Condividi questo articolo
DAO senza leader messo alla prova dopo la vulnerabilità Ethereum
Slock.it ha annunciato diverse correzioni al codice su cui si basa The DAO, un'organizzazione autonoma che ha raccolto oltre 150 milioni di dollari in ether.
Una vulnerabilità nel modo in cui alcuni sviluppatori stanno implementando Ethereum ha richiesto una correzione dell'ultimo minuto per The DAO, un'organizzazione autonoma distribuita con oltre 150 milioni di dollari a disposizione da investire in progetti basati su Ethereum.
Senza un leader o un team di sicurezza formale che identifichi e risolva potenziali minacce alla sicurezza, tale responsabilità ricade su una comunità open source composta da membri che hanno acquistato diritti di voto nell'organizzazione con l'ether come parte della sua fase di creazione.
La storia continua sotto
Non perderti un'altra storia.Iscriviti alla Newsletter Crypto Daybook Americas oggi. Vedi tutte le newsletter
Sebbene l'identità di alcuni dei soggetti coinvolti non sia ancora chiara, il metodo con cui la vulnerabilità è stata identificata e, a quanto si dice, risolta costituisce il primo test pratico della struttura e delle tecniche di risoluzione dei problemi del DAO.
Attraverso il passaparola
Il problema è iniziato la scorsa settimana, quando l'utente di GitHubCristoforo"hanno segnalato casualmente un terribile, terribile attacco ai contratti wallet" che potrebbe derivare dal modo in cui alcuni sviluppatori stavano implementando contratti intelligenti scritti con il linguaggio Solidity di Ethereum, secondo il fondatore della Blockchain Foundation Peter Vessenes.
Il blog di VessenesinviareLa questione ha poi attirato l'attenzione di un utente di Reddit affiliato a Maker DAO, basato sulla blockchain Ethereum .
La vulnerabilità, che consente agli aggressori di svuotare ONE particolare tipo di account, è stata poi testata con successo da Maker DAO, secondo il loro inviare,che a sua volta ha catturato l'attenzione di eththrowa, un utente del forum dei membri del DAO.
Ethrowaconfermatoche la vulnerabilità esisteva anche nell'implementazione allora utilizzata da The DAO, che era stata creata utilizzando un software open source scritto da Slock.it ed è la più grande organizzazione autonoma distribuita con circa 162 milioni di dollari in ether attualmente a sua disposizione.
Fu quel post che, alla fine, catturò l'attenzione del fondatore di Slock.it, Stephen Tual. Lui, insieme ad altri membri del forum, rispose prontamente e un giorno dopo pubblicò un LINK a una correzione.
Ieri, Tualannunciatouna serie di aggiornamenti al software del progetto, studiati per combattere la vulnerabilità e altri vettori di attacco basati sulla teoria dei giochi, non correlati alla vulnerabilità "chiamata ricorsiva", come viene ora chiamata.
Nel suo post, Tual ha scritto:
"Esprimiamo la nostra gratitudine alla comunità ... che ha dimostrato ancora una volta che un processo di sviluppo aperto porta alla rapida identificazione, all'isolamento e alla risoluzione di potenziali vulnerabilità e, in questo caso, al miglioramento generale dei modelli di progettazione come parte dei linguaggi di programmazione."
Nessun fondo DAO era a rischio a causa della vulnerabilità, secondo un rapporto separatoinviare.
Problema più ampio
Lanciato all'inizio di quest'anno da una persona o un gruppo di cui non è stato reso noto il nome, The DAO si basa su un codice open source che consente agli utenti di votare collettivamente su come distribuire i fondi ai progetti che i membri ritengono meritevoli e su come ricevere i dividendi in caso di successo del progetto.
In questo caso, la vulnerabilità avrebbe consentito al beneficiario di tali dividendi di "sprecare molte volte i propri diritti chiamando il contratto in modo ricorsivo", secondo eththrowa.
Ma come ha chiarito il post di Vessenes di venerdì, la minaccia delle chiamate ricorsive T riguardava solo una debolezza di The DAO, ma un problema più generale nel modo in cui alcuni sviluppatori implementano contratti intelligenti scritti con il linguaggio di programmazione Solidity.
