Incidents associés
David Siegel est un stratège et conférencier blockchain, fondateur de Kryptodesign.com et conservateur de DecentralStation.com, un lieu pour en savoir plus sur la blockchain.
Dans cet article, Siegal tente d'aider les journalistes à comprendre ce qui s'est passé lorsque le DAO s'est effondré et pourquoi il pense qu'il est important pour la presse de bien raconter l'histoire.
L'article sera mis à jour sur Medium au fur et à mesure de l'évolution de la situation. Avertissement : Siegal possède un petit nombre de jetons DAO.
Les bases
Le réseau Ethereum est un réseau d'ordinateurs exécutant tous la blockchain Ethereum. La blockchain permet aux gens d'échanger des jetons de valeur, appelés ether, qui est actuellement la deuxième crypto-monnaie la plus populaire derrière le bitcoin. Ethereum permet également aux gens d'écrire et de mettre sur le réseau des contrats intelligents - un code à usage général qui s'exécute sur chaque ordinateur du réseau (actuellement plus de 6 000 ordinateurs). Les gens exécutent ensuite ces programmes en leur envoyant de l'éther.
Un DAO est une Organisation Autonome Décentralisée. Son objectif est de codifier les règles et l'appareil décisionnel d'une organisation, en éliminant le besoin de documents et de personnes pour gouverner, en créant une structure à contrôle décentralisé.
Voici comment ça fonctionne:
Un groupe de personnes rédige les contrats intelligents (programmes) qui feront fonctionner l'organisation
Il y a une période de financement initiale, au cours de laquelle les gens ajoutent des fonds au DAO en achetant des jetons qui représentent la propriété - c'est ce qu'on appelle une vente publique ou une offre initiale de pièces (ICO) - pour lui donner les ressources dont il a besoin.
Lorsque la période de financement est terminée, le DAO commence à fonctionner.
Les gens peuvent alors faire des propositions au DAO sur la façon de dépenser l'argent, et les membres qui ont acheté peuvent voter pour approuver ces propositions.
Il est important de comprendre qu'un grand soin a été pris pour ne pas transformer ces jetons en actions - ils ressemblent plus à des contributions qui donnent aux gens des droits de vote mais pas de propriété. Dans la plupart des cas, un DAO n'appartient à personne - c'est juste un logiciel fonctionnant sur le réseau Ethereum.
Le tout premier DAO est le bitcoin lui-même, qui est régi par consensus entre son équipe principale et son réseau minier. Tous les autres DAO ont été lancés sur la plateforme Ethereum.
"The DAO" est le nom d'un DAO particulier, conçu et programmé par l'équipe derrière la startup allemande Slock.it - une entreprise construisant des "serrures intelligentes" qui permettent aux gens de partager leurs affaires (voitures, bateaux, appartements) dans une version décentralisée d'Airbnb.
Le DAO a été lancé le 30 avril 2016, avec une fenêtre de financement de 28 jours.
Pour une raison quelconque, le DAO était populaire, recueillant plus de 100 millions de dollars au 15 mai, et à la fin de la période de financement, le DAO était le plus grand financement participatif de l'histoire, ayant levé plus de 150 millions de dollars auprès de plus de 11 000 membres enthousiastes. Le DAO a collecté beaucoup plus d'argent que ses créateurs ne l'avaient prévu.
On peut dire que le marketing était meilleur que l'exécution, car lors de la vente publique, plusieurs personnes ont exprimé des inquiétudes quant à la vulnérabilité du code aux attaques.
Une fois la vente publique terminée, il y a eu beaucoup de discussions sur la résolution des vulnérabilités avant de commencer à financer des propositions. En particulier, Stephan Tual, l'un des créateurs de The DAO, a annoncé le 12 juin qu'un "bug d'appel récursif" avait été trouvé dans le logiciel mais qu'"aucun fonds DAO [n'était] à risque".
À l'époque, plus de 50 propositions de projets attendaient que les détenteurs de jetons du DAO votent à leur sujet.
Il est important de répéter que le réseau Ethereum n'a pas de tels bogues et a parfaitement fonctionné tout le temps. Tous les systèmes en réseau sont vulnérables à divers types d'attaques. Le réseau Ethereum, qui prend en charge (selon le prix) environ 1 milliard de dollars d'éther, n'a pas été piraté et exécute en permanence de nombreux autres contrats intelligents.
Tous ceux qui rédigent un contrat intelligent savent que s'il peut déplacer une grande quantité d'argent, il sera sujet à des attaques. Cette vulnérabilité particulière a été découverte récemment dans un autre système, appelé Maker DAO, et a été rapidement neutralisée car ce DAO était encore en phase de test.
Beaucoup de gens pensent que tester et certifier les contrats intelligents sera un élément important pour assurer la sécurité de l'écosystème Ethereum. Vous trouverez plusieurs services de validation de contrats intelligents répertoriés sur DecentralStation.com.
Le piratage
Malheureusement, alors que les programmeurs travaillaient à résoudre ce problème et d'autres, un attaquant inconnu a commencé à utiliser cette approche pour commencer à vider le DAO de l'éther collecté lors de la vente de ses jetons.
Le samedi 18 juin, l'attaquant a réussi à drainer plus de 3,6 millions d'éther dans un "enfant DAO" qui a la même structure que le DAO. Le prix de l'éther est passé de plus de 20 $ à moins de 13 $.
Plusieurs personnes ont tenté de diviser le DAO pour empêcher que plus d'éther ne soit pris, mais ils n'ont pas pu obtenir les votes nécessaires en si peu de temps. Parce que les concepteurs ne s'attendaient pas à autant d'argent, tout l'éther était dans une seule adresse (mauvaise idée), et nous pensons que l'attaquant s'est arrêté volontairement après avoir entendu parler de la proposition de fork (voir ci-dessous). En fait, cette attaque, ou une autre similaire, pourrait se poursuivre à tout moment.