Очередная загадка блокчейн

Очередная загадка блокчейн

Компания slock.it на базе Ethereum создали платформу фонда на базе блокчейн, который до конца мая собирал деньги, в общей сложности они привлекли около 100 миллионов USD. Фонд называется DAO и существует для поддержки проекта slock.it. Проект интересный, перспективный, вот презентации:




И вот в конце прошлой недели произошла интересная атака, которой в истории еще никогда не было. Суть в следующем из фонда DAO без видимой причины начали выводиться средства с дикой скоростью. Кибератака почти сразу привела к обвалу курса токенов Ehereum на 20%, а потом на 60% на биткойновых биржах.

Через несколько часов было объявлено о кибератаке, всех владельцев токенов, срочно призвали на помощь, чтобы остановить атаку.

Причины инцидента до сих пор загадка.

Казалось бы, ну нашли злоумышленники уязвимость , вывели деньги. Что нового?

Интересно стало теперь, когда все задумались об ущербе и возмещениях.

Есть 3 проблемы, заключающиеся в самой природе DAO – Децентрализованная Автономная Организация:

  1. В соответствии с правовым договором DAO, нет такого понятия, как кража/воровство. Единственное, что представляет ценность – это сами смарт-контракты, на которых построена система. Следовательно, нет никакой реальной правовой разницы между реализацией функции платформы и атакой.
  2. DAO работает по заранее заложенной логике, эта логика может быть изменена (причем только в некоторых деталях) посредством голосования учредителей, тех, кто вложил в нее деньги изначально. Т.е. предъявить какие-либо претензии самой DAO невозможно.
  3. Непонятна юрисдикция. Есть косвенные упоминания об английском праве, но английское право, как и любое другое, никогда не сталкивалось с подобными конторами. Деятельность такой конторы нельзя ограничить, нельзя наложить штраф, нельзя ограничить географию работы. Система, будучи один раз запущена, уже не остановится никогда. Даже учредителей нельзя привлечь к ответственности, т.к. их сотни тысяч и ни один из них не участвует в управлении.

В общем, с таким «чудом» современная правовая система еще не сталкивалась. И как работать с ней — непонятно.



Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Реальные атаки. Эффективные решения. Практический опыт.

Standoff Defend* — это онлайн-полигон, где ты сможешь испытать себя. Попробуй себя в расследовании инцидентов и поборись за победу в конкурсе

Присоединяйся и участвуй

*Защищать. Реклама. АО «Позитив Текнолоджиз», ИНН 7718668887

article-title

Евгений Царев

Персональные данные, Информационная безопасность и ИТ-инновации