In un'e-mail a CoinDesk, Vessenes ha fornito una descrizione più tecnica della vulnerabilità:
"Tutte le funzioni pubbliche di Solidity che inviano denaro o usano "call" su un altro contratto possono essere chiamate ricorsivamente da un destinatario attaccante. T è così che funziona Bitcoin , quindi potrebbe sorprendere gli sviluppatori Ethereum inesperti. L'implicazione pratica è che ciascuna delle tue funzioni (e in effetti l'intero contratto) dovrebbe essere "rientrante", il che significa che dovrebbe funzionare allo stesso modo se parti di esso vengono richiamate prima del completamento."
Le correzioni
Il membro della Ethereum Foundation Taylor Gerring ha detto a CoinDesk che la descrizione originale del problema fatta da Vessenes era accurata. Tuttavia, ha aggiunto che la vulnerabilità T richiederà alcuna modifica alla base di codice Ethereum per essere risolta.
Piuttosto, la vulnerabilità richiede un diverso tipo di implementazione da parte degli sviluppatori.
In un'intervista, Gerring ha affermato che la vulnerabilità "è preoccupante nella misura in cui un programmatore Human potrebbe creare questo problema", ma "non è un problema intrinseco di Solidity o EVM [ Ethereum Virtual Machine]", il linguaggio di scripting e gli interpreti di codice che alimentano la rete.
Vessenes ha incluso due possibili soluzioni alla debolezza della "chiamata ricorsiva" nel suoinviare.
Altre correzioni specifiche al codice di The DAO annunciate ieri da Slock.it sono progettate per risolvere potenziali problemi che alcuni hannosottolineatoriguardo al modello di governance dell’organizzazione.
Nello specifico, si tratta di correzioni a determinati attacchi teorici del gioco, tra cui quello che viene chiamato "bias del sì", che deriva da un disincentivo a esprimere voti "no". Le correzioni sono state implementate sotto forma di richieste pull su GitHub.
Ora spetta ai 23.000 membri votanti del DAO accettare i cambiamenti o spingere per una soluzione alternativa.
Tualeha scrittosul blog Slock.it:
"Questo è un progetto completamente open source. A partire da oggi e durante il periodo di revisione di due settimane, tutti, compresi i curatori, sono incoraggiati a rivedere e partecipare alla pubblicazione."
Immagine della folla tramiteImmagine
More For You
What to know:
- As of October 2025, GoPlus has generated $4.7M in total revenue across its product lines. The GoPlus App is the primary revenue driver, contributing $2.5M (approx. 53%), followed by the SafeToken Protocol at $1.7M.
- GoPlus Intelligence's Token Security API averaged 717 million monthly calls year-to-date in 2025 , with a peak of nearly 1 billion calls in February 2025. Total blockchain-level requests, including transaction simulations, averaged an additional 350 million per month.
- Since its January 2025 launch , the $GPS token has registered over $5B in total spot volume and $10B in derivatives volume in 2025. Monthly spot volume peaked in March 2025 at over $1.1B , while derivatives volume peaked the same month at over $4B.
More For You
Bitcoin si mantiene stabile vicino a $90K mentre Bitfinex avverte di una 'Configurazione Fragile' a Shock
La relativa debolezza di BTC rispetto alle azioni indica una domanda spot tiepida, rendendo la più grande criptovaluta vulnerabile alla volatilità macroeconomica, hanno affermato gli analisti di Bitfinex.
What to know:
- Bitcoin ha cancellato i modesti guadagni di poco nella notte di lunedì e ha trascorso il resto della sessione statunitense in un intervallo ristretto intorno al livello di 90.000 dollari.
- L'aumento dei rendimenti dei titoli di Stato a lungo termine e un lieve calo delle azioni statunitensi hanno pesato sull'appetito per il rischio mentre i trader guardano con attenzione alla riunione della Federal Reserve di questa settimana.
- Gli analisti di Bitfinex hanno evidenziato la relativa debolezza del bitcoin rispetto alle azioni statunitensi in un contesto di domanda spot modesta e debolezza strutturale.
Storie Da Non Perdere
