پروژه The DAO از آغاز تا پایان؛ ماجرای هک DAO چه بود؟

یکی از باورنکردنی‌ترین مفاهیمی که می‌توان با موفقیت از طریق تکنولوژی بلاک چین پیاده‌سازی کرد، DAO یا سازمان مستقل غیرمتمرکز است. سازمان‌های خودگردان غیرمتمرکز، نهادهایی هستند که از طریق قراردادهای هوشمند فعالیت می‌کنند. تراکنش‌های مالی و قوانین آن بر روی یک بلاکچین کدگذاری شده‌اند و به طور موثر نیاز به یک مرجع حاکم مرکزی را از بین می‌برند و از این رو «غیرمتمرکز» و «مستقل» هستند. اما در سال ۲۰۱۶، یک هکر توانست پروژه The DAO را هک کند و حدود ۳.۶ میلیون کوین اتر را از این طریق سرقت کند؛ برای این‌که بدانید ماجرای هک DAO چه بود و چطور دست این هکر معروف رو شد، با میهن بلاکچین همراه باشید.

پروژه The DAO با چه هدفی ایجاد شد؟

پروژه The DAO قرار بود مانند یک صندوق سرمایه‌گذاری خطرپذیر برای فضای ارز دیجیتال و غیرمتمرکز عمل کند. نبود یک مرجع متمرکز، باعث کاهش هزینه‌ها شده و در تئوری، کنترل و دسترسی بیشتری را برای سرمایه گذاران فراهم می‌کند.

DAO نمونه اولیه یک سازمان مستقل غیرمتمرکز در شبکه اتریوم بود. این شرکت قصد داشت به عنوان یک صندوق سرمایه گذاری خطرپذیر غیرمتمرکز با مدیریت سرمایه‌گذاران فعالیت کند. این سازمان در آوریل ۲۰۱۶ با جمع‌آوری پول از طریق فروش توکن خود راه‌اندازی شد، که در طی ۲۸ روز توانست بیش از ۱۵۰ میلیون دلار جذب سرمایه کند و از این‌رو، به یکی از بزرگ‌ترین کمپین‌های سرمایه‌گذاری جمعی در تاریخ ارزهای دیجیتال تبدیل شد.

تاریخچه شکل‌گیری The DAO

در ابتدای ماه می ۲۰۱۶ (اردیبهشت ۹۵)، تعدادی از اعضای جامعه اتریوم شروع به کار The DAO را اعلام کردند که به عنوان Genesis DAO نیز شناخته می شد. این سازمان به‌عنوان یک قرارداد هوشمند بر روی بلاک چین اتریوم ساخته شد. چارچوب کدنویسی توسط تیم Slock.It به صورت متن باز توسعه داده شد، اما توسط اعضای انجمن اتریوم تحت نام «The DAO» مستقر شد. DAO یک دوره ایجاد داشت که طی آن هر کسی مجاز بود در ازای توکن‌های DAO در مقیاس ۱-۱۰۰، کوین‌های اتر را به یک آدرس کیف پول منحصر به فرد ارسال کند. دوره ایجاد DAO موفقیتی غیرمنتظره بود؛ زیرا توانست ۱۲.۷ میلیون اتر (به ارزش حدود ۱۵۰ میلیون دلار در آن زمان) جمع‌آوری کند که آن را به بزرگ‌ترین سرمایه جمعی تاکنون تبدیل کرد. زمانی که قیمت اتریوم ۲۰ دلار بود، کل اتریوم DAO بیش از ۲۵۰ میلیون دلار ارزش داشت.

در اصل، این پلتفرم به هر کسی که پروژه‌ای داشت، اجازه می‌داد تا ایده خود را در جامعه مطرح کند و به طور بالقوه از The DAO بودجه دریافت کند. هر کسی که توکن DAO داشت، می‌توانست در مورد طرح‌ها رای دهد و اگر پروژه‌ها به سود می‌رسیدند، افراد پاداش دریافت می‌کردند. تا می ۲۰۱۶ (اردیبهشت ۹۵)، سازمان DAO نزدیک به ۱۴ درصد از کل کوین‌های اتریوم در گردش را تا آن زمان جذب کرده بود؛ اما کدهای این نهاد خودمختار غیرمتمرکز باگ‌هایی داشت و یکی از کاربران درباره این حفره‌های امنیتی هشدار داده بود.

