【第 59 期 | 事件】币圈大地震—360万个ETH带来的教训
09:44 Share

Hi，大家好。这里是OK情报局，我是圆圆。 今天ETH猛发力，创下2019年新高。据OKEX行情显示，早上8点多最高涨至182美元，后稍有回落，截至下午三点暂报178美元。圆圆看了表示很欣慰，毕竟曾经有段时间我也是对ETH有信仰的人。 所以今天就给大家讲一个和以太坊历史有关的事件，在我看来曾经是一场“币圈大地震”。 2016年6月17日，以太坊创始人V神在社交媒体上急匆匆发了一篇帖子，“DAO遭到攻击，请交易平台暂停ETH/DAO的交易、充值以及提现，等待进一步的通知。新消息会尽快更新。”

帖子一发出，网络上便炸了锅。下面的回复都是调侃、谩骂。有人说“好耶！比特币万岁，以太坊药丸”，还有人说“真讽刺，之前还说以太坊没事，The DAO没有被黑。”当然，还有很多人惶恐，担心着自己丢失的钱。 V神帖子中所说的就是史上最大的智能合约漏洞事件——The DAO事件，也是我们在以太坊历史上早期最惨痛的一个教训。 揭开The DAO的神秘面纱** 先说说The DAO是什么？ The DAO是一家叫Slock.it的公司基于以太坊区块链平台发起的一个众筹项目，它是一个去中心化自治组织，因为其行为完全由智能合约中的代码来主导，所以称为“自治”。这是源自DAO的概念，DAO的英文全称是Decentralized Autonomous Organization （去中心化自治组织），是V神提出的一个概念。这个去中心组织，依靠智能合约在区块链上运行，没有法律实体，我们可以把它理解成“去中心化的公司”。 这么听可能还是有点复杂，那咱们试着闭上眼睛，想象在一个完全由代码控制的公司里，看不到Founder，没有CEO，没有CTO，也没有人事财务研发市场等部门，刨去了攀比、懒散、官僚等降低公司效率的人为因素，只有一个不受任何影响的机器在默默地精确地运作，这绝对是历史性的变革模式。 这一点也是The DAO曾经盛名一时，被光环笼罩的缘故，智能合约当时也一度被捧上了天。 这里补充一个有趣的事情：The DAO的代码是由Slock.it的成员编写的，但Slock.it原本只是想采用DAO来运作他们自己的系统。后来随着开发的深入，他们发现DAO框架也适用于其它项目，而且他们认为去中心化经济模式很有前景。于是他们野心勃勃地创建了The DAO项目，称为”the mother of all DAOs”（DAO之母的意思）。 而The DAO成立的初衷是希望像风险投资基金（VC）那样来运作加密和去中心化项目，通过以太坊筹集到的资金会锁定在智能合约中，没有哪个人能够单独动用这笔钱。后来的事实证明它确实做到了，没有集中的权力约束，降低了成本，并在理论上为投资者提供了更多的自我控制和入场机会。 在The DAO项目中，代币持有人将会拥有审查和投票表决权，决定项目资金的用途等，还可以通过投票的方式投资以太坊上的应用，如果盈利就可以获得相应的回报。这些机制也为The DAO声势浩大的众筹做了铺垫。 2016年4月30日，The DAO开始了为期28天的众筹，当时项目代币DAO的价格大约是：100DAO≈1-1.5ETH，参与众筹的人可以按照出资金额获得相应的DAO代币。截至众筹结束The DAO总共筹到了超过1200万个以太坊，差不多占了当时以太坊数量的14%，按照当时的币价计算价值超过了1.5亿美元，参与众筹的人数超过11000人。这一系列数字在当时看来都是创纪录的，于是，The DAO顺理成章地成为了区块链史上最大的众筹项目。

或许是人们太沉浸在这个伟大的的项目里了，众筹一结束，大家就已经在迫不及待地等待The DAO开始应用，交易所也纷纷上线DAO代币。然而，一片盛况之下谁也没想到危机这么快就来了。 The DAO一夜倾覆** 项目方在6月12日宣布，他们发现项目中存在“递归调用漏洞”问题，但是有层层的安全机制作保证，DAO的资金不会有风险。 但就在他们轻视这个问题的时候，一位手段高超、走位风骚的黑客发现了这个漏洞，在6月15日-17日创建攻击合约并开始对The DAO项目中存储资金的地址进行攻击，这个合约被激活后，不断从The DAO资金池中分离以太币资产，每3-4分钟向攻击者的账户发送约4,000美元的以太币。 V神得知攻击消息后立即通知了中国社区，并决定先用软分叉的方式解决。他在以太坊官方博客发布了[ 紧急状态更新:关于DAO的漏洞 ]公告，向大家解释了被攻击的一些细节以及软分叉的方案。V神表示软分叉不会有回滚，不会有交易和区块被撤销的情况，只是从块高度1760000开始把任何与 The DAO以及DAO子组织相关的交易认做无效交易。

