The DAO: retour sur 12 très longues heures
DAO
TheDAO est (était?) la première organisation autonome décentralisée sur la blockchain Ethereum. Ce matin cette organisation a été victime d’une attaque de grande ampleur visant à détourner ses fonds. Sur les 11 millions d’ethers (soit environ 143 millions d’euros) qui avait récoltés lors d’une opération de crowdfunding historique, plus de 3,6 millions ont d’ores et déjà été siphonnés sur cette adresse. Retour sur la journée où le premier fonds d’investissement décentralisé est mort sans avoir pu financer de projet. Illustration : Le Radeau de La Méduse – Théodore Géricault 1819.
Avant de commencer rappelons ce qu’est The DAO. C’est avant tout un code informatique qui réplique les différentes fonctionnalités d’un fonds d’investissement avec une approche décentralisée. Toute personne est libre de soumettre une proposition de financement à The DAO qui donne lieu à un vote, les membres se prononcent alors au prorata des Ethers qu’ils ont déposés dans The DAO. Parmi les fonctions du « logiciel » ou smartcontract de The DAO, il est possible aux membres de s’extraire de la DAO par un « split ». Concrètement cette fonction déplace les fonds des membres qui en font usage vers une autre adresse sur la blockchain, elle permet ainsi à ces membres de sortir de la DAO avec les fonds qu’ils ont investis. Cette fonction bloque par construction les fonds dans la nouvelle adresse pendant 27 jours pour différentes raisons, cette précision est importante pour la suite.
Toute l’affaire qui s’est déroulée aujourd’hui a commencé hier par la diffusion d’un article sur ce blog faisant état d’un bug important dans certains contrats. Ce dernier article faisait écho à un autre de la semaine dernière par Peter Vessenes. De quoi s’agit il ? Ces articles décrivent la possibilité d’exploiter des failles dans les fonctions de retrait des fonds logés dans les contrats Ethereum. Grâce à un appel récursif à la fonction de retrait, un attaquant peut obtenir une multitude de fois la somme qu’il est en droit de retirer. Pour se figurer cette attaque, imaginez qu’appuyer de nombreuses fois sur le bouton « 100 euros » d’un bancomate entraîne la sortie d’autant de billets sans générer de problème de débit sur votre compte… L’opération peut durer tant qu’il reste des billets dans la machine.
Cette attaque est précisément ce qui s’est passé aujourd’hui:
- aux alentour de 9h30
L’agitation sur le slack de la DAO et de slock.it se manifeste par l’un des utilisateurs les plus actifs, Griff Green. Il signale qu’une attaque semble être en cours. Plusieurs splits se comportent de manière suspecte et Griff Green cherche à contacter le ou les auteurs de l’opération. Très rapidement il se confirme qu’il s’agit bien d’une attaque.
- aux alentour de 10h30
Slock.it et d’autres développeurs du code de la DAO organisent une contre-attaque consistant à spammer certaines fonctions de la DAO et à ralentir par divers moyens le déroulement des appels malveillants à la fonction de split. Les différentes places de marché coupent la cotation des token DAO et parfois même de l’Ether. Les sites qui permettent d’explorer la blockchain sont nombreux à être inaccessibles ou à ne plus mettre à jour les blocs. Pendant ce temps certains mineurs ont coupé leur machines, la puissance de calcul du réseau recule de plusieurs THash. Il devient très difficile de faire une opération sur Ethereum.
- aux alentour de 11h30
La mobilisation de la communauté se poursuit pour ralentir l’opération et y apporter une solution. Plusieurs millions d’Ethers ont été transférés sur cette adresse, ils y sont néanmoins bloqués pour 27 jours avant de pouvoir être déplacés par l’attaquant.
- à la mi-journée
La fondation Ethereum s’exprime sur le sujet et propose une solution. Le retour des fonds dérobés nécessitera un hard fork (HF), c’est à dire faire recommencer tous les nœuds du réseau à partir de l’état de la blockchain précédant l’attaque. La fondation propose dans l’immédiat un soft fork (SF) consistant à « bannir » de la blockchain l’adresse sur laquelle les fonds de la DAO ont été déportés. Le SF nécessitera que la majorité des noeuds du réseau accepte une mise à jour, après quoi les fonds localisés dans l’adresse incriminée ne pourront être déplacés. Seul le HF permettra de rembourser les investisseurs lésés.
Ces deux forks seront soumis aux noeuds qui décideront donc à la majorité et successivement si oui ou non ils acceptent la SF puis si oui ou non ils acceptent le HF. Le code de la DAO serait changé vers un contrat simple remboursant chacun des investisseurs et mettant fin à la DAO.
Les principaux développeurs d’Ethereum ainsi que Vitalik Buterin se sont exprimés à ce sujet.
Y aura-t-il Soft Fork puis Hard Fork, l’un mais pas l’autre, aucun des deux ? Le débat sur l’opportunité des options et des signaux envoyés fait déjà rage dans la communauté, soyez assuré que des articles de fond sont à venir.
En tout cas cette affaire ne remet pas en cause l’intégrité de la blockchain Ethereum. Quand à la DAO, le concept et son code seront sans doute amenés à être poursuivis et améliorés afin de garantir qu’un événement de ce type ne survienne plus.
