17 июня 2016 года произошла одна из самых масштабных атак — из-за ошибки в коде проект The DAO потеряли $60 млн. Мы решили ещё раз сделать обзор на этот взлом и проанализировать, к чему привело это событие.
Предыстория The DAO
На заре ICO в мае 2016 года завершился токенсейл проекта по децентрализованному управлению инвестициями The DAO, создателем которого является Slock.it.
У The DAO дела шли прекраснее всех: и комьюнити увеличивалось, и Виталик Бутерин был главной фигурой, и результаты токенсейла The DAO впечатляли – 12 млн ETH, что на тот момент составляло $165 млн. Однако на фоне всеобщего хайпа разработчики “забили” на безопасность The DAO.
Сейчас каждый второй участник комьюнити Ethereum подтвердит, что команда Slock.it отнеслась несерьезно к безопасности The DAO и к возможным уязвимостям.
10 июля 2016 года сооснователь The DAO Стефан Туаль хвастался масштабом и величием своего детища. Мол мы создали крупнейших инвестиционный проект в истории криптоиндустрии.
Взлом The DAO
Через несколько дней после этого, пользователи GitHub забили тревогу касательно «ужасающей атаки на контракты кошельков». Стефан Туаль, будучи уже не таким оптимистичным, через сутки анонсировал ряд апгрейдов протокола из-за обнаруженной уязвимости – именно она и привела The DAO к взлому.
17 июня 2016 года Ethereum обвалился:
А через полдня стало известно, криптовалюта упала на фоне атаки на The DAO, в результате которой было украдено $50 млн.
На рынке началась паника, а его участники набросились на создателей The DAO, Виталика Бутерина и непосредственно Ethereum.
Кульминацией массовой паники вокруг The DAO стало появление хакера The DAO который написал следующее:
Я исследовал исходный код the DAO и нашел функцию, при запуске которой разделение вознаграждается дополнительными ETH. Я ее активировал и получил 3.64 млн ETH. Хочу поблагодарить the DAO за это вознаграждение. Все соучастники скоро получат уведомления на свои email. Я надеюсь, что взлом станет опытом для комьюнити Ethereum, которому я желаю только наилучшего.
Так что же за уязвимость такая была у The DAO? Этот баг позволял бесконечно снимать активы The DAO и переводить их на другие DAO посредством разделения DAO, повторно собирая ETH в рамках одной транзакции.
Разработчики The DAO не ожидали такого головокружительного успеха, и это сделало его привлекательным не только для инвесторов, но и для хакеров.
Резюмируем
Взлом The DAO не погубил ничего, кроме самого The DAO и подарила криптоиндустрии настоящую жемчужину – Ethereum Classic, вокруг которого собралось крупное и влиятельное комьюнити. Взлом The DAO продемонстрировал, что крипта весьма устойчива к подобным атакам, но все таки оставляет след, и котором периодически вспоминают и заново исследуют.
Бесспорно, взлом The DAO – это непозволительная халатность разработчиков и легкомыслие инвесторов, которые сломя голову несли сотни тысяч долларов в непроверенный на безопасность проект.
Кстати, за полгода до краха Ethereum Foundation заявляли о банкротстве, а на сам Ethereum сыпалась критика от инвесторов. Некоторые эксперты считают, что Ethereum Foundation сам взломал The DAO и украденные средства направил на решение своих финансовых проблем. Кто знает, может и в правду так было.
501