「DAO」ハックの歴史

DAOって何ですか

分散型自律組織(DAO)は、基本的に分散型ベンチャーファンドです。

DAOでは、株式の所有が従来の企業で投資家に与えるコントロールではなく、所有するガバナンス・トークンの数に基づいて、組織の収集された資産を管理できます。

しかし、DAOは、トークンと株式だけでなく、従来の金融ファンドとは異なります。

中央集中型ベンチャーファンドは、通常、私たちが知っている伝統的な階層的な組織構造を持っています。エグゼクティブの意思決定を担当する最高経営責任者(CEO)として、最高経営責任者(CTO)、COO、UFO(ふざけ)です。

DAOでは、ガバナンストークンを所有することで、新しいルールを提案して投票することができます。新しいルールはスマートコントラクトメソッド呼び出しによって自動的に実行されます。CEOは経営幹部の命令を下りることはなく、DAOはスマートコントラクトだけに頼って仕事を成し遂げます。

ほとんどの暗号プロジェクトは、このタイプのガバナンスユーティリティをトークンノミクスに引き込む方向に向かっています。株式が2.0企業の所有権を表すのと同様に、トークンは3.0 DAOの所有権を表します。DAO テクニカルの詳細はこちら。

分権化された自治組織が誕生する

DAOの概念は、2015年にslock.Itというチームによって最初に考え出されました。さまざまなWeb 3.0プロジェクトやスタートアップの資金を調達するために、チームはクラウドファンディングスマートコントラクトを構築しましたが、実際の議決権と所有権をプログラミングすることでさらに一歩踏み出しました。

今、ETHをSLOCKに投資する人々。伝統的な配当、取引、および感謝/減価償却のための初期投資だけでなく、ファンドの総エーテルの比例所有権に等しいトークン金額のトークン代表を受け取ることになります。

DAOは、イーサリアムを搭載した革新的なフィンテックを代表していました。Ethereumより前は世界的にアクセス可能で、階層的ではなく、相互運用可能な方法で組織を分散させる方法はありませんでした。

「DAO」ハックパート1:セットアップ

2015年7月に開始されたイーサリアムは、当時幼児の技術であり、コミュニティは機能的なユーティリティインフラストラクチャの構築に関してほとんどホールドを得始めていませんでした。ETHは、slockのようなチームが革新し、「P」(プログラマビリティ)をいじくり始めたまで、本当に「ナンバ・ゴー・アップ」テクノロジーに過ぎませんでした。ETHのコンポーネント。

1年も経たない2016年5月に発売された「The DAO」は極めて話題を呼んだ。結局のところ、それは史上初の真に分散型、自律的、コミュニティ運営のファンドでした!人々は正当に興奮していた… そして投資する準備ができた。

TheDAO ($theDAO) トークンの販売/ICOは控えめな4週間続くことを意図していました。それは簡単でした:いくつかのエーテルをTheDAOスマートコントラクトに入金し、@ 1 ETH = 100 TheDAOの引き換えにいくつかの$TheDAOトークンを取得します。

販売の日が過ぎると、頭が変わり始めた。誰も期待していなかった何かが起こっていた。クラウドセールは、予想を過ぎたように数千万人に投資額を集めていました。ますます多くのエーテルが氾濫し続けています。投資の流れは4週間の初期コインオファリングの終わりまで続き、驚異的な1200万エーテル(2016年6月のETH価値に基づく1億5000万ドル、今日の評価に基づいて333億ドル)がTheDAOスマートコントラクトに預けられました。

theDAOスマートコントラクトはその種の最初のもので、ひどくテストされていないことであり、わずか数ヶ月前の言語であるイーサリアムの主要なコードを書く方法、Solidityで書かれていることに注意することが重要です。

セットアップは、すべてのものの中で最も明らかに素朴な部分についてケーキを取ります。プロジェクトは非常に過大に宣伝され、投資家のFOMOは史上最高でした。

明確にするために、従来の企業と同様に、投資家はtheDAOトークンが価値を高く評価することを期待して、TheDAOにお金を入れていました。

DAOのトークンホルダーとして(信頼できるERC-20トークンを所有している場合、アクティブなガバナンス提案を持つDAOの一部であることは間違いありません)、DAOのコミュニティの他のコミュニティが投票する任意のタイプの提案を起草することができます。

投資提案は、「DAOの財務省から [有望な新しいスタートアップをここに挿入] に100 ETHを融資し、6ヶ月で110 ETHを返済する提案…」ガバナンス提案は、「Uniswapでユーザーが流動性プロバイダーになることを奨励するための農場などのインセンティブを作成する提案…」現代のDAOが最近実行したクールなのは、高価なNFTを購入し、それを反転して財務省に利益/再投資を分配することでした。

