یکی از باورنکردنیترین مفاهیمی که میتوان با موفقیت از طریق تکنولوژی بلاک چین پیادهسازی کرد، DAO یا سازمان مستقل غیرمتمرکز است. سازمانهای خودگردان غیرمتمرکز، نهادهایی هستند که از طریق قراردادهای هوشمند فعالیت میکنند. تراکنشهای مالی و قوانین آن بر روی یک بلاکچین کدگذاری شدهاند و به طور موثر نیاز به یک مرجع حاکم مرکزی را از بین میبرند و از این رو «غیرمتمرکز» و «مستقل» هستند. اما در سال ۲۰۱۶، یک هکر توانست پروژه The DAO را هک کند و حدود ۳.۶ میلیون کوین اتر را از این طریق سرقت کند؛ برای اینکه بدانید ماجرای هک DAO چه بود و چطور دست این هکر معروف رو شد، با میهن بلاکچین همراه باشید.
پروژه The DAO با چه هدفی ایجاد شد؟
پروژه The DAO قرار بود مانند یک صندوق سرمایهگذاری خطرپذیر برای فضای ارز دیجیتال و غیرمتمرکز عمل کند. نبود یک مرجع متمرکز، باعث کاهش هزینهها شده و در تئوری، کنترل و دسترسی بیشتری را برای سرمایه گذاران فراهم میکند.
DAO نمونه اولیه یک سازمان مستقل غیرمتمرکز در شبکه اتریوم بود. این شرکت قصد داشت به عنوان یک صندوق سرمایه گذاری خطرپذیر غیرمتمرکز با مدیریت سرمایهگذاران فعالیت کند. این سازمان در آوریل ۲۰۱۶ با جمعآوری پول از طریق فروش توکن خود راهاندازی شد، که در طی ۲۸ روز توانست بیش از ۱۵۰ میلیون دلار جذب سرمایه کند و از اینرو، به یکی از بزرگترین کمپینهای سرمایهگذاری جمعی در تاریخ ارزهای دیجیتال تبدیل شد.
تاریخچه شکلگیری The DAO
در ابتدای ماه می ۲۰۱۶ (اردیبهشت ۹۵)، تعدادی از اعضای جامعه اتریوم شروع به کار The DAO را اعلام کردند که به عنوان Genesis DAO نیز شناخته می شد. این سازمان بهعنوان یک قرارداد هوشمند بر روی بلاک چین اتریوم ساخته شد. چارچوب کدنویسی توسط تیم Slock.It به صورت متن باز توسعه داده شد، اما توسط اعضای انجمن اتریوم تحت نام «The DAO» مستقر شد. DAO یک دوره ایجاد داشت که طی آن هر کسی مجاز بود در ازای توکنهای DAO در مقیاس ۱-۱۰۰، کوینهای اتر را به یک آدرس کیف پول منحصر به فرد ارسال کند. دوره ایجاد DAO موفقیتی غیرمنتظره بود؛ زیرا توانست ۱۲.۷ میلیون اتر (به ارزش حدود ۱۵۰ میلیون دلار در آن زمان) جمعآوری کند که آن را به بزرگترین سرمایه جمعی تاکنون تبدیل کرد. زمانی که قیمت اتریوم ۲۰ دلار بود، کل اتریوم DAO بیش از ۲۵۰ میلیون دلار ارزش داشت.
در اصل، این پلتفرم به هر کسی که پروژهای داشت، اجازه میداد تا ایده خود را در جامعه مطرح کند و به طور بالقوه از The DAO بودجه دریافت کند. هر کسی که توکن DAO داشت، میتوانست در مورد طرحها رای دهد و اگر پروژهها به سود میرسیدند، افراد پاداش دریافت میکردند. تا می ۲۰۱۶ (اردیبهشت ۹۵)، سازمان DAO نزدیک به ۱۴ درصد از کل کوینهای اتریوم در گردش را تا آن زمان جذب کرده بود؛ اما کدهای این نهاد خودمختار غیرمتمرکز باگهایی داشت و یکی از کاربران درباره این حفرههای امنیتی هشدار داده بود.
