比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

盜走360萬枚ETH 回顧這場史上最大鏈上攻擊始末_THE

Author:

Time:1900/1/1 0:00:00

2 月 22 日,《Unchained》主理人 Laura Shin 在 Forbes 上發文表示,據其發現的相關證據顯示,以太坊 2016 年 The DAO 事件中黑客的身份疑似為 TenX 聯合創始人兼首席執行官、奧地利程序員 Toby Hoenisch。Laura Shin 表示,根據其對嫌疑人的數據追蹤以及區塊鏈分析公司 Chainalysis 的鏈上分析,她鎖定了 TenX 位于新加坡的節點地址。這起 6 年前的史上最大黑客攻擊事件,又勾起了很多人的會議。

「當時我看到以太坊創始人 Vitalik 突然發了一句話,說 The DAO 被黑客攻擊了,錢正在被黑客拿走,我還以為是玩笑,然后我就懵了。」加密貨幣錢包 ImToken 的聯合創始人 Daniel 說。

360 萬 ETH,當時超過 6000 萬美金,這是這場影響深遠的黑客攻擊事件的被盜金額。如果按照 ETH 的歷史最高價格計算,360 萬 ETH,價值接近 175 億美金。

價值 6000 萬美金的兩行代碼

雷蛇旗下Web3孵化器ZW3I公布兩個區塊鏈游戲合作項目:金色財經報道,雷蛇旗下Web3孵化器zVentures Web3 Incubator (ZW3I)官方公布了兩個區塊鏈游戲合作項目,一個是由區塊鏈游戲公司Neon Media開發的第一人稱射擊鏈游《Shrapnel》,另一個是由Rude Robot Studios開發的區塊鏈游戲《Nyan Heroes》。此外,zVentures Web3 Incubator還宣布與韓國移動開發商4:33 Creative Lab旗下Web3機構Delabs達成戰略合作伙伴關系。(prnewswire)[2023/8/1 16:10:06]

直到現在,很多人在想起 6 年前加密行業這起黑客攻擊事件時,估計還會心有余悸。

大家都知道比特幣是一個安全地記錄了所有轉賬記錄的全球賬本,可以實現無障礙的點對點轉賬,以太坊可以看做比特幣的 2.0 版本,可以把它看做是一臺「全球計算機」,開發者基于以太坊,可以高效、快速地開發出很多上層應用。

Uniswap基金會成立Uniswap Bridge評估委員會并啟動評估流程:3月3日消息,Uniswap 基金會宣布成立 Uniswap Bridge 評估委員會并啟動評估流程。該委員會將處理包括 Axelar、Celer、deBridge、Hyperlane、LayerZero、Multichain、Router Protocol、Wormhole 等 8 種跨鏈橋與由 Celer 團隊創建的 Multi-bridge implementation、Gnosis 團隊創構建的 Block Header Oracle based solution、ERC-5164: 跨鏈執行等 3 種橋接器解決方案,重點關注 Uniswap 管理需求,并在未來幾周內為 Uniswap 社區如何處理橋問題提供短期建議。

目前,委員會成員包括 Ermyas Abebe、Jasraj Jazzy Bedi、Sean Casey、Ben O』Neill、Peter Robinson 與 David Hyland-Wood,仍尋求在未來幾周內擴大團隊。[2023/3/3 12:41:14]

在這樣一個系統之上,很多致力于解決現實痛點的項目開始出現。當時,這種通過代碼自行運作、不依賴個人主觀意志的運作方式被很多人追捧,也是在這樣的背景下,The DAO 誕生了。

全鏈錢包項目Everywhere Finance啟動面向STG持有者空投提案的投票:2月5日消息,由前SushiSwap核心成員、前LayerZero和Stargate貢獻者Na?m Boubziz創立的全鏈錢包項目Everywhere Finance啟動面向STG持有者空投提案的投票。

該提案包含三個選項:向STG和veSTG持有者平均分配、分配比例分別為40%和60%以及分配比例分別為25%和75%。

此外,該提案顯示,空投將于3月29日進行,快照日期將在空投當天公布,且空投僅可通過Reunit錢包領取。[2023/2/5 11:48:36]

它其實是由一家名為德國初創公司 Slock.it 發起的項目,這家公司當時做的是實體資產的上鏈業務,但因為很難在傳統行業中融資,他們就萌生了一個大膽的想法:既然沒人投自己,為什么不造出一個投資機構?

