Naar vork of niet naar vork: 24 dagen om te reageren & bull; Live Bitcoin-nieuws

Naar vork of niet naar vork: 24 dagen om te reageren

De afgelopen dagen in de wereld van dApps en Altcoins is op zijn zachts gezegd nogal bewogen geweest. Een aanvaller vond een bug of een maas in de instellingen van het DAO-contract dat kon splitsen en hevelen 3,6 miljoen Ether in een "child DAO" -account. Deze actie heeft zowel de investeerders van het DAO-project als de Ethereum-gemeenschap zelf geschokt. Nu met nog maar 24 dagen te gaan tot het contract het geld vrijgeeft aan de aanvaller proberen mensen het beste verzetsplan te verzinnen.

Een vork binnen twee gemeenschappen  

De ernst van de DAO-aanval moet nog worden voltooid, omdat de aanvaller het geld nog niet heeft kunnen krijgen tot het contract de Ether vrijgeeft. Voor sommigen in het kamp Ethereum heeft dit de reputatie van de protocollen op verschillende manieren geschaad en laat het ook een persoon of een groep mensen met 3,6 miljoen Ether achter die op de markt kan worden gedumpt. Zoals gemeld door Live Bitcoin News overdenken de ontwikkelaars en de gemeenschap van Ethereum drie scenario's om de situatie te verhelpen. Eén is om niets te doen en de geschiedenis van wat er is gebeurd te laten en de aanvaller te laten doen wat hij / zij wil. De volgende optie is een zachte vork die de Ether op een zwarte lijst kan zetten en de activa van de aanvaller kan bevriezen. Dan is er de harde vork die de geschiedenis van de Ethereum-blockchain kan terugdringen en de investering van iedereen kan teruggeven.

De "roll back" harde vork is zeer controversieel omdat velen deze vergelijken met een bankredding van 2008 en in de crypto-community vernietigt deze daad de reputatie van onveranderlijkheid binnen de Ethereum-blockchain. De harde vork heeft veel steun en heeft ook veel mensen die het niet eens zijn en de associaties van Ethereum met de DAO dApp zelf. Velen geloven dat deze hele puinhoop de schuld is van de Slock.it-ontwikkelaars en de beveiligingsaudit van de code. Binnen het veiligheidsrapport dat ruwweg 100 woorden lang is, wordt er geen melding gemaakt van kwetsbaarheden of exploits zoals de recursieve vector. Eén lid van de ethiek van Ethereum schrijft in de r / ethereum subreddit: "De codebeoordeling had moeten worden geëist, aangevraagd en bewezen VOOR de crowd-verkoop."

Echter, een oprechte, zorgvuldig gecontroleerde herziening van de code heeft het daglicht betreffende dit onderwerp niet gezien, behalve voor buitenstaanders die significante kwetsbaarheden en bugs hebben ontdekt. Bijvoorbeeld, in deze mening van beveiligingsonderzoekers, vindt Peter Vessenes enkele fouten, zoals de "pullingRewardFor is kwetsbaar, een significante typefout is gemaakt in de code waardoor de aanvaller dynamisch veel meer ontvangt dan verwacht. Vessenes is niet de enige die de DAO-aanval ontleedt, zoals vele anderen ook, wat belangrijk onderzoek door het Hacking Distributed-team omvat. Phil Daian van Hacking Distributed schrijft:

"Deze exploit in de DAO is duidelijk niet triviaal; het exacte programmeerpatroon dat de DAO kwetsbaar maakte was niet alleen bekend, maar ook opgelost door de makers van DAO zelf in een eerder bedoelde update van de framework-code. Ironisch genoeg was de hacker bezig met het voorbereiden en inzetten van een exploit die gericht was op dezelfde functie die ze zojuist hadden vastgesteld om de DAO van al zijn fondsen te draineren.

De tegenaanval

Nu heeft het team van Slock.it een blogpost uitgebracht genaamd "Counter Attack" geschreven door de hoofdontwikkelaar Lefteris Karapetsas. De tegenaanval heeft meerdere stappen om de aanvallers in principe te blokkeren en de hackers de mogelijkheid te geven om Ether moeilijker te verplaatsen. Het heeft ook de hulp van een zachte vork nodig, maar Karapetsas zegt meerdere keren in de post dat "uiteindelijk de harde vork de eenvoudige oplossing is die gegarandeerd het probleem zal oplossen." Dit komt omdat de tegenaanval afhankelijk is op veel variabelen, heeft meerdere faalpunten, heeft hulp van een zachte vork nodig en kan de situatie niet helpen. Ondanks deze zwakke punten in het plan voor tegenaanvallen is Karapetsas van mening dat het op zijn minst het vermelden waard is:

