איך נגנבו מטבעות וירטואלים בשווי של בערך 50 מיליון דולר

אתמול קרה אירוע שאני לא יודע אם תשמעו עליו בחדשות…אתחיל מהשורה התחתונה:

האקר גנב מטבע ווירטואלי בשם Ether בשווי של בערך חמישים מיליון דולר

Ether 3,641,694.2418985067 או בדיוק

למה זה כל כך מעניין?

כי כל האירוע הזה קורה על פלטפורמה שנקראת Ethereum.
אתריום הוא פרויקט די מרגש יש לומר, כמו עוד פרויקטים אחרים שמבוססים על טכנולוגית הבלוקצ׳יין.
ככזה הוא מסמן קפיצה טכנולוגית בצורה שבה נוכל להתנהל אחד עם השני, עם כסף וכמובן שבתקווה עם עוד הרבה דברים אחרים.
וכל מה שקורה עליו אמור להיות סופר מאובטח ולכן האמון של המשתמשים בו מאוד חשוב להמשך קיומו ותמיכה בו.

עכשיו, אני הולך לנסות להסביר מה לעזעל קרה וזה קצת מורכב אז אנסה לפשט את הדברים…
אם יש לי טעויות או התפתחויות תשלחו פידבק ואשמח לתקן.

נתחיל מהבסיס…

 

הבלוקצ׳יין

אני לא רוצה להכנס להסברים על הבלוקצ׳יין בפוסט הזה בגלל שרק ההסבר הוא פוסט בפני עצמו. אבל בקצרה למי שלא מכיר…

הביטקוין שכולנו שמענו עליו הוא בעצם מימוש מצליח וגדול של מטבע ווירטואלי על הבלוקצ׳יין.

כל העברה שמתבצעת על הבלוקצ׳יין נשארת עליו ואי אפשר לשנות אותה או למחוק אותה.
מכאן גם נובע הרעיון שזוהי מערכת מאובטחת שבה צד שלישי לא יכול להתערב או לשנות את המידע בה.

 

 מה ההבדל בין אתריום לביטקוין?

אתריום היא פלטפורמה שרצה גם על הבלוקציי׳ן.

אתריום לקחה צעד קדימה את הרעיון של לשמור רק העברות על הבלוקצ׳יין
ובמקום לשמור רק העברות מאפשרת גם לשמור בלוקים של קוד.

אתריום בעצם מאפשרת למפתחים:

  1. לייצר מטבע ווירטואלי משלהם
  2. לבנות חוזים חכמים – קוד שרץ על הבלוקצ׳יין
  3. לבנות DAO – ארגון דמוקרטי אוטונומי

 

 אז מה זה DAO

DAO הוא ארגון דמוקרטי אוטונומי.
מאחורי הקלעים הוא בסה״כ קוד שרץ על המערכת של אתריום.
מה שהקוד עושה הוא לאפשר בניה של ארגון.

הארגון הזה מאפשר לגייס כסף ווירטואלי, לחלק בתמורה אליו למשקיעים את מה שנקרא טוקנים (מעין סיסמאות) ועם הטוקנים האלה המשקיעים יכולים להצביע על הצעות/פרויקטים שעולות להצבעה.

מעבר לזה, ניתן גם לסחור בטוקנים האלה ככה שהם יכולים להוות השקעה ממש כמו במניות.

כך בעצם מתקיים ארגון עוקף ממשלות/בירוקרטיה:

  1. ארגון גלובלי שהמשתמשים בו יכולים להיות מכל מקום בעולם
  2. ארגון מגוון, כל חתך סוציואקונומי יכול להשתתף בהשקעה
  3. החברים בו אנונימיים לחלוטין, לא ניתן לדעת מי ביצע את ההשקעה
  4. אין כאן מניות אמיתיות, אלא טוקנים.
  5. הוא מנוהל על ידי קוד שלא ניתן לשנות אותו ולכן הוא גם יעשה את מה שהוא תוכנן לעשות (ועל זה עוד נדבר).

 

 על ה- DAOHub

בחודשים האחרונים קם מה שנקרא ה- DAOHub. זהו ה-DAO הגדול הראשון שקם על אתריום.

בגלל שהגרעין של המקימים שלו הם אנשים מוכרים בקהילת אתריום ובגלל השאיפה שלו לתמוך בעוד פרויקטים טכנולוגיים תחתיו הגויס הסתיים בשווי של 130 מיליון דולר.

עד כאן, הכל טוב. אז מה קרה אתמול?

מישהו מרוקן את החשבון של ה- DAOHub

אתמול בשעות הבוקר התחילו לעלות פוסטים בקהילת האתריום שהחשבון של ה- DAOHub שבו מוחזק כל האתר שגויס מתחיל להתרוקן באופן עקבי.

