以太坊:盜走360萬枚ETH、改變以太坊歷史，回顧這場史上最大鏈上攻擊始末

2月22日，《Unchained》主理人LauraShin在Forbes上發文表示，據其發現的相關證據顯示，以太坊2016年TheDAO事件中黑客的身份疑似為TenX聯合創始人兼首席執行官、奧地利程序員TobyHoenisch。LauraShin表示，根據其對嫌疑人的數據追蹤以及區塊鏈分析公司Chainalysis的鏈上分析，她鎖定了TenX位于新加坡的節點地址。這起6年前的史上最大黑客攻擊事件，又勾起了很多人的會議。

「當時我看到以太坊創始人Vitalik突然發了一句話，說TheDAO被黑客攻擊了，錢正在被黑客拿走，我還以為是玩笑，然后我就懵了。」加密貨幣錢包ImToken的聯合創始人Daniel說。

360萬ETH，當時超過6000萬美金，這是這場影響深遠的黑客攻擊事件的被盜金額。如果按照ETH的歷史最高價格計算，360萬ETH，價值接近175億美金。

價值6000萬美金的兩行代碼

直到現在，很多人在想起6年前加密行業這起黑客攻擊事件時，估計還會心有余悸。

富達數字資產或將超額招聘100多名新員工:金色財經報道，富達數字資產（Fidelity Investments），從去年到第一季度末，或將超額為其數字資產部門招聘100多名新員工，使該部門規模超500人。富達管理資產規模近4萬億美元，其在加密領域的該舉措反映了銀行、對沖基金和快速交易公司更廣泛的擴張和招聘趨勢。[2023/4/1 13:38:14]

大家都知道比特幣是一個安全地記錄了所有轉賬記錄的全球賬本，可以實現無障礙的點對點轉賬，以太坊可以看做比特幣的2.0版本，可以把它看做是一臺「全球計算機」，開發者基于以太坊，可以高效、快速地開發出很多上層應用。

在這樣一個系統之上，很多致力于解決現實痛點的項目開始出現。當時，這種通過代碼自行運作、不依賴個人主觀意志的運作方式被很多人追捧，也是在這樣的背景下，TheDAO誕生了。

它其實是由一家名為德國初創公司Slock.it發起的項目，這家公司當時做的是實體資產的上鏈業務，但因為很難在傳統行業中融資，他們就萌生了一個大膽的想法：既然沒人投自己，為什么不造出一個投資機構？

基于Ordinals協議開發的比特幣.sats域名鑄造總量突破6萬枚:金色財經報道，據 Dune Analytics 數據顯示，基于 Ordinals 協議開發的比特幣.sats 域名鑄造總量突破 6 萬枚，去重之后的獨立域名數達到 4.86 萬個，獨立鑄造地址接近 2.62 萬個，產生了 1.2 億枚 SATS 的費用。

Sats Names 是使用序數將名稱寫入比特幣的標準，目標是為比特幣建立一個域名生態系統，首個域名「helloworld.sats」的注冊時間為 2023 年 2 月 22 日。注冊和更新域名只需要比特幣交易，而且只有比特幣交易。比特幣節點包含實現所有域名狀態所需的所有信息。不需要其他數據庫或受信任的服務。任何客戶端都可以獨立計算所有域名的真實狀態。

注：首位注冊某一獨立.sats 域名的用戶擁有該域名和更新該域名的權利，用戶在注冊.sats 域名的時候請注意檢查現有域名防止重復注冊遭受損失。[2023/3/10 12:54:21]

分布式自治組織的理念被他們引入，通過利用合約把一群利益相關者把錢放到一起，如果有人拿著商業計劃書來尋求融資，所有人投票決定是不是要投資，如果成功了，大家共享收益。

美國聯邦受托人反對“傳喚SBF及其直系親屬以及FTX高級員工”的提議:2月3日消息，傳喚FTX創始人SBF、他的直系親屬以及FTX高級員工的提議遭到了美國司法部處理破產問題的分支機構聯邦受托人（U.S. Trustee）的反對。

