenes 'post sa Biyernes ginawa malinaw, ang recursive tawag na banta ay hindi tungkol sa lamang ng isang kahinaan sa Ang DAO, ngunit isang mas pangkalahatang isyu sa ang paraan ng ilang mga developer ipatupad ang smart kontrata na nakasulat sa mga programming language katigasan.

Sa isang email na CoinDesk, Vessenes na ibinigay ng isang mas teknikal na paglalarawan ng ang kahinaan:

"Lahat ng mga pampublikong kabuuan function na magpadala ng pera o gamitin ang" call "sa isa pang kontrata ay maaaring tinawag na recursively sa pamamagitan ng isang umaatake tatanggap. Hindi ganyan ang Bitcoin ay gumagana, kaya maaari itong maging isang sorpresa sa bagito Ethereum developer. Ang mga praktikal na implikasyon ay na ang bawat isa ng iyong mga pag-andar (at sa katunayan ang iyong buong kontrata) ay dapat na 'rientrent', na ang ibig sabihin ay dapat silang gumana ang parehong kung bahagi nito ay muling tinatawag na bago ang pagkumpleto. "

Ang mga pag-aayos

Ethereum Foundation miyembro Taylor Gerring sinabi CoinDesk na Vessenes 'orihinal na paglalarawan ng problema ay tumpak. Gayunpaman, idinagdag niya na ang kahinaan ay hindi nangangailangan ng anumang mga pagbabago sa mga Ethereum codebase upang ayusin.

Sa halip, ang kahinaan ay nangangailangan ng isang iba't ibang uri ng pagpapatupad sa pamamagitan ng mga developer.

Sa panayam, Gerring sinabi ang kahinaan "ay isang pag-aalala insofar bilang isang tao programmer ay maaaring gumawa ng problemang ito" ngunit "ito ay hindi isang likas problema sa kabuuan o EVM [ang Ethereum Virtual Machine]", ang scripting wika at code interpreter na kapangyarihan ng network.

Vessenes kasama ng dalawang posibleng solusyon sa "recursive tawag" kahinaan sa kanyang post.

Iba pang mga pag-aayos na tiyak sa ang DAO ni code din inihayag kahapon ng Slock.it ay dinisenyo upang malutas ang mga potensyal na isyu na ang ilan ay itinuturo outregarding ng organisasyon pamamahala modelo.

Sa partikular, ang mga ito ay mga pag-aayos sa ilang mga laro teoretikal na pag-atake, kabilang ang kung ano ay tinatawag na isang "oo bias", na nagreresulta mula sa isang sagabal sa cast ng "hindi" boto. Ang mga pag-aayos ay ipinatupad sa anyo ng mga kahilingan sa pull sa GitHub.

Ngayon ay hanggang sa ang mga 23,000 miyembro ng pagboto ng DAO Ang sumang-ayon sa mga pagbabago o itulak para sa isang alternatibong solusyon.

Tual wroteon ang Slock.it blog:

"Ito ay isang ganap na open-source na proyekto. Simula ngayon at sa panahon ng kurso ng isang panahon ng dalawang linggo pagsusuri, lahat ng tao kabilang ang mga curators ay hinihikayat upang suriin at lumahok sa mga release."

EthereumThe DAO

Kaugnay na Balita


Post Ethereum

Isinara ng BlockCypher ang Ethereum API Toolkit para sa Mga Nag-develop

Post Ethereum

Ang DAO Hacker ay Pagkuha

Post Ethereum

Pagkokontrol ng Ethereum? Ang Parlamento ng EU ay Nagtatakang Malaking Isyu sa Blockchain

Post Ethereum

Ang Kalansay ng Ethereum ay Nagpapatunay ng Bitcoin Block Size Conservatism?

Post Ethereum

Naglulunsad ang Ethereum ng Long-Retreat na Disentralisadong Network ng App

Post Ethereum

Mga Analyst Hinulaan ang $ 100 na presyo para sa Ethereums Eter Token

Post Ethereum

Espirituwal na Karanasan: Hot, Wild Ethereal Summit ay Mag-sign ng Times

Post Ethereum

Jeff Garzik startup Bloq upang Ilunsad ang Cross-Blockchain Cryptocurrency

Post Ethereum

Pinatutunayan ng Tagalikha ng Ethereum ang Blockchain Scaling Vision ay Walang Joke

Post Ethereum

Zcash + Ethereum = ♥: bakit Dalawang Blockchains Sigurado Nagbabago Sama-sama

Post Ethereum

Scaling Lightning? Paano Mapangalagaan ang Boldest Scaling Plan ng Bitcoin

Post Ethereum

Ethereum: Isang Mahahalagang FinTech Sandbox