53 millió dollár értékű ether virtuális pénz tűnt el a The DAO nevű okos szerződések által vezérelt, az Ethereum rendszerén futó cégből. A támadó vagy támadók egy, a cég alapprogramjában maradt hibát használtak ki. A tranzakció az Ethereum rendszere miatt követhető, ettől viszont nem egyértelmű, hogyan lehetne visszaszerezni a pénzt.
A The DAO arra volt ígéret, hogy egy teljesen új fajta cég lesz. (A DAO-ról szóló átfogó cikkünk erre található.) Társasági szerződés helyett az Ethereum blockchainjén futó kódban volt lefektetve, hogy hogyan működik a vállalat. Nem volt apróbetű, nem voltak csavarosan megfogalmazott mondatok a szerződésben, csak a céget működtető kód. Ez nagyobb csapdának bizonyult, mintha tucatnyi simlis ügyvéd fogalmazta írta volna.
Normál esetben egy fizetésre szolgáló kód egyszer fut le. Vegyünk példának egy internetes pizzarendelést: kiválasztjuk a pizzát, rányomunk a rendelés gombra, megadjuk a kártyaadatokat, aminek a végén a kártyánkról levonják a pizza árát, egy futár pedig valahol felül a robogójára. A The DAO rendszerébe egy olyan hiba csúszott, ami lehetővé tette, hogy egy fizetési ügylet újra és újra lefuttassa magát. A pizzarendelős példa esetében ez olyan, mintha a rendelés gomb lenyomása után addig utalgatná el az oldal a pénzünket, amíg van fedezet. A The DAO-ban pedig volt fedezet, 18 ezer részvényese 170 millió dollárnak megfelelő ether virtuális pénzt öntött a cégbe. A kár mértékét nehéz megbecsülni, mert a hír hatására esett az ether árfolyama, és csökkent a The DAO értéke is.
Ez gyorsan ment
Az eset két ok miatt kínos különösen. Az egyik, hogy az Ethereum rendszer legnagyobb vállalkozásának számító The DAO-t csak pár hete indították el. A másik pedig, hogy több kutató jelezte, hogy a szoftver hibákat tartalmaz – köztük a Bitcoin Foundation vezetője Peter Vessenes -, de a fejlesztők egyike sem mérte fel, hogy mekkora kárt okozhat, ha nem javítják ki azokat.
I just want to say: it’s awesome that @zooko and his LeastAuthority team found the DAO issue two years ago. Glad they’re building @zcashco.
— Matthew Green (@matthew_d_green) June 18, 2016
A programozók mentségére az szolgálhat, hogy egy teljesen új területen dolgoznak. Nincsenek kialakult biztonsági megoldások, nincs iparági tapasztalat, amire támaszkodhatnának. Tíz éve nem létezett még se a bitcoin, se a blockchain technológia, sem pedig az Ethereum.
Mi lesz a pénzzel?
Az ether nem tűnt el, a rendszer felépítése miatt 27 napig el sem lehet költeni. Két egymásra épülő megoldást javasoltak a fejlesztők, amikor a lopásra fény derült. Az egyik meghosszabbítaná a huszonhét napos moratóriumot, a másik pedig visszajuttatná a pénzt eredeti gazdájához. Mindkét változtatáshoz a szofver módosítására van szükség, továbbá meg kell győzni az Ethereum klienst futtató felhasználókat, hogy váltsanak a frissített szoftverre.
Emellett a Slock.it blogján folyik az ötletelés arról is, hogy a támadó ellen lehet-e fordítani az általa felhasznált sebezhetőséget. Ha igen, és a DAO-csapatnak szerencséje van, egyszerűen visszalophatják a pénzt. Kérdés persze, hogy megbíznak-e ezekben a tervekben az Ethereum felhasználói. A helyzetet pedig az teszi különösen mókássá, hogy a kódba öntött szerződések által működtetett rendszerek melletti legnagyobb érv eddig az volt, hogy a felek közti bizalmat a kód váltja le.
(fotó: The Preiser Project / Flickr CC-BY)
Szomorkás a hangulata
Egy ember vagy csoport érzi magát kitűnően a kialakult helyzetben: a támadó. A neten nem sokkal a botrány kirobbanása után megjelent egy levél, amelyet állítólag az elkövető írt. Ebben amellett érvel, hogy az 53 millió dollárnyi ether az övé. „Csalódottá tesz, hogy vannak akik lopásként hivatkoznak a tettemre” – kezdődik a nyílt levél. Elkeseredés helyett azonban inkább nyelvet nyújtogat a szöveg. Amellett érvel, hogy a programhibát kihasználó okos szerződés teljesen jogszerű, mert megfelelt a DAO kódba foglalt elveinek. Emellett felhívja a figyelmet arra, hogy minden, a pénz visszaszerzésére irányuló programmódosítási kísérlet csak aláásná az Ethereumba vetett hitet.
Ha pedig az érvek nem lennének elegendőek, a támadó többször is utal arra, hogy a bíróságon is hajlandó megvédeni a programhibával megszerzett virtuális vagyonát. Egy digitális cégeket és kriptográfiát is érintő tárgyalás különleges látványosság lenne. A nyár eleji Oracle vs. Apple perben lényegesen egyszerűbb informatikai fogalmakkal dolgoztak a két cég jogászai, de a tárgyalások így is végtelenné váltak. Az ügy legjobb kritikája az volt, hogy a Szilícium-völgy találkozott a valódi világgal a bíró előtt. Az Ethereum találkozása a világgal pedig még nagyobbat szólhat.
Az a pénz már elveszett
Természetesen már arról is van vita, hogy az állítólagos támadó titkosítással aláírt levele valódi-e. De ha hamisítvány is, az abban felvetett gondolatok érdekesek, és nincs is velük egyedül a levél szerzője. Emin Gün Sirer, a Cornell egyetem professzora szerint az sem biztos, hogy ami történt, azt a rendszer meghackelésének lehet nevezni. A The DAO-nak nincs specifikációja, nincs leírva, hogy hogyan kellene működnie, így viszont nehéz hibás működésre hivatkozni.
„Ha a támadó pénzt veszített volna, biztos vagyok benne, hogy a fejlesztőknek nem okozott volna gondot elutalni a pénzét, és azt mondani, hogy ez történik a programozott pénzforgalom szép új világában” – írja Sirer. A kutató szerint a The DAO-nak vége van, csak még nem látták be. Az Ethereum jövőjéről pedig csak akkor tartja érdemesnek beszélni, ha a rendszert alaposan átvizsgálták és újragondolták.
Szólj hozzá