臭名昭著的2016年DAO黑客事件仍然是加密货币历史上最重大的事件之一。它重塑了以太坊的发展,并导致了以太坊经典的诞生。这一灾难也展示了去中心化区块链系统的风险和韧性。本指南全面介绍了DAO黑客事件的经过、随后硬分叉和软分叉的影响,以及它对以太坊生态系统的持久影响。
关键要点➤ 2016年DAO黑客事件暴露了以太坊智能合约代码中的关键漏洞。➤ 以太坊的硬分叉创造了以太坊(ETH)和以太坊经典(ETC),使社区在不可变性问题上产生分歧。➤ 重入攻击突出了关键的智能合约缺陷,促使区块链项目优先考虑安全性和代码审计。➤ DAO黑客事件使加密资金从DAO转向ICO,从而减少了监管,增加了风险。
在本指南中:- 解释DAO黑客事件
- 安全措施和社区的初步反应
- 以太坊硬分叉:分裂区块链
- 以太坊与以太坊经典一瞥
- DAO黑客事件如何改变区块链安全
- 常见问题
解释DAO黑客事件
➤ DAO的简单介绍:
DAO是一个建立在以太坊区块链上的去中心化自治组织。它旨在通过让利益相关者直接投票决定资金提案来实现投资管理的去中心化。
DAO的结构完全依赖于智能合约来管理决策和交易,没有传统的中介。这种方法代表了去中心化治理的一个突破性概念。
简单地说,DAO希望建立一个民主制度,通过促进去中心化决策来降低成本和减少人为错误。它在推出后不久就吸引了大量投资,累计超过1.5亿美元的ETH。
注意:当我们提到"DAO"(大写T)时,我们指的是2016年遭到黑客攻击的DAO项目,而不是去中心化自治组织。
然而,DAO的快速采用也引起了关注,开发者和安全分析师对其代码库中的潜在漏洞提出了担忧。
毕竟,考虑到DAO内锁定的价值,即使是微小的缺陷也可能产生重大后果。任何处理大量资产的智能合约都是潜在攻击的主要目标。
➤ 事实上,另一个去中心化系统MakerDAO最近也出现了一个严重的漏洞,幸运的是它还在测试阶段,没有被利用。而DAO则已经完全投入运营,这使它成为一个容易被攻击的目标。
黑客发动攻击:事件时间线
DAO黑客事件始于2016年6月17日,一名匿名黑客利用DAO智能合约中的一个漏洞进行了攻击。他们最终成功地转移了价值约6000万美元的ETH(按当时的估值)。
以太坊社区眼睁睁地看着资金从DAO转移到黑客控制的账户。可以想象,这一事件在整个网络范围内引发了恐慌。
到当天结束时,大约三分之一的DAO资产已转移到黑客的账户。到2016年6月18日结束时,ETH价格从20美元多跌到13美元以下。
事实证明,这次入侵利用了DAO结构中的漏洞,特别是其智能合约中的一个重入漏洞。
以太坊开发者迅速采取行动,提出了几种解决方案来阻止黑客并收回被盗资金。他们多次尝试分割DAO以防止进一步损失,但实施所需的投票无法及时得到保证。
一个关键的设计缺陷使情况恶化:DAO意外大量的ETH池资金集中在一个地址上,这使其成为一个有吸引力且容易被攻击的目标。
攻击者可能在听说一项可能逆转盗窃的硬分叉解决方案后自愿暂停了行动。
然而,DAO结构中的漏洞——特别是重入漏洞——仍然是一个重大风险。这突出了彻底审核和测试智能合约的重要性。
随后发生的事件导致以太坊区块链结构发生了根本性变化。
➤ 这次攻击不仅突出了智能合约审计的重要性,还导致了以太坊和以太坊经典的分裂,这仍然是加密货币历史上的一个关键时刻。
理解重入攻击:黑客事件的经过
DAO黑客事件依赖于一种非常特定的漏洞,即重入攻击。这种漏洞允许黑客在合约余额更新之前反复提取资金。
以下是重入攻击的工作原理以及它在DAO入侵中的关键作用:
1. 智能合约机制:DAO中的每一次提款交易都由一个函数处理,该函数先将资金发送到用户的钱包,然后在账本中更新用户的余额。
例如:Alice在DAO中有2 ETH。当她提取1 ETH时,合约会将1 ETH发送到她的钱包,然后将她的余额更新为1 ETH。这种每次提款后的余额更新可以防止她超出剩余的1 ETH进行任何进一步提款。
2. 漏洞:重入漏洞允许外部合约在状态更新之前反复与主合约进行交互。这可能导致同一功能(在本例中为提款功能)被意外多次执行。
例如:一个漏洞使得恶意合约能够在余额更新之前与主DAO合约进行交互。尽管Alice的余额显示为2 ETH,但这个漏洞允许恶意合约以递归循环的方式触发多次1 ETH的提款,直到余额被修正。
