史上最大智能合约漏洞事件回顾——黑客利刃如何砍出以太坊(ETH)和(ETC)

金色财经6月30日讯- The DAO作为世界上最大的众筹项目,一度被寄予了厚望,所谓“成也萧何,败也萧何”,智能合约一度被捧上了天,但在这次The DAO事件当中,其递归调用(recursive calling)的漏洞却成为了黑客入侵的大门。此后出现“黑客”现身谈攻击合法性的戏幕,更是让人大跌眼镜,这又引出了智能合约代码监管的问题。

(史上最大智能合约漏洞事件The DAO回顾 图片来源:金色财经)

(史上最大智能合约漏洞事件The DAO回顾 图片来源:金色财经)

DAO和死亡原则

接下来发生的事,是以太坊区块链诞生至今最最奇怪和最有争议的事情之一。

由于罗宾汉白帽团队的挽救措施在私下进行,产生的激烈的讨论。白帽黑客并不是唯一想要保存DAO的人。Jentzsch几乎全天候工作,向DAO投资者发出了数百个要求,他们应该做什么。23岁的Vitalik Buterin,他在20岁之前创造了以太坊区块链,成为社区的焦点。

史上最大智能合约漏洞事件回顾——黑客利刃如何砍出以太坊(ETH)和(ETC)

简而言之,他们可以做的是更改以太坊区块链来修正DAO,但只有当大部分运行以太坊区块链网络的计算机同意,软件才能进行更新,摆脱掉漏洞,就好像攻击从来没有发生过。

这一过程被称为硬分叉(hard fork)。这一决定引发了强烈的反应,一年后仍然存在争议,无论是在以太坊社区还是比特币用户都坚持区块链的历史不用改被篡改,有些比特币用户看到硬分叉在某些方面违反了最基本的价值观。

有些比特币用户看到硬分叉在某些方面违反了最基本的价值观。在以太坊社区内,世界各地的电脑节点都接受了这个观点。 包含在1,920,000区块中,对DAO的修复很简单,只做了一件事——如果你投资了DAO,现在可以取出来。

(23岁的Vitalik Buterin在20岁之前创造了以太坊区块链成为社区的焦点 图片来源:金色财经)

(23岁的Vitalik Buterin在20岁之前创造了以太坊区块链成为社区的焦点 图片来源:金色财经)

与DAO有关的一切都是参数:规则,if-then语句和更多的规则,在程序设置松散之前都已经完成。 其中一个参数表明,任何想要将其脱离DAO的人都不得不等待一段时间 ,最初的请求后27天,然后再等7天。

这个由Jentzsch写的故障安全也适用于攻击者。所以即使有人有效地抢劫银行,他也不得不等待34天才过街,让他逃走。在等待的时候,钱又被偷回去了。

回到康奈尔大学校园,Gün带着香槟参加他正在教学的课程,他在瓶子上贴上了标签:“恭喜你成功Fork”。

(在这个平行的宇宙中,他们仍然控制着已经恢复的DAO资金的70% 图片来源:金色财经)

(在这个平行的宇宙中,他们仍然控制着已经恢复的DAO资金的70% 图片来源:金色财经)

然后发生意外事件,被攻击的最初的以太坊区块链继续增长。硬分叉就像是一根树的分支,在主茎的末端以不同的方向发芽,该一段的树枝应该在硬分叉之后枯萎,但是随着一小群用户继续处理该版本的区块链交易,它继续保持增长,而不是死亡,价值近5300万美元的以太币被转移到绰号为“Dark DAO”的合约对象当中。这起攻击事件的机制,已引起了广泛讨论。此后, 白帽黑客利用同样的漏洞,将the DAO剩余的资金转移到“白帽DAO”罗宾汉白帽团队持有大约840万美元,因为在这个平行的宇宙中,他们仍然控制着已经恢复的DAO资金的70%。

(然后发生意外事件,被攻击的最初的以太坊区块链继续增长 图片来源:金色财经)

(然后发生意外事件,被攻击的最初的以太坊区块链继续增长 图片来源:金色财经)

罗宾汉白帽团队不敢相信。Van de Sande说:“我们尽全力避免这种情况,但是现在我们被拖回到这场战斗中。

现在的比特币支持者可以通过购买经典的以太坊来支持他们的昔年,这也是比特币圈子重量级人物创业家Barry Silbert所作的。“记住,原来的区块链是经典以太坊”。他的公司最近发布了一篇投资论文,概述了经典以太坊的优点。一节标题总结了理论基础“DAO和死亡原则”。