"De community kan voorkomen dat de aanvaller zijn ether intrekt, zelfs nadat de periode van 27 dagen is verstreken, door de DAO van de aanvaller in te kopen. Dit is geen complete oplossing en zal waarschijnlijk nooit resulteren in het terughalen van de gestolen Ether naar de originele DTH's, maar het zal in ieder geval voorkomen dat de aanvaller onverwachte winsten ziet.- Eén ding is zeker. Deze zet kan ervoor zorgen dat de aanvaller hier nooit geld van krijgt. Vanaf dat moment kunnen onderhandelingen worden voortgezet met de aanvaller of kan een harde vork gebeuren om alle DAO-tokenhouders te vergoeden. "

De behoefte aan meer ontwikkelaars om de code te herzien

Het hele DAO-probleem is een geavanceerd en controversieel probleem en het is nog steeds niet voorbij. Er moeten beslissingen worden genomen en het lijkt erop dat de gemeenschappen iedereen overdenken. Na dit incident zijn velen verbijsterd over het feit dat er een crowdfund van $ 150 miljoen is gebeurd zonder zorgvuldig te zijn gecontroleerd en getest voordat ze live gingen. Toen toen de zwakke punten werden gevonden op de dag dat het protocol live ging, werd er niet veel gedaan en werden de kwetsbaarheden gebruikt om het voordeel van de aanvaller te benutten.

Het herzien van de code is een ernstig nadeel voor de gewone gebruiker, aangezien de meeste van hen nauwelijks de 2.0-technologie kunnen bevatten. Veel mensen zeggen nu dat zorgvuldige inspectie moet plaatsvinden voordat dit soort projecten beschikbaar wordt gemaakt voor het publiek. Momenteel, uitvinder van Ethhereum, zegt Vitalik Buterin dat hij op dit moment oplossingen als deze bespreekt, maar velen vragen zich af of het iets te laat is. Buterin schrijft vanmorgen vroeg wat hij heeft gedaan tijdens deze recente gebeurtenissen, waarin staat:

"Vandaag was ik in een vergadering over mogelijke universitaire samenwerkingsverbanden om misschien 5-20 meer onderzoekers en ontwikkelaars te krijgen om te werken aan Ethereum slimme contractprivacy en programmeertaalveiligheid in het volgende jaar; daarvoor was ik in online chats en persoonlijke ontmoetingen met mensen uit de Chinese gemeenschap die DAO-kwesties bespraken en feedback van hen kregen. Gisteren schreef ik EIP's en besprak ik mogelijke wijzigingen in programmeertalen op hoog niveau om slimme contractgevaren in de toekomst te beperken. Ik heb ook de Go-ontwikkelaars gecontroleerd om te zien wat de voortgang van de zachte vork is. Ik heb ook enige tijd nagedacht over implementatiedetails en een document geschreven waarin een mogelijk eerste Ethereum 2.0-protocol wordt beschreven waarin een eenvoudige implementatie van Casper plus sharding wordt gecombineerd. "

Met dit alles gezegd, is er zeker behoefte aan peer-reviewed audits binnen de 2.0-ruimte met betrekking tot slimme contracten en dApps. Met een tekort aan programmeurs en ontwikkelaars op mondiaal niveau, kan dit een moeilijke taak zijn en een nog moeilijker te verkopen na een incident zoals de DAO's. Het is moeilijker om te doen na de aanval, omdat er nu een heleboel "schuldspel" gebeurt. Sommigen geven de schuld aan de ontwikkelaars van Slock.it en sommigen wijzen op mogelijke problemen met de Solidity-taal zelf. Vanwege alle recente gebeurtenissen is de DAO gedaald naar de tweede positie met betrekking tot de grootste internet crowdfunds volgens Wikipedia.

Het punt is dat als instellingen deze nieuwe technologieën op bedrijfsniveau moeten gebruiken, er meer ontwikkelaars nodig zijn om slimme contracten, coderingstaal en implementaties van apps in het algemeen te herzien.


bronnen: r / ethereum, Slock.it Blog, Medium blog, Gedistribueerd hacken

Afbeeldingen: ETHpool, Pixabay en Ethereum-blog

Bekijk de video: Nationale winnaars ZLU 2018 – St. Vincent: Vincent Vork, Noorden (nederlands)

Like this post? Please share to your friends:
Geef een reactie

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: