1 2016-06-17 12:47:12

Тема: Курс Эфириума рухнул вниз из-за атаки на DAO

Утром, 17 июня, игроки могли наблюдать катастрофическое падение курса Эфириума с $21 до $14 буквально за 4 часа. Случилось это из-за атаки на The DAO  - первый децентрализованный венчурный фонд, в котором токены покупались за Ethereum. На настоящий момент из системы The DAO украдено порядка $50 миллионов. В связи с этим мгновенно обвалился как курс Эфира, так и токенов The DAO. Токены The DAO потеряли около 60% в цене.

Виталик Бутерин обратился с просьбой к криптовалютным биржам приостановить торги и ввод/вывод средств.


Адреса, куда сливается по настоящее время Эфир:

https://etherscan.io/address/0x304a554a … 20b7d83490
https://etherscan.io/address/0xbb9bc244 … bb8c189413

2 2016-06-17 13:05:31

Re: Курс Эфириума рухнул вниз из-за атаки на DAO

Пользователи The DAO приняли решение спамить сеть для замедления скорости вывода средств. Для этого можно использовать следующий код:



for (var i = 0; i 

3 2016-06-17 13:07:10

Re: Курс Эфириума рухнул вниз из-за атаки на DAO

Slock.it сообщает:

Мы видим сильную мобилизацию всего сообщества: эксперты, Фонд Эфириума, трейдеры и майнеры собираются вместе, чтобы оценить ситуацию и смягчить атаку на The DAO. Если вы хотите помочь, пожалуйста, продолжайте спам сети Эфириума инструкциям. Код для спама The DAO указан выше.

4 2016-06-17 13:42:45

Re: Курс Эфириума рухнул вниз из-за атаки на DAO

Новая информация! Около 3.620.000 ETH ушло на 0x304a554a310C7e546dfe434669C62820b7D83490

Кошелек, куда хакер вывел все средства: https://live.ether.camp/account/304a554 … 20b7D83490

5 2016-06-17 14:07:04

Re: Курс Эфириума рухнул вниз из-за атаки на DAO

Ethereum Foundation опубликовал новое заявление:

In summary, a hardfork will retrieve all stolen funds from the attacker. If you have purchased DAO tokens, you will be transferred to a smart contract where you can only retrieve funds. Since no money in the DAO was ever spent, nothing was lost.

Вкратце, hardfork получит все украденные средства от злоумышленника. Если вы приобрели токены DAO, то вы будете переведены на смарт-контракт, где вы можете вернуть ваши  средства. Другими словами в The DAO денег не было, поэтому ничего потеряно.

6 2016-06-17 14:11:54

Re: Курс Эфириума рухнул вниз из-за атаки на DAO

Официальное заявление Бутерина. Публикую здесь, так как официальный блог периодически лежит


CRITICAL UPDATE Re: DAO Vulnerability
Posted by Vitalik Buterin on June 17th, 2016.

An attack has been found and exploited in the DAO, and the attacker is currently in the process of draining the ether contained in the DAO into a child DAO. The attack is a recursive calling vulnerability, where an attacker called the “split” function, and then calls the split function recursively inside of the split, thereby collecting ether many times over in a single transaction.

The leaked ether is in a child DAO at https://etherchain.org/account/0x304a55 … 20b7d83490 even if no action is taken, the attacker will not be able to withdraw any ether at least for another ~27 days (the creation window for the child DAO). This is an issue that affects the DAO specifically; Ethereum itself is perfectly safe.

The development community is proposing a soft fork, (with NO ROLLBACK; no transactions or blocks will be “reversed”) which will make any transactions that make any calls/callcodes/delegatecalls that execute code with code hash 0x7278d050619a624f84f51987149ddb439cdaadfba5966f7cfaea7ad44340a4ba (ie. the DAO and children) lead to the transaction (not just the call, the transaction) being invalid, starting from block 1760000 (precise block number subject to change up until the point the code is released), preventing the ether from being withdrawn by the attacker past the 27-day window. This will later be followed up by a hard fork which will give token holders the ability to recover their ether.

