Лого vc.ru

Укравший $53 млн из блокчейн-системы хакер заявил о законности приобретенных денег

Укравший $53 млн из блокчейн-системы хакер заявил о законности приобретенных денег

17 июня неизвестный хакер стал массово выводить токены блокчейна Ethereum, на базе которого работает фонд The DAO. Это привело к краже $53 миллионов, а также к обвалу курса токенов Ethereum и DAO на криптовалютных биржах. Хакер, который взял на себя ответственность за получение средств, анонимно заявил о праве на деньги. Об этом сообщает The Verge.

Злоумышленник использовал уязвимость в коде The DAO, предназначенную для построения дочерних версий проекта. Хакер утверждает в открытом письме, что это легальная функция The DAO, поэтому он имеет законное право на деньги: «Я разочарован тем, что использование этой функции расценивается как воровство. Моя юридическая фирма заверила меня в правомерности действий в рамках уголовного и деликтного права в Соединенных Штатах».

The Verge называет вывод таких больших средств беспрецедентным для The DAO. Издание отмечает, что, хотя злоумышленник использовал функцию не по назначению, его действия соответствуют правилам договора организации.

Криптограф Корнельского университета Эмиль Гюн заявил в своей заметке на ресурсе Hacking Distributed, что вывод средств из фонда не обязательно будет квалифицироваться как взлом и назвал ситуацию «хорошо проделанной работой».

Благодаря системе Ethereum хакер не сможет потратить деньги в течение 27 дней, поэтому в настоящий момент они находятся на текущем счете. Руководители предпринимают ряд усилий, направленных на возврат средств. Некоторые специалисты предложили модифицировать код, чтобы сделать невозможным процесс вывода денег.

Однако злоумышленник считает, что любое подобное изменение приведет к краже его законно приобретенных средств. Он угрожает судебным иском тем, кто попытается это сделать. Сооснователь Ethereum Виталик Бутерин заверил пользователей в блоге компании, что средства не будут потрачены.

Присылайте новости на news@vc.ru

Теги
0

У ETH сейчас очень и очень нелегкое время. Почти все изменения, которые предлагали сделать Виталику, указывают на то, что криптовалюта всё же централизованная. А значит, если государство захочет, оно вмешается.

Для идеологии было бы здорово фаундейшену остаться в стороне и никак не реагировать на обосрамс DAO, который был несовершенен с самого начала.
А для сдерживания падения цены -- да, нужно делать pullback.

Ethereum - платформа для создания децентрализованных, отказоустойчивых и якобы нецензурируемых сервисов на базе блокчейн. Реализована в виде единой виртуальной машины [1] и
основано на концепции "умных контрактов". Типа, можно запрограммировать на каких условиях мои деньги переходят к тебе и профит: суды не нужны, третьи лица не нужны. Код правит балом. Условия контракта либо выполняются и деньги переходят, либо нет. Во всяком случае, так позиционировалось.

The DAO (Децентрализованная автономная организация) - один из крупнейших проектов на базе Ethereum. Типа венчурный капитал, контролируемый группой лиц.

Мякотка. Согласно "умному контракту" The DAO, любой желающий мог беспалевно заказать отправку крипты на свой кошелёк. Сторона Ethereum и The DAO заявляет, что это баг, а воспользовшийся этим - вор. Злоумышленник и сообщество говорит о том, что вообще-то было обещанно, что "код есть договор". Стало быть, вывод эквивалента 53 миллионов вполне законен и справедлив.
Ethereum заявили, что они так не играют и будут делать форк, чтобы вор не прошёл. При этом наглядно демонстрируется вся "отказоустойчивость", "децентрализованность" и "нецензурируемость" системы и справедливость термина "код есть договор". Ибо на всё это положили.

[1]: ru.wikipedia.org/wiki/Ethereum

0

А какое сообщество на стороне злоумышленника? Таких же воров, или в целом айтишное?
Айтишники, конечно, страшными аутистами бывают, но не до такой же степени (надеюсь).

Не могу сказать, какое это сообщество. Судите сами, кто ЦА HN. Специально не считал, но многие высказывались о том, что коль "код - это договор", стало бы быть надо понять и простить. А иначе получается, вся реклама проекта - фуфло. Об этом же и статья в Bloomberg вышла [1]. Даже есть такие, кто заверяет, что они тоже инвестировали в The DAO и готовы пожертвовать вложенным.

