ЧТИВО Кто взломал THE DAO в 2016 году на 3,6 миллиона эфиров? ч.1

Статья расследования журнала Forbes

THE DAO - фонд венчурного капитала привлек 139 миллионов долларов в ETH к моменту окончания его краудсейла в 2016 году, что сделало его самой успешной краудфандинговой кампанией на сегодняшний день. Неделю спустя хакер перегнал 31% ETH из основного THE DAO в то, что стало известно как DARKDAO.

Кто взломал THE DAO? Расследование, указывает на Тоби Хоениша, 36-летнего программиста, который вырос в Австрии и жил в Сингапуре во время взлома. До сих пор он был наиболее известен своей ролью соучредителя и генерального директора TenX, который привлек 80 миллионов для создания крипто—дебетовой карты - попытка, которая провалилась.

После отправки документа с подробным описанием доказательств, указывающих на него как на хакера, Хоениш ответил: “Ваше заявление и заключение фактически неточны”. В этом электронном письме Хоениш предложил предоставить подробности, опровергающие наши выводы, но после на связь не выходил

Кража THE DAO, известная и противоречивая, побудила Ethereum совершить хардфорк, в котором сеть Ethereum разделилась на две части, чтобы восстановить украденные средства, что в конечном итоге привело к тому, что Darkdao удерживал не ETH, а гораздо менее ценный Ethereum Classic (ETC).

Благодаря Chainalysis, удалось выяснить, кто это сделал.

Хоениш еще в 2016 году выявил технические уязвимости в THE DAO и, возможно, решил нанести удар, придя к выводу, что его предупреждения не были восприняты создателями THE DAO достаточно серьезно.

В начале 2016 года сети Ethereum было только одно приложение, которое интересовало людей: THE DAO, децентрализованный венчурный фонд, который давал держателям токенов право голосовать по предложениям, представленным для финансирования.

Он был создан компанией под названием Slock.it, который вместо того, чтобы искать традиционный венчурный капитал, решил создать этот THE DAO, а затем открыть его для краудфандинга — в расчете на то, что его собственный проект будет одним из тех, которые финансируются THE DAO.

30 апреля открылась кампания, всего за первые два дня она собрала 9 миллионов долларов. К тому времени, когда финансирование закрылось месяц спустя, от 15 000 до 20 000 человек внесли свой вклад, THE DAO владела тем, что тогда составляло 15% всего эфира, и цена криптовалюты неуклонно росла.

В то же время в отношении THE DAO поднимался целый ряд проблем безопасности и структуры. Одна из проблем: вывод средств был слишком сложным. Желающий вернуть свои деньги, должен был сначала создать “дочернее DAO”, что требовало высокой степени технических знаний.

17 июня ETH достиг нового рекордного максимума в 21,52 доллара, в результате чего криптовалюта в THE DAO стоила 249,6 миллиона долларов.

Когда американец Грифф Грин проснулся утром в Миттвейде, у него на телефоне было сообщение от члена сообщества DAO Slack, который сказал, что происходит что—то странное – кто-то списывает средства с THE DAO. Действительно, из THE DAO вышел поток транзакций на 258 ETH (тогда 5600 долларов). К тому времени, когда атака прекратилась 31% ETH в DAO было выведено в DARKDAO.

Вскоре сообщество Ethereum точно определило уязвимость, которая позволила эту кражу: смарт-контракт THE DAO был написан таким образом, что каждый раз, когда кто-то снимал деньги, смарт-контракт сначала отправлял деньги, прежде чем обновлять баланс этого человека. Злоумышленник использовал уязвимость, выводил деньги (258 ETH за раз), затем вмешивался в обновление контракта, позволяя им выводить один и тот же эфир снова и снова.

Как только уязвимость стала достоянием общественности, оставшиеся 7,3 миллиона ETH в THE DAO подверглись риску атаки подражателя. Команда белых хакеров использовала метод злоумышленника, чтобы перенаправить оставшиеся средства в новый дочерний THE DAO. Но у злоумышленника все еще было около 5% всех ETH, и даже спасенный эфир был уязвим.