Discussion :

[Victor Vincent]

Un bug de la cryptomonnaie ether permet à un hackeur de s’emparer de 50 millions $
en exécutant une fonction récursive du système de transaction

Un pirate a profité d’un bug du système de la cryptomonnaie ether pour commettre son forfait et s’emparer de plus de 50 millions de dollars. Le bug est relatif à une fonction récursive utilisée par le système de transfert de la cryptomonnaie d’un compte vers un autre. En effet, lorsque cette fonction, qui est utilisée dans le processus de traitement de la transaction, est appelée pour transférer des pièces virtuelles d’un compte vers un autre, elle effectue un appel à elle-même avant la fin du traitement de la transaction. La fonction en question est splitDAO qui exécute un code du côté du destinataire de la transaction qui lui-même appelle la fonction splitDAO avant de terminer son exécution. Il suffit dès lors au hackeur de faire appeler son code par la fonction splitDAO et vice versa, rendant ainsi les appels de la fonction presque infinis. Le pirate avait ainsi la possibilité de vider totalement le stock de pièces disponible.

Si le pirate n’a pas encore pu dépenser l’argent qu’il a réussi à détourner du système, il est cependant encore improbable que les fonds puissent être récupérés par les investisseurs qui ont mis leur argent dans ce projet. En effet, suite à une telle opération, le pirate est obligé de patienter au moins 25 jours avant de pouvoir convertir ses jetons en ethers et de reconvertir ensuite les ethers dans une devise réelle. Pour pouvoir récupérer les fonds, deux solutions se présentent aux investisseurs s’ils espèrent pouvoir sauver le projet.

La première solution consisterait à faire un roll-back du blockchain, ce qui affecterait toute personne ayant effectué des transactions après l’incident et sur toute la durée pendant laquelle le pirate commettait son forfait. La somme que pourraient perdre les personnes concernées s’élèverait à 1 million de dollars. Cependant, ce type d’opération est contraire à l’esprit même de ces systèmes, car l’un des objectifs de ces derniers c’est de proposer des alternatives décentralisées aux banques traditionnelles qui mettent les intérêts de la banque devant ceux des utilisateurs. La deuxième possibilité qui est tout aussi problématique serait de mettre à jour le code du système Ethereum de sorte à mettre l’adresse du pirate sur liste noire ou bien même redonner le contrôle des fonds au projet TheDAO. Cependant, cela créerait une bifurcation du blockchain qui ne pourrait être rétablie que si une majorité de 51 % des mineurs décide de travailler avec la version de mise à jour du code. Autrement, la bifurcation ne pourra pas être rétablie.

Les fonds volés par le pirate représentent un tiers des fonds levés dans le cadre de la mise en place du projet TheDAO, qui est une sorte de fonds commun d’investissement virtuel de type DAO (Decentralized Autonomous Organisation). Ce fonds a englouti plus de 10 % des pièces virtuelles disponibles dans l’écosystème de l’Ethereum soit une valeur de 100 millions de dollars sur un volume total d’une valeur d’un milliard que représente l’écosystème d’Ethereum. Ce piratage a porté un coup dur au projet qui ne pourrait s’en relever que difficilement. Il faut ajouter enfin que le bug responsable de la défaillance exploitée par le pirate n’aurait toujours pas été résolu.

Source : http://blog.erratasec.com

Et vous ?

Qu'en pensez-vous ?

Voir aussi

Le système de paiement de Bitcoin aurait-il atteint ses limites ? Plusieurs transactions n'auraient pas été validées après des heures d'attente

[NSKis]

Et il y a encore des "gogo" pour croire que la sécurité sur le web est possible

Combien d'exemples faudra-t-il encore pour que l'on accepte un fait: Aujourd'hui, le web ne peut pas assurer la protection des données auxquelles il donne accès pour une simple et bonne raison que l'on fait appel à un mille-feuilles de technologies dont personne n'a une vision et un contrôle global.

Alors qu'il n'est déjà quasi impossible de fournir un système "sans-faille" dont on est le développeur (perso, je n'aurai en tout cas pas la vanité ni la bêtise de me vanter être apte à fournir un tel système), comment peut-on imaginer un seul instant pouvoir le faire en intégrant une multitude de techno aux origines multiples?