ماجرای هک DAO چه بود؟
با این حال، در ۱۷ ژوئن ۲۰۱۶ (۲۸ خرداد ۹۵)، یک هکر حفرهای در کدهای The DAO پیدا کرد که به او اجازه میداد از این پروژه پول خارج کند. در چند ساعت اول حمله، ۳.۶ میلیون اتریوم، معادل ۷۰ میلیون دلار در آن زمان (معادل ۱۰.۸ میلیارد دلار با قیمت اتریوم ۳۰۰۰ دلاری!) به سرقت رفت که معادل یکسوم بودجه سازمان بود. هنگامی که هکر آسیب مورد نظر خود را انجام داد، از حمله صرفنظر کرد.
در این اکسپلویت، مهاجم میتوانست از این قرارداد هوشمند (DAO) بخواهد که اتر را چندین بار قبل از اینکه اسمارت کانترکت بتواند موجودی خود را بهروزرسانی کند، به او تحویل دهد؛ دو مسئله اصلی این امکان را فراهم کرد: یکی این واقعیت که وقتی قرارداد هوشمند DAO ایجاد شد، کدنویسان امکان فراخوانی بازگشتی را در نظر نگرفتند و دیگری، این واقعیت که Smart Contract ابتدا اترها را ارسال میکرد و سپس موجودی توکن داخلی را بهروزرسانی میکرد.
درک این نکته مهم است که این باگ از خود شبکه اتریوم نشات نگرفته بود؛ بلکه مربوط به اپلیکیشنی بود که بر روی اتریوم ساخته شده بود. کد نوشته شده برای The DAO چندین نقص داشت و اکسپلویت فراخوانی بازگشتی یکی از آنها بود. راه دیگر برای بررسی این وضعیت، مقایسه اتریوم با اینترنت و هر برنامه مبتنی بر شبکه اتریوم با یک وبسایت است. اگر سایتی کار نمیکند، به این معنی نیست که اینترنت کار نمیکند، فقط به این معناست که وبسایت مشکل دارد.
کامیونیتی اتریوم چطور DAO هک شده را نجات داد؟
هکر به دلایل نامعلومی تخلیه DAO را متوقف کرد، با اینکه میتوانست به این کار ادامه دهد. کامیونیتی و تیم اتریوم به سرعت کنترل اوضاع را در دست گرفتند و چندین پیشنهاد برای مقابله با این اکسپلویت ارائه کردند. با این حال، وجوه به مدت ۲۸ روز در حسابی قرار داده شد تا هکر نتواند سرقت خود را کامل کند. برای بازپرداخت سرمایه از دست رفته، اتریوم یک هارد فورک انجام داد تا وجوه هک شده را به حسابی که در دسترس صاحبان اصلی است ارسال کند. به صاحبان توکن نرخ مبادله ۱ اتر به ۱۰۰ توکن DAO داده شد، که همان نرخ عرضه اولیه بود.
در اثر این حادثه، بنیاد اتریوم با حمایت اکثریت جامعه خود، تصمیم گرفت زنجیره را بازگرداند و تقریبا تمام وجوه دزدیده شده را بازگرداند. این کار منجر به یک هاردفورک شد که بلاک چین اتریوم را به دو زنجیره تقسیم کرد، جایی که نسخه اصلی به عنوان اتریوم کلاسیک تحت عنوان ETC جدید ادامه یافت. هاردفورک، لحظه مهمی در تاریخ اتریوم بود که این دنیا را قطبی کرده و آینده آن را به خطر انداخت.
پایان کار The DAO
جای تعجب نیست که این هک شروع پایانی برای DAO بود. بسیاری از کاربران اتریوم به این هک اعتراض کردند و استدلال کردند که هاردفورک اصول اولیه فناوری بلاک چین را نقض کرده است. اوضاع زمانی بدتر شد که در ۵ سپتامبر ۲۰۱۶ (۱۵ شهریور ۹۵)، صرافی ارز دیجیتال Poloniex توکن DAO را از لیست خود خارج کرد و کراکن (Kraken) نیز همین کار را در دسامبر ۲۰۱۶ (آذر ۹۵) انجام داد.
