17 июня неизвестный хакер стал массово выводить токены блокчейна Ethereum, на базе которого работает фонд The DAO. Это привело к краже $53 миллионов, а также к обвалу курса токенов Ethereum и DAO на криптовалютных биржах. Хакер, который взял на себя ответственность за получение средств, анонимно заявил о праве на деньги. Об этом сообщает The Verge.
Злоумышленник использовал уязвимость в коде The DAO, предназначенную для построения дочерних версий проекта. Хакер утверждает в открытом письме, что это легальная функция The DAO, поэтому он имеет законное право на деньги: «Я разочарован тем, что использование этой функции расценивается как воровство. Моя юридическая фирма заверила меня в правомерности действий в рамках уголовного и деликтного права в Соединенных Штатах».
The Verge называет вывод таких больших средств беспрецедентным для The DAO. Издание отмечает, что, хотя злоумышленник использовал функцию не по назначению, его действия соответствуют правилам договора организации.
Криптограф Корнельского университета Эмиль Гюн заявил в своей заметке на ресурсе Hacking Distributed, что вывод средств из фонда не обязательно будет квалифицироваться как взлом и назвал ситуацию «хорошо проделанной работой».
Благодаря системе Ethereum хакер не сможет потратить деньги в течение 27 дней, поэтому в настоящий момент они находятся на текущем счете. Руководители предпринимают ряд усилий, направленных на возврат средств. Некоторые специалисты предложили модифицировать код, чтобы сделать невозможным процесс вывода денег.
Однако злоумышленник считает, что любое подобное изменение приведет к краже его законно приобретенных средств. Он угрожает судебным иском тем, кто попытается это сделать. Сооснователь Ethereum Виталик Бутерин заверил пользователей в блоге компании, что средства не будут потрачены.
Что такое The DAO и Etherium?
Ethereum - платформа для создания децентрализованных, отказоустойчивых и якобы нецензурируемых сервисов на базе блокчейн. Реализована в виде единой виртуальной машины [1] и
основано на концепции "умных контрактов". Типа, можно запрограммировать на каких условиях мои деньги переходят к тебе и профит: суды не нужны, третьи лица не нужны. Код правит балом. Условия контракта либо выполняются и деньги переходят, либо нет. Во всяком случае, так позиционировалось.
The DAO (Децентрализованная автономная организация) - один из крупнейших проектов на базе Ethereum. Типа венчурный капитал, контролируемый группой лиц.
Мякотка. Согласно "умному контракту" The DAO, любой желающий мог беспалевно заказать отправку крипты на свой кошелёк. Сторона Ethereum и The DAO заявляет, что это баг, а воспользовшийся этим - вор. Злоумышленник и сообщество говорит о том, что вообще-то было обещанно, что "код есть договор". Стало быть, вывод эквивалента 53 миллионов вполне законен и справедлив.
Ethereum заявили, что они так не играют и будут делать форк, чтобы вор не прошёл. При этом наглядно демонстрируется вся "отказоустойчивость", "децентрализованность" и "нецензурируемость" системы и справедливость термина "код есть договор". Ибо на всё это положили.
[1]: https://ru.wikipedia.org/wiki/Ethereum
А какое сообщество на стороне злоумышленника? Таких же воров, или в целом айтишное?
Айтишники, конечно, страшными аутистами бывают, но не до такой же степени (надеюсь).
Не могу сказать, какое это сообщество. Судите сами, кто ЦА HN. Специально не считал, но многие высказывались о том, что коль "код - это договор", стало бы быть надо понять и простить. А иначе получается, вся реклама проекта - фуфло. Об этом же и статья в Bloomberg вышла [1]. Даже есть такие, кто заверяет, что они тоже инвестировали в The DAO и готовы пожертвовать вложенным.
[1]: http://www.bloomberg.com/view/articles/2016-06-17/blockchain-company-s-smart-contracts-were-dumb
Ну про сообщество я уже понял - комментарии на VC показательны.
Это грустно.
Обнадеживает то, что мир работает не так.
Смотрите, вот есть суды. Не суд с конкретным хакером, а суд как абстрактный государственный институт. Он долгий, дорогой, включает массу процессов: прения, допросы и т.д. Казалось, зачем он нужен, если закон уже написан?
Коротко говоря, затем, чтобы минимизировать ошибки интерпретации закона и доказательной базы. Судебная система - это заплатка над законом, которую общество повсеместно считает необходимой, поскольку конкретное применение закона - вопрос спорный, даже если сам закон все поддерживают.
И я клоню даже не к тому, что любой адекватный суд постановит вернуть деньги безотносительно правил сервиса (хотя вряд ли сурово накажет хакера - на что он и надеется, мол шанс сохранить деньги ничтожен, но и шанс наказания невелик, стоит риска).
А к тому, что вот есть отдельно правила сервиса, а есть совесть и здравый смысл. И любой участник этого цирка должен сознавать, что независимо от юридических последствий он может делать что-то нехорошее и заслуживающее санкций просто исходя из здравого смысла и общественных норм. Например, взять чужие деньги.
И, повторюсь, очень грустно, что "сообщество айтишников" этого не понимает.
Но обнадеживает, что весь реальный мир, в котором суд - не тикет в базе, а такое большое здание со скамейками и клетками - это сознает.
Это всё тоже обсуждалось. О том, что суд рассматривает "spirit and intent" (дух и намерения) договора, что защищает от опечаток и лазеек. А годный юрист пишет не сложный договор, предусматривающий все возможные случаи, а простой и понятный для всех сторон документ.
Но суть то конкретно в этом проекте, позиционирующемся в качестве замены судов и прочего. Они сами сочли, что намерения и дух - не нужны и кодом можно чётко описать все возможные ситуации. И продолжают гнуть эту линию, заявляя, что вот сейчас проработают модель Formal verification для своего ЯП и тогда уж точно всё будет ништяк. При этом, возврат "уведенного" просим считать исключением.