ماجرای هک DAO چه بود؟

با این حال، در ۱۷ ژوئن ۲۰۱۶ (۲۸ خرداد ۹۵)، یک هکر حفره‌ای در کدهای The DAO پیدا کرد که به او اجازه می‌داد از این پروژه پول خارج کند. در چند ساعت اول حمله، ۳.۶ میلیون اتریوم، معادل ۷۰ میلیون دلار در آن زمان (معادل ۱۰.۸ میلیارد دلار با قیمت اتریوم ۳۰۰۰ دلاری!) به سرقت رفت که معادل یک‌سوم بودجه سازمان بود. هنگامی که هکر آسیب مورد نظر خود را انجام داد، از حمله صرف‌نظر کرد.

در این اکسپلویت، مهاجم می‌توانست از این قرارداد هوشمند (DAO) بخواهد که اتر را چندین بار قبل از این‌که اسمارت کانترکت بتواند موجودی خود را به‌روزرسانی کند، به او تحویل دهد؛ دو مسئله اصلی این امکان را فراهم کرد: یکی این واقعیت که وقتی قرارداد هوشمند DAO ایجاد شد، کدنویسان امکان فراخوانی بازگشتی را در نظر نگرفتند و دیگری، این واقعیت که Smart Contract ابتدا اترها را ارسال می‌کرد و سپس موجودی توکن داخلی را به‌روزرسانی می‌کرد.

درک این نکته مهم است که این باگ از خود شبکه اتریوم نشات نگرفته بود؛ بلکه مربوط به اپلیکیشنی بود که بر روی اتریوم ساخته شده بود. کد نوشته شده برای The DAO چندین نقص داشت و اکسپلویت فراخوانی بازگشتی یکی از آنها بود. راه دیگر برای بررسی این وضعیت، مقایسه اتریوم با اینترنت و هر برنامه مبتنی بر شبکه اتریوم با یک وب‌سایت است. اگر سایتی کار نمی‌کند، به این معنی نیست که اینترنت کار نمی‌کند، فقط به این معناست که وب‌سایت مشکل دارد.

کامیونیتی اتریوم چطور DAO هک شده را نجات داد؟

هکر به دلایل نامعلومی تخلیه DAO را متوقف کرد، با این‌که می‌توانست به این کار ادامه دهد. کامیونیتی و تیم اتریوم به سرعت کنترل اوضاع را در دست گرفتند و چندین پیشنهاد برای مقابله با این اکسپلویت ارائه کردند. با این حال، وجوه به مدت ۲۸ روز در حسابی قرار داده شد تا هکر نتواند سرقت خود را کامل کند. برای بازپرداخت سرمایه از دست رفته، اتریوم یک هارد فورک انجام داد تا وجوه هک شده را به حسابی که در دسترس صاحبان اصلی است ارسال کند. به صاحبان توکن نرخ مبادله ۱ اتر به ۱۰۰ توکن DAO داده شد، که همان نرخ عرضه اولیه بود.

در اثر این حادثه، بنیاد اتریوم با حمایت اکثریت جامعه خود، تصمیم گرفت زنجیره را بازگرداند و تقریبا تمام وجوه دزدیده شده را بازگرداند. این کار منجر به یک هاردفورک شد که بلاک چین اتریوم را به دو زنجیره تقسیم کرد، جایی که نسخه اصلی به عنوان اتریوم کلاسیک تحت عنوان ETC جدید ادامه یافت. هاردفورک، لحظه مهمی در تاریخ اتریوم بود که این دنیا را قطبی کرده و آینده آن را به خطر انداخت.

پایان کار The DAO

جای تعجب نیست که این هک شروع پایانی برای DAO بود. بسیاری از کاربران اتریوم به این هک اعتراض کردند و استدلال کردند که هاردفورک اصول اولیه فناوری بلاک چین را نقض کرده است. اوضاع زمانی بدتر شد که در ۵ سپتامبر ۲۰۱۶ (۱۵ شهریور ۹۵)، صرافی ارز دیجیتال Poloniex توکن DAO را از لیست خود خارج کرد و کراکن (Kraken) نیز همین کار را در دسامبر ۲۰۱۶ (آذر ۹۵) انجام داد.

