Incidentes Asociados
Hemos hecho todo lo posible para curar y aclarar los desarrollos de pirateo de DAO. Esta página se actualizará para reflejar nuevos desarrollos. No dude en señalar las incoherencias y sugerir actualizaciones.
[Lire cette FAQ en francés]
ACTUALIZACIÓN 30 de junio: La solución temporal prevista, una bifurcación suave (consulte la pregunta 8 a continuación), se descartó. El fundamento es la seguridad: poco después de que se propusiera la implementación técnica de la bifurcación suave, se identificó un vector de ataque dañino. Esta es una explicación simple de lo que podría causar a la red:
Entonces, en pocas palabras: la bifurcación suave permitiría a un atacante enviar muchas transacciones a un nodo de minería que el nodo tendría que ejecutar para detectar que se está realizando una llamada al contrato. Esto no le costaría nada al atacante y ralentizaría y potencialmente detendría la minería de transacciones mientras la bifurcación suave está en su lugar. Un atacante bien organizado y bien financiado probablemente podría causar una interrupción sustancial en la red y reducir las tarifas que recibe al usar este ataque.
Aunque el vector no se utilizó para atacar la red hasta el momento, tiene el potencial de dañar significativamente la red. En consecuencia, la bifurcación suave que se propuso hace unos días (consulte la pregunta 8 a continuación) no sucederá. Las opciones actuales sobre la mesa no están claras, pero las discusiones dentro de la comunidad comienzan a mostrar una creciente aceptación de una bifurcación dura (consulte la P10 a continuación para saber qué es).
El 17 de junio de 2016, un individuo o grupo desconocido explotó The DAO. Este último es el primer y más grande fondo de crowdfunding y similar a crowdequity basado completamente en la cadena de bloques Ethereum. Si desea obtener información sobre The DAO, lea esta explicación.
Los atacantes aprovecharon una vulnerabilidad de software y comenzaron a drenar éter de la dirección principal donde estaba almacenado. Este ataque resultó en el drenaje de unos 3,6 millones de ether de The DAO. Esto equivale a alrededor de un tercio de The DAO ether.
El éter drenado se dirigió a lo que se conoce como 'DAO infantil'. Este 'DAO secundario' es una dirección donde el único curador es el atacante o grupo de atacantes. En consecuencia, alrededor de un tercio del fondo total de DAO quedó atrapado en este 'DAO infantil'. Dejando a un lado los tecnicismos, el atacante no puede retirar los activos desviados durante un total de 27 días después de la creación del DAO secundario.
En las siguientes preguntas y respuestas, hemos hecho todo lo posible para desentrañar las complejidades del ataque y explicar sus implicaciones. Como esta es una situación en evolución, sin duda actualizaremos nuestro explicador para reflejar los nuevos desarrollos.
"P1. Entonces, ¿sabes quién hackeó The DAO?"
No nosotros no. Aparte de los perpetradores, nadie de la comunidad de Ethereum parece saber quiénes son los atacantes. Lo que se sabe en este momento es que:
(a) el (los) atacante (s) necesitó siete días para iniciar la escisión;
(b) los dos contratos clave que contenían los tokens y permitían la división recursiva se crearon dos días antes del ataque; y
(c) el (los) atacante (s) es (son) cuidadoso (s) y usó éter que emana de una cuenta en ShapeShift.
"P2. ¿Fue el hack, ataque (como en una 'mala acción')?"
El hackeo de The DAO es causado por una vulnerabilidad de software. Algunos podrían argumentar que el contrato subyacente a la DAO permitió que ocurriera el exploit y, por lo tanto, el perpetrador del hackeo ejecutó un contrato inteligente válido con una "función de drenaje". Sin embargo, existen claros indicios de que el hackeo tiene malas intenciones desde su inicio:
1/ El hacker considera que los 3,6 millones de ether que extrajeron de The DAO son una recompensa por el exploit. Esto es contrario a la misión de The DAO, que es financiar proyectos.
2/ No hay forma de validar de forma independiente que la “carta abierta” que circuló hace unos días sea de hecho del autor del hackeo. Ese texto es la única expresión pública del hacker o grupo de hackers, y su postura y tonalidad son claramente antagónicas. La “carta abierta” no contiene ninguna mención de un enfoque constructivo, pero incluye una formulación explícita de que el perpetrador causó daño racionalmente:
"Examiné detenidamente el código de The DAO y decidí participar después de encontrar la función en la que la división se recompensa con éter adicional".
Esta frase, así como toda la carta, son un mensaje bien pensado y calculado. Como se mencionó anteriormente y se ve claramente en esta “carta abierta”, para el hacker, el punto final de la operación era quedarse con los fondos desviados, en lugar de financiar empresas.
3/ Los perpetradores ofrecieron distribuir fondos (tanto bitcoin como ether) a los mineros que se niegan a seguir la bifurcación propuesta. Tal movimiento está claramente destinado a dañar la confianza y dividir a la comunidad Ethereum, sin importar si dichos mineros tienen o no tokens DAO.
Todas las cosas combinadas y todos los granos de sal agregados, parece claro que la intención del hacker era dañar a The DAO y la comunidad Ethereum. Las acciones mal intencionadas del perpetrador ponen una marca negra de confianza en el campo de las tecnologías criptográficas. Por esas razones, calificamos el hackeo como un ataque, y los perpetradores del hackeo como atacantes.
"P3. OK, suena como un tipo