211service.com
$80 miljoner hack visar farorna med programmerbara pengar
Pengar blir lättare och lättare att kontrollera via mjukvara och Internet. Ett spektakulärt hack mot en investeringsfond som satte över 130 miljoner dollar i tillgångar i kontroll av mjukvara visar att konceptet har betydande nackdelar.
Den decentraliserade autonoma organisationen – eller DAO – byggdes ovanpå ett system med digital valuta som heter Ethereum och hade blivit det största crowdfunding-projektet i historien. DAO:s programvara designades för att dela ut finansiering till projekt baserat på röstning av personer som hade finansierat det. Det hölls upp som ett exempel på de otroliga nya saker som möjliggjorts av Ethereum, som var inspirerat av Bitcoin men avsett att tillåta mjukvara att kontrollera pengar.
Tidigt på fredagen började någon utnyttja ett fel i Ethereums design för att extrahera mer än 3,6 miljoner eter från DAO— ett belopp värt cirka 80 miljoner dollar av valutans värde omedelbart före attacken. (Priset har sedan dess sjunkit avsevärt.)
DAO hade förebådats inte bara för sin överraskande omfattning, utan som ett exempel på den typ av sak som Ethereum skapades för att möjliggöra – nya former av finansiering baserade på programvara som kan kontrollera digital valuta. Plötsligt ser Ethereum och idén att sätta komplex programvara i kontroll över pengar inte så smart ut.
All mjukvara kommer med buggar. Och pengar stjäls ibland via digitala medel från konventionella finansinstitut, till exempel i senaste attackerna mot SWIFT-systemet används för gränsöverskridande överföringar.
Men när programvara har befogenhet att direkt kontrollera pengar, som Ethereum utformades för att tillåta, blir säkerheten mer kritisk.
Tyvärr verkar designarna av Ethereum och DAO inte ha dragit mycket på standardtekniker som programmerare och datavetare har utvecklat för att begränsa risken för säkerhetsbrister. DAO:s kod åtföljdes till exempel inte av dokumentation som förklarade designen av dess olika delar. Det kunde ha hjälpt någon att upptäcka och åtgärda felet som användes i DAO-ruppet tidigare, kanske innan det släpptes.
Och designen och implementeringen av Ethereums programmeringsspråk saknar funktioner som standard i ramverk som används för att programmera kritiska system, enligt en obduktion på hacket , av Emin Gün Sirer, docent vid Cornell. En omtanke verkar påkallad, skrev han.
Det fanns många varningar om att Ethereums design hade säkerhetsproblem innan dagens hack. Felet som användes mot DAO var flaggade tidigare denna månad av Peter Vessenes, en Bitcoin-entreprenör som tidigare hade varnat för att programvara byggd på Ethereum skulle vara det godis för hackare .
I en 2014 tidning , forskare vid University of Maryland som hade bett studenter att bygga saker med Ethereum drog slutsatsen att flera subtila detaljer om Ethereums implementering gör smart kontraktsprogrammering utsatt för fel.
Och i maj efterlyste Sirer och två personer aktiva i kryptovalutagemenskapen, inklusive en forskare med Ethereum-projektet, DAO för att effektivt frysas tills säkerhetsbristerna i dess röstningsmekanismer åtgärdats.
I kölvattnet av attacken mot DAO har värdet på Ether rasat. Det är inte möjligt att helt enkelt fixa felet som används mot DAO genom att trycka ut en mjukvaruuppdatering, men försök görs för att förhindra ytterligare attacker med hjälp av trick som t.ex. fastnar Ethereums system för att behandla transaktioner.
En riktig fix för Ethereums problem kommer att ta lång tid, och kanske en fullständig omdesign av mycket av dess teknologi.
De psykologiska skadorna av DAO-hacket kommer också att ta tid att åtgärda. Om det görs rätt kan programvara som kan styra pengar öppna upp många nya affärsmöjligheter och utöka finansiella tjänster till människor som för närvarande inte kan ta emot dem. Men att se konsekvenserna av säkerhetsbrister i sådan programvara kan avskräcka de investeringar som krävs för att göra bra på den idén.