聯邦受托人Andrew Vara在周四提交的一份法律文件中表示，該計劃將在下周三的聽證會上討論，將重復任何對FTX破產的獨立調查。目前還沒有任命一位獨立的審查員。審查員問題將在下周一的聽證會上討論，新任FTX首席執行官John Ray將出庭作證。

Vara稱：“如果法院指示任命一名審查員，那么他或她的職責可能是調查與擬議的信息請求相同的實體和交易網絡。破產法院有義務防止在公司資產管理中出現不必要的支出。”（CoinDesk）[2023/2/3 11:45:55]

它整個過程，其實是這樣運作的：用戶向它提起希望獲得投資的proposal，在提案公示后，如果被超過半數以上的用戶投票同意，那么這個虛擬「VC」就會拿出一筆錢，投給項目。被投項目需要保證將來其業務會通過這個合約連本帶利，持續回饋給這個機構，而「VC」里的每個LP都能分到相應的收益。

區塊鏈基礎設施開發商溪塔科技完成數千萬元融資:金色財經報道，溪塔科技宣布其已完成了數千萬Pre-B追加輪融資，本次投資方為杭州拱墅國投產業發展有限公司；7月溪塔科技剛剛獲得奇安投資、大灣區共同家園發展基金、招銀國際數千萬元Pre-B輪投資。本輪追加融資將繼續用于溪塔科技在區塊鏈底層核心技術的研發，解決方案和專業服務支持體系的完善，數字領域示范應用的建設及Web 3.0生態的培育。

據悉，溪塔科技聚焦于以開源為基礎的區塊鏈底層技術研發，目前已構建了一套涵蓋底層鏈、區塊鏈管理平臺、區塊鏈應用平臺的產品體系。其中包括面向企業的區塊鏈開發平臺RivSpace，已應用于金融、能源、工業互聯網等不同行業的基建服務。（36氪）[2022/9/19 7:06:08]

TheDAO這種完全憑借智能合約運行的方式得到了社區追捧。項目在2016年4月底開啟募資，不到一個月時間，就吸引了11000名投資者參與，最終成功募集了1150萬枚以太坊，這么多數量的ETH，占到了當時以太坊全網15%的流通量，總價值超1.5億美元。也讓TheDAO成為了加密史上募集到以太坊數量最多項目。

Klaytn基金會創始人：減少人為因素可防止黑客入侵:8月11日消息，韓國公鏈項目Klaytn基金會創始人Sam Sangmin Seo接受采訪時表示，鑒于去中心化應用頻繁遭遇高調攻擊，區塊鏈行業安全性急需得到提高，而最大限度地減少人為錯誤可能是關鍵。

Sam Sangmin Seo表示，這些跨鏈橋在安全方面面臨兩個問題，“實施中的缺陷”或者“運營商的問題”，例如運營商的私鑰被盜。Klaytn已經意識到這些風險，并且正在研究基于零知識證明技術的跨鏈橋，它可以在沒有操作員的情況下提供證明。事實上，很多黑客攻擊都是由人為錯誤引起的。如果能減少這種情況，減少協議層面的人為干預，就有可能建造一座更安全的跨鏈橋。（Forkast）[2022/8/11 12:18:02]

但危險的種子，在項目融資大獲成功的消息傳出時，就悄悄埋下了。

當時，連團隊都沒想到，項目能融到那么多錢，自信的他們，把所有的ETH都放在一個地址里。這是一件非常可怕的事情，稍微有點常識的人都知道，如果你手上有巨額Token，最好是把Token分散存到多個地址，即便丟失了一部分，也不至于蕩然無存。

木秀于林風必摧之。TheDAO成了別有用心的黑客攻擊的「靶子」。

事實上，早在2016年5月份，以太坊團隊成員就曾呼吁過，這類DAO項目可能存在安全問題，并給出了幾種可能的攻擊方案。6月11日，以太坊另一個項目也發現合約就存在這樣的問題，所幸處置及時，沒造成損失。

