360 万 ETH 被盗改变了以太坊的历史，一篇回顾最大链上攻击历史的文章

2月22日，《Unchained》导演劳拉·申在福布斯发文称，根据其发现的相关证据，2016年以太坊The DAO事件的黑客身份疑似为联合创始人和 TenX 的首席执行官。军官，奥地利程序员 Toby Hoenisch。 Laura Shin 表示，根据她对嫌疑人的数据跟踪和区块链分析公司 Chainalysis 的链上分析，她锁定了 TenX 在新加坡的节点地址。 6年前历史上最大的黑客事件引起了很多人的开会。

“当时我看到以太坊创始人Vitalik突然发了一句话，说The DAO被黑了，钱被黑客拿走了。我以为是个玩笑，然后我愣住了。 ”加密货币钱包 ImToken 的联合创始人丹尼尔说。

360 万 ETH，当时超过 6000 万美元，是从这次影响深远的黑客攻击中窃取的金额。如果按照 ETH 的历史最高价计算，360 万个 ETH 价值近 175 亿美元。

价值 6000 万美元的两行代码

直到现在，很多人一想到6年前发生在加密行业的这起黑客事件，仍然心有余悸。

大家都知道，比特币是一个全球性的账本，安全地记录了所有的转账记录，可以实现无障碍的点对点转账。以太坊可以看作是比特币的2.0版本，可以把它看成是一台“全球计算机”。基于以太坊，开发者可以高效、快速地开发很多上层应用。

有了这样的系统，许多致力于解决现实世界痛点的项目开始出现。在当时，这种不依靠个人主观意志自行经营的经营方式受到了很多人的追捧。 The DAO 也是在这样的背景下诞生的。

这实际上是由一家名为 Slock.it 的德国初创公司发起的项目。这家公司当时做的是把实物资产上传到链上的业务，但是因为在传统行业很难筹集到资金，他们就产生了一个大胆的想法：既然没有人投资自己，为什么不创建一个投资机构呢？

他们引入了分布式自治组织的概念。通过使用合同，一群利益相关者（投资者）将资金放在一起。如果有人带着商业计划来寻求融资，每个人都投票决定是否需要投资，如果成功了，每个人都会分享收益。

整个过程实际上是这样进行的：用户提交他们想要获得投资的提案。提案公布后，如果得到半数以上用户的认可，那么这个虚拟的“VC”就会拿一笔钱投资到项目中。被投资项目需要保证其业务在未来通过本合同继续回馈组织，“VC”中的每个LP都能分享相应的收益。

完全基于智能合约运行的 DAO 受到社区的追捧。该项目于 2016 年 4 月末开始募资，不到一个月的时间，就吸引了 11000 名投资者参与，最终成功募集 1150 万 ETH。这个数量的 ETH 占当时整个以太坊网络的 15%。 ，总价值超过 1. 5 亿美元。这也使 The DAO 成为加密史上筹集最多以太坊的项目。

但当项目融资成功的消息传出时，危险的种子就悄悄埋下了。

当时，连团队都没想到这个项目能筹集到这么多钱。他们有信心将所有 ETH 放在一个地址中。这是一件非常可怕的事情。稍微有点常识的人都知道，如果你手里有大量的Token，最好将Token分发到多个地址。即使你失去了一些，它也不会消失。

木秀会被林风摧毁。 DAO 成为别有用心的黑客的“目标”。

其实早在 2016 年 5 月，以太坊团队的成员就曾呼吁此类 DAO 项目可能存在安全问题，并给出了几种可能的攻击场景。 6 月 11 日，另一个以太坊项目也发现合约存在这样的问题。幸好被及时处理比特币的历史价格回顾，没有造成任何损失。

然而，即使团队收到了同样的安全报告，他们也没有注意，认为漏洞不是威胁。此外，已经有几十个提案等待投票。如果合约被暂停检查，估计社区不会接受。

就在每个人都认为一切都很好的时候，危险来了。

黑客很聪明，他在6月15日第一次悄悄写了攻击合约，埋伏了两天，直到6月17日才开始行动。黑客利用合约漏洞，成功从主合约中转出超过 360 万 ETH，并转入子 DAO。这是一种递归的拆分方式，最后把收集到的币一次性转走。

问题出在以下两行代码：代码是正确的，但是顺序颠倒了。

有人分析说，如果程序员把上下两行代码的顺序改一下，功能不会变，但可以避免漏洞。也许 DAO 它起作用了。

当然，这只是一个美丽的幻想。黑客利用这一漏洞，成功转移了超过 300 万枚 ETH，在加密社区引起轩然大波。

这次攻击导致该项目损失了 360 万 ETH。按照当时的价格，总价值超过6000万美元。如果按照 ETH 的历史高价计算，损失的资产近 175 亿美元。这一消息迅速影响了二级市场，以太坊价格从 20 美元跌至 13 美元以下，跌幅超过 30%。

然而，狡猾的黑客没想到，由于child DAO的合约还处于创建阶段，并且有27天的锁定期，他将无法在短时间内转账时间。

大家只剩下二十天了，大家必须在转款前做出决定。

攻击后，Vitalik 发表文章还原 The DAO 的攻击细节，并给出了解决方案。他提议社区对以太坊区块链进行软分叉，并将与之相关的交易视为无效交易，以防止攻击者提取被盗的 ETH。之后比特币的历史价格回顾，发起硬分叉投票并取回 ETH。

在转币之前，以太坊社区发布了这么大的动作，黑客们坐不住了。

6 月 18 日，声称领导这次攻击的黑客现身，并向 The DAO 和以太坊社区发出了一封公开信，他在信中表示，他不相信社区对他的定义。非常失望的行为是“盗窃”，声称自己获得的ETH是合法合法的，“我律师事务所表示这种行为完全符合法律规定”。

但是发现他留下的签名是假的，所以这封公开信可能是伪造的。

6 月 19 日，一位名为“daoattacker”的用户仍在讨论该事件的 slack 频道侵扰，并在匿名对话中表示，他将采取措施暂停对其财产的有组织攻击。 “盗窃”，“很快我们将开发智能合约，奖励不支持软分叉的矿工，共计 100 万以太币和 100 比特币。”试图鼓励矿工不要支持分叉。有意思的是，他还给在讨论区留下地址的人发了几个btc。

“黑客”的意思很明确：不认识以太坊分叉。然而，大多数社区都忽略了他的辩护。

很快，以太坊社区发起了是否支持硬分叉的投票，近97%的ETH持有者投了赞成票，只有少数人不同意分叉，最终硬分叉方案一致通过。

2016年7月15日，具体硬分叉方案公布，提现合约开始建立。分叉执行的最终期限确定，85%以上的算力支持硬分叉，以太坊硬分叉成功。

现在，当我们回顾加密世界的这起黑客事件时，我们会发现这次攻击不仅让 The DAO 倒闭，而且还有另一个更糟糕的“副作用”：很多人开始怀疑，是去中心化自治组织是一种幻想，“代码即法律”是空中楼阁吗？以太坊社区为了挽回大部分投资者的损失，确实发起了硬分叉投票并停止了攻击。

但从某种角度来看，“黑客”所说的并非没有道理：DAO 本身就是一个智能合约，它的仲裁者就是它自己，没有其他外部节点可以改变已经制定的规则。以太坊的官方做法推翻了这个规则。

在很多情况下，开发者编写代码时可以尽可能避免黑客事件，但加密世界的黑客不仅可以利用代码行，还可以利用人类治理的漏洞。

免责声明：本文旨在传达更多信息，并不暗示对其观点的认可或对其描述的确认。本网站提供的信息仅供参考。