همه این مسائل در مقایسه با حکم کمیسیون بورس و اوراق بهادار ایالات متحده (SEC) که در ۲۵ ژوئیه ۲۰۱۷ (۶ بهمن ۹۵) منتشر شد، ناچیز است. در این گزارش آمده است:
توکنهایی که توسط سازمان «مجازی» معروف به «The DAO» عرضه و فروخته شدند، اوراق بهادار بوده و در نتیجه مشمول قوانین اوراق بهادار فدرال بودند. این گزارش تایید میکند که صادرکنندگان دفتر کل توزیع شده یا اوراق بهادار مبتنی بر فناوری بلاک چین، باید پیشنهادات و فروش این اوراق را ثبت کنند؛ مگر اینکه معافیت معتبری اعمال شود. کسانی که در عرضه اولیههای ثبت نشده شرکت میکنند نیز ممکن است مسئول نقض قوانین اوراق بهادار باشند.
به عبارت دیگر، عرضه اولیه DAO تابع همان اصول نظارتی شرکتهایی بود که فرآیند عرضه اولیه عمومی را طی میکردند. طبق گفته SEC، سازمان The DAO قوانین اوراق بهادار فدرال را به همراه تمام سرمایهگذاران خود نقض کرده بود.
تاثیر مداوم رشد و سقوط The DAO
اگرچه پروژه DAO از آن زمان به پایان رسیده است، تاثیر آن همچنان ادامه دارد. تیمهای توسعه بلاک چین کنونی بهطور مستمر نمونه DAO را بهعنوان راهنمای خود دنبال میکنند تا ببینند چه کارهایی را نباید انجام دهند.
اولا، The DAO درس ارزشمندی در مورد اهمیت ایجاد پلتفرمهای بلاکچینی ایمن به ما میدهد. هک DAO به دلیل مشکل وابسته به بلاک چین اتریوم نبود؛ علت آن یک حفره کدنویسی بود که توسط یک هکر باهوش مورد اکسپلویت قرار گرفت. اگر کد به درستی نوشته شده بود، از هک جلوگیری میشد.
ثانیا، حکم SEC در مورد The DAO استارتآپهای بلاک چین را تشویق کرده است تا راههایی برای اجتناب از ثبت اوراق بهادار و مقررات فدرال بیابند. یکی از راههایی که شرکتها این کار را انجام میدهند، استفاده از روش SAFT است؛ اگر توکنها در یک پلتفرم بلاک چین ارزش سودگرایانه قانونی داشته باشند، بخشی از تست Howey را نقض میکنند و بنابراین نمیتوانند به عنوان اوراق بهادار فهرست شوند یا توسط SEC تنظیم شوند. بدون DAO، این درسها را نمیتوانستیم بیاموزیم.
هکر ناشناس DAO کیست؟
لورا شین (Laura Shin)، روزنامهنگار ارزهای دیجیتال فوربس ادعا میکند که هکر بدنام پشت قضیه هک The DAO را در سال ۲۰۱۶ شناسایی کرده است؛ او به توبی هونیش (Toby Hoenisch)، برنامهنویس اتریشی ۳۶ ساله و یکی از بنیانگذاران و مدیر عامل TenX اشاره میکند.
گفته میشود که هونیش از سرویس ترکیبی CoinJoin کیف پول واسابی (Wasabi Wallet) برای پنهان کردن منبع وجوه استفاده کرده است. Chainalysis تایید کرد که توانسته است این وجوه را جداسازی کرده و آنها را در چهار صرافی ردیابی کند.
لورا شین، مهندس اتریشی و یکی از بنیانگذاران TenX یعنی توبی هونیش را عامل احتمالی یکی از بزرگ ترین حوادث تاریخ اتریوم یعنی هک DAO معرفی کرده است. گفته میشود که هونیش این ادعاها را رد کرده است.