אתם יכולים לתאר את הפאניקה.

מטבעות וירטואליים בשווי מליוני דולרים זולגים החוצה מחשבון בשווי 150 מיליון דולר וזה לא נעים לאף אחד.

חוץ מכנראה להאקר שבטח הוא ואמא שלו היו מאוד גאים. אם הוא העז לספר לה.

 

אז מה השתבש?

לכל משקיע ב- DAO יש את האפשרות לבצע Split. כלומר, להעביר את שווי ההשקעה שלו ל- DAO אחר.

האפשרות הזאת נועדה למשקיע להעביר את הכספים שלו במידה והוא לא מסכים עם הלך הרוח וגם להגן על עצמו במקרים מסויימים.

רק מה…

מסתבר, שבקוד שמתחת לפונקציה שמבצעת את ה- Split יש שני באגים.

 

 הבאגים

הבאג הראשון הוא,
שכשמשקיע מבצע Split הפונקציה שולחת את האתר ל- DAO שאליו הוא רצה להתפצל ורק אחר כך מעדכנת את הטוקנים.

מה עשה ההאקר?

קרא לפונקציה הזאת בצורה רקורסיבית כך שהפונקציה מעולם לא הגיעה לעדכון הטוקנים. אלא שלחה אתר ושלחה אתר ושלחה…הבנתם.

לגבי הבאג השני…עדיין יש עליו חילוקי דעות, אז נשאיר את זה פתוח.

למה ההאקר הפסיק למשוך כסף?

למעשה, הפרצה עדיין קיימת ואחרים יכולים לחקות את אותו מנגנון לפי מה שידוע לי ויש דיווחים שנמצא אפילו עוד באג שמאפשר למשוך כסף בצורה שונה.

אז כרגע חשוב להבין שלא ברור למה ההאקר הפסיק למשוך כסף.

השערה מעניינת היא, שכל העניין נעשה לא בשביל הרווחים שנגנבו,
אלא בגלל שבמקרה כזה של פאניקה אפשר לצפות מה יקרה לערך המטבעות ולעשות עליהם שורט בזמן קצר ולמעשה להרוויח כמה כסף שרוצים.

Ethereum_price___index__chart_and_news___WorldCoinIndex

עוד השערות מדברות על כך שברגע שעלו הצעות לעשות Fork (ועל זה בהמשך) ההאקר הפסיק.

בכל מקרה, אם היה נגנב סכום קטן משמעותית כנראה שכולם היו משלימים עם הגניבה,
אבל בגלל שהסכום יכול משמעותית להשפיע על המערכת יש כאן בעיה מהותית שאי אפשר להתעלם ממנה.

מסקנה: אל תהיו חזירים! ההאקר היה יוצא בכיף עם כמה מליוני דולרים וקונה לאמא שלו דירה יפה.
אבל עם 50 מיליון לא בטוח שיתנו לך לצאת מנצח.

 

 מה הולך לקרות?

כרגע קהילת אתריום עומדת בפני כמה החלטות מאוד מעניינות:

  1. לא לעשות כלום – הבעיה היא שכרגע נראה שזאת לא אופציה ריאלית.
    הסכום שנגנב כל כך גבוה שהוא למעשה מסכן בהמשך את המערכת. מקור אחד שיש לו כל כך הרבה אתר יכול לגרום להרבה בעיות.
  2. Soft Fork – בבלוקצ׳יין אין Undo. ההעברה שהתבצעה חתומה ואי אפשר לגעת בה או לשנות אותה.
    אלא אם כן…יש הסכמה מספיק רחבה שמאפשרת לשנות בסופו של דבר אצל כולם את הקוד.
    ההצעה הזאת מדברת על הסכמה לנטרל את החשבון של ה- DAO והילדים שלו כך שההאקר לא יוכל לעשות בשלב הזה כלום עם הכסף שגנב.
    כלומר, שום עסקאות לא יתבצעו מול החשבון הזה והאתר פשוט ימשיך לשבת שם.
  3. Hard Fork – למנוע את הגניבה.
    כלומר, לייצר הסכמה שכל ה- Child DAO מתאחדים ל- DAO המקורי וכך האתר שבחשבון של ההאקר יחזור ל- DAO המקורי.
    בנוסף, תהיה אפשרות למשקיעים למשוך בחזרה את האיתר שהם השקיעו ב- DAO.
    מסתבר, ש Hard Fork במערכת של אתריום לא דומה ל Hard Fork במערכת של ביטקוין.
    בביטקוין למעשה אפשר לדמות את זה לחזור בזמן אחורה ולבחור נתיב מציאות אחרת. כשכל מה שקרה אחרי הנקודה שאליה חזרנו בעצם לא רלוונטי כבר.
    באתריום ניתן בהסכמה רחבה לשנות מודלים ספציפיים וכך למעשה לנתב מחדש את הקוד הישן עם הבאג לקוד חדש.
    ככה למעשה אפשר לטפל רק באירוע שקרה, בלי לפגוע בשאר המערכת.