3. 利用过程:黑客使用一个恶意合约以递归循环的方式调用DAO的提款功能。每次提款时,合约都会在余额更新之前重新进入提款功能,不断抽取资金。
例如:黑客使用一个恶意合约以循环的方式调用DAO的提款功能。每次发送1 ETH时,合约都会在更新余额之前重新进入提款功能。这使得黑客能够反复提取1 ETH,即使Alice的账户中只有2 ETH。
4. 缺乏状态更新:由于DAO的余额没有随每次提款而更新,黑客的合约就能够反复抽取资金。因此,他们设法清空了DAO的持有量。
例如:由于合约没有更新每次调用的余额,黑客的合约就能够一次次提取1 ETH。这个漏洞让黑客能够提取远远超出Alice原有2 ETH的资金。
简单地说,重入攻击利用了智能合约在每次提款后更新余额的假设。
这个疏忽成为一个代价高昂的缺陷,突出了在处理大量资金的去中心化自治组织中,精心编码实践的重要性。
安全措施和社区的初步反应
随着攻击消息的传播,以太坊开发者迅速采取行动。他们设法暂时阻止了黑客访问被盗资金的能力。
原来被盗的以太坊被转移到一个"子DAO"中,这是原DAO的一个副本。由于DAO中编码的28天持有期,黑客无法立即访问这些资金。这给以太坊社区一个时间窗口来决定如何应对。
Buterin提出软分叉
在6月17日发生攻击的当天,以太坊联合创始人Vitalik Buterin确认DAO正遭受攻击。他提出了一个解决方案,即通过软件分叉(不需要回滚任何交易或区块)来阻止进一步的ETH损失。
提议的分叉将使任何试图从与DAO相关的地址提取ETH的交易无效。这样,被盗的资金将永远被冻结。
Buterin解释说,这个解决方案不会重写过去的交易,而是在以太坊的代码中添加一个"开关"。他补充说,这样做将阻止任何从DAO及相关地址转移ETH的行为。
这个"一次性修复"旨在永久锁定受损的以太。Buterin进一步建议:
"矿工和矿池应该恢复正常允许交易,等待软分叉代码,并准备下载和运行它,如果他们支持这种方法来维护以太坊生态系统。DAO代币持有者和以太坊用户应该保持冷静,而交易所可以安全地恢复ETH交易。"
— Vitalik Buterin,以太坊联合创始人,发布于博客文章
简而言之,这将在以太坊的代码中添加一个黑名单,以防止攻击者访问被盗的资金。Buterin的提议旨在保护DAO投资者,但需要大多数以太坊节点采用。这引发了关于干预和区块链原则的激烈辩论。
另一种选择:硬分叉
另一个更积极的提议敦促矿工完全逆转黑客攻击,使所有被盗的ETH返回到DAO。这样,代币持有者就能自动赎回他们的资金,从而有效地结束DAO。
这种方法将从根本上改变区块链执行交易的方式,这相当于挑战不可变性的原则。问题是:以太坊是否应该只打破这一规则一次来恢复项目的完整性?
➤ 总的来说,社区讨论了三种应对漏洞的方案:
- 软分叉:一种临时解决方案,通过将与攻击相关的特定地址列入黑名单来冻结黑客的资金。这样做将阻止资金的进一步转移。
- 硬分叉:一种永久性解决方案,将有效"逆转"黑客攻击,通过改变以太坊账本来恢复原DAO的资金。
- 不采取行动:一些社区成员反对任何干预,认为即使面临安全漏洞,区块链也应该保持不可变。
黑客的回应:一个有争议的声明
在一个意外的事态发展中,一封据称来自DAO黑客的公开信于2016年6月18日出现在网上。该信件向DAO和以太坊社区表示,从黑客攻击中获得的ETH是"合法的奖励"。
黑客更进一步威胁要对任何试图逆转他的收益的人采取法律行动。然而,几个人注意到这封信的加密签名无效,这使其真实性受到质疑。
尽管如此,这封信提出了一些有趣的观
这一决定实际上"倒带"了以太坊的历史到黑客攻击发生之前的时间点,并删除了攻击者的交易记录。硬分叉的结果引起了争议,因为它与区块链的核心原则"不可篡改性"相矛盾。
结果,以太坊被分裂成两条链:
- 以太坊(ETH):采用硬分叉以优先考虑安全性和用户信任的链。
- 以太坊经典(ETC):拒绝硬分叉以维护不可篡改性原则的链。它保留了原始历史,包括The DAO黑客攻击。
最终,硬分叉分裂了以太坊社区,两条链继续独立运行。这一里程碑事件自此成为了关于去中心化治理和区块链安全性挑战的一个鲜明警示。
以太坊与以太坊经典一览
| 特征 | 以太坊(ETH) | 以太坊经典(ETC) |
|---|---|---|
| 起源 | 在2016年The DAO黑客攻击及随后的硬分叉后创建 | 原始以太坊区块链,在The DAO黑客攻击后保持不变 |