توبی هونیش کیست؟ آیا او هکر DAO بوده است؟
تحقیقات جدید منتشر شده توسط لورا شین، این روزنامهنگار ارزهای دیجیتال ادعا می کند که هکر مسئول حمله DAO به اتریوم در سال ۲۰۱۶ را شناسایی کرده است. تحقیقات او به توبی هونیش (Toby Hoenisch)، یکی از بنیانگذاران و مدیر عامل TenX اشاره میکند، که یک شرکت شکستخورده کارت نقدی رمزنگاری است که تقریبا ۸۰ میلیون دلار در عرضه اولیه کوین (ICO) در سال ۲۰۱۷ جمع آوری کرد. گزارش شین نشان میدهد که ارزش توکنهای این پروژه (TenX) با نام PAY، در آن زمان به ۵۳۵ میلیون دلار رسید و اکنون در زمان نگارش این مقاله، ارزش این رمزارزها به ۱۰ میلیون دلار سقوط کرده است.
پس از ارائه شواهدی مبنی بر شناسایی او بهعنوان هکر The DAO، هانیش ادعاهای شین را رد کرد. او در ایمیلی به فوربس گفته است:
اظهارات و نتیجهگیری شما واقعا نادرست است.
او همچنین گفت که مدارک متقابلی برای مخالفت با این ادعاها ارائه میکند، اما ظاهرا هرگز این وعده را دنبال نکرد.
شین اکنون بر این باور است که عاملی را که تقریبا اتریوم را نابود کرده، با عنوان هونیش شناسایی کرده است که تقریبا در تمام نمایههای رسانههای اجتماعی خود از آیدی tobyai@ استفاده میکند. پس از مواجهه او با شواهد، هونیش این ادعاها را رد کرد و کل فید توییتر خود را حذف کرد و تنها یک پست رمزآلود از ۹ اکتبر ۲۰۲۱ (۱۷ مهر ۱۴۰۰) بر جای گذاشت که میگفت: “پیش به سوی ماستودون.” این توییت احتمالا اشارهای به شبکه اجتماعی متن باز و غیرمتمرکزی به همین نام بود.
چه شواهدی وجود دارد که هکر بودن توبی هونیش را اثبات کند؟
شین برای حمایت یافتههای خود، به چندین شاهد ضمنی در مقاله اشاره کرد، از جمله دادههای زنجیرهای که نشان میداد مهاجم، ۵۰ بیت کوین را به یک کیف پول غیرقانونی خصوصی Wasabi منتقل کرده و سپس آنها را با ویژگی ترکیبی کوین جوین بومی خود ترکیب کرده تا رد آنها را مخفی کند. Chainalysis نیز تایید میکند که از CoinJoin Mixer واسابی استفاده شده است.
شرکت تجزیه و تحلیل بلاک چین Chainalysis با استفاده از قابلیتی که قبلا فاش نشده بود، توانست تراکنشهای Wasabi را آشکار کرده و خروجیهای ترکیبی را در چهار صرافی ردیابی کند؛ سپس یکی از کارمندان یکی از صرافیها تایید کرد که وجوه آلوده با پرایوسی کوین Grin مبادله شده و به گره غیرحضانتی Grin با نام «grin.toby.ai» منتقل شده است. آدرس IP آن نود همچنین میزبان گرههای لایتنینگ بیت کوین «ln.toby.ai» و «lnd.ln.toby.ai» بود و گره دیگری در همان آدرس، «TenX» نام داشت.
Chainalysis بدون به اشتراک گذاشتن جزئیات فنی، اکنون تایید کرده است که میتواند تراکنشهای بیتکوین را که با سرویس واسابی ترکیب شدهاند، «آشکار» یا بینام کند. این تیم در توییتی نوشت:
این نمونه دیگری از شواهدی است که برای همیشه در بلاک چین حفظ شده است. تایید میکنیم که علیرغم تلاش مهاجم برای پوشش دادن مسیرهای خود با میکسر، به ردیابی وجوه کمک کردیم.