Miners and mining pools should resume allowing transactions as normal, wait for the soft fork code and stand ready to download and run it if they agree with this path forward for the Ethereum ecosystem. DAO token holders and ethereum users should sit tight and remain calm. Exchanges should feel safe in resuming trading ETH.

Contract authors should take care to (1) be very careful about recursive call bugs, and listen to advice from the Ethereum contract programming community that will likely be forthcoming in the next week on mitigating such bugs, and (2) avoid creating contracts that contain more than ~$10m worth of value, with the exception of sub-token contracts and other systems whose value is itself defined by social consensus outside of the Ethereum platform, and which can be easily “hard forked” via community consensus if a bug emerges (eg. MKR), at least until the community gains more experience with bug mitigation and/or better tools are developed.

Developers, cryptographers and computer scientists should note that any high-level tools (including IDEs, formal verification, debuggers, symbolic execution) that make it easy to write safe smart contracts on Ethereum are prime candidates for DevGrants, Blockchain Labs grants and String’s autonomous finance grants.

This post will continue to be updated.

7 2016-06-17 14:16:00

Re: Курс Эфириума рухнул вниз из-за атаки на DAO

Хакер не сможет вывести средства с кошелька https://live.ether.camp/account/304a554 … 20b7D83490 средства еще 27 дней, так как это окно периода создания Child DAO

8 2016-06-17 14:35:29

Re: Курс Эфириума рухнул вниз из-за атаки на DAO

Насколько мы видим, вывод средств прекратился. И на кошельке хакера образовалась сумма: 3,641,694.2418985067 ETH

По текущему курсу это - $63.415.904



Но курс эфира вещь такая... скачет очень быстро.. Следите за новостями в этой теме


Курс ETH к USD за последние 24 часа

http://puu.sh/pvVfO/2fd6bd1c20.png

9 2016-06-17 19:00:59

Re: Курс Эфириума рухнул вниз из-за атаки на DAO

Заявление Виталика Бутерина:


Украденный ETH находится в дочернем ДАО по адресу: https://etherchain.org/account/0x304a55 … 20b7d83490 Если никакие меры не будут приняты, то хакер не сможет воспользоваться этими средствами, по крайней мере, на еще около 27 дней (окно создания для дочернего ДАО). Эфириум не может быть был забран атакующим в течение этого 27-дневного срока. Позже, путём реализации хард-форка, все средства ДАО будут возвращены их владельцам.

10 2016-06-19 20:43:02

Re: Курс Эфириума рухнул вниз из-за атаки на DAO

The DAO как организация несомненно умерла. Спустя 2 дня в код DAO не было внесено изменений и новый "злоумышленник" вывел средства на другой кошелек воспользовавшись той же сплит-функцией.
Адрес кошелька: https://live.ether.camp/account/BB9bc24 … Bb8C189413

На текущий момент другой "злоумышленник" вывел в Child DAO  7,913,061 ETH

11 2016-06-19 20:49:07

Re: Курс Эфириума рухнул вниз из-за атаки на DAO

Метод получения Эфира "хакером" был следуюший...


Используя один и тот же токен The DAO, "хаекром" производился сплит в Child DAO, однако возврата из функции в результате проведенного сплита не происходит и она выполняется рекурсивно (то-есть 1- сплит ещё не завершён, но уже начат 2-й, и так рекурсивно). Проблема The DAO связана с тем что была возможность проводить рекурсивные сплиты.

Пользователей спас лишь момент, что из Child DAO нельзя вывести средства в течении 21 дня.

Однако, если в течении ближайших уже 19 дней, не произойдет хардфорка, то средства будут выведены из системы.


Следите за новостями в той ветке

12 2016-06-20 15:56:39

Re: Курс Эфириума рухнул вниз из-за атаки на DAO

Интервью с предполагаемым атакером The DAO


Andrew Quentson (AQ): Привет, я по поводу статьи по размещенным тобой утверждениям. Как ты можешь доказать, что ты реальный взломщик DAO?

