מלחמות ה-DAO
לפני כמה ימים הסתיים אחד מסיפורי הפריצה הממוחשבת הגדולים ביותר אי פעם.
הקורבן בסיפור הוא הסטארטאפ הברלינאי Slock.it (נקרא להם 'סלוק' למען הנוחות). סלוק נחשבים לאחד הסטארטאפים המבטיחים בברלין. כל יזם לוחש כמה הוא ישמח להשקיע בהם.
בסוף מאי הכריזו סלוק על קמפיין מימון המונים לפרוייקט צד שלהם: The DAO. כולם רצו להיות חלק מה-DAO. סלוק אספו 150 מליון דולר: שיא חדש לקמפיין מימון המונים. את הכסף הם שמרו במטבעות מוצפנים ברשת.
שבועיים וחצי אחרי זה הכל התמוטט.
ב-17 ליוני, 10:00 בבוקר, ניצל מישהו פירצה בקוד של ה-DAO. שישים מליון דולר מהכסף שגויס נגנבו. הם הועברו מהחשבון של ה-DAO לחשבון של ההאקר.
רק שיש טוויסט קטן בסיפור: אמצעי אבטחה של סלוק דאג לנעול את החשבון של ההאקר למשך 27 ימים. 27 ימים בהם הגנב לא יכול למשוך את הכסף.
27 ימים בהם יש לסלוק זמן לנהל מלחמה נגד השעון ולנסות להחזיר את הכסף.
חלק א': חומר רקע.
כולכם בטח שמעתם על ביטקוין.
מספרים שביטקוין 'מטבע וירטואלי'. זה נכון אך לא מיוחד. כל המטבעות כיום וירטואליים. כשאתם משלמים בסופר עם כרטיס האשראי, העברת הכסף מתבצעת וירטואלית במחשב של הבנק.
כדי שהמערכת (הפשוטה) הזאת תפעל, צריך אמון של הציבור בבנקים. אמון שהבנק לא משחק עם המידע של כמה כסף שייך למי, ושיש לבנק אמצעי אבטחה מושקעים.
ביטקוין עושה אותו הדבר כמו בנק – רק בלי אמון. יש מסד נתונים, אבל הוא לא מתופעל ע"י ארגון אחד, אלא ע"י קהילה. האמון מאובטח ע"י מבנה נתונים, שמבטיח שלא יהיו רמאויות בביטקוין.
למבנה הנתונים שמאפשר את כל זה קוראים Blockchain. כל התעשייה של המטבעות המוצפנים מסתובבת סביב הבלוקצ'יין.
ב-2014 קם ארגון בשם את'ריום (Ethereum). הם הכריזו על שימוש חדש בבלוקצ'יין: הרצת קוד. את'ריום בנו מערכת הפעלה שרצה על הבלוקצ'יין. לתוכנה שרצה על הבלוקצ'יין קוראים את'ריום חוזה חכם.
את'ריום פירסמו עצמם עם הסלוגן 'קוד לא עציר'. בעולם של את'ריום, אף בנק לא יכול להתעסק עם תנאי השימוש של הלקוח. מרגע שקוד ניהול החשבון הועלה לבלוקצ'יין, אין אפשרות לשנות אותו.
את'ריום הוא כל מה שביטקוין לא. ביטקוין צנוע וביישן? את'ריום שאפתן ושחצן. ביטקוין מתפתחת לאט ובזהירות? את'ריום מתפתח במהירות של ספינת חלל. לביטקוין יש רעיון פשוט ומימוש גאוני, לאת'ריום? רעיון שאפתני וביצוע ממוצע.
חלק ב': ה-DAO.
התשתית של את'ריום לא שווה כלום אם אין מי שיכתוב חוזים חכמים עבורה. ה-DAO היה אמור להיות ספינת הדגל של החוזים החכמים.
סלוק הם חבר'ה ברלינאיים. הם התחילו בתור מפתחי את'ריום, ועזבו את הארגון כדי להרים מוצר משלהם. רק שלא היה להם כסף. ה-DAO נועד לתת להם אפשרות לממן את עצמם.
ה-DAO, ראשי תיבות של Distributed Autonomous Organization, הוא רעיון שרץ כבר כמה שנים בתחום. החזון הוא של ארגון שמתופעל בעזרת קוד. משהו כמו בינה מלאכותית שמנהלת ארגון.
המערכת של את'ריום מאד איטית, ואי אפשר לממש בה בינה מלאכותית. מה שכן אפשר לעשות, זה ארגון שדומה לקיבוץ.
כל אחד יכול לקנות מטבעות מסוג DAO (בערך דולר וחצי למטבע בזמן כתיבת שורות אלו). אם יש לכם מטבע, אתם יכולים לעשות את משני דברים: או להעלות הצעה להשקעה, או להצביע על אחת ההצעות הקיימות. התוכנה מעבירה אוטומטית את הכסף להצעות שקיבלו אחוז גדול של הצבעות.
חשוב להדגיש: המאה וחמישים מליון דולר שגויסו לא הלכו ל-Slock.it. הם נוהלו ע"י הקוד של ה-DAO. המטרה של Slock הייתה ליצור הצעה לממן את הסטארטאפ שלהם, ולרכוב על גלי ההצלחה של ה-DAO כדי לקבל את הכסף.
נשאלת השאלה, למה שאנשים ישקיעו מאה וחמישים מליון דולר במערכת קיקסטארטר מתוסבכת? הסיבה היא לא אמונה חזקה בטכנולוגיה, אלא משהו הרבה יותר בסיסי: מסחר.
מסחר במטבעות מוצפנים הוא תחום קטן אך פורח. היקף המסחר כבר הגיע למאות מליוני דולרים ביום. עקב היעדר הרגולציה והראשוניות, אנשים רואים את הערך של מטבעות מסוימים קופץ באלפי אחוזים. הערך של את'ריום, למשל, קפץ ב-1300 אחוזים ברבעון הראשון של 2016.
חשוב להדגיש, בהערת אגב, שאל תתנו לזה לסנוור אתכם. יש מאות מטבעות מוצפנים, והמחיר של רובם נופל באלפי אחוזים. ביטקוין ואת'ריום מיוחדים במינם. אם תלכו להשקיע בתחום בלי היכרות עמוקה איתו, סביר שתפסידו את כספכם מהר.
עקב הייפ, נוצר קונצנזוס בקהילה ש-DAO הוא *ה*דבר החם הבא. מליוני דולרים הושקעו ב-DAO לא מתוך אמונה בטכנולוגיה, אלא מתוך תאוות בצע.
חלק ג': הפריצה.
עוד לפני הפריצה האשימו אנשים את סלוק ברשלנות.
אחד מהמומחים שהם לקחו לפקח על הפרוייקט, הצביע על שורת בעיות אבטחת לפני ההשקה. בתגובה, הם תקפו אותו, האשימו אותו באג'נדה אישית נגד המוצר, וטענו שהליקויים תוקנו. פרופסור מקורנל (Emin Gün Sirer) פירסם מאמר שמצביע על בעיות ב-DAO. הם התעלמו ממנו.
הפריצה החלה בהודעה פשוטה ברדדיט: אני חושב שמישהו מרוקן את ה-DAO עכשיו. ויטליק בוטרין, מקים את'ריום ויועץ ל-DAO חשב שזאת פעולה תמימה, וביקש ממי שמבצע אותה ליצור קשר.
מהר מאד התברר שזאת פריצה. ערכי המטבעות של ה-DAO ואת'ריום התרסקו תוך שעה. סוחרים שישנו באותו הזמן, התעוררו לגלות שהם הפסידו מאות אלפי דולרים.
האינטרנט זעק בזעם. אנשי סלוק הגיבו בכעס ופזיזות.
סלוק לא התנצלו. הם הטילו אשמה על כל העולם ונכנסו למליון מריבות. תוך חצי שעה הם הודיעו על שני פתרונות אפשריים.
האחד הוא חסימת חשבון ההאקר כך שהוא לעולם לא יוכל להוציא את הכסף (קוראים לזה Soft fork). השני הוא שינוי במסד הנתונים, שמעביר בחזרה את הכסף מחשבון ההאקר לחשבון שלהם (קוראים לזה Hard fork).
אלו פתרונות בעיתיים מכמה סיבות. האחת היא שיש פה ניגוד אינטרסים ברור. השניה, היא שזה הולך נגד רוח התחום:
מטבעות מוצפנים קמו כתגובת נגד לכך שהבנקים יכולים לגנוב את כל הכסף שלך בלחיצת כפתור. יותר מזה, את'ריום וסלוק רכבו על גלי פירסומים שמתרברבים כמה אף אחד, כולל הם, לא יכול לשנות כלום במערכת שלהם.
רק שפרסומים לחוד, ומציאות לחוד. המערכת של את'ריום מספיק צעירה וקטנה. עם מספיק מאמץ, יכולים ראשי הקהילה לשנות את מסד הנתונים.
חלק ד': ההאקר מכה שנית.
יום אחרי הפריצה, בזמן שאנשי סלוק היו עסוקים עדיין בלריב עם כל העולם, התבצעה פריצה נוספת. הסכום הפעם היה קטן בהרבה.
באותו הזמן נרשם מישהו שטען שהוא ההאקר לפורום של סלוק. הוא פירסם מכתב, חצוף ומצחיק, בו הוא מאיים לתבוע אותם במידה והם יחסמו את החשבון שלו. הם הרי כל הזמן טענו שהקוד של ה-DAO הוא החוקים. אז הנה, הוא לקח כסף לפי החוקים – מה רע?
אותו המישהו המשיך לעשות צחוק מסלוק בפורום שלהם. די קל לעשות צחוק ממי שלוקח עצמו ברצינות כזאת. הוא הציע כסף לכל מי שיעזור לו להילחם בהם.
באותו הזמן אספו אנשי סלוק הרבה 'אנשים חכמים' (הם אוהבים להדגיש כמה הם חכמים), והקימו את 'קבוצת רובין הוד' (הם אוהבים שמות מגניבים). המטרה של הקבוצה הייתה לאבטח את הכסף שנשאר ב-DAO.
יום מאוחר יותר החלה הקבוצה בהעברת הכסף מה-DAO לחשבון בטוח. אבל ההאקר התערב בתהליך והצליח לקבל זכויות חלקיות לחשבון החדש שלהם. ההאקר היכה בסלוק על כל צעד ושעל.
חלק ה': ה-Soft fork.
בינתיים נקרעה הקהילה לשני פלגים.
פלג א', של סלוק, היה מלא אושר ואנרגיה. הם ראו בכל הפרשה עדות לעוצמת הקהילה: כל כך הרבה אנשים חכמים התגייסו לפתרון הבעיה! 'אנחנו יוצרים את הפאתוס העתידי של את'ריום' טענו אנשי סלוק בגאווה. הם הפריחו איומים באוויר: 'אם אתה ההאקר, אז שתדע לך: אנחנו עוד נסגור איתך את החשבון!'
פלג ב' חשב שהאירוע הוא אסון למוניטין של את'ריום. כסף נגנב, אנשים הפסידו מליונים במסחר והתגלעה בעית אבטחה מהותית בכל הקונספט של את'ריום: איך אפשר לבטוח בחוזים עתידים בעתיד?
הפעילות של סלוק המשיכה בגישת המערב הפרוע. הם יצרו, בשיתוף מפתחי את'ריום, Soft fork. זה היה אמור לחסום את החשבון של ההאקר.
ביום שהוכנס ה-Soft fork למערכת קפצו מחירי המטבעות של DAO.
יום אחרי זה הם שוב התרסקו, כשהתגלה שיש פריצת אבטחה ב-Soft fork. הוא בוטל מהר.
אף אחד לא לקח אשמה על פעולה פזיזה מדי.
חלק ו': ה-Hard fork.
באותו הבטחון והתוקפנות בו הם טענו שאי אפשר לפרוץ את ה-DAO, ושה-Soft fork הוא הפתרון המושלם, החלו אנשי סלוק לדחוף את רעיון ה-Hard fork (שמשנה בכוח את חשבונות המערכת).
הקוד של ה-Hard fork נכתב ופורסם ברשת. הוא קיבל ביקורת רבה על פרצות פוטנציאליות, אבל אחרי הצבעה בקהילת את'ריום הוחלט בכל זאת ללכת עליו. התאריך שנקבע הוא העשרים ביולי.
המסחר כמעט ונעצר לפני העשרים ביולי. כולם חיכו בעצבנות לראות אם המהלך הצליח או שיש פריצה חדשה.
בעשרים ביולי, קצת אחרי 16:00 שעון ישראל, בוצע ה-Hard fork. תוך כמה דקות היה ברור שזה נעשה בהצלחה. אנשים החלו למשוך את הכסף שלהם מה-DAO.
חלק ז': אחרית דבר.
בימים שאחרי האירוע אנשי סלוק ואת'ריום היו עסוקים במסיבות. הם מתרברבים בנצחון הגדול שלהם, בכוחה של הקהילה ומתהלכים בבטחון עצמי אדיר.
ערך המטבע של DAO נוסק, למרות שהפרוייקט לכאורה מת וכבר אין בהם שימוש. אנשי סלוק עצמם מדברים על DAO 2.0, שיביא עימו קמפיין מימון המונים חדש.
כמה מהאנשים שהתאכזבו מה-Hard fork וטענו שזה נוגד את רוח המערכת, הקימו מטבע מתחרה לאת'ריום: Ethereum Classic. נכון לרגע זה נראה שהוא ישרוד. הוא עושה שמות במוניטין של את'ריום.
בשאלת ההאקר עצמה הפסיקו כבר להתעניין. למרות שסביר שזה מישהו מוכר מקהילה קטנה של מפתחי את'ריום. אף אחד לא מנסה למצוא אותו. אם מציעים לאנשי סלוק לגשת למשטרה, מקבלים בתגובה חמש דקות של בדיחות 'שוטרים הם טיפשים'.
המנטאליות של עולם המטבעות המוצפנים היא זאת של המערב הפרוע. היא מקדשת האקרים זריזים ומהללת את מי שתוקף בחזרה.
בדברי הימים של המטבעות המוצפנים יזכרו אנשי סלוק כמו קאובוי שלוקח את החוק לידיו. יש מצב שיעשו עליהם סרטים.
חלק ח': חומרי אינטרנט.
המכתב של ההאקר (שכנראה מזויף) הוא מיתולוגיה בפני עצמו.
גריף גרין מסלוק מתראיין יום אחרי הפריצה ומסביר אותה:
ההאקר עושה שמות בפורום של סלוק:
Now the daoattacker is making it rain in dao slack and bribing anti forking miners with 1m eth. 😂😂😂 pic.twitter.com/wLuO9YXO8S
— 🐔Actual Advice Bitcoin (@ActualAdviceBTC) June 18, 2016
סלוק מטיחים אשמה במומחי אבטחה:
https://twitter.com/stephantual/status/745013737074081792
תמונה שסלוק פירסמו אחרי הפריצה. הרבה האשימו אותם ביהירות בגלל התמונה הזאת ואחרות בסגנון.
סרטון הומוריסטי שמסביר וצחוק על הגניבה:
קומיקס של Crypto-comics:
לא הבנתי מילה
אבל היה תענוג לקרוא
בקריאה שניה זה כבר פחות סינית ויותר איטלקית. ואם בכלל הבנתי משהו, אז סלוק ממש לא יצאו גברים או קאובואים אלא סתם ממסדיים ומעפנים.
מי אתה ניימן? קצת על הכותב?
יש פה בלוג שלם של 15 שנה עלי:-)
אשמח לשמוע קצת על הכותב