| 核心理念 | 通过允许进行更改来纠正问题,优先考虑安全性和用户信心 | 坚持不可篡改性和保留区块链的遗产 |
| 共识机制 | 权益证明(PoS) | 工作量证明(PoW) |
| 开发社区 | 规模大且活跃,拥有大量资金和定期升级 | 相对较小的社区,资源和更新较少 |
| 主要用例 | 去中心化应用(DApps)、DeFi、NFTs、智能合约 | 智能合约、DApps |
| 安全重点 | 持续升级和注重安全的改进(如PoS过渡) | 强调代码不可篡改性,升级较少 |
| 交易费用 | 在以太坊过渡到PoS后降低 | 由于PoW处理,通常较高 |
| 供应上限 | 没有固定上限;ETH供应通过协议升级进行管理 | 固定上限为2.1亿ETC |
| 受欢迎程度和采用情况 | 高,被开发者、企业和用户广泛采用 | 适中,得到纯粹主义者和原始区块链支持者的支持 |
| 未来路线图 | 持续升级(如分片、可扩展性改进) | 保守升级,专注于安全性和稳定性 |
经验教训
The DAO黑客攻击标志着区块链安全的一个转折点。它突显了需要全面的智能合约审计和防止重入攻击的重要性。
以太坊对这次攻击的响应包括安全升级和防止类似漏洞的指南。以下是一些关键的安全经验教训:
- 智能合约审计:The DAO黑客攻击突显了在部署智能合约之前进行严格的代码审查和审计过程的重要性。
- 防止重入攻击:开发者学会实施防范重入攻击的保护措施,使用检查-效果-交互模式,确保在外部调用之前更新状态。
- 多重签名合约:这次黑客攻击突显了多重签名授权的重要性,以增加高价值交易的安全性。
- 社区响应机制:这次黑客攻击表明,在未来危机事件中需要有社区范围的共识机制,因为关于不可篡改性和干预的辩论继续塑造着区块链治理。
简单地说,这次漏洞促使开发者采用更严格的测试实践。它给以太坊生态系统和更广泛的区块链行业留下了持久的影响。
The DAO黑客攻击如何改变了区块链安全
The DAO黑客攻击最终成为了整个区块链领域的一个重要教训。它推动了整个加密货币行业优先考虑安全性。回顾过去,这一事件使加密货币融资模式从集体DAO转向ICO,从而减少了监管和尽职调查。
尽管ICO使资本更容易获得,但也导致了欺诈的增加,投资者缺乏保护。尽管出现了这些变化,但推动早期以太坊项目的远见卓识精神仍然相关,The DAO的遗产仍然激励人们追求安全、去中心化的应用程序。
常见问题
DAO中的"自治"是什么意思?
"自治"在DAO中意味着其操作和治理由自执行代码管理,没有人工监督。这使DAO能够独立于传统的管理结构运作。决策根据编码在智能合约中的规则自动执行。
DAC和DAO有什么区别?
DAC(去中心化自治公司)通常作为一个以营利为目的的实体运作。它们通常在结构上类似于公司。相比之下,DAO(去中心化自治组织)可以追求超越利润的各种目标,并拥有更广泛的涉及社区输入的治理模式。而DAC强调利润分配,DAO则强调去中心化治理。
The DAO黑客攻击中损失了多少?
在2016年6月的黑客攻击中,约价值6000万美元的ETH被从The DAO中转走(基于当时的估值)。攻击者利用智能合约中的重入漏洞执行了这次入侵。这一事件最终导致以太坊区块链内部发生了重大结构性变化。
第一个DAO怎么了?
第一个DAO在2016年的黑客攻击后崩溃,这暴露了其代码中的缺陷。以太坊社区选择进行硬分叉来解决这一漏洞。这一分裂导致了两个独立的区块链:以太坊(ETH)和以太坊经典(ETC)。
The DAO黑客攻击能否被预防?
对The DAO的智能合约代码进行严格的测试和审计可能会事先发现这个漏洞。被攻击者利用的重入漏洞是合约设计中的一个已知风险。因此,很可能全面的审计能够降低如此大规模利用的可能性。
以太坊和以太坊经典有什么区别?
以太坊(ETH)通过硬分叉逆转了The DAO黑客攻击,并恢复了所有被盗资金。以太坊经典(ETC)保留了原始区块链,优先考虑不可篡改性并保留未经改动的交易历史。这些不同的理念继续定义着每个网络在治理和更新方面的方法。
The DAO黑客攻击有什么后果?
The DAO黑客攻击导致了以太坊的硬分叉,这反过来又分裂了社区,并导致了以太坊经典的创建。它还加强了对区块链安全性的关注,特别是针对智能合约。这一事件重塑了整个区块链行业的安全标准发展。