همه این مسائل در مقایسه با حکم کمیسیون بورس و اوراق بهادار ایالات متحده (SEC) که در ۲۵ ژوئیه ۲۰۱۷ (۶ بهمن ۹۵) منتشر شد، ناچیز است. در این گزارش آمده است:

توکن‌هایی که توسط سازمان «مجازی» معروف به «The DAO» عرضه و فروخته شدند، اوراق بهادار بوده و در نتیجه مشمول قوانین اوراق بهادار فدرال بودند. این گزارش تایید می‌کند که صادرکنندگان دفتر کل توزیع شده یا اوراق بهادار مبتنی بر فناوری بلاک چین، باید پیشنهادات و فروش این اوراق را ثبت کنند؛ مگر این‌که معافیت معتبری اعمال شود. کسانی که در عرضه اولیه‌های ثبت نشده شرکت می‌کنند نیز ممکن است مسئول نقض قوانین اوراق بهادار باشند.

به عبارت دیگر، عرضه اولیه DAO تابع همان اصول نظارتی شرکت‌هایی بود که فرآیند عرضه اولیه عمومی را طی می‌کردند. طبق گفته SEC، سازمان The DAO قوانین اوراق بهادار فدرال را به همراه تمام سرمایه‌گذاران خود نقض کرده بود.

تاثیر مداوم رشد و سقوط The DAO

اگرچه پروژه DAO از آن زمان به پایان رسیده است، تاثیر آن همچنان ادامه دارد. تیم‌های توسعه بلاک چین کنونی به‌طور مستمر نمونه DAO را به‌عنوان راهنمای خود دنبال می‌کنند تا ببینند چه کارهایی را نباید انجام دهند.

اولا، The DAO درس ارزشمندی در مورد اهمیت ایجاد پلتفرم‌های بلاکچینی ایمن به ما می‌دهد. هک DAO به دلیل مشکل وابسته به بلاک چین اتریوم نبود؛ علت آن یک حفره کدنویسی بود که توسط یک هکر باهوش مورد اکسپلویت قرار گرفت. اگر کد به درستی نوشته شده بود، از هک جلوگیری می‌شد.

ثانیا، حکم SEC در مورد The DAO استارت‌آپ‌های بلاک چین را تشویق کرده است تا راه‌هایی برای اجتناب از ثبت اوراق بهادار و مقررات فدرال بیابند. یکی از راه‌هایی که شرکت‌ها این کار را انجام می‌دهند، استفاده از روش SAFT است؛ اگر توکن‌ها در یک پلتفرم بلاک چین ارزش سودگرایانه قانونی داشته باشند، بخشی از تست Howey را نقض می‌کنند و بنابراین نمی‌توانند به عنوان اوراق بهادار فهرست شوند یا توسط SEC تنظیم شوند. بدون DAO، این درس‌ها را نمی‌توانستیم بیاموزیم.

هکر ناشناس DAO کیست؟

لورا شین (Laura Shin)، روزنامه‌نگار ارزهای دیجیتال فوربس ادعا می‌کند که هکر بدنام پشت قضیه هک The DAO را در سال ۲۰۱۶ شناسایی کرده است؛ او به توبی هونیش (Toby Hoenisch)، برنامه‌نویس اتریشی ۳۶ ساله و یکی از بنیان‌گذاران و مدیر عامل TenX اشاره می‌کند.

گفته می‌شود که هونیش از سرویس ترکیبی CoinJoin کیف پول واسابی (Wasabi Wallet) برای پنهان کردن منبع وجوه استفاده کرده است. Chainalysis تایید کرد که توانسته است این وجوه را جداسازی کرده و آنها را در چهار صرافی ردیابی کند.

لورا شین، مهندس اتریشی و یکی از بنیان‌گذاران TenX یعنی توبی هونیش را عامل احتمالی یکی از بزرگ ترین حوادث تاریخ اتریوم یعنی هک DAO معرفی کرده است. گفته می‌شود که هونیش این ادعاها را رد کرده است.

