Incidentes Asociados
El hackeo de DAO que amenazó todo y afectó a Ethereum
¿Recuerdas cómo una organización autónoma descentralizada puede crear con el uso de Ethereum? En el año 2016, hubo una caída. Una startup estaba trabajando en un proyecto DOA llamado DAO hack.
Dao era un modelo programado e iniciado por una empresa emergente llamada Slock it. El objetivo principal de este proyecto es convertir a ninguna persona en una empresa de capital de riesgo que permita a los inversores tomar decisiones a través de contratos inteligentes.
Es el DAO que fue pirateado
El DAO es una ORGANIZACIÓN AUTÓNOMA DESCENTRALIZADA – esta es una organización donde las reglas de los programas informáticos generan Contratos Inteligentes. Específicamente, la DAO fue construida para ser un vehículo de inversión que financia propuestas. Lo hace al permitir que sus inversores, que poseen los tokens DAO. Llamémoslas TDT a partir de aquí para votar propuestas. Votar limita acciones futuras por lo que si un titular de TDT vota sí o no. No pueden cambiar su voto hasta que el período haya terminado.
Cuando realizó su venta multitudinaria de 27 días, la DAO recaudó 11,5 millones de Ether. Este tenía un valor de más de US 150 millones en ese momento y el 16% del suministro total de Ether. No solo es mucho dinero, sino que fue el crowdfund más grande de la historia.
Si la propuesta sobre la que votó un titular de TDT tiene éxito, el propietario solo puede retirar su parte del saldo de Ether que le queda después del proyecto ganador una vez financiado. Por el contrario, los poseedores de fichas que no votan pueden eliminarse de la DAO iniciando una división. Las divisiones tardan siete días en desembolsar los fondos. En consecuencia, una división lanzada por un usuario siete días antes de la fecha límite de votación de una propuesta puede operar sin ningún riesgo de que sus fondos se gasten en ese proyecto. La DAO no permite retirar fondos como Ether directamente. En cambio, los titulares de fichas pueden sacar su TDT mediante un proceso conocido como "división". Este es un proceso que tarda 34 días en total en completarse e implica la creación de un nuevo DAO.
Una de estas fallas es cómo la DAO actúa como una fábrica para crear "contratos inteligentes" para niños que se "separan" de la DAO principal para crear una "DAO para niños".
Recuerde que la división es el único método para extraer las tenencias de Ether del contrato DAO principal. Aquí es donde el usuario que se separa del DAO inicia un nuevo contrato DAO. En este contrato, serán inicialmente el único inversionista y curador. La idea aquí es que un usuario pueda extraer sus fondos al incluir en la lista blanca una propuesta para pagar todo el contenido de su contrato, votarla con el 100% de apoyo y obtener los recursos ejecutando el plan aprobado.
Incluso si no se toman medidas, el atacante no podrá retirar ningún Ether al menos durante otros ~27 días (la ventana de creación para el DAO secundario).
Una solución es una bifurcación suave que realizará cualquier operación que haga llamadas/códigos de llamadas/llamadas delegadas que reduzcan el saldo de una cuenta con el sistema.
Con la bifurcación dura, un usuario típico de Ethereum no sentirá nada de esa bifurcación dura, además de una actualización menor del cliente.
Si es titular de TDH, puede votar 'sí' en las propuestas divididas anteriormente.
Una forma en que puede ayudar a mitigar el ataque es enviar spam a la red Ethereum utilizando su cliente Ethereum. Puede usar esto para enviar spam a la cadena.