 

 למה Soft Fork לא רלוונטי בכלל

הפתרון של Soft Fork כדי לנטרל את הארנק של ההאקר הוא בעייתי.

מה שקרה מאחורי הקלעים בגניבה הוא שה- DAOHub למעשה חושב שהכסף שנגנב עדיין אצלו.
מה שאומר שאם לא יהיה Hard Fork ה- DAOHub בבעיה רצינית עם חלוקת משאבים והתנהלות מול המשקיעים בהמשך כי הוא פשוט טועה ביחס למה שיש לו.

אז נשארנו לדעתי רק עם הכל או כלום. בתקווה שבהמשך אולי יהיו עוד הצעות.

לכל בחירה יש כמובן השלכות מוסריות ופוליטיות ולכן גם דעות על כל נקודה.

 

 מצטערים נדפקתם

צד אחד טוען, שבמערכת של אתריום לא היה באג, היא התנהגה כמו שצריך.
הבאג היה בחוזה חכם שמישהו כתב על האתריום ולכן כל מי שהשתתף בהשקעה שקשורה לחוזה הזה אחראי לבדוק אותו.

או בקיצור…נדפקתם תתמודדו.
ההשלכות של Hark Fork מבחינת הצד הזה הוא תקדים למה שיכול אחר כך להיות בעייתי.

מה אם הממשלה עכשיו רוצה לבטל העברה מסויימת.
האם אז אפשר למחוק העברות? איפה מותחים את הקו? האם עם גניבה של 10 מיליון דולר היא כן בסדר?

 

 אנחנו אתכם

צד שני טוען, שאי אפשר לתת להאקר את הכסף ולצאת מזה חלק כל עוד יש צעדים שאפשר לבצע, גם אם הם לא נעימים.
בסופו של דבר ה- DAOHub הוא יוזמה ראשונית ושאפתנית שהמטרה שלה הייתה ועודנה מאוד טובה בתמיכה במערכת ובפרויקטים שקשורים לאתריום. להפנות לה גב בגלל באג תהיה טעות ותפגע באמון של המשתמשים במערכת. מעבר לכך שזאת תהיה מכה תדמיתית מול התקשורת החיצונית.

 

 מה דעתי

לדעתי האישית, הייתי הולך על Hard Fork.
הטעות שנעשתה מציפה המון בעיות שטוב שצפו במערכת כזאת.

עם זאת, כל עוד אפשר להתערב בצורה שמגובה בהחלטה של כל הקהילה, אני לא רואה בזה שום פסול.

מה גם, שאם לא יהיה Hard Fork לפחות ממה שאני מבין, ה- DAOHub פשוט גמור. אולי בכל זאת הוא כבר גמור, אבל לפחות הכסף יוחזר.

 

סיכום ביניים

אנחנו עדים בשידור חי למקרה שמציף שאלות ונושאים באיזורים שעדיין לא מוכרים לנו בגלל החדשנות שלהם.

בסופו של דבר או אפילו בתחילתו, נראה שקהילת אתריום מתמודדת מאוד יפה עם העניין ובצורה שקולה ועניינית ביחס למה שקרה.

כל הנושאים שצפו הם חשובים מאוד והמקרה הזה מחייב את הקהילה להתעסק בנושאים שיכול להיות שהיו בשוליים.

עכשיו נמתין ונראה מה יהיו ההתפתחויות…

 

 מקורות מעניינים:

החשבון של ההאקר:
https://etherchain.org/account/0x304a554a310c7e546dfe434669c62820b7d83490

מכתב פתוח מההאקר ואמא שלו (לא ידוע אם זה אמין עדיין):
http://pastebin.com/CcGUBgDG

ניתוח של הבאגים:
http://vessenes.com/deconstructing-thedao-attack-a-brief-code-tour/

למה להציל את ה- DAOHub (מהמייסד של פרויקט בשם Colony):
https://blog.colony.io/an-ethereum-hard-fork-is-not-a-bailout-its-foiling-a-bank-robbery-db2a472fe9e1#.2fbak477y

Comments on this post

No comments.

Leave a Reply

Trackbacks and Pinbacks on this post

No trackbacks.

TrackBack URL