2月22日,Unchained主管Laurashin在Forbes上发帖称,根据发现的相关证据,以太坊2016年Thedao事件中的黑客身份被怀疑是Tenx联合创始人兼首席执行官,奥地利程序员Tobyhoenisch。Laurashin表示,根据其对嫌疑人的数据跟踪和区块链分析公司Chainalysis的链上分析,她锁定了Tenx在新加坡的节点地址。六年前历史上最大的黑客攻击事件引起了很多人的会议。 当时看到以太坊创始人Vitalik突然发了一句话,说Thedao被黑客攻击了,钱被黑客拿走了。我以为是个玩笑,然后我就糊涂了。加密货币钱包Imtoken的联合创始人Daniel说。 360万ETH,当时超过6000万美元,这是影响深远的黑客攻击的被盗金额。如果按照ETH历史最高价格计算,360万ETH的价值接近175亿美元。 两行代码价值6000万美元。 到目前为止,很多人在想到六年前加密行业的黑客攻击事件时,估计还会心有余悸。 众所周知,比特币是一个安全记录所有转账记录的全球账户,可以实现无障碍的点对点转账。以太坊可以看作是比特币的2.0版本,也可以看作是一台全球计算机。开发人员可以高效快速地开发许多基于以太坊的上层应用程序。 在这样一个系统中,许多致力于解决实际痛点的项目开始出现。当时,这种不依赖个人主观意志的操作模式受到了许多人的追捧。在这种背景下,Thedao诞生了。 事实上,这是一个由德国初创公司Slock.it发起的项目。当时,该公司从事实体资产的连锁业务,但由于难以在传统行业融资,他们有了一个大胆的想法:既然没有人投资自己,为什么不建立一个投资机构呢? 他们介绍了分布式自治组织的概念,并通过合同将一群利益相关者(投资者)放在一起。如果有人拿着商业计划寻求融资,每个人都决定是否投资。如果它成功了,我们将分享收入。 它的整个过程实际上是这样运作的:用户向它提出了一个proposal,希望获得投资。提案公布后,如果超过一半的用户投票同意,虚拟VC将向项目投资一笔钱。被投资项目需要确保其业务在未来通过本合同继续返还给该机构,而VC中的每个LP都可以获得相应的收入。 Thedao以智能合同的运作受到社区的追捧。该项目于2016年4月底开始募集资金。不到一个月,它就吸引了11000名投资者参与。最后,它成功地筹集了1150万个以太坊。如此多的ETH占当时以太坊流通量的15%,总价值超过1.5亿美元。这也使得Thedao成为加密史上以太坊数量最多的项目。 但当项目融资成功的消息传出时,危险的种子悄然被埋下。 当时连团队都没想到项目能赚这么多钱,自信地把所有的ETH都放在一个地址里。这是一件非常可怕的事情。有一点常识的人都知道,如果你手里有一个巨大的Token,最好把Token分散到多个地址,即使失去了一部分,也不会消失。 木秀将被林风摧毁。Thedao成为黑客攻击的目标。 事实上,早在2016年5月,以太坊团队成员就呼吁这些DAO项目可能存在安全问题,并给出了几个可能的攻击计划。6月11日,以太坊的另一个项目也发现合同存在这样的问题。幸运的是,它及时处理,没有造成损失。 然而,即使在团队收到同样的安全报告后,他们仍然没有注意到漏洞不会受到威胁。此外,当时已经有几十个建议等待投票。如果合同暂停检查,估计社区无法接受。 当每个人都认为一切都好的时候,危险就来了。 黑客非常聪明。他首先在6月15日悄悄地写了一份攻击合同,静静地伏击了两天,直到6月17日才采取行动。利用合同漏洞,黑客成功地从主合同中转移了360多万个ETH和一个ChildDAO。这是一种递归式分割方式,最终将收集到的货币单次转移。 问题是以下两行代码:代码是正确的,但顺序是相反的。
DAO
DAO分析,如果程序员上下改变两行代码的顺序,每个功能都不会改变,但可以避免漏洞。也许ThedAO会成功。 当然,这只是一个美好的幻想。黑客利用这个漏洞成功转移了300多万ETH,在加密社区引起轩然大波。 这次攻击使项目损失了360万ETH。根据当时的价格,总价值超过6000万美元。如果按ETH历史上最高价格计算,损失的资产将近175亿美元。这一消息很快影响到二级市场。以太坊的价格从20美元跌破13美元,跌幅超过30%。
然而,狡猾的黑客并没有想到,因为childdao的合同仍处于创建阶段,有27天的锁定期,他不能在短时间内转账。 留给每个人的时间只有20天,每个人都必须在钱被转移之前做出决定。 攻击发生后,Vitalik发表了一篇文章,恢复了Thedao攻击的细节,并给出了解决方案。他建议社区对以太坊区块链进行软分叉,并将相关交易视为无效交易,以避免攻击者带走被盗的ETH。之后,发起硬分叉投票,然后找回ETH。 在货币转移之前,以太坊社区发布了这样一个大动作,黑客坐不住了。 6月18日,自称主导攻击的黑客出现,公开发送给Thedao和以太坊社区的公开信,他说他对社区定义他的行为是盗窃非常失望,声称他得到ETH是合法和合法的,我的律师事务所说这种行为完全符合法律。
DAO
但是有人发现他留下的签名是假的,所以这封公开信可能是伪造的。 6月19日,一位名为daotacker的用户仍在讨论该事件的slackchanel出没。在一次匿名对话中,他表示将采取措施暂停有组织的盗窃财产。我们很快就会制定一份智能合同,奖励那些不支持软分叉的矿工,共有100万以太币和100比特币。试图鼓励矿工不支持分叉。有趣的是,他还给在讨论区留下地址的人发了几个btc。 黑客的意思很清楚:不承认太坊分叉。然而,社区中的大多数人不会忽视他的辩护。 很快,以太坊社区发起了一项支持硬分叉的投票。近97%的ETH持有人投出了赞成票,只有少数人不同意分叉,硬分叉计划最终一致通过。
DAO
DAO2016年7月15日,具体硬分叉方案公布,退币合同成立。由于7月21日是最终期限,硬分叉实施的最终期限确定,85%以上的计算能力支持硬分叉,以太坊硬分叉成功。 现在,当我们回顾加密世界的黑客攻击时,我们会发现这次攻击不仅击败了Thedao,而且还有另一个更糟糕的副作用:许多人开始怀疑分散的自治组织是否幻想,Codeislaw是否是空中楼阁?以太坊社区确实发起了硬分叉投票,以挽回大多数投资者的损失,并终止了攻击。 但从某种角度来看,黑客并非不合理:Thedao本身就是一份智能合同,其仲裁员是他自己,任何其他外部节点都无法改变制定的规则。以太坊的官方规则推翻了这一规则。 很多时候,在开发者编写代码的过程中可以尽可能避免引起黑客攻击的事件,但加密世界的黑客不仅可以使用一行代码,还可以使用人工治理中的漏洞。 免责声明:作为区块链信息平台,本网站提供的信息不代表任何投资暗示。
|