[Paul TOTH]

Et il y a encore des "gogo" pour croire que la sécurité sur le web est possible

Combien d'exemples faudra-t-il encore pour que l'on accepte un fait: Aujourd'hui, le web ne peut pas assurer la protection des données auxquelles il donne accès pour une simple et bonne raison que l'on fait appel à un mille-feuilles de technologies dont personne n'a une vision et un contrôle global.

Alors qu'il n'est déjà quasi impossible de fournir un système "sans-faille" dont on est le développeur (perso, je n'aurai en tout cas pas la vanité ni la bêtise de me vanter être apte à fournir un tel système), comment peut-on imaginer un seul instant pouvoir le faire en intégrant une multitude de techno aux origines multiples?

TCP/IP est basé sur un ensemble très limité des protocoles, c'est souvent leur simplicité qui est critiqué au contraire car elle ne serait pas assez robuste

quand à garantir la sécurité du web, la plus grosse faille se trouve toujours entre l'écran et le clavier. Un bug qui permet de détourner 50 millions ça ne se trouve pas tous les jours. Dans le cadre d'une crypto monnaie décentralisée c'est en effet un problème, sur le système bancaire c'est autre chose, un de mes clients s'est vu réclamer le paiement d'une vente 2 mois après l'achat car l'acheteur a contesté le paiement...et à défaut de 3DSecure (qui ne sécurise pas grand chose mais reporte la responsabilité sur la banque), le commerçant en est de sa poche...l'option a été activée depuis, mais comme 3DSecure ne fonctionne pas toujours bien, certains commerçants prennent le risque au lieu de perdre des clients.

A l'inverse, je suis par exemple totalement opposé au vote électronique, les bureaux de votes sont déjà des filtres insuffisants pour garantir l'intégrité du vote, c'est pas la peine d'en rajouter

[benjani13]

Un bug de la cryptomonnaie Ether permet à un hackeur de s’emparer de 50 millions $
en exécutant une fonction récursive du système de transaction

D'après mes différentes lectures sur le sujet il ne s'agit pas d'un bug de la blockchain Ethereum (comme on pourrait le comprendre en lisant l'article) mais d'un contrat tournant dessus émis par the DAO. La faut en reviens donc à the DAO. Ça n'empêche pas de s'interroger sur le fonctionnement d'Ethereum qui pour le coup à beaucoup ralenti, voir empêcher, la résolution du problème (pas possible de patcher le code sans passer par un fork).

[NSKis]

TCP/IP est basé sur un ensemble très limité des protocoles, c'est souvent leur simplicité qui est critiqué au contraire car elle ne serait pas assez robuste

quand à garantir la sécurité du web, la plus grosse faille se trouve toujours entre l'écran et le clavier. Un bug qui permet de détourner 50 millions ça ne se trouve pas tous les jours. Dans le cadre d'une crypto monnaie décentralisée c'est en effet un problème, sur le système bancaire c'est autre chose, un de mes clients s'est vu réclamer le paiement d'une vente 2 mois après l'achat car l'acheteur a contesté le paiement...et à défaut de 3DSecure (qui ne sécurise pas grand chose mais reporte la responsabilité sur la banque), le commerçant en est de sa poche...l'option a été activée depuis, mais comme 3DSecure ne fonctionne pas toujours bien, certains commerçants prennent le risque au lieu de perdre des clients.

A l'inverse, je suis par exemple totalement opposé au vote électronique, les bureaux de votes sont déjà des filtres insuffisants pour garantir l'intégrité du vote, c'est pas la peine d'en rajouter

1. Pour info, ce n'est pas TCP/IP qui est à l'origine des failles de sécurité mais bien les applications web qui, ELLES reposent sur une multitude de technologies. TCP/IP n'est que le vecteur, c'est comme si vous veniez içi nous affirmer qu'il est impossible de braquer une bijouterie parce que le vélo utilisé par le voleur pour fuire dans la foule ne dispose pas d'un pied-de-biche pour forcer la porte des commerces.

