80-Millionen-Dollar-Hack zeigt die Gefahren von programmierbarem Geld

Geld wird über Software und das Internet immer einfacher zu kontrollieren. Ein spektakulärer Hack gegen einen Investmentfonds, der über 130 Millionen US-Dollar an Vermögenswerten in die Kontrolle von Software investiert hat, zeigt, dass das Konzept erhebliche Nachteile hat.

Die Decentralized Autonomous Organization – oder DAO – wurde auf einem digitalen Währungssystem namens Ethereum aufgebaut und war zum größten Crowdfunding-Projekt der Geschichte geworden. Die Software der DAO wurde entwickelt, um die Finanzierung von Projekten basierend auf der Abstimmung der Personen, die sie finanziert hatten, zu verteilen. Es wurde als Beispiel für die unglaublichen neuen Dinge hochgehalten, die durch Ethereum möglich gemacht wurden, das von Bitcoin inspiriert war, aber Software ermöglichen sollte, Geld zu kontrollieren.

Am frühen Freitag begann jemand, einen Fehler im Design von Ethereum auszunutzen mehr als 3,6 Millionen Ether aus dem DAO extrahieren— ein Betrag im Wert von rund 80 Millionen US-Dollar nach dem Wert der Währung unmittelbar vor dem Angriff. (Der Preis ist seitdem deutlich gefallen.)



Die DAO wurde nicht nur wegen ihrer überraschenden Größe angekündigt, sondern auch als Beispiel für das, wofür Ethereum geschaffen wurde – neue Finanzformen auf der Grundlage von Software, die in der Lage ist, digitale Währungen zu kontrollieren. Plötzlich sieht Ethereum und die Idee, komplexe Software zur Kontrolle des Geldes zu bringen, nicht mehr so ​​schlau aus.

Jede Software enthält Fehler. Und bei herkömmlichen Finanzinstituten wird mitunter digital Geld gestohlen, zum Beispiel in der jüngsten Angriffe auf das SWIFT-System für grenzüberschreitende Überweisungen verwendet.

Aber wenn Software befugt ist, Gelder direkt zu kontrollieren, wie es Ethereum zulässt, wird die Sicherheit wichtiger.

Leider scheinen die Designer von Ethereum und der DAO nicht viel auf Standardtechniken zurückgegriffen zu haben, die Programmierer und Informatiker entwickelt haben, um das Risiko von Sicherheitslücken einzudämmen. Der Code des DAO wurde beispielsweise nicht von einer Dokumentation begleitet, die das Design seiner verschiedenen Teile erklärt. Das hätte jemandem helfen können, den im DAO-Überfall verwendeten Fehler früher zu erkennen und zu beheben, vielleicht bevor er veröffentlicht wurde.

Und dem Design und der Implementierung der Programmiersprache von Ethereum fehlen Funktionen, die in Frameworks zum Programmieren kritischer Systeme standardmäßig verwendet werden. laut einer Obduktion über den Hack , von Emin Gün Sirer, außerordentlicher Professor an der Cornell University. Ein Umdenken sei angesagt, schrieb er.

Es gab viele Warnungen, dass das Design von Ethereum vor dem heutigen Hack Sicherheitsprobleme hatte. Der Fehler, der gegen die DAO verwendet wurde, war Anfang dieses Monats markiert von Peter Vessenes, einem Bitcoin-Unternehmer, der zuvor davor gewarnt hatte, dass Software auf Ethereum aufbauen würde Süßigkeiten für Hacker .

In einem Papier 2014 , kamen Forscher der University of Maryland, die Studenten gebeten hatten, Dinge mit Ethereum zu bauen, zu dem Schluss, dass mehrere subtile Details über die Implementierung von Ethereum die intelligente Vertragsprogrammierung fehleranfällig machen.

Und im Mai forderten Sirer und zwei in der Kryptowährungsgemeinschaft aktive Personen, darunter ein Forscher des Ethereum-Projekts, dies DAO effektiv eingefroren werden bis Sicherheitslücken in seinen Abstimmungsmechanismen behoben wurden.

Im Zuge des Angriffs auf die DAO ist der Wert von Ether stark gesunken. Es ist nicht möglich, den gegen die DAO ausgenutzten Fehler einfach durch ein Software-Update zu beheben, aber es wird versucht, weitere Angriffe mit Tricks wie zu verhindern verklemmen Das System von Ethereum zur Verarbeitung von Transaktionen.

Eine echte Lösung für die Probleme von Ethereum wird lange dauern und vielleicht eine komplette Neugestaltung eines Großteils seiner Technologie erfordern.

Auch der psychologische Schaden des DAO-Hacks wird einige Zeit in Anspruch nehmen. Bei richtiger Anwendung könnte Software, die Geld kontrollieren kann, viele neue Geschäftsmöglichkeiten eröffnen und Finanzdienstleistungen auf Menschen ausdehnen, die sie derzeit nicht erhalten können. Aber die Folgen von Sicherheitsmängeln in einer solchen Software zu sehen, könnte die Investitionen abschrecken, die erforderlich sind, um diese Idee zu verwirklichen.

verbergen