Совершенство или крах — взлет и падение The DAO

Признаюсь полностью: у меня есть немного эфира, и я вложил часть в предпродажу The DAO. Не думаю, что это как-то повлияло на моё отношение к ситуации, но, думаю, лучше говорить об этом открыто.

DAO В последнее время наделал много шума. Первый – в прошлом месяце, когда стало известно крупнейший краудфандинговый проект в истории, в какой-то момент превысив 116 миллионов долларов, собранных в Star Citizen (хотя это может быть отчасти связано с колебаниями курса ETH). Второй раз – в начале этой недели, когда DAO был взломан. Итак, давайте начнем с самого начала и рассмотрим взлет и падение The DAO.

DAO, в целом

ДАО, или Децентрализованные автономные организации Долгое время они были довольно расплывчатым понятием в криптопространстве. По сути, это компьютерные программы, работающие как организация, использующая свой код как закон. Они могут хранить цифровые активы и деньги, которые можно потратить на различные проекты, услуги и другие цифровые активы.

Некоторые предлагают использовать ДАО для создания простейших самостоятельных децентрализованных организаций. Такие программы фактически использовали бы свои ресурсы для найма людей, которые бы их совершенствовали. Я впервые услышал об этой концепции во время… Конференция Ripple Money2020 2013 года, и я бы рассмотрел BitShares станет одной из первых самостоятельных DAO.

Конечно, при нынешнем уровне развития криптовалютных технологий возможности DAO весьма ограничены. Они не могут быть столь же сложными, как современный ИИ, работающий на суперкомпьютерах, а поскольку код не имеет юридической силы, различным DAO приходится полагаться на людей для взаимодействия с внешним миром.

Теоретически DAO могут создать множество новых рабочих мест. Как сказал @aantonop:

TheDAO создаст множество рабочих мест. В первую очередь для таких, как я, которым приходится объяснять, что это, чёрт возьми, такое.

DAO

DAO (с очень общим «временным названием», от которого ей, вероятно, не удастся избавиться), созданная Кристофом Йенцшем, основателем Slock.it, задумывалась как одна из таких самодостаточных DAO. Она была создана как квази-венчурный фонд. Как и многие краудсейлы токенов, она обходила границы закона – позволяя любому инвестировать, не проводя никакой проверки личности (KYC), обещая «преимущества держателям токенов DAO», не продавая напрямую ценные бумаги.

Проект получил поддержку со стороны ряд высокопоставленных членов Ethereum Foundation

DAO начала свою деятельность с продажи своих токенов за ETH. Было обещано, что в дальнейшем ETH будет использоваться для финансирования различных проектов и извлечения выгоды из этих проектов для самой DAO. DAO также имела механизм обновления кода до новых версий. Весь процесс расходования средств и обновления кода регулировался голосованием держателей токенов. Каждый голос был пропорционален количеству имеющихся у них токенов.

К концу краудсейла The DAO собрала 8.26 млн ETH, что более чем на 10% от общего количества монет.

Теоретически The DAO могла бы стать очень сильным игроком в криптопространстве. Даже если бы она потратила 10% своих средств только на финансирование компаний на ранних стадиях, она могла бы распределить 100 тысяч долларов США между 100 различными компаниями и, вероятно, к концу года получить отличную окупаемость инвестиций.

Однако в коде была ошибка…

Эксплойт

Примерно 17 июня 2016 года появились новости о том, что баланс The DAO был осушен. Быстро был объявлен призыв ко всем биржам прекратить торговлю токенами и эфирами. пока ситуация решается.

Как оказалось, DAO в нем был небольшой баг (обсуждение, технический обзор). Им удалось выполнить рекурсивный вызов функции и использовать этот эксплойт, чтобы начать вывод ETH из DAO. До того, как атака прекратилась, было извлечено 3.6 млн ETH на сумму около 50 млн долларов США (плюс-минус 20 млн долларов США) резкие колебания цен.

Нападение прекратилось примерно в то время, когда Виталик освободился. запись в блоге о том, как Ethereum будет справляться с эксплойтомВ итоге было решено, что Ethereum не будет откатываться, а вместо этого проведёт софтфорк, предотвращающий трату слитых ETH. Монетытакже, по-видимому, будут возмещены, и все, кто вложил свои деньги в The DAO, получат их обратно.

