イーサリアムの脆弱性が発見され、DAOがテストを受ける

クレイジーレビュー：DAO プロジェクトは、ブロックチェーン プロジェクトに投資するためにイーサリアムで 1 億 6,000 万ドルを調達しました。最近、コミュニティのユーザーは、開発者がスマートコントラクトを使用する方法によって Ethereum に脆弱性が生じ、DAO のセキュリティに影響を及ぼしていることを発見しました。 DAO システムのオープンソース ソフトウェア プロバイダーである Slock.it の創設者 Stephen Tual 氏と他のユーザーは、脆弱性が発見された翌日に修正リンクを公開しました。しかし、この修正によりイーサリアムのコードベースを変更する必要はなく、DAO 資金のセキュリティが脅かされることもありません。最終的には、どのような修正が使用されるにしても、DAO トークン保有者による承認が必要となり、彼らは監査および修復プロセスにも参加できます。

翻訳: Annie_Xu

イーサリアムを使用する開発者が遭遇した脆弱性により、ブロックチェーンベースのプロジェクトに1億5000万ドルを投資する分散型自律組織であるThe DAOの修正が遅れている。

潜在的なセキュリティ上の脅威を確認する管理者や専任のセキュリティ チームが存在しないため、脆弱性を修正するのは、イーサを使用して DAO の投票権を購入した人々で構成されるオープン ソース コミュニティの責任となります。

これらの人物の身元は依然として不明ですが、システムの脆弱性を検出して修正する方法は、DAO の構造と問題解決技術の最初の真のテストとなりました。

ゴシップ

Blockchain Foundationの創設者であるピーター・ベッセネス氏によると、この脆弱性は先週、一部の開発者がイーサリアムのSolidity言語で記述されたスマートコントラクトを実装する方法がウォレットコントラクトへの恐ろしい攻撃につながる可能性があるとGitHubユーザーが何気なく指摘したことで発見されたという。

ピーター・ヴェッセネス

この問題に関するヴェッセネス氏のブログ投稿はその後、イーサリアムブロックチェーン上に構築されているMaker DAOに関連するRedditユーザーの注目を集めた。

ブログ記事によると、この脆弱性により、攻撃者はMaker DAOに検出される前に特定の種類のアカウントを空にすることができ、その後、DAOメンバーフォーラムのEththrowaというユーザーによって発見されたという。

Eththrowa は、Slock.it のオープンソース ソフトウェアで構築され、1 億 6000 万ドルのイーサリアムを保有する最大の分散型自律組織である The DAO のシステムにも脆弱性が存在することを確認しました。

このブログ投稿は Slock.it の創設者 Stephen Tual 氏の注目を集め、彼は他のフォーラム メンバーとともに迅速に対応し、翌日には脆弱性を修正するためのリンクを公開しました。

スティーブン・トゥアル

Tual はその後、この脆弱性と「再帰呼び出し」脆弱性とは無関係の理論上の攻撃ベクトルを修正するために、プロジェクトのソフトウェアをアップグレードすると発表した。

ブログ投稿の内容は次のとおりです。

「オープンな開発プロセスが潜在的な脆弱性の迅速な特定、分離、解決につながり、脆弱性修正プロセスがプログラミング言語設計パターンの全体的な改善につながることをコミュニティが再び実証してくれたことに感謝します。」

別のブログ投稿では、この脆弱性はDAO資金のセキュリティを脅かすものではないと述べられています。

より大きな問題

今年初め、身元不明の人物または組織が DAO を立ち上げました。これはオープンソース コードで構築されており、ユーザーが共同で投票して、どのプロジェクトに投資するか、収益をどのように分配するかを決めることができます。

このバグにより、受信者は「契約を再帰的に呼び出すことで、自分のステークを複数回使い果たす」可能性がほぼありました。

しかし、ベッセネス氏の金曜日のブログ投稿では、この再帰呼び出しはDAOの欠陥を反映しているだけでなく、一部の開発者がSolidityプログラミング言語を使用してスマートコントラクトを誤った方法で記述していることを示しており、脆弱性の技術的な特徴を詳しく説明していることを明らかにした。

「攻撃的な受信者は、資金の転送や他の契約の「呼び出し」に使用されるすべての公開 Solidity 関数を再帰的に呼び出す可能性があります。これはビットコインの仕組みではないため、未熟な Ethereum 開発者にとっては驚きかもしれません。この脆弱性の実際的な意味は、各関数が再入可能である必要があるということです。つまり、関数の一部が完了する前に複数回呼び出されても、正常に動作します。」

修理

イーサリアム財団のメンバーであるテイラー・ガーリング氏は、ヴェッセネス氏による当初の問題の説明は正確であり、脆弱性の修正にはイーサリアムのコードベースの変更は必要なかったと述べた。

この脆弱性を修正するには、開発者は別の実装を使用する必要があります。

テイラー・ガーリング

この脆弱性は「人間のプログラマーが問題を作り出す限り特別な注意を必要とする」が、「ネットワークの基盤となるスクリプト言語とコードパーサーであるSolidityやEthereum Virtual Machine（EVM）に固有の問題ではない」という。

ヴェッセネス氏は2つの解決策を提案しています。

Slock.it はまた、組織の潜在的なガバナンス モデルに関して提起された懸念に対処するために、DAO のコードに対する修正を提案しました。

特に、ノーを選択することの不利益から生じる「イエスバイアス」を含むゲーム理論的攻撃に対する修正。 GitHub はプルリクエストでこの問題を解決します。

今は、DAO の 23,000 人のメンバーがシステムの変更を承認するか、他のソリューションを推進するのを待つだけです。

Tual 氏は Slock.it のブログ投稿で次のように書いています。

「これは、すぐに開始できる完全なオープンソース プロジェクトです。観察期間は 2 週間で、マネージャーを含むすべての人にレビューと参加を奨励しています。」