软分叉实行后黑客的第一波攻击得到了有效的制止。但是这位黑客十分机智，反应迅速，6月19日又发起攻击，而且为了防止盗取的资产被销毁（按照正常情况，The DAO的资产被分离之后，就会被销毁。），黑客利用The DAO的另一个漏洞在递归调用结束前把自己的DAO资产转移到了其他账户。 而之所以说这位黑客手段高超走位风骚还有一点是，他不仅站出来论证自己的攻击行为是合理合法的，同时还放话要奖励不支持软分叉的矿工100万个以太币和100个比特币。矿工哪经得住诱惑？我们都知道，矿工的信仰就是币，哪里有币，就往哪里挖矿，假如矿工真的都支持黑客那就很惨了，黑客攻击事件说不定就演变成生态发展之争了。 所以，软分叉的处理方案可能也不顶用了。 在新的解决办法实行之前，最后的结果是黑客一共进行了200多次攻击，成功地盗取了超过360万个ETH，超过了该项目筹集的以太坊总数的三分之一。黑客将这些ETH放入一个DAO的子组织中，但他可能没想到因为这个组织和The DAO结构相同，盗取来的ETH有28天的锁定期。这个时候黑客估计也是一脸懵逼+无奈，没办法，在这28天里，黑客只能等着。但是项目方和以太坊基金会急得像热锅上的蚂蚁，因为一旦锁定期结束，假如黑客将这360多万个ETH套现砸盘，对ETH来说会是致命的打击，所以以太坊基金会只能紧急决定进行硬分叉，这对以太坊来说也是一个无路可走的艰难选择。 以太坊CCO（首席文化官）Stephan Tual表示，通过硬分叉的方式可以追回所有的丢失的ETH，包括DAO地址里的被盗资金都会回滚到智能合约之上，这样每个参与The DAO项目的人都可以重新拿回代币。 7月20日晚，以太坊区块链硬分叉成功实施，从此形成两条链，一条为原链（ETC），一条为新的分叉链（ETH）。黑客窃取的以太币已被重新找回，转移到了一个新的地址（0xbf4ed7b27f1d666546e30d74d50d173d20bca754）。 毫无疑问，这一切意味着The DAO的终结，The DAO事件也暂时画下了句号。但这件事情像一场大风暴一样在区块链世界呼啸而过，留下了一些“残枝落叶”，也在人们心中留下了一串串问号和一系列思考。 360万个ETH留下的思考** 由于The DAO失窃的资金数额巨大，以太坊当时的币价和市值也受到了影响。最关键的是，人心开始动摇，智能合约的安全性和区块链的去中心化被质疑...... 一个由机器来执行的智能合约居然能够撤销、 回滚，智能合约安全吗？还值得信任吗？ The DAO这种中心化的资金管理，以太坊中心人物决定的解决方案，区块链的去中心化到底是虚是实？ ...... 在The DAO事件中，不管是软分叉还是硬分叉的解决方案，都是要修改智能合约的编程，也就是区块链的共识协议，这件事情对以太坊甚至区块链的共识信任的伤害是深刻的。但如果什么也不做， 严格遵从The DAO的宗旨，虽然可以避免被指责有道德风险，但要放弃的就是大多数投资人的利益，而且会放纵黑客的行为。所以不管做出什么决定， 总会有人诟病。

但我们都知道，一个新的技术从萌芽到壮大再到被大众信仰推崇需要漫长的过程，且一定会经历重重考验。 以太坊在当时作为一个初始阶段的区块链开放平台，在早期社区管理模式还有太多未知数的情况下就被大家热捧，可能终究躲不过要上这惨痛的一课，但从长远角度来看，这对区块链的发展带来了一些宝贵的经验。 遭受黑客攻击是因为一个智能合约漏洞，并不是以太坊区块链内在的问题。也就是说如果代码写得正确，就可以避免这么惨重的损失，所以人们开始更加重视区块链项目的安全性。 The DAO事件还引来了美国SEC的裁决，DAO提供和出售的代币属于证券，需要受到联邦证券法的约束，也就是说这种众筹的行为违反了联邦证券法，所有投资者也一样。这一点也给之后的区块链项目敲了警钟，一些区块链初创企业在进行代币众筹时需要想办法规避监管风险。 而至于区块链的去中心化的价值问题，也一直是我们思考的事情，就让它在实践和时间中慢慢体现吧。 好了，以上就是今天的全部内容了，这里是OK情报局，欢迎大家关注我们的《区块链情报速递》专辑，每天涨姿势！我们下期见~