На следующий день мы на самом деле Получил заявление от «нападающего» по этому поводу.Утверждая, что вывод ETH был законным и соответствовал правилам The DAO («код — это закон», поэтому любое исполнение кода всегда происходит так, как задумано), злоумышленник также угрожает судебным иском любой попытке заморозить выведенные ETH. Если подобное дело когда-либо дойдет до суда, это, вероятно, станет важнейшим прецедентом для будущего децентрализованных организаций в целом. Только время покажет, чем закончится эта история.

Заявление от «нападающего»

Другая критика

Если бы The DAO не был взломан этим эксплойтом, вполне возможно, в будущем мы столкнулись бы с множеством других проблем. Вот лишь некоторые из возможных проблем и идей, которые следует рассмотреть.

Создаёт прецедент для Ethereum. То, как Ethereum справится с этой уязвимостью, может повлиять на то, как придётся решать подобные проблемы в будущем. Если они внесут проект в чёрный список, они могут быть обязаны по закону или сообществом потребовать от них сделать то же самое в будущем для множества других вещей. Это может открыть большой путь. Однако, если они этого не сделают, то могут отпугнуть другие подобные проекты от использования платформы, а также часть её пользователей. Будь проклят, если вы это сделаете, будь проклят, если вы это не сделаете.

Апатия избирателейЕсли бы у The DAO было большое количество пользователей, бездельничающих со своими токенами, вместо того, чтобы голосовать деньгами, у программного обеспечения могли бы возникнуть проблемы с достижением необходимого кворума для каких-либо действий. По имеющимся данным, в Bitshares только около 10% заинтересованных сторон участвуют в голосовании. Возможно, стоит перейти на модель делегированного голосования может помочь облегчить проблему.

Неисследованная правовая область. Похоже, что DAO стремилась существовать в неисследованная правовая область. Он действует как ценная бумага или венчурный фонд, не проводя комплексную проверку. Технически его невозможно привлечь к ответственности, но люди, вложившие в него деньги, могут столкнуться с правовыми последствиями. В общем, попытка оправдать его в рамках действующего законодательства, вероятно, доставит немало хлопот любому юристу и государственному чиновнику.

Отсутствие KYC. Хотя многие в криптосообществе хотят, чтобы правительство и регулирование были как можно дальше от их проектов, некоторый контроль мог бы сдержать злоумышленников. Если бы каждый инвестор The DAO проходил предварительную проверку KYC, и если бы только проверенные лица могли владеть токенами, любой, кто атакует The DAO, должен был бы быть готов к судебному преследованию и уголовному преследованию за свои действия. Сейчас лучшее, что у нас есть, это попытаться отследить принадлежащие им ETH до биржи и, возможно, расследовать короткие продажи Ethreum/DAO, которые кто-то мог совершить до атаки (аналогично идее «инсайдерская торговля террористами»).

Срочное развертываниеПосле релиза The DAO некоторые пользователи выразили опасения, что код следовало бы протестировать и проверить более тщательно, чтобы устранить любые ошибки. Код, содержащий столько денег, — настоящая находка для любого хакера, который может попытаться взломать его круглосуточно. Некоторые векторы атак были опубликованы до атаки. (описание и смягчение последствий). Поскольку контракт уязвим сразу после его выпуска, торопиться с выпуском неразумно.

Любая ошибка должна быть исправлена ​​немедленно. Работая в децентрализованной сети, смарт-контракт постоянно уязвим для эксплойтов. Любую обнаруженную ошибку необходимо немедленно исправить, особенно если она описана публично. Более централизованное программное обеспечение позволяет, по крайней мере, отключить всё до исправления ошибки, но в DAO такую ​​роскошь реализовать сложнее.

Одна ошибка — и ваши деньги пропали. Хотя это относится к большинству криптовалют, стоит упомянуть и о ней: любая ошибка в коде, которая нарушает работу смарт-контракта, содержащего реальные деньги (в данном случае ETH), может стоить вам всего. Если вы развернёте такой фрагмент кода и отправите на него деньги, они пропадут, и вы не сможете их вернуть.

Никаких откатов с реальными монетами. Хотя любой контракт, который... выпускает и торгует только собственными токенами Можно откатить на любой момент времени с помощью исправленного контракта, но с реальными монетами (в данном случае, ETH) всё не так просто. Поскольку нативные монеты существуют вне контроля контракта, использование таких контрактов для управления монетами опаснее, чем просто торговля токенами.