Daoattacker (DA) Я не взломщик, ничего не взломано.
(2) Я не «атакер», я посредник, это коммандный проект
(3) суть моего поста - начало диалога; скоро у нас будет смарт-контракт, чтобы платить майнерам, воспрепятствовавшим внедрению софт-форка. 1 млн. ETH + 100BTC будет распространено среди майнеров.

AQ: Как скоро? Мы говорим о часах, днях?
DA: Извиняюсь, у меня нет конкретной даты. Используйте время, чтобы проверить и убедиться что тут нет багов (ха-ха).

AQ: Как ты докажешь, что являешься владельцем дочернего DAO, содержащего 3,5 млн eth?
DA: Слова не важны. Доказательства не важны. Важен смарт-контракт.

Я видел твое сообщение в #general (Andrew Quentson спрашивал о том что вообще происходило). Раздача 6.37 BTC — это всего лишь маленькая демонстрация того, что деньги рулят, и что люди в криптовалютах с целью заработка. Их не заботит, что они получат прибыль от «атакера».


AQ: Кто-то предлагает возможный вариант решения — оставить часть денег тебе, а остальное вернуть и работать без форка, ведешь ли ты переговоры для достижения такого варианта?
DA: Все возможно и рассматривается нами, пока не выпущен форк.

AQ: Мне кажется что я читал, как ты говорил, что ethereum — говнокоин. Ты пытаешься дескридитировать eth или это просто для заработка денег? Эта атака мотивирована политикой или чисто из финансовых соображений?

А какие предложения ты можешь сделать для сообщества эфириум? Решишь ли ты возвращать часть или сколько-то оставить... сколько?

DA: Людей, вовлекаемых в этериум, водят за нос, несмотря на то что кто угодно, обладающей информацией (Adam Back, Gregory Maxwell), точно знает, что у POS “CASPER” нет никаких шансов работать, они продолжают рекламировать ethereum.

Мне не нравится ethereum. Мне не нравится Slock.it, но это не главные причины. Деньги решают. Даже если бы я обожал ethereum, я бы все равно это сделал.

И предложения могут быть сделаны через смарт-контракты. Не могу назвать конкретных цифр, даже если я это сделаю — это не станет причиной поверить, что я настоящий «атакер» (ха-ха)

AQ: Существует одно, даже два подтверждения, что вы говорите про это и что вы раздали более 6 BTC, но не могли бы вы предоставить каких-нибудь более ярких доказательств для наших читателей?
DA: Не существует четких доказательств, кто угодно с 6 BTC мог заявить такое, зашортить (открыть позицию на понижение на бирже) DAO/eth и собрать прибыль.

AQ: Зашортили ли вы перед началом атаки?
DA: Я не свидетельствую против самого себя. (ха-ха) Рынок — самое простое место для торговой информации.

AQ: Как вы думаете, атакер примет 100к и вернет остаток, в замен на обещание сообщества не выпускать хард-форк? Или вы считаете, что он рассчитывает на миллион, о каких величинах мы говорим, на ваш взгляд?
DA: Я думаю ему интересны миллионы. Прямо сейчас он полагает, что для майнеров есть очень хорошая возможность, подкрепленная финансами, не принимать форк.

AQ: По-видимому это предложение для операторов пулов. Они известны, не подставят ли они себя?
DA: В этом и есть изящество смарт-контрактов и софт\хард форков. Форк требует дополнительных усилий, отказ от форка-простое бездействие; они могут просто оставить все как есть.

AQ: Ваша комманда связана с предыдущими атаками, к примеру MT GOX, или какие-то другие биржи или это в первый раз?

И если вы пожелаете не отвечать на этот вопрос, есть ли у вас еще какие-либо важные комментарии?

DA: Да, это реально плохой вопрос, ни один хакер не раскроет связи с предыдущими атаками (если он настоящий). Тот, кто хвастается предыдущими атаками — обманывает, чтобы заслужить внимания. Этот вопрос не имеет большого смысла.

