Цена популярности: злоумышленник, атаковавший Ethereum, получил криптовалюты на $53 млн

За последние несколько месяцев стоимость Ethereum выросла более, чем в 10 раз, и это привлекает любителей легкой наживы

Пару дней назад администрация блокчейн-платформы Ethereum ^[1] заявила о выводе неким злоумышленником токенов блокчейнов Ethereum на сумму в $53 млн (по курсу на момент взлома системы). Неизвестный, используя особенности работы протокола платформы, совершил атаку на фонд Decentralized Autonomous Organization (DAO). У этой организации есть значительные резервы криптовалюты Ether, что и позволило злоумышленнику вывести такое большое количество токенов блокчейнов.

Благодаря тому, что система Ethereum открыта, разработчики и участники системы могут видеть, кто и сколько вывел виртуальных денег. Кроме того, по условиям системы выведенную с кошельков DAO криптовалюту нельзя будет потратить в течение 27 дней. Тем не менее, неожиданно успешные действия злоумышленника оказывают давление на курс Ethereum и снижают уровень доверия пользователей и инвесторов к системе.

А что, собственно, произошло?

Для того, чтобы понять суть проблемы, которая стала причиной вывода большого количества единиц криптовалюты со счетов DAO, нужно понимать, что собой представляет Ethereum. Это платформа для создания децентрализованных онлайн-сервисов на базе блокчейна (Đapps, Decentralized applications, децентрализованных приложений), работающих на базе умных контрактов ^[2]. Такие контракты — это специфический электронный алгоритм, описывающий набор условий, влекущий за собой некоторые события как в реальном мире, так и в цифровых системах.

Являясь открытой платформой (open source), Ethereum значительно упрощает ^[3] внедрение технологии блокчейн. Технология Ethereum дает возможность регистрации любых сделок с любыми активами на основе распределенной базы контрактов типа блокчейн, не прибегая к традиционным юридическим процедурам. Эта возможность является конкурентной по отношению к существующей системе регистрации сделок. По мнению некоторых специалистов, технология «умных контрактов» знаменует собой новую эру в финансовых технологиях. Система считается экспериментальной, но ей удалось привлечь внимание крупных компаний, таких, как Microsoft и IBM. На платформе Ethereum можно эмитировать и собственную криптовалюту, для чего не требуется особых навыков ^[4] программирования.

DAO является новым типом организации, которая работает с технологиями Ethereum. DAO можно охарактеризовать как цифровую компанию, которая не привязана к определенному юридическому лицу. Управляется она группой инвесторов, которые вложили в нее средства в виде токенов (на их основе и работает Ethereum). Эти токены инвесторы изначально обменяли на специальные DAO-токены. Организация позволяет всем инвесторам управлять общим фондом средств. Система управления является децентрализованной.

И здесь как раз кроется проблема. Реализация «умных контрактов», основы Ethereum, включает баг, позволяющий сторонним лицам выводить токены с эскроу-счетов, используя механизм проверки баланса. Ранее на эту проблему обращали внимание ^[5] некоторые независимые исследователи. Но разработчики не посчитали проблему слишком серьезной, хотя и знали о ней.

Its absolutely wonderful. Lets invent "programmable money", then program the money to steal itself. https://t.co/HzQGluSnbw ^[6]

— Nicholas Weaver (@ncweaver) 17 июня 2016 г. ^[7]

После случившегося баг решили исправить, но вопрос возврата токенов системы в эквиваленте $53 млн остается открытым. Средства до сих пор находятся в системе. Как уже говорилось выше, их нельзя будет вывести в течение ближайших трех недель. Но если сообщество проекта ничего не будет предпринимать, злоумышленник, совершивший атаку, сможет вывести все. А это означает значительное падение курса Ethereum и туманное будущее самой системы. А ведь самом начале года ^[4] криптовалюта Ether на платформе Ethereum прибавила всего за три месяца около 1200%, выйдя на второй место по рыночной капитализации после Bitcoin. Сейчас курс этой криптовалюты стремительно падает, и вряд ли он вырастет в течение ближайших нескольких месяцев.

Преступник или легальный пользователь?

Статус процедуры выведения токенов блокчейна со счетов DAO сейчас под вопросом. Злоумышленник Пользователь Ethereum, воспользовавшийся багом для выведения средств, опубликовал открытое письмо ^[8], где сообщает, что использовал только легальные функции DAO, поэтому ни о каком возврате средств или преследовании его представителями закона не представляется возможным.

Он сообщил о тщательно проведенной предварительной работе: «Я очень внимательно изучил код DAO, после чего нашел функцию вознаграждения дополнительными единицами криптовалюты при разделении. Я использовал эту функцию, законно получив 3641694 единиц криптовалюты. Хотел бы сказать спасибо DAO за это вознаграждение. Я думаю, что в исходный код эта функция добавлена для популяризации децентрализации [Ethereum, — прим. ред.]».

«Я не согласен с тем, что использование такой функции оценивается, как воровство. Мои юристы заявляют о полной правомерности моих действий в рамках законодательства Соединенных Штатов», — говорит виновник происшедшего. Он также сообщил, что обратится в суд, если разработчики изменят программный код Ethereum, и это приведет к невозможности вывода денег: «Я считаю необходимым принять любые возможные легальные действия против любых участников незаконных краж, заморозок или попыток изъятия моих законно полученных токенов Ether, и я продолжаю активно сотрудничать с моей юридической фирмой. Все соучастники уже в ближайшее время получат соответствующие уведомления на свою почту».

Многие специалисты по технологии блокчейн согласны с тем, что действия хакера полностью соответствуют правилам организации. Специалист по криптографии из Корнельского университета Эмиль Гюн заявил, что вся эта ситуация — «хорошо проделанная работа», которая вовсе не обязательно будет рассматриваться, как нарушение законодательства.

Для тех пользователей системы, которые вложили собственные средства и сейчас их потеряли, взлом (или использование бага) системы Ethereum является проблемой. Что бы там ни говорили специалисты по информационной безопасности и криптографии, но терять деньги не нравится никому. И сейчас те, кто вложил реальные деньги в Ethereum и потерял их, не очень довольны. Возможно, создателям системы удастся заблокировать «украденные» средства и вернуть их прежним владельцам. Но в этом случае возникает вопрос, можно ли считать Ethereum действительно открытой и независимой системой. Ведь если описанную выше транзакцию (или их серию) можно отменить, то не станет ли администрация ресурса поступать аналогичным образом и в отношении других сделок в будущем?

Автор: marks

Источник ^[9]