2. "la plus grosse faille se trouve toujours entre l'écran et le clavier" ??? Bien évidemment, si ce n'est pas la naïveté de l'utilisateur qui est en cause, c'est celle de l'incompétence d'un développeur qui est à l'origine des failles techniques d'un système... N'oublions pas qu'il est strictement impossible pour un être humain de fournir du code sans le moindre bug? "Errare Humanum Est"

[NSKis]

... Ça n'empêche pas de s'interroger sur le fonctionnement d'Ethereum qui pour le coup à beaucoup ralenti

Vous me paressez bien optimiste... Les 50 millions volés représentent le 50% de la fortune gérée par Ethereum!!! Les mauvaises langues annoncent plutôt la mort pure et simple de ce petit frère de bitcoin

[Victor Vincent]

Piratage de la cryptomonnaie ether : les responsables d’Ethereum proposent de recalculer le blockchain
de sorte à invalider les ethers volés

Le piratage de la cryptomonnaie ether qui a privé Ethereum de plus du tiers de sa valeur menace sérieusement cette dérivée du Bitcoin de disparition. Pour éviter la crise, les responsables de la structure ont proposé de recalculer le blockchain de sorte à invalider les ethers volés. Cependant, si cette mesure devait être adoptée, il faut qu’elle soit approuvée par une majorité d’au moins 51 % des mineurs sous la forme d’une mise à jour logicielle qu’ils installeraient sur leurs serveurs. Le fondateur d’Ethereum, Vitalik Buterin a déclaré qu’il soutiendrait une telle initiative tout en reconnaissant qu’elle ne serait pas gagnée d’avance, car la décision finale revient aux mineurs qui ont la liberté de l’approuver ou non.

Cette possible solution est encore loin d’être la lumière au bout du tunnel pour recouvrer les 50 millions volés et faire en sorte que le pirate ne puisse jamais les utiliser. En effet, la simple annonce de cette mesure a déclenché de vives réactions dans la communauté Ethereum. Les opposants à cette idée estiment que si Ethereum a été conçu avec ses propres langages de programmation dédiés, c’est pour éviter ce genre de manipulations et pour permettre au système de fonctionner en toute transparence en utilisant le protocole des « smart contracts ». Ces « contrats intelligents » permettent notamment le paiement automatique des fonds lorsqu’un certain nombre de conditions sont remplies.

Les opposants à une éventuelle modification du code source appuient leur position en déclarant que ce qui fait la force d’Ethereum c’est sa nature décentralisée qui est censée être à l’abri du contrôle aussi bien des banques que des gouvernements ou encore des groupes de lobbying. Le chercheur en sécurité Rob Graham, s’exprimant sur la question, a déclaré qu’essayer de résoudre le problème auquel Ethereum fait face actuellement de cette façon, c’est trahir l’idée première de la philosophie de tels systèmes financiers : échapper à la corruption humaine. Pour lui, une telle mesure serait comparable au sauvetage des institutions financières de Wall Street en 2008 par l’argent du contribuable.

Pour l’heure, il n’y a aucune indication du soutien de cette proposition par quelques mineurs que ce soient, ce qui fait penser aux moins optimistes que l’avenir de cette monnaie virtuelle est gravement menacé. En effet, si la décision du rollback venait à être adoptée par la majorité des mineurs, il serait dès lors difficile de convaincre les détracteurs que la gestion de la monnaie virtuelle est décentralisée et incorruptible pour servir des intérêts personnels. Dans le scénario opposé, ce serait une utopie de prédire un avenir radieux à cette monnaie qui n’est encore qu’à ses débuts et qui se trouve aujourd’hui privée d’une part aussi importante de sa valeur.

Source : blog Vitalik Buterin, blog.erratasec.com

Et vous ?

Pensez-vous que recalculer le blockchain soit une solution acceptable pour sauver cette monnaie virtuelle ?

Voir aussi

Un bug de la cryptomonnaie ether permet à un hackeur de s’emparer de 50 millions $ en exécutant une fonction récursive du système de transaction

[nchal]

À qui profite le crime ? Y'a forcement un autre projet derrière qui va prendre la place d'Ethereum... C'est un peu con que l'ombre malveillante du capitalisme planne sur des projets avec d'aussi belles ambitions.