توبی هونیش کیست؟ آیا او هکر DAO بوده است؟

تحقیقات جدید منتشر شده توسط لورا شین، این روزنامه‌نگار ارزهای دیجیتال ادعا می کند که هکر مسئول حمله DAO به اتریوم در سال ۲۰۱۶ را شناسایی کرده است. تحقیقات او به توبی هونیش (Toby Hoenisch)، یکی از بنیان‌گذاران و مدیر عامل TenX اشاره می‌کند، که یک شرکت شکست‌خورده کارت نقدی رمزنگاری است که تقریبا ۸۰ میلیون دلار در عرضه اولیه کوین (ICO) در سال ۲۰۱۷ جمع آوری کرد. گزارش شین نشان می‌دهد که ارزش توکن‌های این پروژه (TenX) با نام PAY، در آن زمان به ۵۳۵ میلیون دلار رسید و اکنون در زمان نگارش این مقاله، ارزش این رمزارزها به ۱۰ میلیون دلار سقوط کرده است.

پس از ارائه شواهدی مبنی بر شناسایی او به‌عنوان هکر The DAO، هانیش ادعاهای شین را رد کرد. او در ایمیلی به فوربس گفته است:

اظهارات و نتیجه‌گیری شما واقعا نادرست است.

او همچنین گفت که مدارک متقابلی برای مخالفت با این ادعاها ارائه می‌کند، اما ظاهرا هرگز این وعده را دنبال نکرد.

شین اکنون بر این باور است که عاملی را که تقریبا اتریوم را نابود کرده، با عنوان هونیش شناسایی کرده است که تقریبا در تمام نمایه‌های رسانه‌های اجتماعی خود از آیدی [email protected] استفاده می‌کند. پس از مواجهه او با شواهد، هونیش این ادعاها را رد کرد و کل فید توییتر خود را حذف کرد و تنها یک پست رمزآلود از ۹ اکتبر ۲۰۲۱ (۱۷ مهر ۱۴۰۰) بر جای گذاشت که می‌گفت: “پیش به سوی ماستودون.” این توییت احتمالا اشاره‌ای به شبکه اجتماعی متن باز و غیرمتمرکزی به همین نام بود.

چه شواهدی وجود دارد که هکر بودن توبی هونیش را اثبات کند؟

شین برای حمایت یافته‌های خود، به چندین شاهد ضمنی در مقاله اشاره کرد، از جمله داده‌های زنجیره‌ای که نشان می‌داد مهاجم، ۵۰ بیت کوین را به یک کیف پول غیرقانونی خصوصی Wasabi منتقل کرده و سپس آن‌ها را با ویژگی ترکیبی کوین جوین بومی خود ترکیب کرده تا رد آنها را مخفی کند. Chainalysis نیز تایید می‌کند که از CoinJoin Mixer واسابی استفاده شده است.

شرکت تجزیه و تحلیل بلاک چین Chainalysis با استفاده از قابلیتی که قبلا فاش نشده بود، توانست تراکنش‌های Wasabi را آشکار کرده و خروجی‌های ترکیبی را در چهار صرافی ردیابی کند؛ سپس یکی از کارمندان یکی از صرافی‌ها تایید کرد که وجوه آلوده با پرایوسی کوین Grin مبادله شده و به گره غیرحضانتی Grin با نام «grin.toby.ai» منتقل شده است. آدرس IP آن نود همچنین میزبان گره‌های لایتنینگ بیت کوین «ln.toby.ai» و «lnd.ln.toby.ai» بود و گره دیگری در همان آدرس، «TenX» نام داشت.

Chainalysis بدون به اشتراک گذاشتن جزئیات فنی، اکنون تایید کرده است که می‌تواند تراکنش‌های بیت‌کوین را که با سرویس واسابی ترکیب شده‌اند، «آشکار» یا بی‌نام کند. این تیم در توییتی نوشت:

این نمونه دیگری از شواهدی است که برای همیشه در بلاک چین حفظ شده است. تایید می‌کنیم که علیرغم تلاش مهاجم برای پوشش دادن مسیرهای خود با میکسر، به ردیابی وجوه کمک کردیم.