[1]: www.bloomberg.com/view/articles/2016-06-17/blockchain-company-s-smart-contracts-were-dumb

Ну про сообщество я уже понял - комментарии на VC показательны.
Это грустно.
Обнадеживает то, что мир работает не так.
Смотрите, вот есть суды. Не суд с конкретным хакером, а суд как абстрактный государственный институт. Он долгий, дорогой, включает массу процессов: прения, допросы и т.д. Казалось, зачем он нужен, если закон уже написан?
Коротко говоря, затем, чтобы минимизировать ошибки интерпретации закона и доказательной базы. Судебная система - это заплатка над законом, которую общество повсеместно считает необходимой, поскольку конкретное применение закона - вопрос спорный, даже если сам закон все поддерживают.
И я клоню даже не к тому, что любой адекватный суд постановит вернуть деньги безотносительно правил сервиса (хотя вряд ли сурово накажет хакера - на что он и надеется, мол шанс сохранить деньги ничтожен, но и шанс наказания невелик, стоит риска).
А к тому, что вот есть отдельно правила сервиса, а есть совесть и здравый смысл. И любой участник этого цирка должен сознавать, что независимо от юридических последствий он может делать что-то нехорошее и заслуживающее санкций просто исходя из здравого смысла и общественных норм. Например, взять чужие деньги.
И, повторюсь, очень грустно, что "сообщество айтишников" этого не понимает.
Но обнадеживает, что весь реальный мир, в котором суд - не тикет в базе, а такое большое здание со скамейками и клетками - это сознает.

Это всё тоже обсуждалось. О том, что суд рассматривает "spirit and intent" (дух и намерения) договора, что защищает от опечаток и лазеек. А годный юрист пишет не сложный договор, предусматривающий все возможные случаи, а простой и понятный для всех сторон документ.
Но суть то конкретно в этом проекте, позиционирующемся в качестве замены судов и прочего. Они сами сочли, что намерения и дух - не нужны и кодом можно чётко описать все возможные ситуации. И продолжают гнуть эту линию, заявляя, что вот сейчас проработают модель Formal verification для своего ЯП и тогда уж точно всё будет ништяк. При этом, возврат "уведенного" просим считать исключением.

0

Я не сильно в теме, но кажется решение о форке было принято не руководством, а большинством участников. Или большинством майнеров.
Что добавляет истории еще один виток закрученности. Ведь что считать правильным, если не мнение большинства? "Демократия плоха, но ничего лучшего человечество не придумало"

Как раз, если не ошибаюсь, откат блокчейна был предложен кем-то со стороны The DAO. А soft fork, делающий все транзакции The DAO, начиная с определенной, недействительными - Виталиком.

Большинство участников действительно может поддержать это решение (о форке) путём скачивания и запуска модифицированного кода или не поддержать.
Суть то в том, что это не механизм являющийся частью системы. Завтра если взломают, например, мой проект на базе Ethereum, кто-нибудь будет делать форк? А, если ваш? Не думаю. Даже освещения такого бурного это, возможно, не получит. Тогда получается какая-то особая демократия, работающая только для проектов авторов Ethereum / крупных проектов?

А как же пункт правил в меню о блокировки аккаунта в когда угодно без объяснения причин? Ставишь такой пункт и в любой непонятной ситуации знаешь что делать.

да, меня тоже это посмешило. Анонимный хакер угрожает судом. А раньше-то все наоборот было! В любом случае, очень интересно, что дальше будет.

Обколются там своим блокчейном и крадут вот это все

Что, опять Виталик ?
А хакер, случайно, не из того рижского ресторана ? ;-)

Главное правило клуба-не выводить деньги из клуба

мдааа неужели после этого кто то будет доверять свои деньги этой якобы "безопасной" криптовалюте ? когда левый хакер увел кучу денег.
это гвоздь в крышку гроба.
я лично свои деньги не стал бы доверять им после этой херни.

Доверять деньги криптовалюте? Щито? Тут про доверие фонду идёт речь

Зря поправляете.
История забавная и пошла далеко за пределы хабра и реддита. В следующий раз, когда умный и подкованный айтишник решит делать очередную вундервафлю на блокчейнах и обратится к руководству/инвестору или другому человеку в костюме и при деньгах - ему посмеются в лицо и припомнят эту историю.
Потом он может вдоволь обдоказываться, что рафик неуиноват, все кривой фонд, но слушать его не будут, потому что в глазах любого стороннего наблюдателя история подрывает доверие ко всем биткоинам, блокчейнам и прочей криптомумбаюмбе.

0

А существует что-то в этом мире надежного задуманного людьми, но без "человеческого фактора"?
Вся наша жизнь - выбор между тем, что нам кажется более и менее надёжным.

Где-то уже видел подобный пиар. В итоге, ничего не произойдет, кроме бурного интереса людей, пытающихся найти подобные лазейки на сайте (ведь все "легально"). ЦА, судя по всему, айти-осведомленные. Железная схема пиара: большие цифры, тематика ЦА, эмоциональное событие, связь с участниками события. Железнее только те случаи, когда якобы за миллиарды долларов покупают (читать отмывают) ничего не стоящие компании.

