Проект DAO, уникальный инвестиционный проект, построенный на базе блокчейна Ethereum, подвергся крупномасштабной атаке. В результате эксплуатации ошибки в коде DAO со счетов проекта утекли (и продолжают утекать) десятки миллионов долларов. Стоимость валюты Ethereum стремительно падает, пользователи бегут, и никто не понимает, что делать.
Проект DAO открылся в конце мая и представляет собой полностью автоматический инвестиционный фонд — что-то вроде криптовалютной версии Kickstarter. Желающие могут выставлять свои предложения на суд публики. Те из них, которым удалось найи поддержку сообщества, получат финансирование, а часть их прибыли поделят все «инвесторы». И голосование, и финансирование, и распределение прибыли происходит автоматически. Сотрудники или менеджеры DAO не могут повлиять на эти процессы.
DAO построен на базе Ethereum — технологии, использующей те же принципы, что и Bitcoin, но лучше поддерживающей так называемые умные контракты — компьютерные программы, которые описывают условия и исход сделки. И проверка условий, и исполнение обязательств происходит без участия человека. В Ethereum встроен полноценный язык программирования, предназначенный специально для создания умных контрактов. Правила DAO описаны именно на нём.
Неизвестный злоумышленник использовал уязвимость в функции splitDAO, предназначенной для создания дочерних версий проекта. Эта функция является частью кода DAO. Уязвимость позволяет вызывать splitDAO рекурсивно в процессе каждого отделения и таким образом многократно получать «эфиры» (валюту Ethereum) в течение единственной транзакции,
В течение нескольких часов на адрес https://etherchain.org/account/0x304a554a310c7e546dfe434669c62820b7d83490 утекли средства, эквивалентные десяткам миллионов долларов. В 15:00 по московскому времени сообщали о пропаже примерно 53 миллионов долларов, но поскольку атака продолжается, а курс «эфира» падает, итоговая цифра, скорее всего, окажется иной.
Строго говоря, по той логике, в которой оперирует Ethereum, атака не является преступлением. Правила DAO — это код, и непреднамеренные уязвимости в них — это такая же часть контракта, как и сознательно описанные условия. Действия, которые выполняет злоумышленник, предусмотрены правилами DAO. В противном случае, они были бы невозможны.
Проблема заключается в той самой неумолимости умных контрактов, которую обычно считают их плюсом. Обычные контракты, содержащие ошибки или лазейки, можно оспорить, изменить или исправить — на этом кормятся десятки тысяч юристов. Вмешаться в исполнение умного контракта невозможно, равно как и повернуть вспять уже проведённые транзакции — это гарантирует блокчейн Ethereum.
Атака повергла сообщество DAO и Ethereum в замешательство. Многие спешно избавляются от токенов проекта и накопленного «эфира». Курс криптовалюты стремительно падает. За считанные часы «эфир» утратил треть своего веса.
Основатели DAO призвали сторонников начать DDOS-атаку на Ethereum, чтобы дать им время на поиск решения, и опубликовали код, который поможет перегрузить сеть криптовалюты. Создатель Ethereum Виталик Бутерин через Reddit попросил обменные сервисы приостановить любую деятельность, связанную с Ethereum и DAO.
Спустя пару часов Бутерин опубликовал в блоге Ethereum предложение провести «мягкое ветвление» (soft fork) криптовалюты, в результате которого будут отменены любые транзакции, которые привели к утечке средств DAO после блока 1760000. Одновременно будет предотвращён вывод средств, полученных устроителем атаки в течение 27 дней, необходимых для завершения процесса создания дочернего DAO. Затем последует «жёсткое ветвление» (hard fork), которое вернёт пострадавшим утекшие средства.
Бутерин рекомендовал майнерам Ethereum возобновить работу в обычном режиме и дожидаться кода «мягкого ветвления», после чего, если они поддерживают это предложение, исполнить его. Обладателям токенов DAO и «эфира» создатель Ethereum советует сохранять спокойствие и не делать резких движений.
Наблюдатели отмечают, что атака уже нанесла непоправимый ущерб репутации DAO. Даже в том случае, если утечку удастся остановить, а то и повернуть вспять, вряд ли проекту снова доверят десятки миллионов долларов. Инцидент может остудить интерес и к идее умных контрактов. Кроме того, нельзя недооценивать угрозу для самого Ethereum. Масштабы и важность DAO для экосистемы этой криптовалюты слишком значительны, чтобы гибель этого проекта прошла бесследно.
Даже удачный исход ветвления, в пользу которого выступил Бутерин, может оказаться пирровой победой. Он докажет, что криптовалюта не настолько децентрализована и неконтролируема, как считается. В её работу можно вмешаться и повернуть законные сделки вспять. Возможно, это ещё хуже, чем потеря 50 миллионов.
Проект DAO, уникальный инвестиционный проект, построенный на базе блокчейна Ethereum, подвергся крупномасштабной атаке. В результате эксплуатации ошибки в коде DAO со счетов проекта утекли (и продолжают утекать) десятки миллионов долларов. Стоимость валюты Ethereum стремительно падает, пользователи бегут, и никто не понимает, что делать." />
Российский интернет столкнулся не с очередной волной DDoS, а с генеральной репетицией чего-то куда более серьезного. Специалисты StormWall сообщили о серии необычных атак, мощность одной из которых достигла 2,56 Тбит/с при интенсивности 1 млрд пакетов в секунду.
По мнению экспертов, за атаками стоят не случайные хакеры, а хорошо подготовленная команда, которая тестирует новый ботнет или инструменты для будущих масштабных операций.
Главная особенность кампании — атакующие не ограничиваются классическим UDP-флудом. Они одновременно имитируют легитимный пользовательский трафик, создают полноценные TCP-соединения и на лету меняют параметры пакетов, пытаясь подобрать комбинации, способные обойти защиту.
В StormWall отмечают, что злоумышленники быстро адаптируются к действиям защитников. После того как специалисты заблокировали их мониторинговые проверки, атакующие оперативно изменили тактику и продолжили атаки уже по новым сценариям.
Еще одна странность — отсутствие привычной цели. Хакеры не требуют выкуп и не заявляют политических мотивов. Под удар попадают самые разные организации: игровые проекты, хостинг-провайдеры, телеком-операторы и корпоративные сети.
По словам CEO и сооснователя StormWall Рамиля Хантимирова, происходящее больше напоминает стресс-тестирование инфраструктуры перед более серьезной кампанией.
Заодно изменилась и география ботнета. Если раньше основная активность фиксировалась из Бразилии и Индии, то теперь источники трафика обнаружены в России, США, Германии, Нидерландах, Ираке, Азербайджане, Казахстане, Мексике и ряде других стран. По оценкам аналитиков, ботнет может объединять самые разные устройства — от IoT-камер до серверов и сетевого оборудования.
В StormWall предупреждают, что нынешняя волна может быть лишь началом. Если злоумышленники доведут технологию имитации легитимного трафика до совершенства, отличить DDoS-атаку от обычных пользователей станет значительно сложнее, а эффективность традиционных методов фильтрации заметно снизится.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