نقش میکسرها در کمک به ردیابی سرقت از DAO

کریپتومیکسرها یا تامبلرها خدماتی هستند که برای مبهم کردن تاریخچه تراکنش‌های بلاک چین استفاده می‌شوند. به طور کلی، آنها با تقسیم ورودی تراکنش‌ها، تجزیه آنها به خروجی‌های کوچک‌تر و مخلوط کردن وجوه بسیاری از کاربران تا زمانی که خروجی‌ها را نتوان تا صاحبان اصلیشان ردیابی کرد، کار می‌کنند. در سیستم‌های بلاک چین عمومی و شفاف مانند بیت کوین، میکسرهایی مانند کوین جوین  واسابی، تنها و اصلی‌ترین راه‌هایی هستند که کاربران می‌توانند حریم خصوصی خود را در زنجیره حفظ کنند.

nopara73 خالق مستعار میکسر واسابی، در توییت دیگری Chanalysis را تگ کرد تا بپرسد: «ادعای فنی دقیق چیست و چگونه می‌توانیم آن را تایید کنیم؟” Chanalysis پاسخی نداده و جزئیات بیشتری را به اشتراک نگذاشته و واسابی هم هیچ نظر رسمی در مورد به خطر افتادن بالقوه سرویس ترکیبی CoinJoin خود ارائه نکرده است.

ایرادهایی که به The DAO وارد است

لورا شین که نتوانسته پاسخی از هونیش دریافت کند، انگیزه بالقوه‌ای را شکل داده است. این برنامه‌نویس نقاط ضعف زیادی را در کد DAO شناسایی کرده بود؛ اما به نظر می‌رسد که هشدارهای او توسط بنیان‌گذاران پروژه جدی گرفته نشده است. او نوشت:

این داستان همچنین حکایتی از مغزهای بزرگ و افراد بزرگی است که دنیای ارز دیجیتال را اداره می‌کنند و ماجرای هکری است که صرفا با گفتن این‌که او همان کاری را انجام داده که کد معیوب وارد شده در DAO به او اجازه انجامش را داده است، اعمال خود را توجیه کرده است.

به طور کلی در سال ۲۰۱۶، ۳۱ درصد از اترهای موجود در DAO نابود شد و اخبار مربوط به سرقت منجر به کاهش ۳۳ درصد ارزش این ارز دیجیتال در یک روز شد و قیمت اتریوم را به ۱۴ دلار رساند. با توجه به این‌که اتریوم در آن زمان به زحمت یک سال از عمرش می‌گذشت، می‌توانست برای این پروژه مهلک باشد.

از این نظر که چطور می‌توان به این وضعیت رسید، شین به آسیب‌پذیری در قرارداد هوشمند اشاره می‌کند؛ به این معنی که وجوه مربوط به برداشت، ابتدا ارسال می‌شود و موجودی آنها بعدا به‌روزرسانی می‌شود. با اطمینان از آپدیت نشدن قرارداد، این امر عملا به همان رمزارز اجازه می‌دهد بارها و بارها برداشته شود.

مثل این است که مهاجم در حساب بانکی خود ۱۰۱ دلار داشت، ۱۰۰ دلار را از بانک برداشت کرد، سپس نگذاشت که عابر بانک موجودی را به ۱ دلار به‌روزرسانی کند و دوباره ۱۰۰ دلار دیگر درخواست کرد و آن را دریافت کرد.

کلام آخر

در این مقاله خواندیم که پروژه The DAO به عنوان صندوق سرمایه گذاری خطرپذیر با هدف غیرمتمرکز کردن و کاهش هزینه‌ها برای سرمایه‌گذاران، در سال ۲۰۱۶ به وجود آمد. به دلیل ایراد کدنویسی در قرارداد هوشمند این سازمان، هکری توانست به سادگی مبلغ قابل توجهی اتر را سرقت کند. لورا شین، روزنامه‌نگار ارز دیجیتال، با پیدا کردن شواهدی توبی هونیش را به عنوان هکر DAO شناسایی کرد. نظر شما درباره هک DAO چیست؟ آیا سازمان‌های مستقل غیرمتمرکز برای سرمایه‌گذاری امن هستند؟