И, да, у меня есть важный комментарий. Если, кто-то надеется сейчас выяснить что-нибудь, то мои посты также не подтверждены. Но я сильно удивлен, насколько они популярны, и я рад, что есть сообщения, которые цепляют. Дао упал на 10%, только из-за моего поста (LOL). Так много уроков для криптосообщества.

AQ: Но это же не означает, что если подпись не проверена, то все сообщение является обманом?
DA: Сообщения не являются валидными с тех пор, как они не подписываются подписью «атакера», но это не означает, что в них рассказана неправда или что их писал кто-то другой, а не «атакер».

AQ: Как именно была произведена атака и почему она остановилась на 3.5 миллионах?
DA: Это всего лишь атака рекурсивными вызовами, кторая давно известна, но парни с Slock.it не хотят понимать, что происходит при расщеплении. С точки зрения не профессионала: из-за ошибки в DAO, вы можете отправить eth, до его списания с баланса.

Это звучит весело? Есть несколько отличных статей об атаке рекурсивным вызовом и все хорошо описывают, лучше меня.

AQ: Почему она прекратилась на 3,5 миллионах?
DA: Виталик всерьез начал кричать о хард-форке, откате транзакций и это выглядело серьезно. Я все еще до конца не уверен, по правде ли он думал внедрить хард-форк или просто так сказал, чтобы остановить атаку.



AQ: И атакер просто выбрал остановку? И если вы захотите, вы можете слить все остальное?
DA: Вообще-то да, Но рынок этериум еще не такой большой и нет достаточно ликвидности, чтобы обналичить миллионы эфира. В любом случае реальные деньги (биткоины) делаются на шортах. Когда люди начали говорить о хардфорке, чена на DAO начала восстанавливаться, люди начали покупать DAO, потому что они решили, что смогут отыграться. После чего цена обвалилась снова, после прекращения атаки. :-D



AQ: Не думаете ли вы, что вся глобальная сфера цифровых валют может пострадать, если выделенные средства в $50kk перестанут быть замороженными?
DA: По правде? $50kk — это хорошо, вспомните mtgox? Bitcoinica? Pirateat40? Но когда большая часть eth будет изъята из DAO, это может стать проблемой. Аттакер не собирается забирать больше, по правде eth-foundation или кто-то еще должны наконец принять решение и надежно защитить оставшееся. Инвесторов DAO уже побрили на треть, из-за отсутствия должной осмотрительности разработчиков. ETH так и будет утекать из дырявого DAO без хардфорка, что по-сути является единственным способом обновить контракт.


В 2011 г. MT Gox была взломана и потеряла 400 000 BTC. Это около 6% от всей денежной массы в то время. Биткоин чувствует себя хорошо, не так ли?



AQ: Тогда многие оставили биткоин как легко взламываемый и не безопасный инструмент. Я полагаю, что восстановление доверия заняло около двух лет. Не думаете ли вы что может произойти тоже самое и для eth и для BTC, если ведущие СМИ расскажут про атаку?
DA: Для атакера целесообразно не забирать все 3,5 млн eth. Как минимум 1 миллион будет распределен среди майнеров и майнером может быть кто угодно.

Чистая спекуцляция (так как всего 1 миллион заявлен майнерам), но это возымеет действие кнута и пряника. Пряник: возврат части eth в DAO, что сделает людей счастливее. Кнут: возврат части eth майнерам, если они не поддержат инициативу форка. Так что … Влияния и их размеры будут намного меньше предположений и эфириум сможет жить, и может быть даже будет процветать, после достойного решения без форка. В то время как форк безвозвратно погубит etheteum.


AQ: «Некоторых» - о каком количестве мы говорим?
DA: Все цифры, которые я могу предоставить 1kk eth + 100btc.