[Logan Mauzaize]

Les opposants à cette idée estiment que si Ethereum a été conçu avec ses propres langages de programmation dédiés, c’est pour éviter ce genre de manipulations et pour permettre au système de fonctionner en toute transparence en utilisant le protocole des « smart contracts ». Ces « contrats intelligents » permettent notamment le paiement automatique des fonds lorsqu’un certain nombre de conditions sont remplies.

Je vois pas où s'est perdue la transparence ...

Les opposants à une éventuelle modification du code source appuient leur position en déclarant que ce qui fait la force d’Ethereum c’est sa nature décentralisée qui est censée être l’abri du contrôle aussi bien des banques que des gouvernements ou encore des groupes de lobbying. Le chercheur en sécurité Rob Graham, s’exprimant sur la question, a déclaré qu’essayer de résoudre le problème auquel Ethereum fait face actuellement de cette façon, c’est trahir l’idée première de la philosophie de tels systèmes financiers : échapper à la corruption humaine. Pour lui, une telle mesure serait comparable au sauvetage des institutions financières de Wall Street en 2008 par l’argent du contribuable.

La corruption c'est le principe "d'acheter" une bonne partie du pouvoir de décision (30-40% suffise). Or, ici personne ne possède cette capacité. La décision revient bien à tous les "actionnaires". Donc la situation prouve parfaitement les valeurs du système.

Le fonctionnement des institutions financières étant aussi virtuel que celui des monnaires virtuels, il est clair que c'est exactement la même chose. A la différence prêt qu'il s'agit d'un système relativement fermé et seul celui-ci est impacté contrairement aux flux financiers qui sont interdépendants.

Pour l’heure, il n’y a aucune indication du soutien de cette proposition par quelques mineurs que ce soient, ce qui fait penser aux moins optimistes que l’avenir de cette monnaie virtuelle est gravement menacé. En effet, si la décision du rollback venait à être adoptée par la majorité des mineurs, il serait dès lors difficile de convaincre les détracteurs que la gestion de la monnaie virtuelle est décentralisée et incorruptible pour servir des intérêts personnels. Dans le scénario opposé, ce serait une utopie de prédire un avenir radieux à cette monnaie qui n’est encore qu’à ses débuts et qui se trouve aujourd’hui privé d’une part aussi importante de sa valeur.

Ce qui est con c'est que la question ne se pose pas à mon avis. Soit ils perdent la valeur produite depuis l'incident ce qui reste une minorité de la valeur totale et le système continue à fonctionner. Soit le système s'arrête et il n'y a plus aucune valeur.

Et plus le temps passe et plus la valeur produite depuis l'incident augmente (sauf si tous les mineurs sont à l'arrêt ?) et donc les pertes augmentent ...

Ou alors j'ai loupé quelque chose ?

[Dymmm]

Attention, il n'est pas question ici de rollback ou d'alterer la blockchain. Il est plus question, en somme, de modifier une partie du logiciel afin de bloquer les fonds détournée et / ou les restituer a TheDAO. Il est interressant de noter que le choix n'appartient pas tellement aux mineurs proprement dit. Les mineurs se regroupant dans des "fermes" afin de mettre en commum leurs puissances de calcul seul les personnes gérant le logiciel de la ferme devront faire le choix. Selon les mineurs intéréssés ce choix de fera selon des critères purement financiers et ne sera pas guidé par l'éthique ou par les principes fondamentaux que souhaitait véhiculer la monnaie elle meme.
Pour beaucoup, cette intervention sur le logiciel est bien l'aveux que cette monnaie ne tiens pas ses promesses. Il y a donc bel et bien un lobbying possible pour réguluer la monnaie. Ici, la DAO en difficulté va probablement réussir à obtenir des developpeur de Ethereum un bannissement d'un compte afin de récupérer de l'argent perdu suite à un smart contract contenant une faille.
Plus personnellement, d'un point de vue technique je peux comprendre l'intervention, car le détournement à probabelment été fait sachant que les personnes ayant écrit le smart contract ne souhaitait pas ouvrir une telle "fonctionnalité". D'un point de vue éthique, je désaprouve l'intervention car elle prouve que une organisation possédant une grosse somme peu obtenir l'altération du fonctionnement de cette monnaie. Bien entendu, si j'avais eu des billes dans TheDAO mon avis serait bien différent

[Invité]

Les mineurs se regroupant dans des "fermes" afin de mettre en commum leurs puissances de calcul seul les personnes gérant le logiciel de la ferme devront faire le choix. Selon les mineurs intéréssés ce choix de fera selon des critères purement financiers et ne sera pas guidé par l'éthique ou par les principes fondamentaux que souhaitait véhiculer la monnaie elle meme.