DAOトークンは直接所有権を表しています。したがって、DAOのトークン供給を大量に蓄積すると、比例投票シェアを増やすことにより、保有者が意思決定に大きな影響を与える場合があります。DAOのトークンの価値は、コミュニティの投資力から得られるだけでなく、大小の保有者にどのような価値あるガバナンス決定がもたらされるかによっても得られます。

繰り返しますが、イーサリアムが登場する前に、このタイプのグローバルにアクセス可能な分散型ベンチャーファンドを設定する方法がなかったことを覚えておくことが重要です。そのため、投資家の$theDAOに対する誇大広告は適切だと思われました。問題は、TheDAOの2つの基礎的なブロックであるイーサリアムとソリディティ-が技術的成熟が早すぎたことです。

さまざまなチャットボードで、世界中の多くのプログラマーは、TheDAOスマートコントラクトのコードの脆弱性と、収集された資金を排出するためにそれらが悪用される可能性について懸念を抱いていました。これらの警告は十分に迅速に考慮されていませんでした。

「DAO」ハックパート2:エクスプロイト

ATMまで歩き、200ドルを引き出すと想像してください。あなたは200ドルもらえますが、残高が変わっていないことに気づく… あなたは先に進み、別の$200を引き出す… 残高に変化はない!

手持ちの現金が合計残高よりも大きくなるまで、あなたは数字をどんどん高く引き出し続ける。一度カードを取り外すだけで、残高は最終的に何が起こったかを反映するように気になります ፦12万ドル、または理想的なケースでは0ドル-それでも合計初期残高は2,000ドルしかありませんでした。

あなたが知っているのは、ATMがそれらの各引き出しを更新せずに元の残高から引き出し続けたため、現在100,000ドルの現金を手持ちしているということです。「200ドル出金」を選択するたびに、ATMは残高が十分であることをチェックし、元の2,000ドルの残高を見て、そこから引き出しました… しかし、それを1,800ドルに更新することはありませんでした!ATMを最初の2,000ドルから無期限に引き出すループにしておいたな

これはまさに「The DAO」ハックで起こったことです。TheDAOのスマートコントラクトコードに同様の脆弱性があるため、悪意のある彼/彼女/彼らは実際に権利が与えられた配分を上回る資金を排出することができました。このタイプの攻撃はリエントランシーエクスプロイトと呼ばれます。上のATMの例のように、悪意のあるハッカーが再帰呼び出しを介してトランザクションに再入力し続け、残高が更新されずに継続的に引き出しを実行しました。

このエクスプロイトの技術的な説明はここにあります。

セットアップの動く部分は今、最終的な位置にあります。イーサリアムの最初の礎石プロジェクトの1つの誇大広告、興奮、純度の高まりは、混沌としたクライマックスに到来しました。すべてのオッズに対して、すべてが最後の金切り声不協調の強打のために集まっていました。

2016年6月17日:theDAOの打ち上げから約1ヶ月後の通常の日だった頃、突然、エーテルは毎秒100エーテルの割合で「TheDAO」スマートコントラクトから急速に排出され始めました。

当時のエーテル価格の上昇のおかげで、契約は総額2億5000万ドルを握りました。この突然の資金が契約を離れると、イーサリアムの開発者や利害関係者のグローバルコミュニティがスクランブルしていました。契約を終了したのは誰ですか?これをどうやって止められるのですか?

slock.Itの誇大広告。クラウドセールはこうして痛いほど劇的なファッションで終わった。分散型金融工学の新しい時代にスムーズに告げるはずのプロジェクトは、毎分数百万ドルの投資家を失い始めていました。世界中のさまざまな開発者によって実際に示唆されていた脆弱性は、手遅れになりすぎました。再入場ハックは発見された… そして友好的な人ではない。

「DAO」ハックパート3:Dagor Dagorath

J.R.R.トールキンの「すべての戦いの戦い」のSindarin。Dagor Dagorathは、悪意のあるハッカーがTheDAOスマートコントラクトの流出を開始した後に起こったフォールアウトシナリオを正確に記述している。

高貴なキャラクターは、DAOの利害関係者が悪と戦うために浮上した。この戦いの主要プレイヤーには、Slock.Itのコミュニティマネージャーであるグリフ・グリーン、イーサリアムの開発者であるアレックス・ヴァン・デ・サンダー、クリストフ・ジェンツッチがslock.Itでリードしています。これらはまもなく後述する新たに結成された「ロビン・フッド・グループ」の主要プレーヤーでした。