AQ: Вы занимаетесь BTC и Eth. Занимались ли вы напсанием кода, какого рода? Какого ты возраста, а также откуда ты (примерно)?
DA:-

AQ: Мне пора уходить, может быть есть что-то еще, что бы хотите сказать всем?
DA: Мне нравится биткоин и мне нравится ломать смарт-контракты :=)
DA: Это все что я хотел сказать, спасибо за уделенное время :=)
DA: Также есть кусочек информации, который я бы хотел прояснить. Биткоин никогда не имел хардфорков! Все случившиеся инциденты были разрешены софт-форками. Проблема с LevelDB в 2013 году решена без форкинга, см. https://www.reddit.com/r/Bitcoin/commen … is/cnlqcd1

13 2016-06-20 16:11:43

Re: Курс Эфириума рухнул вниз из-за атаки на DAO

Инвесторы The DAO в своем большинстве голосуют за софтфорк

http://ethermine.org/stats/votes

14 2016-06-20 16:33:47

Re: Курс Эфириума рухнул вниз из-за атаки на DAO

Обращение атакера The DAO к криптосообществу


Я внимательно изучил код theDAO и решил принять участие после того, как обнаружил функцию, в которой сплит вознаграждается дополнительным количеством эфира. Я использовал эту функцию кода и на законном основании получил 3,641,694 единиц эфира. Я хотел бы поблагодарить DAO за это вознаграждение. Насколько я понимаю, что код DAO содержит эту функцию с целью содействия децентрализации и поощрения создания “дочерних объектов DAO”.

Я разочарован тем, что кто-то характеризует использование мной данной функции термином «кража». Я всего лишь использовал присутствующую в коде функцию в полном соответствии с условиями смартконтракта theDAO. Мои юридические консультанты утверждают, что все мои действия полностью соответствуют уголовному и контрактному праву Соединенных Штатов. Для справки ознакомьтесь с контрактными условиями инвестирования в theDAO:

“Условия theDAO полностью изложены в существующем на блокчейне Эфириума коде смарт-контракта по адресу 0xbb9bc244d798123fde783fcc1c72d3bb8c189413. Ничего в этом или любом другом документе или сообщении не может изменять или добавлять какие-либо дополнительные обязательства или гарантии, кроме тех, что изложенны в коде theDAO. Любые термины или описания лишь предлагаются для образовательных целей и не отменяют или изменяют сформулированные условиями кода theDAO, как они изложенны на блокчейне. В той мере, что будет какой-то конфликт или несоответствие между данным описанием и функциональность кода по адресу 0xbb9bc244d798123fde783fcc1c72d3bb8c189413, код theDAO имеет приоритет”.

Любой хард- или софт- форк, направленный на захват моего законного и законно приобретенного (в соответствии с условиями смарт-контракта) эфира, будет нелегален. Такой форк окончательно и бесповоротно испортит всякое доверие не только к Эфириуму, но и ко всей области смарт-контрактов и блокчейн-технологии. Многие крупные владельцы Эфириума сбросят свой эфир, а разработчики, исследователи и компании покинут экосистему Эфириума. Не ошибитесь: любой форк, мягкий или жесткий, будет способствовать лишь дальнейшему повреждению Эфириума и уничтожит его репутацию и привлекательность.

Я оставляю за собой право принимать любые юридические действия против любых соучастников незаконного лишения, замораживания, или захвата законно полученного мной эфира, и я активно работаю со своей юридической фирмы для обеспечения своих прав. Любые лица и организации, являющиеся соучастниками подобных незаконных попыток, в ближайшее время получат cease-and-desist (требование о прекращении) по почте от моих адвокатов.

Я надеюсь, что это событие станет ценным опытом для сообщества Эфириума и желаю всем вам удачи.

С уважением,
“Атакующий”

Сообщение подписано эфириум-ключом “хакера theDAO”

15

Re: Курс Эфириума рухнул вниз из-за атаки на DAO

Ethereum начал белую атаку на The DAO чтобы вывести оставшиеся средства. О запуске белой атаки сообщил разработчик Mist и один из кураторов проекта The DAO, Алекс Ван де Санде. Контратака команды Ethereum поможет защитить фонды The DAO от нынешней и от последующих хакерских атак. В процессе атаки используется та же уязвимость. Банк The DAO уже практически опустошен.