En sachant qu'à la base la blockchain a été conçue pour être complètement décentralisée ...
Perso je n'ai jamais miné d'Ethereum, mais juste pour le coup j'ai bien envie de lancer un mineur mais sans la modification pour peser un peu plus dans les votes contre. Pas par intérêt, mais par réaction à TheDAO.

[zoulman]

L'article n'est pas du tout exact...
La crypto monnaie ether n'a absolument pas été hacké et ethereum en soi n'est pas en cause.
Ce qui a été hacké c'est The DAO, un fond d’investissement décentralisé qui est (ou était plutôt) le plus gros smart contract de la blockchain avec environ 150 millions d'euros dans celui ci.

Ça change pas mal de choses sur la question du fork parce qu'en fait le smart contract s'est exécuté tout à fait normalement : c'est simplement l'auteur de celui ci qui n'a pas été assez vigilant et qui n'a pas vu une faille de sécurité dans celui ci.
Sachant qu'il s'est exécuté normalement et que le bug vient juste du contrat qui était mauvais, les anti fork considère qu'il n'y a pas de raison de forker la blockchain et d'ainsi casser le "code is law"
La question c'est donc de savoir si on doit suivre ce principe à la lettre pour ne pas casser la propriété d'immuabilité de la blockcahin ou bien si exceptionnellement il faut intervenir pour empêcher le voleur de partir avec les 50 millions d'euros et les rendre à la DAO.

[verbose]

Je ne connais Ethereum que de loin, mais la première pensée qui me vient est que ce qui a été fait une fois pourra l'être à nouveau. Le piratage qu'a subit DAO me semble lié à la nature même des Smarts Contract. Ethereum ne peut pas protéger ses utilisateurs de la corruption d'un contrat. Il sera toujours possible à un pirate d'exploiter une faille dans un Smart Contract si cette faille existe. C'est le mode décentralisé qui est au coeur de la faille de sécurité. La conception des contrats étant libre, elle est susceptible, malgré toute la bonne foi et l'honnêté de son développeur, d'héberger une faille.

[benjani13]

C'est le mode décentralisé qui est au coeur de la faille de sécurité. La conception des contrats étant libre, elle est susceptible, malgré toute la bonne foi et l'honnêté de son développeur, d'héberger une faille.

Ce n'est pas le mode décentralisé qui est en cause (tout du moins pour le problème orginal, pour sa résolution on pourrait en discuter) Le mode décentralisé te permet de t'assurer que le code du contrat que t’exécute et les données manipulées n'ont pas été modifiées par un tiers. Rien ne te dit que le contrat, légitime, n'est pas bourré de failles.

Centralisé ou décentralisé, tu utilise un service crée par un tiers, à qui tu fait assez confiance pour utiliser ledit service. L'erreur de base a sans doute été d'injecter autant d'argent dans the DAO alors que la plateforme Ethereum est encore très jeune et en rodage.

[Logan Mauzaize]

Attention, il n'est pas question ici de rollback ou d'alterer la blockchain. Il est plus question, en somme, de modifier une partie du logiciel afin de bloquer les fonds détournée et / ou les restituer a TheDAO. Il est interressant de noter que le choix n'appartient pas tellement aux mineurs proprement dit.

La crypto monnaie ether n'a absolument pas été hacké et ethereum en soi n'est pas en cause.
Ce qui a été hacké c'est The DAO, un fond d’investissement décentralisé qui est (ou était plutôt) le plus gros smart contract de la blockchain avec environ 150 millions d'euros dans celui ci.