что за бред ты несешь ?
у них украли 60 кусов денег
и ты думаешь что инвестор будет доверять свои кровные дырявой криптовалюте ?

Мы перешли на ты? Кто-то может реально подтвердить, что их именно украли? Деньги делают на движении. Движении людей, денег, потоков. Если система дошла до потолка, тогда ее принудительно разрушают, а новую - развивают. Вот на чем делают деньги. А пиар всегда имеет эффект, даже если он черный.

Легкий способ заработать минуса на vc.ru:
1) Говорите то, во что люди не хотят верить;
2) Объясняйте свою позицию и те, кто не могут объяснить свою, просто молча ее отвергнут;
3) Задавайте правильные вопросы, которые могут не понравиться тем, кто не хочет, чтобы ответ знали.
Парни, я понимаю когда молча плюсуют, т.к. позицию согласия не объясняют. А вот тихий дислайк несогласных, это уход от ответственности. Входите в коммуникацию, а не мышуйтесь там, пельменные критики.

"Входите в коммуникацию, а не мышуйтесь там, пельменные критики."

Да вы просто БогЪ мотивации.

Аз есмь. Антимышь Департамент Инкорпорэйтэд.

Мурад, не заостряйте внимание на минусах. Адекватный человек обсуждает и выговаривает о своем несогласии, а не просто минусит.

А эта система дизлайков/лайков нужна пиздюкам для поднятия собственной самооценки. И поэтому своими минусами они думают приспустить оппонента, а сказать по делу нечего.

В итоге - забейте :D

Вот и я ведь о том же! Спасибо за адекватность! Это как луч света в темном царстве :) Девушки - размножайте этого парня! ))

0

2х2=5! И не минусуйте меня, а обосновывайте свою позицию! Я вот ни разу не видел теоремы, где бы доказали, что 2х2=5! Я тут четко аргументирую, вопросы пацанские задаю, а они ни одного аргумента привести не могут.

0

Я вот ни разу не видел теоремы, где бы доказали, что 2х2=4!

0

Берем цифру 1 за один кубик, выложим два ряда высотой в два кубика и считаем, загибая пальчики ^_^ Вот так, малыш, нужно конструктивно отвечать на любого типа вопросы )

0

Конструктивно - это послать... В Гугл.

Был бы толк от этого. Если даже разжевать все, у человека своя правда и он ее любит )

0

Я ему про коммунитативные поля чисел, а он мне кубики считает! Цифру 1 Карл, бля, ЦИФРУ! Ну раз уж мы в детском саду, берем цифру один за 1 кубик, кладем в ряд 3 кубика и рядом еще 2. Считаем. 5!!!! Шах и мат, деточка!

0

Математика явно не Ваше ))

Ещё, наверное, не поздно. Кто-то прямо сейчас пробует свои силы с The DAO: live.ether.camp/account/BB9bc244D798123fDe783fCc1C72d3Bb8C189413
Помимо него есть и другие основанные на Ethereum проекты с похожей проблемой.

0

да я пока разберусь что и как, уже закроют дырочку)))

Почему его сразу называет вором, говоря "украл", если по сути всё по закону? А как же презумпция невиновности? Как-то неправильно.

Потому что он вор, например. Этого мало?
Фонд, вероятно, тоже виноват, если у него дырявый код и кривая оферта. Но это не снимает ответственность с вора.
Ситуацию можно сравнивать с разбойным нападением на территории государства, где разбой прямо не запрещен и нет договора об экстрадиции. С одной стороны - неочевидно, как призвать разбойника к ответственности, с другой стороны любому здравомыслящему человеку очевидно, что он разбойник.

Так код и есть та самая оферта. Фонд сам предложил её "принять" всем участникам. А когда один из них попытался получить пречитающееся ему по праву, фонд начал говорить о том, что оферта - недействительна и стоит следовать указаниям создателей фонда. Разбойное нападение - совсем не та аналогия.
Тут на ум, скорее, приходит тот случай с ТКС банком, когда один из клиентов поправил договор в свою пользу, а банк его подписал, но выполнять отказался.
Ну либо нужно признать, что "код - нифига не договор", всё это пустые слова, никакой нецензурируемости и отказоусточивости нет. С системой не боремся, просто строим очередной стартап, не решающий реальных проблем, а следующий тренду блокчейнов и всего того, что популярно в данный момент. Тогда да, можно говорить о краже.

0

А что за борьба с системой?
Уточню вопрос:
1. С какой системой якобы боролся фонд или эфириум?
2. Каким образом он с ней якобы боролся?
3. Почему вы решили, что для фонда или эфириума важно подавать себя как борцов с ситемой, а не как очередной стартап?

Если что - спрашиваю без иронии, не в курсе этой темы.

