El Proyecto DAO ha sido una de las iniciativas más innovadoras y ambiciosas que han surgido desde la aparición de Bitcoin y las criptomonedas. Con una recolección de fondos masiva que superó todos los registros, recibió el apoyo de gran parte de la comunidad de usuarios del ecosistema. Hoy DAO es nuevamente noticia, pero por haber sufrido un ataque que le puede costar más de 60 millones de dólares en Ethers a los participantes del proyecto.
Luego de que se publicase un informe que identificaba una serie de problemas en el diseño de los mecanismos del proyecto y exigía un tiempo de moratoria, DAO inició con propuestas del marco de trabajo y otras de contratar a un equipo de expertos para eliminar los riesgos identificados en el documento. A pesar de algunas modificaciones realizadas al marco de trabajo del proyecto, el ataque realizado ha explotado justamente una de las vulnerabilidades previamente expuestas.
Este ataque realizado en la madrugada del 17 de junio ha logrado sustraer una cantidad superior a los 3,6 millones de Ethers (ETH), los cuales se encuentran almacenados en una cartera que, debido a las reglas previamente establecidas para el DAO y la naturaleza del ataque, no podrán ser retirados en los próximos 27 días.
Un ataque previamente anunciado
Las advertencias realizadas en el informe de Dino Mark, Vlad Zamfir y Emin Gün Sirer fueron prácticamente tomadas como de baja importancia por el equipo creador del Proyecto DAO. Precisamente Stephan Tual, el CCO de Slock.it, realizó una publicación donde aseguraba que los riesgos de pérdida de fondos del proyecto eran inexistentes luego de la reparación de un bug denominado «llamada recursiva» en la plataforma de contratos inteligentes de Ethereum.
El informe presentaba 11 distintas formas de ataque que podía enfrentar el Proyecto DAO, siendo el «Stalking Attack» el que justamente ha sido perpetrado contra la Organización Autónoma Descentralizada. En este tipo de ataques un miembro del DAO puede separarse del proyecto y abrir un nuevo «DAO-hijo» donde este usuario es el único inversor y curador, con lo cual está facultado para solicitar mediante una propuesta que tendría 100% de aprobación la extracción de fondos del DAO principal.
Seguidamente, el usuario puede realizar repetidas llamadas recursivas dentro del nuevo DAO-hijo y así ir recolectando Ethers con cada nuevo llamado. Este es el caso que sufre actualmente el Proyecto DAO, afectado por las propuestas de separación Congo Split, Beer Split y FUN-SPLT-42.
Los esfuerzos realizados por el equipo creador del DAO, y por la comunidad de usuarios, fueron tanto inexistentes como insuficientes. Esto ha ocasionado que una vulnerabilidad previamente identificada, e inclusive con soluciones sugeridas para evitar tal suceso, pueda ser la causa del derrumbamiento del proyecto DAO en su totalidad.
La posible solución de la mano de Ethereum
Resulta interesante ver que los líderes del proyecto Ethereum se hayan manifestado como los únicos entes capaces de resolver la situación que actualmente sufre la comunidad de usuarios del DAO. Si bien el proyecto acumula en la actualidad el 16% de toda la demanda de Ethers, DAO sigue siendo apenas una organización autónoma descentralizada que se ejecuta en la plataforma de Ethereum, pero que no ha podido protegerse ante ataques externos y ahora pide ayuda a actores externos.
Vitalik Buterin ha publicado una entrada en el blog de Ethereum hablando sobre la situación que enfrenta la comunidad de usuarios del DAO. En ella se expone la posibilidad de realizar un soft-fork donde se invalidarían las transacciones realizadas hacia la cartera de Ether del atacante, impidiendo así que los fondos puedan ser retirados luego de que se cumpla el período de 27 días.
Los mineros y grupos de minería deben reanudar las operaciones de forma normal, esperar el código del soft-fork y estar listos para descargarlo y ejecutarlo si están de acuerdo con este camino a seguir para el ecosistema Ethereum. Las poseedores de fichas DAO y los usuarios de Ethereum deben quedarse tranquilos y mantener la calma. Las casas de cambio deben sentirse seguras de reanudar el comercio del Ether.
Vitalik Buterin
creador de Ethereum
Además de ello, la comunidad del Proyecto DAO está discutiendo la propuesta por parte de la comunidad de Ethcore de realizar una actualización al protocolo de Ethereum, que permita mover los Ethers involucrados en el ataque hacia un contrato de recuperación donde posteriormente puedan ser reintegrados a los usuarios del DAO.
No obstante, esta última propuesta se realizaría mediante un hard-fork, el cual borraría parte de la información hasta ahora registrada en la cadena de bloques principal de Ethereum para «devolver» al DAO al punto inicial antes de sufrir el ataque y así los usuarios puedan retirar sus fondos. Sin duda un hecho que, de llegar a realizarse, colocaría en discusión la ética del proyecto Ethereum con respecto a la descentralización y otros tópicos relacionados.
DAO anuncia a los usuarios los próximos pasos
En una publicación no muy optimista, el co-fundador del proyecto DAO, Felix Albert, anunció una serie de pasos a los usuarios de la comunidad de DAO, en los que primeramente anuncia que el proyecto no podrá continuar tal como es actualmente. Sino que sin duda alguna deberán repararse las vulnerabilidades que presenta para luego avanzar dentro de DAO ligeramente distinto.
Entre las posibilidades que menciona Albert, resaltan las opciones de esperar a que la situación se calme un poco, esperar por el hard-fork ya anunciado (aunque sin garantías) y la más polémica: vender las fichas DAO en las casa de cambio autorizadas. Dichas declaraciones pueden ser interpretadas de forma más negativa que positiva por parte de los usuarios del proyecto y comprometer seriamente su continuidad.
Ante la espera que se que tomen la medidas para la resolución del caso, la comunidad de usuarios del Proyecto DAO está realizando votaciones sobre la ejecución del hard-fork. Allí diversos usuarios exponen los aspectos positivos y negativos que ellos consideran que podrían generarse al realizar esta medida, tanto para la seguridad del proyecto DAO como para la confiabilidad de la red Ethereum.
