La DAO ou Decentralized Autonomous Organisation était censée être « une nouvelle espèce d’organisation, entreprise pour la première fois » *.
Elle a pour but d’offrir un fonds d’investissement qui se gérerait tout seul, sans gestionnaire, démocratiquement, en investissant les fonds, convertis dans la monnaie virtuelle nommée ‘ETH’, dans des projets en fonction du vote de ses investisseurs.
Elle fonctionne sur la base de la dernière idée à la mode : la chaîne de blocs (blockchain en anglais), une base de données distribuée qui gère une liste d’enregistrements protégés contre la falsification ou la modification par les nœuds de stockage, une chronologie décentralisée et sécurisée de toutes les transactions effectuées depuis le démarrage du système réparti.
L’ETH est la monnaie virtuelle de la chaîne de blocks Ethereum.
La DAO insiste :
‘La DAO est le fruit de code source immuable, irrésistible et irréfutable. »
Sur ces belles promesses, l’entreprise a récolté près de 160 millions de dollars de fonds en un temps record, et s’est autoproclamée le plus grand succès de l’investissement participatif.
Fin mai, des chercheurs alertent qu’ils ont trouvé sept failles au système et proposent un moratoire temporaire le temps de trouver des solutions. Ils constatent qu’il est possible de pervertir les mécanismes censés assurer l’honnêteté et les décisions démocratiques, et montrent comment une organisation malveillante pourrait exploiter le système de vote qui permet aux investisseurs de la DAO de choisir les investissements.
Ce dont il n’a pas été tenu compte. Ni par la DAO, ni par slock.it, la start-up à l’origine du code source censé être parfait.
Il n’aura pas fallu plus de deux semaines à un pirate pour exploiter ces failles, et dérober 50 millions de dollars, soit près du tiers du fonds.
Les créateurs ont bloqué les transferts de fonds, est espèrent les récupérer en modifiant le code source de la DAO.
Une modification, ils le promettent, qui sera unique. Mais contre laquelle s’opposent des investisseurs, qui ont investi dans une technologie qui était censée être à l’abri de l’intervention humaine.
Et le fondement de la confiance dans la chaîne de blocs repose dans la croyance selon laquelle elle est infalsifiable et résistante à la censure, le changement, les demandes et les attaques.
Dans le cas présent, les pirates ont exploité la vulnérabilité sur les appels récursifs, une transaction qui déplace les fonds de la DAO vers un compte extérieur dans une boucle infinie. Et suite à l’annonce du piratage, le cours de la monnaie virtuelle ETH a baissé de 33 %.
Pire encore, selon les statuts même de l’entreprise, et les conditions d’utilisation de la DAO, on ne peut qualifier le pirate de pirate. Il s’agit d’un investisseur qui a exploité des mécanismes autorisés. Sachant que :
« L’accord de consitution du DAO est défini par le code source du contrat intelligent résidant sur le nœud 0xbb9bc244d798123fde783fcc1c72d3bb8c189413 de la chaîne de blocs. Aucune des informations de cette notice d’explication, ni dans aucun document ou communication ne peut modifier ou ajouter une garantie ou une obligation supplémentaire à ce qui est contenu dans le code source. Toute explication ou illustration n’est fournie que dans un but éducatif, et ne modifie pas et ne remplace pas les termes du code source de la DAO dans la chaîne de blocs. »
Seul le code compte, et le code autorise les virements récursifs. Il ne s’agit donc ni de piratage, ni de vol. La décision de bloquer les fonds du ‘pirate’, et de modifier le code source, pourrait donc être contestée devant un tribunal par ce dernier, et de l’avis même des spécialistes, il pourrait poursuivre slock.it en justice pour toute modification des ‘contrats intelligents.’
Les politiciens sont tombés amoureux du concept de la chaîne de blocs. En France, à la Commission européenne et même à la direction de la réserve fédérale des États-Unis, on pousse les banques centrales et les banques privées à accélérer leurs expérimentations sur les chaînes de blocs, censées apporter transparence, réduction des coûts et nouveaux emplois.
On espère que la péripétie de la DAO les persuadera de privilégier la recherche et l’étude sur les chaînes de bloc, et le code source en tant que remplaçant de l’humain, à l’apologie et la mise sur le marché au plus vite.
* Traductions : Le Diligent