Класть все яйца в одну корзину. Контракт на сумму более 100 миллионов долларов США — это катастрофа, которая вот-вот разразится. Как минимум часть этих денег стоило бы положить в какое-нибудь надёжное хранилище, пока они не понадобятся. Заключите юридически обязывающий договор с 50 людьми, если нужно, чтобы обеспечить мультиподпись и обеспечить безопасность средств. Это всё равно что положить все свои монеты в горячий кошелёк — так делать не стоит.

Парадокс предпродажДаже если The DAO будет функционировать корректно, это может быть сложное ценностное предложение, как и большинство других ITO (первичных размещений токенов). Если вы не являетесь ценной бумагой/фондом и не разрабатываете проекты, направляющие прибыль в организацию, проекты, приносящие пользу держателям The DAO, а не Ethereum в целом, могут оказаться менее удачными по сравнению с общим сценарием использования. Платформа Ethereum и всё, что на ней размещено, может получить множество преимуществ, но объединение их в один смарт-контракт может свести на нет саму идею. Поскольку многие DAO не хотят, чтобы их называли ценными бумагами, в конечном итоге мы можем получить довольно странные проекты.

Связь с другими проектами

Некоторые начали сравнивать этот баг с другими проблемами в сфере криптовалют. Возможно, стоит взглянуть на них и понять, насколько они похожи.

В начале существования Биткоина, в середине 2010 года, кто-то нашел способ создать 184 467 440 737,0955 1616 BTC (почти в 10 000 раз больше монет, чем когда-либо существовало бы) из ничего, используя так называемый «метод создания криптовалюты».Инцидент переполнения значения«Ошибка была исправлена, и сеть была откачана. Ошибка похожа — используется неожиданный способ работы кода для получения доступа к большему количеству токенов, чем должно быть. Однако эта ситуация отличается, поскольку она нарушает основную функциональность всей сети, а не ее подчасть, не регулируемую протоколом. Откат сети до состояния до появления ошибки вполне оправдан — этого не должно было произойти. В случае с The DAO ситуация несколько иная — основная сеть функционировала как положено, проблема была в конечном продукте.»

Другим подобным инцидентом стало падение MtGox, предположительно вызванное Пластичность транзакций и атака на JustCoin с помощью флага частичной оплаты RippleВ обоих случаях создатели программного обеспечения не предвидели непредвиденного поведения сети, которое привело бы к их краху. Ни в одном из случаев сеть не была откачана — она функционировала так, как и предполагалось, и, насколько мне известно, ни одна из этих компаний не была спасена из-за ошибок в коде. Это, пожалуй, самая близкая аналогия.

Решение спасти контракт и вернуть потерянные ETH можно рассматривать либо как попытку Ethereum Foundation смягчить ущерб репутации сети, либо как попытку многих членов Фонда поддержать сам проект. Так или иначе, сомневаюсь, что в будущем мы увидим много подобных DAO с таким количеством известных сторонников, способных смягчить подобный ущерб.

Стоит также отметить, что из-за успеха Биткоина многие криптовалютные проекты могут «пострадать» от ускоренного роста. В первые дни существования Биткоина было много случаев, когда люди теряли свои деньги, и это не было большой проблемой — монеты стоили совсем немного.

Однако, учитывая, что такие сети, как Ethereum, стоят миллиард долларов Менее чем через год после релиза у вас уже есть похожие заметные ошибки, но сами монеты стали стоить гораздо дороже и гораздо быстрее. Возможно, стоит попробовать приостановить золотую лихорадку, пока проект не будет проверен ранними последователями, которые исправят все недочёты и внесут наилучшие практики? К сожалению, этого, скорее всего, не произойдёт…

Наконец, если разработчики Тау хочу похвастаться тем, что их платформа намного лучше, чем Ethereum, потому что такие ошибки там не могут произойти, пришло ваше время проявить себя — предоставьте нам свою реализацию The DAO на языке по вашему выбору, чтобы мы могли разобрать ее и проверить, работает ли она.

Выводы

DAO был интересным приключением. Оно позволило цена ETH удвоить стоимость и обрушиться. Проект такого масштаба, если его правильно реализовать, безусловно, изменит правила игры для любой криптовалютной сети. К сожалению, как многие уже шутили, похоже, The DAO оказалась мертва (мертв по прибытии). С DAO — либо совершенство, либо крах.

Карта «Заклинания Бытия» для The DAO, чтение

«Обладая огромным запасом энергии, Колосс способен противостоять любым угрозам»…

Пётр Пясецкий — магистр естественных наук и бакалавр в области компьютерных наук и информатики. В настоящее время он является консультантом Консорциума по сертификации криптовалют и главным научным сотрудником Provable Inc.