Hack van $ 80 miljoen toont de gevaren van programmeerbaar geld

Geld wordt steeds makkelijker te controleren via software en internet. Een spectaculaire hack tegen een investeringsfonds dat meer dan $ 130 miljoen aan activa in de controle van software heeft geplaatst, laat zien dat het concept aanzienlijke nadelen heeft.





De gedecentraliseerde autonome organisatie - of DAO - werd gebouwd bovenop een systeem van digitale valuta genaamd Ethereum en was het grootste crowdfundingproject in de geschiedenis geworden. De software van de DAO is ontworpen om financiering uit te delen aan projecten op basis van stemmen van mensen die het hebben gefinancierd. Het werd opgehouden als een voorbeeld van de ongelooflijke nieuwe dingen die mogelijk werden gemaakt door Ethereum, dat geïnspireerd was op Bitcoin, maar bedoeld was om software in staat te stellen geld te controleren.

Vrijdag vroeg begon iemand een fout in het ontwerp van Ethereum uit te buiten om meer dan 3,6 miljoen ether extraheren uit de DAO— een bedrag ter waarde van ongeveer $ 80 miljoen met de waarde van de valuta onmiddellijk voor de aanval. (De prijs is sindsdien aanzienlijk gedaald.)

De DAO was niet alleen geprezen vanwege zijn verrassende schaal, maar ook als een voorbeeld van het soort dingen dat Ethereum in het leven had geroepen om nieuwe vormen van financiering mogelijk te maken op basis van software die digitale valuta kan controleren. Plots lijkt Ethereum en het idee om complexe software de controle over geld te geven niet zo slim.



Alle software wordt geleverd met bugs. En soms wordt er via digitale middelen geld gestolen van conventionele financiële instellingen, bijvoorbeeld in de recente aanvallen op het SWIFT-systeem gebruikt voor grensoverschrijdende overschrijvingen.

Maar wanneer software de mogelijkheid krijgt om direct geld te beheren, zoals Ethereum is ontworpen om toe te staan, wordt beveiliging belangrijker.

Helaas lijken de ontwerpers van Ethereum en de DAO niet veel gebruik te hebben gemaakt van standaardtechnieken die programmeurs en computerwetenschappers hebben ontwikkeld om het risico op beveiligingsfouten te beperken. De code van de DAO ging niet vergezeld van documentatie waarin bijvoorbeeld het ontwerp van de verschillende stukken werd uitgelegd. Dat had iemand kunnen helpen de fout die in de DAO-overval werd gebruikt, eerder op te sporen en op te lossen, misschien voordat deze werd vrijgegeven.



En het ontwerp en de implementatie van de programmeertaal van Ethereum mist functies die standaard zijn in frameworks die worden gebruikt om kritieke systemen te programmeren, volgens een post mortem op de hack , door Emin Gün Sirer, universitair hoofddocent bij Cornell. Een heroverweging lijkt nodig, schreef hij.

Er waren veel waarschuwingen dat het ontwerp van Ethereum beveiligingsproblemen had vóór de hack van vandaag. De fout die tegen de DAO werd gebruikt, was: eerder deze maand gemarkeerd door Peter Vessenes, een Bitcoin-ondernemer die eerder had gewaarschuwd dat software die op Ethereum is gebouwd, zou zijn snoep voor hackers .

In een 2014 papier , concludeerden onderzoekers van de Universiteit van Maryland die studenten hadden gevraagd om dingen met Ethereum te bouwen, dat verschillende subtiele details over de implementatie van Ethereum het programmeren van slimme contracten foutgevoelig maken.



En in mei riepen Sirer en twee mensen die actief zijn in de cryptocurrency-gemeenschap, waaronder een onderzoeker met het Ethereum-project, op tot de DAO om effectief te worden bevroren totdat beveiligingsfouten in de stemmechanismen waren verholpen.

In de nasleep van de aanval op de DAO is de waarde van Ether gekelderd. Het is niet mogelijk om de fout die tegen de DAO is gebruikt eenvoudig te repareren door een software-update uit te voeren, maar er worden pogingen gedaan om verdere aanvallen te voorkomen met behulp van trucs zoals vastlopen Het systeem van Ethereum voor het verwerken van transacties.

Een echte oplossing voor de problemen van Ethereum zal lang duren, en misschien een volledig herontwerp van veel van zijn technologie.



De psychologische schade van de DAO-hack zal ook tijd kosten om te herstellen. Als het goed wordt gedaan, kan software die geld kan beheersen veel nieuwe zakelijke kansen bieden en financiële diensten uitbreiden naar mensen die deze momenteel niet kunnen ontvangen. Maar het zien van de gevolgen van beveiligingsfouten in dergelijke software zou de investering kunnen afschrikken die nodig is om dat idee waar te maken.

zich verstoppen