不過，即使團隊也收到同樣的安全報告后，他們還是沒引起重視，以為漏洞不會產生威脅。另外，當時已經有數十個提案等著投票，如果合約暫停進行查驗，估計社區也不能接受。

就在所有人自以為萬事大吉的時候，危險降臨了。

黑客非常聰明，他先在6月15日悄無聲息地寫了一個攻擊合約，安靜地埋伏兩天，直到6月17日才開始行動。利用合約的漏洞，黑客從主合約中成功轉出了超360萬枚ETH，轉入了一個childDAO中，這是一種遞歸式分割的方式，最終將收集到的幣單次轉走了。

出現問題的是下面兩行代碼：代碼沒錯，就是順序反了。

有人分析，如果程序員把兩行代碼的順序上下換個位置，各個功能沒有變化，但卻能避免漏洞產生，沒準TheDAO就成功了。

當然，這也只是美好的幻想，黑客就是利用了這個漏洞，成功轉移了3百多萬枚ETH，引起了加密社區的軒然大波。

這次攻擊，讓項目丟失了360萬枚ETH，按照當時的價格，總價值超過6000萬美金，如果按ETH歷史最高價計算，這筆丟失的資產近175億美金。這個消息很快影響到二級市場，以太坊價格從20美金，跌破13美元，下跌幅度超30%。

不過，狡猾的黑客沒想到，因為childDAO的合約還處在創建階段，有27天的鎖定期，所以，他在短時間內也轉不走這筆錢。

留給所有人的時間只有短短二十幾天，大家必須在這筆錢被轉走之前作出決策。

攻擊發生后，Vitalik發了文章，還原了TheDAO被攻擊細節，同時也給出了解決方案。他提議社區對以太坊區塊鏈進行一次軟分叉，把與之相關的交易認做無效交易，避免攻擊者提走被盜的ETH。之后，再發起一場硬分叉投票，再將這筆ETH找回來。

幣還沒轉走，以太坊社區就放出了這么一個大招，黑客坐不住了。

6月18日，這位自稱主導了這場攻擊的黑客現身，堂而皇之地發了一封致TheDAO和以太坊社區的公開信，他表示，自己對社區定義他的行為是「盜竊」非常失望，聲稱他獲得的ETH是合法并正當的，「我的律師事務所表示這樣的行為完全符合法律」。

不過有人發現，他留下的簽名是假的，所以這封公開信可能是有人偽造。

6月19日，一位名為「daoattacker」的用戶還在討論該事件的slackchannel出沒，在一場匿名對話中，他表示會采取措施暫停有組織地對他財產的「盜竊」行為，「很快我們就會制定一個智能合約獎勵那些不支持軟分叉的礦工，共計100萬枚以太幣和100枚比特幣。」試圖慫恿礦工不支持分叉。有意思的是，他還給討論區留下地址的人發了幾枚btc。

「黑客」的意思很清楚：不認可以太坊分叉。不過，對于他的辯護，社區大多數人可不會理睬。

很快，以太坊社區發起了一項是否支持硬分叉的投票，近97%的ETH持有者投出了贊成票，只有少數人不同意分叉，最終硬分叉方案一致通過。

2016年7月15日，具體硬分叉方案公布，退幣合約開始建立，由于7月21日是最終期限，硬分叉執行的最終期限確定，超過85%的算力支持硬分叉，以太坊硬分叉成功。

如今，我們在回顧這起加密世界的黑客攻擊事件時，會發現這場攻擊，不僅擊垮了TheDAO，還有另一個更糟糕「副作用」：很多人開始懷疑，去中心化自治組織是不是空想，「CodeisLaw」到底是不是空中樓閣？以太坊社區確實是出于挽回大多數投資者損失的目前，發起了硬分叉投票，并終止了一場攻擊的發生。

但從某個角度來看，「黑客」說的不無道理：TheDAO本身就是個智能合約，它的仲裁人是自己，任何其他外部節點都不能改變已經制定好的規則。而以太坊官方的做法則推翻了這種規則。

很多時候，引發黑客攻擊的事件可以在開發者編寫代碼的過程中盡量避免，但加密世界的黑客，能利用的可不僅是一行行代碼，還有人為治理中的漏洞。

Tags：以太坊DAOETHTHE以太坊交易軟件GDAO價格ETH交易是什么意思togetherbnb全劇情圖文攻略

萊特幣