数百万ドル相当のエーテルが分単位で排出され続けているため、上記の白い帽子のハッカーは、状況を解決する計画を思いつくのに大きなストレスに対処しました。世界中のイーサリアムの開発者は効果的に戦争を呼び出され、theDAOの放射性降下物がイーサリアムを永久に殺すのに十分な放射性物質になることを恐れて、この問題へのすべての注意をそらしました。

ハッカーを阻止するために、攻撃を複製し、メインDAOからお金を排出することは、コミュニティで議論された人気のある防衛ベクトルでした(世界中のさまざまなメッセージングボードを通じて猛烈に活動しています)。

ソフトフォークが提案されました。マイナーは「The DAO」契約からの取引を処理しないようにしてください。

物議を醸すハードフォークも提案されました。本質的には、DAOスマートコントラクトに現在存在するETHの親権を、資金が確保される別の安全な避難所契約に移行するだけです。

2つの政治的エンドポイントに基づくスペクトラムが登場した。一つのコーナーでは、コード・イン・ロー・ロー・ロー・ロー・ロー・ロー・ロー・ロー・フェアの支持者は、介入が起こるべきではない、ブロックチェーンの不変性の純度が重要すぎると叫んだ。

反対のコーナーでは、より大きな介入の支持者がいた。この唯一無二の大災害の影響を最小限に抑えるための行動を取るべきである。形成されたスペクトルの間に落ちた他のすべての視点とともに、非常に滑りやすい傾斜が現れました。両側に有効な点がありました。

より多くのETHが排出される中、前述のキープレイヤーで構成される「ロビン・フッド・グループ」と呼ばれるグループが結成され、悪意のある攻撃者に完全に盗まれる前に資金を取り戻すためのホワイトハット(善意のハッキング)バトルにおいて極めて重要であった。

攻撃の1日目、泥棒は「The DAO」スマートコントラクトで総供給量の約 30% を盗み、その後不思議に停止し、状況を評価するためにRHGに数時間短い時間を与えました。2日目、攻撃者は再浮上し、再びETHの排出を開始しました。

その間、ロビン・フッド・グループは30万ドルのTHEDAOトークンの形で弾薬の備蓄に忙しかった。ETHと引き換えにスマートコントラクトに入金できるより多くの$TheDAOトークンは、引き出し額がはるかに高くなったことを意味した。ATMの例を考えてみてください。所持しているトークンが多いほど、一度に引き出すことができる金額が高くなり、より効率的な攻撃が可能になります。

ロビン・フッド・グループは、コミュニティと投資家への請願で、印象的な6,000,000ドルのTheDAOトークンを寄付で集めています。

ロビン・フッド・グループは、泥棒が使用していたのとまったく同じ技術を使用しなければなりません。ETHにセーフハーバーを提供して、元の投資家に戻ることを意図して、同じ再入権エクスプロイトを使用してスマートコントラクトから盗みます。これは、悪意のある銀行強盗の前に銀行を奪い、そのお金を銀行に戻すという現実に相当します。グループメンバーからは多くの恐怖と不安がありました。そのような動きの法的影響は何でしたか?

秒が刻まれて何百万ドルものETHが排出され続けた… グループは反撃を開始するしかなかった。グループは、泥棒が何をしていたかをしなければなりませんでした。同等のETHデポジットを引き出すためにTHEDAOスマートコントラクトに$TheDAOトークンをデポジットし、バギー関数を再帰的に呼び出して資格以上のETHを引き出します。6,000,000トークンの弾薬と、RHGによって構築された自動引き出しボットの継続的な改良により、ホワイトハットのハッカーは5秒ごとに30,000ドルを引き出すことができました。

資金の 70% はロビン・フッド・グループによって回収された。プロトコルルールにより、TheDAOスマートコントラクトからの引き出しには約1ヶ月の待機期間が必要だったため、この努力は主に攻撃者を失速させるのに役立ちました。このルールは、スマートコントラクトから撤退するすべての人に適用されます。RHGは、寄付された$TheDAOをコミュニティに還元する努力をしましたが、パート4と5で言及された結果を考えると、これは本当に問題になることはありませんでした。

注意すべき重要なことは、$theDAOはまだ価値を保持しているということです!1 $theDAO = 〜$27.8 出版日現在。これを読んでいて、あなたが$TheDAOの保有者/投資家だった場合、あなたの資金は失われません!資金回収の手助けが必要なら手を差し伸べて、ちょっとトリッキーだな

血まみれのDagor Dagorathは終わった。70%は「善良な奴ら」によって回収され、30% は盗まれていた。悪意のある攻撃は、少なくとも一時的に、そのトラックで停止されていました。

