Incidentes Asociados
Explicación del hackeo de DAO: desafortunado despegue de los contratos inteligentes
Osman Gazi Güçlütürk Bloqueado Desbloquear Seguir Siguiendo 31 de julio de 2018
Logotipo de la DAO
Los contratos inteligentes trajeron organizaciones autónomas distribuidas, también conocidas como "DAO", a nuestra vida. Un DAO es otro código de computadora a través del cual un conjunto de contratos inteligentes se conectan entre sí y funcionan como un mecanismo de gobierno.
En esta historia, exploraré el proyecto DAO más famoso, el DAO, y sus efectos en el entorno de los contratos inteligentes. Mientras lee las explicaciones, debe tener en cuenta que todas estas discusiones tuvieron lugar en plataformas en línea como GitHub y Reddit. Por lo tanto, no es posible hacer declaraciones definitivas o dar cifras exactas sobre todos los argumentos utilizados en estas discusiones.
- La creación de la DAO
El proyecto DAO más infame fue el DAO creado por Slock.it[1] y se puso en marcha el 30 de abril de 2016. Era un fondo de capital de riesgo virtual que está gobernado por los inversores de DAO. La idea era la siguiente: los fondos recaudados de los inversores, los tenedores de fichas, se agrupan. Los titulares de tokens pueden convertirse en contratistas presentando propuestas para la financiación de su proyecto utilizando los fondos de la DAO. Hubo un examen de curador, que fue solo una verificación de identidad realizada por uno de los curadores que fueron seleccionados entre los miembros respetados de la comunidad Ethereum. Una vez que la propuesta pasara el control del curador, sería votada por los inversores. Si una propuesta es aprobada por un quórum del 20 % de todos los tokens,[2] la DAO transfiere automáticamente Ether al contrato inteligente que representa la propuesta. Cualquier Ether generado a partir de las propuestas financiadas por la DAO se devolvería a los inversores participantes como recompensa.
Durante la oferta inicial[3] que tuvo lugar en mayo de 2016, el único requisito para ser inversor era invertir Ether en el sistema. A cambio, los participantes recibieron Tokens DAO, 100 Tokens DAO por 1 Ether, que otorgan derechos de voto para ser utilizados durante la selección de proyectos que serían financiados. El DAO recaudó 12,7 millones de Ether, lo que equivalía a más de 150 millones de dólares en ese entonces y se convirtió en el proyecto de financiación colectiva más grande hasta su momento. Sin embargo, el 16 de junio de 2016, la DAO fue pirateada.
- La infame función 'Dividir' y el niño DAO
El mecanismo de gobierno adoptado por la DAO era similar al gobierno de las sociedades anónimas que cotizan en bolsa. Como era de esperar, existía la posibilidad de que la minoría fuera reprimida por la mayoría. Los creadores de la DAO querían introducir una protección para la minoría: la idea era hacer que la minoría pudiera recuperar sus fondos cuando se aprueba una propuesta de la que no quieren ser parte a pesar de su objeción, que fue, de hecho, un equivalente DAO del derecho de tasación que vemos bajo la ley corporativa en algunas jurisdicciones.
Los creadores implementaron esta solución como una capacidad de DAO para dividirse en dos. Al enviar una forma especial de propuesta, la minoría, junto con otros poseedores de tokens que votaron por esta segunda propuesta especial, podrían llevar su Ether a un nuevo DAO, que se llama el niño DAO pero tiene las mismas habilidades y está sujeto a las mismas restricciones de las que se divide la DAO.[4]
El procedimiento de división puede ser iniciado por cualquier titular de token en cualquier momento con respecto a su propio Ether. Sin embargo, una vez iniciada, hay un cronograma a seguir codificado en el código de la DAO según el cual una propuesta dividida debe tener al menos 1 semana (7 días) de tiempo de debate. Después de esta 1 semana, se puede llamar a la función de división y el Ether del iniciador se puede mover a un nuevo DAO secundario, pero luego hay un período de creación de división de 27 días durante el cual no se puede presentar ninguna propuesta. E incluso después de eso, si intenta enviar los fondos en el DAO secundario a una cuenta bajo su propio control, debe enviar una propuesta y esperar 2 semanas (14 días), que es el período normal de debate de propuestas. En resumen, una vez que decide dividir un DAO, necesita al menos 48 días antes de obtenerlo en una cuenta que controle.[5]
Un codificador encontró una laguna en este procedimiento. Una vez que se llama a una función de división, el código se escribió de manera que primero recuperara el Ether y luego actualizara el saldo. Además, no estaba comprobando si había una llamada recursiva, que es una expresión que se usa para indicar una función que se llama a sí misma. Los atacantes lograron llamar recursivamente a la función de división y recuperaron sus fondos varias veces antes de llegar al paso donde el código verificaría el saldo. El 16 de junio de 2016, el atacante logró recuperar aproximadamente 3,6 millones de Ether del fondo DAO abusando de esta laguna, que se conoce como "exploit de llamada recursiva".
- Discusiones y el Hard Fork
La comunidad Ethereum notó esta transferencia anormal del fondo DAO.[6] Además, al día siguiente, alguien que afirmó ser el atacante publicó una carta abierta dirigida a la comunidad de Ethereum.[7] Estos desarrollos fueron seguidos por un intenso debate sobre lo que se debe hacer para resolver este "problema".