分布式自治組織的理念被他們引入,通過利用合約把一群利益相關者(投資人)把錢放到一起,如果有人拿著商業計劃書來尋求融資,所有人投票決定是不是要投資,如果成功了,大家共享收益。

DeFi基礎設施和產品開發商Primitive已開源SolStat庫:1月3日消息,DeFi基礎設施和產品開發商Primitive已開源SolStat庫,這是一個用Solidity語言編寫的統計函數的數學近似庫,支持正態高斯分布的計算,例如累積分布函數(CDF)、百分比點函數(PPF)以及誤差和反誤差函數,這些分布被用來模擬馬爾可夫過程,可以用來模擬價格運動,旨在為社區提供幫助。

Primitive由Alexander Angel于2020年創立,旨在構建專注于自動做市商(AMM)的創新產品,此前在2021年5月的種子輪融資中籌集到300萬美元,在2022年8月的A輪融資中籌集900萬美元。[2023/1/3 22:22:05]

它整個過程,其實是這樣運作的:用戶向它提起希望獲得投資的 proposal,在提案公示后,如果被超過半數以上的用戶投票同意,那么這個虛擬「VC」就會拿出一筆錢,投給項目。被投項目需要保證將來其業務會通過這個合約連本帶利,持續回饋給這個機構,而「VC」里的每個 LP 都能分到相應的收益。

為慶香港回歸25周年,“永遠盛開的紫荊花”數字藏品將發行:金色財經消息,2022年是香港回歸祖國25周年,紫荊雜志社、香港四川社團總會共同策劃推出“永遠盛開的紫荊花”NFT數字藏品公益活動,通過免費領取的方式,公益發行2500枚NFT數字藏品,把回歸祖國的喜慶與數字時代的紀念巧妙融合。

據悉,紫荊花寓意家庭和美、骨肉情深,象征著合家團圓,香港與祖國永不分離。“永遠盛開的紫荊花”NFT數字藏品以盛開的紫荊花圖片為原型,進行數字化藝術加工,鑄造上鏈,公益發行,免費領取。[2022/6/7 4:08:39]

The DAO 這種完全憑借智能合約運行的方式得到了社區追捧。項目在 2016 年 4 月底開啟募資,不到一個月時間,就吸引了 11000 名投資者參與,最終成功募集了 1150 萬枚以太坊,這么多數量的 ETH,占到了當時以太坊全網 15% 的流通量,總價值超 1.5 億美元。也讓 The DAO 成為了加密史上募集到以太坊數量最多項目。

但危險的種子,在項目融資大獲成功的消息傳出時,就悄悄埋下了。

當時,連團隊都沒想到,項目能融到那么多錢,自信的他們,把所有的 ETH 都放在一個地址里。這是一件非常可怕的事情,稍微有點常識的人都知道,如果你手上有巨額 Token,最好是把 Token 分散存到多個地址,即便丟失了一部分,也不至于蕩然無存。

木秀于林風必摧之。The DAO 成了別有用心的黑客攻擊的「靶子」。

事實上,早在 2016 年 5 月份,以太坊團隊成員就曾呼吁過,這類 DAO 項目可能存在安全問題,并給出了幾種可能的攻擊方案。6 月 11 日,以太坊另一個項目也發現合約就存在這樣的問題,所幸處置及時,沒造成損失。

不過,即使團隊也收到同樣的安全報告后,他們還是沒引起重視,以為漏洞不會產生威脅。另外,當時已經有數十個提案等著投票,如果合約暫停進行查驗,估計社區也不能接受。

就在所有人自以為萬事大吉的時候,危險降臨了。

黑客非常聰明,他先在 6 月 15 日悄無聲息地寫了一個攻擊合約,安靜地埋伏兩天,直到 6 月 17 日才開始行動。利用合約的漏洞,黑客從主合約中成功轉出了超 360 萬枚 ETH,轉入了一個 child DAO 中,這是一種遞歸式分割的方式,最終將收集到的幣單次轉走了。

出現問題的是下面兩行代碼:代碼沒錯,就是順序反了。

有人分析,如果程序員把兩行代碼的順序上下換個位置,各個功能沒有變化,但卻能避免漏洞產生,沒準 The DAO 就成功了。

當然,這也只是美好的幻想,黑客就是利用了這個漏洞,成功轉移了 3 百多萬枚 ETH,引起了加密社區的軒然大波。

這次攻擊,讓項目丟失了 360 萬枚 ETH,按照當時的價格,總價值超過 6000 萬美金,如果按 ETH 歷史最高價計算,這筆丟失的資產近 175 億美金。這個消息很快影響到二級市場,以太坊價格從 20 美金,跌破 13 美元,下跌幅度超 30%。

不過,狡猾的黑客沒想到,因為 child DAO 的合約還處在創建階段,有 27 天的鎖定期,所以,他在短時間內也轉不走這筆錢。

留給所有人的時間只有短短二十幾天,大家必須在這筆錢被轉走之前作出決策。

攻擊發生后,Vitalik 發了文章,還原了 The DAO 被攻擊細節,同時也給出了解決方案。他提議社區對以太坊區塊鏈進行一次軟分叉,把與之相關的交易認做無效交易,避免攻擊者提走被盜的 ETH。之后,再發起一場硬分叉投票,再將這筆 ETH 找回來。