نقش میکسرها در کمک به ردیابی سرقت از DAO
کریپتومیکسرها یا تامبلرها خدماتی هستند که برای مبهم کردن تاریخچه تراکنشهای بلاک چین استفاده میشوند. به طور کلی، آنها با تقسیم ورودی تراکنشها، تجزیه آنها به خروجیهای کوچکتر و مخلوط کردن وجوه بسیاری از کاربران تا زمانی که خروجیها را نتوان تا صاحبان اصلیشان ردیابی کرد، کار میکنند. در سیستمهای بلاک چین عمومی و شفاف مانند بیت کوین، میکسرهایی مانند کوین جوین واسابی، تنها و اصلیترین راههایی هستند که کاربران میتوانند حریم خصوصی خود را در زنجیره حفظ کنند.
nopara73 خالق مستعار میکسر واسابی، در توییت دیگری Chanalysis را تگ کرد تا بپرسد: «ادعای فنی دقیق چیست و چگونه میتوانیم آن را تایید کنیم؟” Chanalysis پاسخی نداده و جزئیات بیشتری را به اشتراک نگذاشته و واسابی هم هیچ نظر رسمی در مورد به خطر افتادن بالقوه سرویس ترکیبی CoinJoin خود ارائه نکرده است.
ایرادهایی که به The DAO وارد است
لورا شین که نتوانسته پاسخی از هونیش دریافت کند، انگیزه بالقوهای را شکل داده است. این برنامهنویس نقاط ضعف زیادی را در کد DAO شناسایی کرده بود؛ اما به نظر میرسد که هشدارهای او توسط بنیانگذاران پروژه جدی گرفته نشده است. او نوشت:
این داستان همچنین حکایتی از مغزهای بزرگ و افراد بزرگی است که دنیای ارز دیجیتال را اداره میکنند و ماجرای هکری است که صرفا با گفتن اینکه او همان کاری را انجام داده که کد معیوب وارد شده در DAO به او اجازه انجامش را داده است، اعمال خود را توجیه کرده است.
به طور کلی در سال ۲۰۱۶، ۳۱ درصد از اترهای موجود در DAO نابود شد و اخبار مربوط به سرقت منجر به کاهش ۳۳ درصد ارزش این ارز دیجیتال در یک روز شد و قیمت اتریوم را به ۱۴ دلار رساند. با توجه به اینکه اتریوم در آن زمان به زحمت یک سال از عمرش میگذشت، میتوانست برای این پروژه مهلک باشد.
از این نظر که چطور میتوان به این وضعیت رسید، شین به آسیبپذیری در قرارداد هوشمند اشاره میکند؛ به این معنی که وجوه مربوط به برداشت، ابتدا ارسال میشود و موجودی آنها بعدا بهروزرسانی میشود. با اطمینان از آپدیت نشدن قرارداد، این امر عملا به همان رمزارز اجازه میدهد بارها و بارها برداشته شود.
مثل این است که مهاجم در حساب بانکی خود ۱۰۱ دلار داشت، ۱۰۰ دلار را از بانک برداشت کرد، سپس نگذاشت که عابر بانک موجودی را به ۱ دلار بهروزرسانی کند و دوباره ۱۰۰ دلار دیگر درخواست کرد و آن را دریافت کرد.
کلام آخر
در این مقاله خواندیم که پروژه The DAO به عنوان صندوق سرمایه گذاری خطرپذیر با هدف غیرمتمرکز کردن و کاهش هزینهها برای سرمایهگذاران، در سال ۲۰۱۶ به وجود آمد. به دلیل ایراد کدنویسی در قرارداد هوشمند این سازمان، هکری توانست به سادگی مبلغ قابل توجهی اتر را سرقت کند. لورا شین، روزنامهنگار ارز دیجیتال، با پیدا کردن شواهدی توبی هونیش را به عنوان هکر DAO شناسایی کرد. نظر شما درباره هک DAO چیست؟ آیا سازمانهای مستقل غیرمتمرکز برای سرمایهگذاری امن هستند؟