0

Так если они с системой не борются, зачем вообще вся эта история с blockchain и p2p? Проблема гораздо легче решается централизованным методом. А чтобы не делать из сервиса walled garden, есть federation. С таким подходом и взлома бы, описанного в статье, не возникло. И опыта именно в этой сфере накоплено достаточно.
Как пример, Inria, да GNU со Столманом пилят Taler [1]. Децентрализованный? Да. Использует криптографию? Да, но баг в ней к миллионным потерям не приведёт. P2P? Нет, federation.

[1]: taler.net/

0

> Хакер то все правильно сделал и он прав в рамках кода.
Без понятия. Кто-то тут написал, что это снижает косты на транзакции, например.
А я совершенно серьезно не вдупляю, зачем нужен блокчейн, п2п и все вот это вот. И с какой конкретно системой они там борются (платежными, банковскими, государственными?). Вики описывает "что", но не описывает "зачем".

На самом деле можете смеяться над криптовалютчиками. Однако через 10 лет мы не сможем себе представлять жизнь без технологии, которая заключена в их основу. Пока вы считаете это очередным изобретением новых "Мавроди", банки уже из кожи лезут, чтобы на эту технологию сесть как можно глубже. Транзакционные издержки - это вам не шутки. Ежедневно мы платим комиссии банкам, нотариусам, судам, страховым и пр. Платим всем их подразделениям, обслуживающие наши запросы.

То, что произошло здесь. Это локальная проблема проекта DAO и Ethereum и на блокчейн вообще никак влияет. Вы же читаете и наматываете на ус, что крипта - сплошное кидалово. Ну и дураки!

А есть какие-то вменяемые тексты, с числами и экспертизой, из которых понятно, каким образом и в каком объеме блокчейн позволит банкам снизить транзакционные издержки?

Не украл! А по договору получил - если в договоре написано:"ты не дебил" и ты его "подписал " = ты дебил . В этом суть таких операций как не имея доступа к ним ( позиционируются вне системы) фильтровать весь календарь и остаться попрежнему вне вот вопрос

Весь "кал" естественно

Ну если Виталик реализует ветвление, его с его эфиром можно смело хоронить . Хакер то все правильно сделал и он прав в рамках кода. А значит он прав в рамках идеи. Виталику надо признать ошибку - это сможет сохранить эфир

Отличный коммент.
Буду использовать как иллюстрацию "технарского аутизма" и почему технарей нельзя подпускать к бизнесовой части продуктов.

Технический аутизм начинается в тот момент, когда вы анонсируете изначально правила , а затем если кто-то воспользовался несовершенством правил пытаетесь все вернуть назад. Вот это аутизм. Хакер сделал все правильно

0

Т.е. вы забудете закрыть дверь и квартиру обнесут, то "все будет правильно"?

Алексей, не совсем корректный пример. Что произошло с DAO на примере квартиры, как Вы указываете. Вы позвали всех к себе в квартиру на празднование чего-либо. А вот один из гостей он Вас спросил: а можно я телевизор вынесу. Ну Вы и ответили: забирай, что хочешь. Человек так увлекся, что обнес всю хату...ну как бы так...А теперь Вы побежали в милицию, типа верните мне вещи. Ну и кроме того, Вы на бумажке в присутствии всех будучи трезвым и вменяемым написали - забирай, что хочешь

> Хакер сделал все правильно

Воспользовался возможностью трактовать так, как ему нравится.

Анекдот вспомнился:
Деревня, ночь, стучат в окно:
- Хозяин, дрова нужны?
- Нет.
Утром просыпается - во дворе дров нет.

Вне зависимости от его решения ДАО можно хоронить. Эфир под вопросом, но, думаю, его тоже.

0

Забавно, месяца 3 назад читал что дескать круто как, даже пару тысяч сложить хотел www.investopedia.com/articles/investing/032216/ethereum-more-important-bitcoin.asp

Уоу! Тот случай, когда, развитие продукта и его юридическая защита явно разошлись во времени и пространстве.
Здесь, действительно, спор уже, скорее, юридический.
Прежде всего, надо читать правила системы, поскольку "некорректное", по мнению администратора, использование одной из её функций может быть вполне правомерно в контексте дискретных полномочий пользователя системы.
А если специально определённых правил нет, то код и есть договор!
Особенно если мы говорим про блокчейн .

а вы знали что нужно периодически чистить организм от всяких паразитов и токсинов иначе у вас начнутся проблемы со здоровьем, вот почитайте -- nsk.one/iD

0

Ну как всегда. Идея хорошая, но реализация ...

0

Немного не пойму. Если не фиксить данный баг, тогда дальше любой сможет выводить все средства себе. И почему таким же способом не могут вывести средства у Виталика?

Прямой эфир
Компания отказалась от email
в пользу общения при помощи мемов
Подписаться на push-уведомления