Цена популярности: злоумышленник, атаковавший Ethereum, получил криптовалюты на $53 млн
За последние несколько месяцев стоимость Ethereum выросла более, чем в 10 раз, и это привлекает любителей легкой наживы
Пару дней назад администрация блокчейн-платформы Ethereum заявила о выводе неким злоумышленником токенов блокчейнов Ethereum на сумму в $53 млн (по курсу на момент взлома системы). Неизвестный, используя особенности работы протокола платформы, совершил атаку на фонд Decentralized Autonomous Organization (DAO). У этой организации есть значительные резервы криптовалюты Ether, что и позволило злоумышленнику вывести такое большое количество токенов блокчейнов.
Благодаря тому, что система Ethereum открыта, разработчики и участники системы могут видеть, кто и сколько вывел виртуальных денег. Кроме того, по условиям системы выведенную с кошельков DAO криптовалюту нельзя будет потратить в течение 27 дней. Тем не менее, неожиданно успешные действия злоумышленника оказывают давление на курс Ethereum и снижают уровень доверия пользователей и инвесторов к системе.
А что, собственно, произошло?
Для того, чтобы понять суть проблемы, которая стала причиной вывода большого количества единиц криптовалюты со счетов DAO, нужно понимать, что собой представляет Ethereum. Это платформа для создания децентрализованных онлайн-сервисов на базе блокчейна (Đapps, Decentralized applications, децентрализованных приложений), работающих на базе умных контрактов. Такие контракты — это специфический электронный алгоритм, описывающий набор условий, влекущий за собой некоторые события как в реальном мире, так и в цифровых системах.
Являясь открытой платформой (open source), Ethereum значительно упрощает внедрение технологии блокчейн. Технология Ethereum дает возможность регистрации любых сделок с любыми активами на основе распределенной базы контрактов типа блокчейн, не прибегая к традиционным юридическим процедурам. Эта возможность является конкурентной по отношению к существующей системе регистрации сделок. По мнению некоторых специалистов, технология «умных контрактов» знаменует собой новую эру в финансовых технологиях. Система считается экспериментальной, но ей удалось привлечь внимание крупных компаний, таких, как Microsoft и IBM. На платформе Ethereum можно эмитировать и собственную криптовалюту, для чего не требуется особых навыков программирования.
DAO является новым типом организации, которая работает с технологиями Ethereum. DAO можно охарактеризовать как цифровую компанию, которая не привязана к определенному юридическому лицу. Управляется она группой инвесторов, которые вложили в нее средства в виде токенов (на их основе и работает Ethereum). Эти токены инвесторы изначально обменяли на специальные DAO-токены. Организация позволяет всем инвесторам управлять общим фондом средств. Система управления является децентрализованной.
И здесь как раз кроется проблема. Реализация «умных контрактов», основы Ethereum, включает баг, позволяющий сторонним лицам выводить токены с эскроу-счетов, используя механизм проверки баланса. Ранее на эту проблему обращали внимание некоторые независимые исследователи. Но разработчики не посчитали проблему слишком серьезной, хотя и знали о ней.
Its absolutely wonderful. Lets invent «programmable money», then program the money to steal itself. https://t.co/HzQGluSnbw
— Nicholas Weaver (@ncweaver) 17 июня 2016 г.
После случившегося баг решили исправить, но вопрос возврата токенов системы в эквиваленте $53 млн остается открытым. Средства до сих пор находятся в системе. Как уже говорилось выше, их нельзя будет вывести в течение ближайших трех недель. Но если сообщество проекта ничего не будет предпринимать, злоумышленник, совершивший атаку, сможет вывести все. А это означает значительное падение курса Ethereum и туманное будущее самой системы. А ведь самом начале года криптовалюта Ether на платформе Ethereum прибавила всего за три месяца около 1200%, выйдя на второй место по рыночной капитализации после Bitcoin. Сейчас курс этой криптовалюты стремительно падает, и вряд ли он вырастет в течение ближайших нескольких месяцев.
Преступник или легальный пользователь?
Статус процедуры выведения токенов блокчейна со счетов DAO сейчас под вопросом. Злоумышленник Пользователь Ethereum, воспользовавшийся багом для выведения средств, опубликовал открытое письмо, где сообщает, что использовал только легальные функции DAO, поэтому ни о каком возврате средств или преследовании его представителями закона не представляется возможным.
Он сообщил о тщательно проведенной предварительной работе: «Я очень внимательно изучил код DAO, после чего нашел функцию вознаграждения дополнительными единицами криптовалюты при разделении. Я использовал эту функцию, законно получив 3641694 единиц криптовалюты. Хотел бы сказать спасибо DAO за это вознаграждение. Я думаю, что в исходный код эта функция добавлена для популяризации децентрализации [Ethereum, — прим. ред.]».
«Я не согласен с тем, что использование такой функции оценивается, как воровство. Мои юристы заявляют о полной правомерности моих действий в рамках законодательства Соединенных Штатов», — говорит виновник происшедшего. Он также сообщил, что обратится в суд, если разработчики изменят программный код Ethereum, и это приведет к невозможности вывода денег: «Я считаю необходимым принять любые возможные легальные действия против любых участников незаконных краж, заморозок или попыток изъятия моих законно полученных токенов Ether, и я продолжаю активно сотрудничать с моей юридической фирмой. Все соучастники уже в ближайшее время получат соответствующие уведомления на свою почту».
Многие специалисты по технологии блокчейн согласны с тем, что действия хакера полностью соответствуют правилам организации. Специалист по криптографии из Корнельского университета Эмиль Гюн заявил, что вся эта ситуация — «хорошо проделанная работа», которая вовсе не обязательно будет рассматриваться, как нарушение законодательства.
Для тех пользователей системы, которые вложили собственные средства и сейчас их потеряли, взлом (или использование бага) системы Ethereum является проблемой. Что бы там ни говорили специалисты по информационной безопасности и криптографии, но терять деньги не нравится никому. И сейчас те, кто вложил реальные деньги в Ethereum и потерял их, не очень довольны. Возможно, создателям системы удастся заблокировать «украденные» средства и вернуть их прежним владельцам. Но в этом случае возникает вопрос, можно ли считать Ethereum действительно открытой и независимой системой. Ведь если описанную выше транзакцию (или их серию) можно отменить, то не станет ли администрация ресурса поступать аналогичным образом и в отношении других сделок в будущем?