瑞士数字货币经纪商Bity.com的联合创始人Alexis Roussel仍然惊奇于硬分叉和区块链的狂野世界他说:“这是传统金融业不会发生的事情。如果苹果公司发生了什么事,你不会突然出现苹果的克隆版本。”

史上最大智能合约漏洞事件The DAO回顾——黑客利刃如何砍出以太坊(ETH)和(ETC)

究竟出了什么问题

距DAO攻击发生已经一年时间,有足够的时间来评估究竟出了什么问题。

Van de Sande德渴望继续前进。“这真的只是一次插曲,”他说。“我们准备翻过这一页,把DAO的故事留在我们身后。”

Green在火人节上组织了一次以太坊会议,他仍然保持着他的幽默感。“罗宾汉白帽团队只是一个表演”,他笑着说。“我希望电影能拍得比实际更好。”

Green呢,在这个夏天在内华达州沙漠的燃烧人节上组织了一个灵丹妙药,他们一直保持幽默感。“罗宾汉集团只是一个节目,”他笑着说。“我希望电影能拍得比实际更好。”

对于bug本身,很明显许多聪明人在Gün之前看过代码,但错过了一个重大的缺陷。代码中的命令顺序允许DAO代币持有人从投资中获得任何利润。

“如果代码的顺序正确,攻击本来是不可能的,”Jentzsch说,而实际上这成为黑客历史上最大的后门之一。

(如果代码的顺序正确,攻击本来是不可能的,”Jentzsch说 图片来源:金色财经)

(如果代码的顺序正确,攻击本来是不可能的,”Jentzsch说 图片来源:金色财经)

如果第666行的首字母”T“是一个小写的”t“,那也将阻止黑客入侵。

Jentzsch有很多遗憾,但坚持认为没有人知道666-667行代码中的具体问题(其他观察家指出其他方面的缺陷,只是不在这里)。“根本没有什么区别,”他说。“如果你不知道在安全审查中要寻找什么,你根本找不到。”

Gün还是放过了这个bug,Green的情绪和Gün相关“我其实真的很生气”,Green说,“他开始吹嘘他是如何发现这个错误的。”他补充说,“不要告诉任何人,他是非常不负责任的。”然而Green仍然非常尊重Gün,并表示他们已经做出了修改。

Gün说:“我认为这是一个潜在的问题。”但是他曾咨询过他的学生Daian。Daian说过这个漏洞是“不可利用的”,Gün说如果他确定了危险,“那我会告诉人们的。”

对于攻击者(无论他是谁)和愚蠢的经典以太坊(以太坊原来的链),Gün评价说:“非常好,他应该套现。”硬分叉证明不仅仅是DAO需要修复,而是以太坊区块链本身。他说:“这个错误也在系统方面。”

(对智能合约、对以太坊区块链的担忧已经消失 图片来源:金色财经)

(对智能合约、对以太坊区块链的担忧已经消失 图片来源:金色财经)

对智能合约、对以太坊区块链的担忧已经消失,至少根据以太币的价格,市场的反应是这样的。攻击发生后的约9个月内,以太币从10美元涨至12美元,然后在3月份开始飞涨,截至6月12日价格为341.19美元。原来的以太坊也上涨了,现在交易价为18.71美元。换句话说,两种版本的以太访网都是可行的。展望未来,你宁愿选择相信谁?硬分叉之后,攻击者最终已经离开经典以太坊,带走了大约6740万美元。

史上最大智能合约漏洞事件回顾——黑客利刃如何砍出以太坊(ETH)和(ETC)

金色财经编辑点评:我们也发现,代码并不是法律,至少当前还不是,我们也更不应该天真地认为一个智能合约一旦发布即可永远无错、完美地运行下去。现实中的法律会根据人类社会的进步不断地修改或者增加判例,那么数字世界的规则也应该如此,人类历史上有过许多现在看来不合理的规则以及所引发的悲剧,但人类却也在不断地提升共识、不断地解决问题。那么不妨将这次硬分叉作为对于原本不合理的数字规则的一次修复,对尚不成熟的区块链的一次提升,对这个试验阶段的领域的一次思考。

本文来源: 金色财经 文章作者: 币趣势
声明:金色财经登载此文出于传递更多信息之目的,并不意味着赞同其观点或证实其描述。文章内容仅供参考,不构成投资建议。投资者据此操作,风险自担。
比特币实时价格 ¥58181.14(数据来源:火币Pro)
    下一篇

如果目前的以太坊的这些解决方案能够得到很好的执行,以太坊就可以在2018年年底前实现支持一个100万-1000万用户的dApp。