Ça change pas mal de choses sur la question du fork parce qu'en fait le smart contract s'est exécuté tout à fait normalement : c'est simplement l'auteur de celui ci qui n'a pas été assez vigilant et qui n'a pas vu une faille de sécurité dans celui ci.
Sachant qu'il s'est exécuté normalement et que le bug vient juste du contrat qui était mauvais, les anti fork considère qu'il n'y a pas de raison de forker la blockchain et d'ainsi casser le "code is law"

Merci pour ces explications et précisions qui sont relativement importantes.

Les mineurs se regroupant dans des "fermes" afin de mettre en commum leurs puissances de calcul seul les personnes gérant le logiciel de la ferme devront faire le choix.

Étant des "associés" (désolé je connais pas le terme) des adresses du pool, ils n'ont pas leur propre voix ? Et rien ne les empêche de quitter le pool s'ils ne sont pas d'accord avec sa décision.

Selon les mineurs intéréssés ce choix de fera selon des critères purement financiers et ne sera pas guidé par l'éthique ou par les principes fondamentaux que souhaitait véhiculer la monnaie elle meme.

Je vois pas en quoi. Chacun prend ses propres décisions avec ses propres critères. Si les gens y viennent avec un intérêt financier, ce sera l'argent qui sera le pouvoir de décision. Il en reste pas moins que chacun a sa propre voix et devra se plier au système démocratique. Encore que chacun reste libre de partir dans la direction qui lui convient et provoquer la scission de la communauté.

Pour beaucoup, cette intervention sur le logiciel est bien l'aveux que cette monnaie ne tiens pas ses promesses. Il y a donc bel et bien un lobbying possible pour réguluer la monnaie. Ici, la DAO en difficulté va probablement réussir à obtenir des developpeur de Ethereum un bannissement d'un compte afin de récupérer de l'argent perdu suite à un smart contract contenant une faille.

Ce sont les déveoppeurs de Ethereum ou bien celui du DAO ?

Plus personnellement, d'un point de vue technique je peux comprendre l'intervention, car le détournement à probabelment été fait sachant que les personnes ayant écrit le smart contract ne souhaitait pas ouvrir une telle "fonctionnalité". D'un point de vue éthique, je désaprouve l'intervention car elle prouve que une organisation possédant une grosse somme peu obtenir l'altération du fonctionnement de cette monnaie. Bien entendu, si j'avais eu des billes dans TheDAO mon avis serait bien différent

"éthiquement", je reste indécis. D'un côté on a clairement un "voleur". D'un point de vue juridique, il a déjà été prouvé à de nombreuses reprises que l'exploitation d'une faille est un délit. Et même parfois, simplement sa révélation.
De l'autre côté, c'est le lot de tout investisseur. On donne sa confiance à un tiers (ici le DAO), et parfois on perd, des fois on gagne.

Je ne connais Ethereum que de loin, mais la première pensée qui me vient est que ce qui a été fait une fois pourra l'être à nouveau. Le piratage qu'a subit DAO me semble lié à la nature même des Smarts Contract. Ethereum ne peut pas protéger ses utilisateurs de la corruption d'un contrat. Il sera toujours possible à un pirate d'exploiter une faille dans un Smart Contract si cette faille existe. C'est le mode décentralisé qui est au coeur de la faille de sécurité. La conception des contrats étant libre, elle est susceptible, malgré toute la bonne foi et l'honnêté de son développeur, d'héberger une faille.

Pas plus que quand tu files 50€ à un ami, tu as une chance qui te les rende un jour. La différence ici c'est que tu es libre de consulter le contrat et que c'est un programme. Ensuite libre à toi de signer les yeux fermés ou pas.
Attention, je ne dis pas que la pleine compréhension d'un contrat est chose aisée, mais c'est comme dans la vraie vie. Sauf qu'ici point d'interprétation hasardeuse par un système judiciaire.

La réaction non-désintéressé d'Ethereum prouve tout de même qu'il y a une forme de protectionnisme. Mais cette intervention ne peut se faire sans l'accord des parties.

