В субботу началась работа проекта DAO — уникальной инвестиционной организации, которая основана на блокчейне и так называемых умных контрактах. Это произошло несмотря на критику со стороны экспертов, обнаруживших в её правилах массу недостатков, которыми могут воспользоваться мошенники.
По сути дела, DAO представляет собой автоматический инвестиционный фонд. Как именно он действует, определяют не его сотрудники и менеджеры, а программный код. Исходники DAO опубликованы на Github, а все операции выполняются без участия людей и полностью прозрачны — информация о них общедоступна и может быть перепроверена каждым.
В этом смысле DAO можно сравнить с Bitcoin. Правила эмиссии, обмена и все прочие аспекты работы децентрализованной цифровой валюты прописаны в её протоколе. Их невозможно нарушить и очень трудно изменить. Это означает, что никто, даже государство, не может «печатать» Bitcoin или вмешиваться в её работу.
Для сравнения с криптовалютой есть ещё один повод. DAO использует Ethereum — технологию, которая построена на тех же принципах, что и Bitcoin, но лучше подходит для реализации умных контрактов. Что такое умные контракты, зачем они нужны и как работают, можно узнать из статьи «Электронная бюрократия», которую «Хакер» опубликовал пару месяцев назад.
Предполагается, что DAO станет криптовалютным аналогом Kickstarter. Желающие будут выставлять свои проекты на суд публики, а люди, купившие токены DAO, голосовать «за» или «против». Проекты, которые приглянулись сообществу, получат финансирование, а часть их прибыли поделят обладатели токенов ("инвесторы"). И голосование, и финансирование, и рапределение прибыли происходит автоматически.
Распродажа токенов шла почти весь май и принесла больше 150 миллионов долларов. Это сделало DAO крупнейшим краудфандинговым проектом в истории. Открытие наметили на 28 мая.
За считанные часы до назначенного срока несколько экспертов в области технологий, связанных с блокчейном, опубликовали статью, которая предупреждает о многочисленных изъянах в правилах DAO. В частности, они обнаружили, что некоторые правила DAO делают голоса «за» более выгодными, чем голоса «против», и описали несколько сценариев эксплуатации DAO в мошеннических целях. Вот некоторые из них.
Атака за счёт слежки. Обладатели токенов, решившие отказаться от участия в работе DAO, получают вложенные средства через общий блокчейн Ethereum. Авторы работы обнаружили, что злоумышленник может вмешаться в этот процесс и помешать выводу средств.
Атака на стоимость токена. Следя за блокчейном, можно узнать об уходе инвесторов из DAO. Злоумышленники могут воспользоваться этим, чтобы посеять панику среди участников проекта, сбить цену токенов и скупить их по дешёвке.
Атака за счёт extraBalance. Ещё одна атака основана на взвинчивании стоимости токенов. Злоумышленник, создавший мошеннический проект и тут же поддержавший его множеством голосов «за», может создать ситуации, в которой голосовать «против» невыгодно, и даже вызвать бегство инвесторов.
Атака разделением большинства. Исследователи заметили, что меры, принимаемые DAO для борьбы с манипуляцией голосованиями, эффективны лишь в том случае, когда злоумышленник действует в одиночку. Если у атаки несколько участников, защита не срабатывает.
Атака связанными руками. Участники голосования лишаются доступа к использованным средствам до тех пор, пока не будет вынесено решение. Если в этот момент злоумышленник создаст конкурирующий проект с более коротким сроком голосования, многие заинтересованные стороны не смогут отреагировать на него.
Авторы статьи призвали отложить запуск проекта, чтобы исправить правила. Задержка нужна из-за того, что после открытия вмешаться в работу DAO будет куда сложнее. Представители DAO согласились с тем, что правила не идеальны, но отказались менять свои планы.