幣還沒轉走,以太坊社區就放出了這么一個大招,黑客坐不住了。

6 月 18 日,這位自稱主導了這場攻擊的黑客現身,堂而皇之地發了一封致 The DAO 和以太坊社區的公開信,他表示,自己對社區定義他的行為是「盜竊」非常失望,聲稱他獲得的 ETH 是合法并正當的,「我的律師事務所表示這樣的行為完全符合法律」。

不過有人發現,他留下的簽名是假的,所以這封公開信可能是有人偽造。

6 月 19 日,一位名為「daoattacker」的用戶還在討論該事件的 slack channel 出沒,在一場匿名對話中,他表示會采取措施暫停有組織地對他財產的「盜竊」行為,「很快我們就會制定一個智能合約獎勵那些不支持軟分叉的礦工,共計 100 萬枚以太幣和 100 枚比特幣。」試圖慫恿礦工不支持分叉。有意思的是,他還給討論區留下地址的人發了幾枚 btc。

「黑客」的意思很清楚:不認可以太坊分叉。不過,對于他的辯護,社區大多數人可不會理睬。

很快,以太坊社區發起了一項是否支持硬分叉的投票,近 97% 的 ETH 持有者投出了贊成票,只有少數人不同意分叉,最終硬分叉方案一致通過。

2016 年 7 月 15 日,具體硬分叉方案公布,退幣合約開始建立,由于 7 月 21 日是最終期限,硬分叉執行的最終期限確定,超過 85% 的算力支持硬分叉,以太坊硬分叉成功。

如今,我們在回顧這起加密世界的黑客攻擊事件時,會發現這場攻擊,不僅擊垮了 The DAO,還有另一個更糟糕「副作用」:很多人開始懷疑,去中心化自治組織是不是空想,「Code is Law」到底是不是空中樓閣?以太坊社區確實是出于挽回大多數投資者損失的目前,發起了硬分叉投票,并終止了一場攻擊的發生。

但從某個角度來看,「黑客」說的不無道理:The DAO 本身就是個智能合約,它的仲裁人是自己,任何其他外部節點都不能改變已經制定好的規則。而以太坊官方的做法則推翻了這種規則。

很多時候,引發黑客攻擊的事件可以在開發者編寫代碼的過程中盡量避免,但加密世界的黑客,能利用的可不僅是一行行代碼,還有人為治理中的漏洞。

Tags:以太坊DAOETHTHE以太坊官網錢包POFID DAOtogetherbnb艾米莉攻略雙人互動The Unfettered

fil幣價格今日行情
為什么NFT頭像爆火?一文解答你的疑惑_PUNK

一戰成名NFT NFT 頭像是通過算法生成的卡通或像素化角色的數字圖像,通常從肩膀向上,采用“個人資料圖片”格式。每個 NFT 化身都是完全獨特的,具有一系列不同的特征(即服裝、發型、配飾等).

1900/1/1 0:00:00
金色前哨|KAVA推出7.5億美元的開發者激勵計劃_AVA

金色財經報道,3月4日消息,跨鏈DeFi平臺KAVA宣布KavaDAO已決定分配7.5億美元用于開發者激勵,并宣布激勵計劃“KavaRise”.

1900/1/1 0:00:00
元宇宙應用大猜想 2030年的元宇宙產業_元宇宙

日本擬開元宇宙“百年百貨店”,三菱商事、京都府等已加盟:金色財經報道,日本促進運用網絡虛擬空間“元宇宙”相關研究的“元宇宙推進協議會”1月23日宣布.

1900/1/1 0:00:00
俄羅斯如何利用加密貨幣來規避國際制裁_AIN

在俄羅斯與烏克蘭發生沖突之后,加密貨幣成為了俄羅斯規避制裁的手段。本周早些時候,俄羅斯與烏克蘭發生軍事沖突,俄羅斯總統弗拉基米爾·普京稱其為“特別軍事行動.

1900/1/1 0:00:00
無限可拓展TPS 激發生態發展的“催化劑”_TPS

區塊鏈發展到今時今日的業態,公鏈作為基礎賽道大家已經不陌生了,沒有基礎鏈的誕生就沒有我們今天看到的Defi,NFT,Gamefi等一個又一個賽道的生態創新.

1900/1/1 0:00:00
金色觀察|從Decentraland到NFT 銀行布局元宇宙的N種方式_USDT

眾所周知,今年2月16日,摩根大通在Decentraland開設虛擬休息室Onyx Lounge,成為首個進駐元宇宙的商業銀行和金融服務機構.

1900/1/1 0:00:00
ads