Le vrai problème à mon sens, ce sont les gens qui croient qu'un système bancaire est moins sûr qu'un système comme Ethereum. Les systèmes bancaires investissent des millions (des milliards ?) dans des systèmes de sécurité autant informatique que physique. Pour protéger les XXXX millards qu'ils brassent. Normalement, le système est protégé comme la BlockChain par le principe que l'investissement nécessaire à l'attaque soit plus important que le gain potentienl.
Ici en ayant injecté autant d'argent dans un seul DAO, il est clair qu'il devenait la cible d'attaque.
A noter tout de même deux points :

• tout ce principe fonctionne uniquement sur l'argent, car si la motivation de l'attaque est éthique alors le système finira tout ou tard par tomber.
• si la perte d'argent peut bénificier à un tiers extérieur, alors la récupération des fonds détenus n'est pas une nécessité pour l'attaque. Seul la faillite d'un (ou plusieurs) tiers impliqués dans le fond constitue une motivation. Ce qui multiplie pas mal les vecteurs d'attaque et donc la fragilité du système.

[benjani13]

Les mineurs se regroupant dans des "fermes" afin de mettre en commum leurs puissances de calcul seul les personnes gérant le logiciel de la ferme devront faire le choix.

Étant des "associés" (désolé je connais pas le terme) des adresses du pool, ils n'ont pas leur propre voix ? Et rien ne les empêche de quitter le pool s'ils ne sont pas d'accord avec sa décision.

Certains pool (la plupart? tous?) ont ouvert un vote auprès des mineurs des pools en questions. Par exemple (ethpool et ehtermine):
https://forum.ethereum.org/discussio...pool-ethermine

Les résultats pour ethpool et ethermine:
http://ethpool.org/stats/votes
http://ethermine.org/stats/votes

[Dymmm]

Étant des "associés" (désolé je connais pas le terme) des adresses du pool, ils n'ont pas leur propre voix ? Et rien ne les empêche de quitter le pool s'ils ne sont pas d'accord avec sa décision.
Je vois pas en quoi. Chacun prend ses propres décisions avec ses propres critères. Si les gens y viennent avec un intérêt financier, ce sera l'argent qui sera le pouvoir de décision. Il en reste pas moins que chacun a sa propre voix et devra se plier au système démocratique. Encore que chacun reste libre de partir dans la direction qui lui convient et provoquer la scission de la communauté.[/LIST]

Certains pool (la plupart? tous?) ont ouvert un vote auprès des mineurs des pools en questions. Par exemple (ethpool et ehtermine):
https://forum.ethereum.org/discussio...pool-ethermine

Les résultats pour ethpool et ethermine:
http://ethpool.org/stats/votes
http://ethermine.org/stats/votes

Les systèmes de votes de ces pools fonctionnent au mérite. Plus la puissance de calcul associée à une adresse est élevée plus elle aura de poids dans le vote. C'est donc le choix des personnes qui ont le plus de billes en jeu qui comptera réellement. La décision d'une interventions sur le code régissant le fonctionnement de la monnaie est alors détenu par une minorité de personnes.
Je ne trouve pas anormal que les personnes ayant plus de temps et d'argents dans le projet aient plus de pouvoir de décisions qu'un nouveau venu. Mais je regrette sincèrement que The DAO entraine Ethereum dans sa chute.
Sur le site officiel https://www.ethereum.org/ la première phrase que l'on peut lire est la suivante :

Ethereum is a decentralized platform that runs smart contracts: applications that run exactly as programmed without any possibility of downtime, censorship, fraud or third party interference.

Dans cette histoire nous avons bien un smart contract qui a tourné exactement comme il avait été programmé. Mais la fraude qui en a résulté va amener une censure d’adresse demandé par un tier.
A partir de ce constat je considère que les limites et les devoirs du projet ne sont pas respectés. Je vois le fork comme un échec d'un beau projet.

[verbose]

Centralisé ou décentralisé, tu utilise un service crée par un tiers, à qui tu fait assez confiance pour utiliser ledit service. L'erreur de base a sans doute été d'injecter autant d'argent dans the DAO alors que la plateforme Ethereum est encore très jeune et en rodage.

Je pense que le problème d'Ethereum est qu'il permet aux Smart Contracts d'accéder aux Ethers de ses utilisateurs. À partir de là, si une faille existe dans la manipulation de ces Ethers, rien dans l'infra d'Ethereum n'est là pour mettre un garde fou.