Получи случайную криптовалюту за регистрацию!

Новый день - новый эксплойт На этот раз социальный. by @const | С нуля до нуля на крипте

Новый день - новый эксплойт
На этот раз социальный.
by @constantata

Тезисно
- ТорнадоКэш - тот самый миксер, одного из фаундеров которого дрючат за код - атакован.

- Атака проведена социальненько: под видом хорошего пропоузала через говернанс принят смарт-контракт с функцией полного пиздеца контроля над голосами в управлении протоколом.

- ДАО скомпрометировано. Атаковавший сразу же выписал себе 1.2 миллиона голосов, что больше 700к "легитимных" голосов. Он здесь власть и может делать с изменяемыми частями протокола все, что захочет.

- На текущий момент на кошельке эксплойтера лежит 63552 $TORN и 70.9 $ETH или 357к вечнозеленых.
По оценкам твиттерских украдено 483к $TORN.

Мораль (или нет)
Песнь стара как мир, на самом деле.
Хацкер взял за прототип "хороший" пропоузал и выкатил его еще раз, сказав, что сейчас все красиво сделаем.
Контракт, который предлагал хакер, действительно отличался всего на одну (!) функцию. Но ее было достаточно, чтобы устроить судный день.

И тут встает вопрос - кто виноват в том, что это стало возможным?
Хакер, который воспользовался наивностью людей?
Люди, которые не прочитали контракт и доверились тексту пропоузала?
Люди, которые придумали систему, где голосующие не очень погружены в технический контекст принимаемых решений?

С моей точки зрения, "социальный" хакер - это следствие, а не причина.
Он возник из-за того, что текущая итерация ДАО как в торнадокэше не рефлексирует над вопросом "а кто несет ответственность за конечное решение?".

Все принимают решения: да, молодцы.
А кто за них отвечает? Тот, кто питчит пропоузал.
Как он попадает в проект и питчит свои идеи? Создает аккаунт на форуме, имеет обаяние и некоторое количество голосов (они же бабки), которые его поддержат.
Достаточный ли это уровень верификации, что человек не лох позорный? Кто-то скажет да, кто-то скажет нет. Факт социальной утечки от этого не изменится.

Что с этим делать - вопрос дискуссионный.
ДАО - это попытка переизобрести работу. Сделать достижение коллективных сложносоставных целей более честным: от распределения нагрузки до распределения ресурсов.
И это нормально, что в процессе будут случаться подобные фейлы.
Избежать их на пути к светлому будущему не получится.
Значит ли это, что надо перестать пытаться? Вряд ли.

В сухом остатке
Проблема ТорнадоКэша - не только его проблема. Это касается почти всех ДАО, которые ныне существуют.
Почитайте наш перевод треда о тратах трежери Полькадот - частный пример того, как оно бывает. Хотя в случае Польки им везет: основной транжира все-таки заинтересован в успехе проекта.

Всегда найдутся те, кто захотят заэксплойтить то, что эксплойтится. Это 101 курс, почему существуют законы и правотворцы в ирл мире.
Вопрос в том, что с этим в итоге делать: поднимать лапки кверху или искать новые итерации системы?
Следующее сообщение
telegram-crypto.com © 2016-2024
Неофициальный сайт про Telegram
Все права защищены. Копирование и использование полных материалов запрещено, частичное цитирование возможно только при условии гиперссылки на сайт telegram-crypto.com.