Les forks ouvre une porte indésirable les investissuers en etherum peuvent perdre confiance si demain un governement veut blocker un compte il forcera la fondation a demander un fork etc les scenaris sont la
C’est fort possible, mais le problème est que The DAO est le plus gros projet concret actuellement, sa fin prématurée pourrait aussi être celle de Ethereum par la même occasion si rien n’était fait.
Plutôt que d’immuabilité de la blockchain il serait peut être plus rigoureux de parler « ténacité ». Les forks réclament le consensus des mineurs, c’est à dire des individus qui entretiennent le réseau. Une autorité peut bien forcer la fondation à proposer un fork mais la décision sera toujours prise par les mineurs. Ce site vous donne un aperçu de la répartition des noeuds (donc pas exactement les mineurs) et vous pouvez constater l’absence d’une concentration qui jouerait en faveur d’une action gouvernementale.
https://www.ethernodes.org/network/1
Bonsoir,
Pensez-vous que The DAO puisse etre avortée?
Qu’adviendra t-il, dans ce cas, des fonds (DAO Tokens) possédés par ses utilisateurs?
Enfin, est-ce que le cours pourrait atteindre « zéro », en vue de sa chute ininterrompue depuis hier?
Merci d’avance.
Clairement oui ce dernierr pourrait être avortée, transfert des Ethers siphonnés vers une DAO ayant pour fonction que le retrait afin de rembourser les stackholders de token DAO et fin de The DAO.
La valeur est biensur liée à l’offre et la demande, elle peut bien atteindre 0€ si la fin de The DAO est signée comme elle peut atteindre des sommets si The DAO survit à cela.
En espérant biensur dans le meilleur des cas, que tout est fait dans le possible afin de patcher les erreurs de codes, et relancer la machine DAO et surtout d’apprendre de cette erreur.
voir aussi :
https://blog.daohub.org/the-next-steps-786323e6fac9#.ir6he46mz
Je trouve aussi.
Le fait que Vitalik Buterin lui meme propose un fork fait peur et décredibilise l’ethereum
ca explique sans doute la chute du cours alors meme que la securité de l’ethereum lui meme n’est pas touchée
Comme tout est histoire de confiance, actuellement cette dernière s’est émoussée.
Donc effet boule de neige, vente en masse et chute du cours (pas si catastrophique).
Mais c’est surtout l’image de Ethereum qui en prend un coup.
Pour ma part je ne suis pas contre ce fork, Vitalik tente de sauver le dernier né (The DAO).
C’est le même cas de figure que pour la crypto n°1 qui est Bitcoin.
Imaginez vous qu’on laisse le bitcoin continuer ainsi (saturation des block, ralentissement des validation des blocks, etc…) sans le fork de l’augmentation des blocks : c’est foncer droit dans le mur.
Je me demande si le cours de l’Ether va repartir.. Il s’est pris un sacré coup quand même.
Quand est ce que la réponse pour les Fork est attendue ?
Bonjour, je découvre Ethereum et venant de Bitcoin je souhaiterai comprendre comment concrètement le vote entre les 2 forks est-il soumis à la communauté? Est-ce un sondage externe via un site ou est-ec une fonction intégrée au réseau Ethereum?
Merci de m’éclairer!
Les forks sont successives, SF d abord, si elle est acceptée HF ensuite. Le processus d adoption est une mise a jour acceptée (vote oui) ou rejetée (vote non) par les mineurs. Les pools de mineus proposent par ailleurs à ses membres de voter sur l adoption par la pool.
J’ai acheté des ETH lundi. On est bien d’accord que le SF ou HF ne va pas m’enlever cette somme ?
Absolument
Aucun
Risque.
Pour ma part mon achat date de mercredi dernier , 80 eth que j’ai payé avant le hack.
Un risque pour moi que le SF ou le HF m’enlève la somme ?
Non. Le hard ou le soft fork ne vont pas toucher aux ethers des gens. Il ne s’agit pas de revenir en arrière dans la chaîne mais uniquement de modifier le contrat de The DAO et de rendre les ethers aux détenteurs de Tokens.
Merci pour votre réponse .
Pensez vous encore qu’investir dans les ETh est un bon investissement ? Le cours apparaît d’être stabilisé entre 10 et 11 euros depuis deux jours.
Par ailleurs savez vous quand est prévu la fin de ces votes ?
Compte tenu de l’imprévisibilité et de la volatilité du cours des cryptomonnaies, aucun conseil d’investissement sur ce site :). Dans tous les cas, si vous le faites, n’investissez que ce que vous pouvez vous permettre de perdre.
Pour répondre à votre seconde question, le vote sur le soft fork devra forcément être finalisé avant la fin de la période de création de la Dark DAO (la DAO du hacker), soit dans environ 24 jours.
Le délai pour réaliser le hard fork n’a pas encore été défini et des informations complémentaires sont attendues sur ce point.
[…] leur potentiel mais aussi de faire (douloureusement) l’expérience de leurs faiblesses lors du hack de The DAO. La sécurisation des smart contracts n’en est encore qu’à ses débuts, et de nombreux travaux […]