戦いの本当の血は後遺症で来た。泥棒は止められましたが、強さと精通して戦っていました。RHGがより多くのETHを回復することで勝利を引き出したにもかかわらず、回収された資金の70%は、子供のTheDAOSからの引き出しがどのように機能したかに起因して、依然として不正行為に対して脆弱でした。泥棒は依然として資金の30%、約200万ETHを直接管理しており、待機期間後も引き出すことができるだろう。泥棒はおそらく他の回収された70%の撤退を妨害するために働くだろう。これは問題でした。

「DAO」ハックパート4:フォークするかフォークしないか

悪意のある泥棒が一時的に停止したため、撤退の待機期間が終了する前に、より永続的なものを実装する必要があります。サービス拒否攻撃の可能性があるため、ソフトフォークは有効なオプションではありませんでした。残された唯一の選択肢は、何もしないかハードフォークでした。

「コードは法律」の支持者達にはポイントがありました。ハードフォークは「救済法」のような標準的な中央銀行手続きとはどう違うのですか?中央開発者のイーサリアムの金融政策への介入は、多くのことを心配しました。

「ハードフォーク」の支持者にもポイントがあった。盗まれた資金をすべての犠牲者のために回収し、泥棒にLを渡す方法があれば、それをしないのですか?

最終的に、エーテル供給総量の5.5%の保有者だけが参加した論争のコミュニティ投票の後、ハードフォークオプションが承認され、ブロック番号1,92万で行われるように設定された。

結局、状況の異常な性質は、極端な措置を講じなければならないことを意味し、したがって、チェーンの不変性が犠牲になりました。だから:フォークする。

「DAO」ハックパート5:フォークしないか

ハードフォークが来て、かなり無礼に行った。元のチェーンでブロック1,92万後に採掘されたブロックは、ETHとはみなされなくなりました。ハードフォークによる平行寸法は成功し、Dagor Dagorathの効果を効果的に消去した。今日使っているETHは、この平行な次元に生きています。

多くの驚いたことに、ユーザー/マイナーは「デッドチェーン」を復活させ、ブロック番号1,92万を超えて使用し続けました。元のチェーンは、ハッキングの変わらないフォールアウトを含むものであり、ハッカーが大部分の資金を直接管理しているため、イーサリアム・クラシック($ETC)として知られるようになり、新しいチェーン(TheDAOスマートコントラクトのETHがセーフヘイブンされたハードフォークによって引き起こされる)がメインとして前進したイーサリアム ($ETH) チェーン。

ETCは基本的にイーサリアムのハードコアの「コード・イ・ロー」バージョンと見なすことができます。彼らの独立宣言は以下です。

私たちは、分散型、検閲耐性、無許可ブロックチェーンを信じています。私たちは、不可逆的なスマートコントラクトを実行して、シャットダウンできない世界のコンピュータとしてのイーサリアムの本来のビジョンを信じています。私たちは、プロトコルレベルの脆弱性、バグの修正、または機能のアップグレードの提供時にのみ、コードベースのシステムフォークが可能な懸念の強い分離を信じています。私たちは、検閲耐性、信頼性のない、不変の開発プラットフォームを構築し、維持するという本来の意図を信じています。

だから:フォークしないで… ちょっと。

結論

この一連の出来事の放射能は否定できないものでした。DAOハックはイーサリアムコミュニティを分割し、ETCで例示されているように、多くの利害関係者は他のプロジェクトに群がりました。

しかし、Dagor Dagorathから5年後の今日、イーサリアムエコシステム全体で数十億ドル、数十億ドルが複数のスマートコントラクトに常駐しています。DeFi Pulseが強調しているように、上位3プロジェクト(メーカー、AAVE、コンパウンド)は、現在、約265億ドル、つまり約520万ETHの合計(出版日現在)を保有しています。

この初期の大災害が実際にイーサリアムの偽装の祝福であったかどうかを尋ねる価値があります。

イノベーションと構築に重要なエンジニアと開発者は、安全でない/テストされていないスマートコントラクトの設計と展開の本当のリスクを学びました。キャッシュフローとリスクで空間を緑豊かな状態に保つために重要なステークホルダーや投資家は、安全でない/テストされていないスマートコントラクトへの投資による血まみれの効果を学びました。

Dagor Dagorathは、今日ハッキングされているほぼ100億ドルのTVLを含むAAVEスマートコントラクトの類と比較して、ちっぽけなイベントになるでしょう。

これらの初期の出来事は、すべての利害関係者の尻の下で火をつけたため、健全な生態系を長期的に確立するために不可欠であり、今では本当に繁栄しているように見える。より多くの投資が氾濫することを期待してください。

投稿日:
カテゴリー: デジタル タグ: