Najveća hakerska misterija ovog leta

Digitalna pljačka banke počela je 17. juna: nepoznati počinioci uzeli su 53 miliona dolara u kripto-valuti Ether iz jednog od startap projekata koji su najviše obećavali.

Meta napada bila je Decentralizovana autonomna organizacija (DAO), nova vrsta investicionog fonda koji funkcioniše bez ljudskog nadzora. Taj decentralizovani fond je završio možda i najveću crowdfunding kampanju svih vremena neposredno pre hakerskog napada, u kojoj su prikupili 150 miliona dolara za samo nekoliko nedelja.

Sama pljačka na prvi pogled deluje uspešno, ali u tome je i stvar: za razliku od klasične pljačke banke, nepoznati počinioci nisu mogli da odjezde iza horizonta sa vrećama novca. Umesto toga, morali su negde da uskladište novac. Ukradeni milioni se sada nalaze na jednom od pomoćnih računa u okviru DAO. Zahvaljujući transparentnosti sistema, takozvani DarkDAO račun može se slobodno videti na sledećoj adresi : 0x304a554a310c7e546dfe434669c62820b7d83490.

Odmah po okončanju napada, svi su znali tačno gde je novac otišao. Zahvaljujući digitalnom tragu koji su hakeri ostavili, čak je sastavljen i profil počinioca . Pa ipak, DAO ne zna šta dalje.

Stefan Tual se verovatno nadao da će moći da se odmori preko leta. Ovaj tridesetosmogodišnjak je, uz braću Simona i Kristofa Jenča iz Nemačke, jedan od glavnih programera u DAO.

Tual je nameravao da se posveti svom osnovnom projektu, startap kompaniji Slock.it koja bi nudi slobodne ekonomske transakcije bez ugradnje posrednika kao što su Airbnb ili Uber. Da je sve prošlo po planu, DAO bi uložio deo svojih fondova u Slock.it, ali od toga sad nema ništa. Sedamnaestog juna se sve promenilo: Tual i njegove kolege, kao i ostali članovi Ethereum zajednice, pokušavaju da uđu u trag milionima, a vreme im je ograničeno.

DAO tim imao je pred sobom nekoliko rokova za povraćaj ukradenog novca. Prvi rok je bio 16. jul, dan posle kog je moguće da se sredstva podignu sa računa, što dodatno komplikuje promene u Ethereum kodu neophodne da bi se novac povratio; do tog datuma bilo je moguće rešiti problem metodom „čistog grubog račvanja", drastičnom ali sveobuhvatnom. Sledeći rok im je bio 21. jul, posle kog se hakerima otvara mogućnost da „podele" svoje račune – da stvore nove adrese koje ne bi bile podložne grubom račvanju. „DAO 21. postaje pokretna meta," objašnjava Tual.

Poslednji datum za spas ukradenih 53 miliona, odnosno 30% tržišne vrednosti DAO fonda, je 31 avgust.

Prve dve nedelje od hakerskog napada, Tual i ostali Ethereum korisnici su užurbano tragali za rešenjem problema. Čak ni Vitalik Buterin, tvorac Ethereum sistema na kom počiva virtualna valuta Ether, nije mogao da pruži pomoć DAO fondu u trenutku napada. Buterin je pozvao zajednicu da privremeno obustavi sve DAO transakcije do daljnjeg, ali je na Tviteru takođe istakao da Fondacija Ethereum, čiji je kod u osnovi DAO sistema, ne priznaje odgovornost za dešavanja unutar organizacije ili među samim investitorima.

Reminder: the Ethereum Foundation has no involvement in the DAO. All DAO token holders and curators are doing so as private individuals.

— Vitalik Buterin (@VitalikButerin)May 28, 2016

DAO investicioni fond trebalo je da bude prva kompanija bez ljudi u administraciji, organizovana u potpunosti na svom otvorenom izvornom kodu. Kod je sa namerom bio napisan tako da intervencije iz centrale nisu moguće. Iz perspektive programera, objektivnost algoritma i decentralizovana priroda cele organizacije najavila je novo doba u svetu automatizovanih ekonomskih sistema.

Ali ko su u stvari ti hakeri? Tual ne želi da otkrije u koga sumnja: „Relativno sam siguran da je haker neko koga poznajem," rekao je u intervjuu za Motherboard. Napadači su očigledno bili izrazito inteligentni jer su uočili sistemsku slabost koja im je omogućila pristup. DAO sistem nije mogao da provali neko ko se hakovanjem bavi iz hobija, ko nije vrhunski stručnjak po pitanju Ethereum sistema i Solidity programskog jezika.

„Vrlo mali broj ljudi je dovoljno upućen (u Ethereum odnosno Solidity), a ovaj lopov svakako koristi Solidity jezik profesionalno," nagađa Tual. „Nije u pitanju amater koji se priučio radeći dva sata dnevno."

Samo stotinak ljudi na svetu, ceni Tual, rade kao profesionalni Solidity programeri. Ova mala grupa okuplja se redovno na konferencijama, mejling listama, i Reddit forumima.

Šta ako napadaču nije ni stalo do novca? Šta motiviše ovog misterioznog hakera? Zašto bi želeo da naškodi projektu kome je i sam u velikoj meri posvetio vreme i trud?

"Moguće je da ga je čista zabava motivisala," kaže Tual."Ali naći ćemo ga. Samo jednom treba da pogreši, i neko iz Ethereum zajednice će mu ući u trag." Činjenice da neće moći prosto da odnese novac i nestane, smatra Tual, je sigurno bio svestan počinilac do te mere upoznat sa Solidity programskim jezikom.

Postoji još jedan način da se iz ovog napada izvuče profit: vrednost Etra se već prepolovila od kako je napad izvršen. Počinilac je mogao da se berzanskim mešetarenjem „kladi" na ovaj pad vrednosti i tako zaradi. Ali Tual misli da je ovo manje verovatna mogućnost jer bi „skraćivanje" tolikih suma lako privuklo pažnju na kripto-berzama.

Članovi Ethereum zajednice nisu samo zbunjeni nejasnim motivima počinioca, već nisu čak ni sigurni koga bi okrivili za nesposobnost DAO da reši situaciju. Tual se u haotičnim prvim danima posle napada javno obrušio na Prof. Emina Sirera sa Univerziteta Kornel:

.— Stephan Tual (@stephantual)June 20, 2016

Ovo je ozbiljna optužba: Da li je Sirer, kao stručnjak za informacionu bezbednost, unapred znao za nedostatke DAO sistema i svesno odlučio da ih ne obavesti? Pa ipak, takve optužbe se u programerskim krugovima obično ne iznose javno – konsenzus je da se o takvim pitanjima raspravlja privatno.

Kritičari nisu mogli da veruju da je Tual tvitovao na ovu temu i javno upro prstom u potencijalno osumnjičenog kolegu. Iz Wired su takođe dan pre napada izrazili sumnju u pouzdanost DAO sistema, dakle Sirer svakako nije jedini koji je uočio nedostatke. Jasno je samo da pitanje odgovornosti za napad na DAO neće biti rešeno ni lako ni brzo .

Neki kažu da je haker učinio uslugu Ethereum zajednici ukazavši na slabosti u sigurnosnom sistemu. Drugi smatraju da su kreatori DAO fonda odgovorni: „Haker jeste delovao neetički, ali odmah ispod njega po odgovornosti je programer čiji je kod bio neadekvatan od starta," kaže Brus Fenton, DAO deoničar, za Motherboard. „Nažalost, sad ceo sistem plaća za te propuste."

Četiri dana posle napada, desila se nova intervencija. Još DAO novca je nestalo, ovog puta prebačeno na dva računa: 7.277 miliona ETH ovde i 353 hiljade ETH ovde. Ovaj novi hakerski napad izazvao je nove brige – da li će nestati svi preostali milioni? Par sati kasnije, jedan od poznatijih programera Ethereum platforme javio je da je sve ipak uredu:"DAO SE KONTROLISANO PRAZNI. NE PANIČITE," tvitovao je Aleks Van de Sande, jedan od glavnih dizajnera Ethereum sistema. Ovo je, dakle, bio „ protivnapad belih šešira ".

Grupa programera, samoproglašena „Družina Robina Huda", hakovala je DAO. Tvit Van de Sandea sugeriše da su vodeći članovi zajednice odlučili da zaplene preostali novac na DAO računima.

Ethereum programeri su iskoristili istu slabu tačku kao i originalni napadači. Skoro sav novac kojim je DAO fond raspolagao prenet je na pomoćne račune, što originalnog hakera što Robina Huda. Jasno je samo da sa tih računa neće moći dalje da se prenese 27 dana od transfera, vreme čekanja ugrađeno u Ethereum.

Sa druge strane, ako ne bude značajnih promena, onda bi novac koji je Robin Hud grupa odvojila mogao takođe da bude ukraden, koristeći istu sistemsku slabost. Vrlo je verovatno da DAO fond i njegovi milioni klize u haos, što najavljuje egzistencijalnu krizu cele Ethereum platforme.

„Ljudi iz Ethereum fondacije i cele zajednice rade preko raznih Skajp kanala, ulažu veliki trud. Ova veoma aktivna grupa ljudi razmatra mogućnost intervencije, ili blagim ili grubim račvanjem," rekao je Stefan Tual za Motherboard.

Pre 21. jula bila je moguća intervencija, ali pošto je organizacija sasvim decentralizovana, sve programerske promene bilo je moguće izvesti samo glasanjem. Dva moguća sistema glasanja su bila u opticaju: takozvano blago račvanje i grubo račvanje. Ova dva scenarija predstavljaju promene u kodu zajednice, a o njima se vatreno diskutovalo ovog leta. Blaga račvanja su promene u kojima se mogućnost daljih izmena ostavlja samo delu cele mreže, konkretno analitičari čije mašine zamenjuju klasične servere u ovoj decentralizovanoj infrastrukturi – i koji su za ovu uslugu plaćeni malom sumom Etra.

Posle originalnog napada i Robin Hud protivnapada, raspravljalo se o mogućnosti ovog blago račvanja koje bi dalo kontrolu nad DAO transakcijama analitičarima Ethereum platforme, sa određenim ograničenjima. „Sve transakcije koje prazne DAO račune bile bi filtrirane," kaže Lefteris Karapecas za Motherboard. „Izuzetak bi tu bili nalozi Robin Hud grupe, kojoj zajednica ipak veruje." Ujedno bi transfer originalnog novca, sa računa nazvanog „Dark DAO", bilo onemogućeno posle isteka 27 dana, pa bi novac mogao biti vraćen vlasnicima.

Ova intervencija ne deluje komplikovano; mogla bi se implementirati za samo nekoliko dana, uz saradnju analitičara. Ali ne slažu se sve zainteresovane strane. Da li se tako daje previše kontrole anonimnim analitičarima? Šta ako oni odluče da cenzurišu DAO fond? Kripto-zaluđenicima libertarijanskih pogleda nije se dopala takva mogućnost.

Počelo je glasanje o implementaciji blagog račvanja. Apdejt koda je objavljen, a članovi su počeli da ga skidaju. U početku je delovalo da će se većina složiti: 80 analitičara se odlučilo za ovaj novi sistem. Ali 26. juna je ranije pomenuti profesor Emin Gün Sirer na svom blogu objavio da bi blago račvanje samo otvorilo nove rupe u DAO sistemu, između ostalog postali bi ranjivi na DoS napade. Zajednica je odbacila blago račvanje, a milioni su bili i dalje ugroženi; ostalo je još samo dve nedelje.

Tualu i njegovom timu preostao je samo jedan način da spreče transfer ukradenih miliona – takozvano grubo račvanje, izmena koda za celu Ethereum platformu koju bi morala da podrži prosta većina, 51% korisnika. Ko god skine i instalira novu verziju, glasa za ovu intervenciju. Potrebno je, dakle, bilo da se više od pola korisnika, analitičara, kripto-trgovaca i programera odluči za ova nova pravila.

Približno tri nedelje posle napada, postignut je konsenzus u korist grubog račvanja. Stefan Tual i njegove kolege mogu da odahnu. „Siguran sam da će grubo račvanje biti implementirano, jer nikom nije u interesu da pljačkaš pobedi," kaže on.

Od nestanka 53 miliona dolara sredinom juna, skoro ceo tim u Tualovoj startap kompaniji

Slock.it radio je na ograničenju štete i ispravljanju greške. "Uložili smo ogroman trud u izgradnju nove infrastrukture DAO. Bar šest meseci je izgubljeno, istrošeni smo i mentalno i finansijski," kaže Tual.

U pet ujutru po centralnoevropskom vremenu, 14. jula, haker je pokušao da podigne novac sa računa i tako potvrdio svoju nameru.

Pitao sam Lefterisa Karapecasa šta bi se desilo da je nešto pošlo naopako i da račvanje nije bilo interpretirano. Karapecas kaže da bi u najgorem slučaju lopov odneo milione. Pitanje je, ipak, gde bi ih odneo? Najveće kripto berze ne dozvoljavaju transakcije sa kriminalnih računa. Da grubo račvanje nije dalo rezultate, 53 miliona ukradenih iz DAO fondova možda bi i bukvalno nestali – nedostupni Tualu i njegovim programerima, ali i još uvek nepoznatom licu koje ih je ukralo.

Pratite VICE na Facebooku, Twitteru i Instagramu