距 DAO 攻击发生已经快2年时间,TheDao攻击,从本质上来说是一个技术失误,但是从加密经济学上来看问题的话,也许更像一个系统问题,甚至可以是哲学问题。
知识库—The DAO事件
The DAO 事件是区块链历史上的著名事件,由于智能合约的漏洞造成资金被黑客转移,而近期也有几起被黑客攻击的事件。
可以预见,未来智能合约还会有更多的安全问题。类似的事件给我们的启示是:区块链项目安全问题很重要,但并没有得到足够重视。区块链项目都是有关资产的问题,全世界的黑客都在虎视眈眈。由此带来的是,智能合约安全审计会变得重要。从投资的角度,这类项目值得关注。
1
什么是TheDAO?
DAO是去中心化自治组织。其目的是为组织规则以及决策机构编写代码,从而消除书面文件的需要,以及减少管理人员,从而创建出一个去中心化管理架构。
下面是其运作方式:
·一组人来编写运行组织的智能合约(程序)
· 有初始融资阶段,在这一阶段人们添加资金来购买代币,来代表其所有权——这个过程叫做众销,或者首次代币发行(ICO)——为其提供所需资源。
· 当融资阶段结束后,DAO就开始运行。
· 之后人们就开始向DAO谏言献策该如何使用这笔钱,购买DAO的成员就有资格对这些提案进行投票。
2
TheDAO攻击事件
6月18日,也就是周六,黑客成功挖到超过360万个以太币,并投入到一个DAO子组织中,这个组织和THE DAO有着同样的结构。当时以太币价格从20多美元直接跌破13美元。很多人都在尝试从THE DAO脱离出来,以防止以太币被盗,但是他们无法在短期内就获得所需票数。因为设计人员从来没想过会金额会这么大,所有以太币都存放在一个单一地址中。而攻击者使用的一个地址是
0xF35e2cC8E6523d683eD44870f5B7cC785051a77D。
和区块链的其他内容一样,用户的地址是一个匿名的字符串,但每个地址都在区块链上留下了公开的记录。
且了完成他的攻击,攻击者需要创建一个与 DAO 进行交互的合约,以缓慢吸干 DAO 当中的以太币。
因为DAO子组织(以下简称“子DAO”)和其母体有着同样的结构、限制以及缺陷,所以这个新生组织中的以太币在28天内是取不出来的,因为28天是其初始融资期。
每个人都可以看到子DAO中的以太币——任何试图将其体现的行为都会引发警报及调查。也就是说,黑客也将永远无法取现或使用任何一个以太币。
很有可能攻击者在发动攻击时,拥有大量以太坊空头——在以太币数量减半后用来套现了。也就是说,黑客已经从中赚到了钱,所以也就无所谓子DAO里的以太币了。
以太坊基金会可能会做出一些举措,这样的话DAO中的以太币就有可能无效。这样事情就复杂化了。
3
TheDAO受到攻击,和以太坊关系有多大?
以太坊和TheDAO的关系:以太坊可以看做是全球计算机,而TheDAO是搭建在以太坊平台上的一个Dapp(去中心化应用);或者说以太坊是平台层,而TheDAO是应用层。根据以太坊目前的官方表述,漏洞只存在于应用层,以太坊本身并不存在漏洞。
我们也从这次TheDao攻击中看出,在这种经济设计的基础上存在的问题:
1:当出现重大灾难时,去中心化的体系在反应上会处于两难境地。比如:解决方案提交晚了就会遭到舆论的抱怨;但是解决方案提出快速也会导致更加中心化,同时因为也无法顾及所有人,必然遭到部分抵制。
2:作恶者很难被追查到,甚至被追究。一来因为没有专门的法律约束,再者作恶者理论上所使用的方法都是系统没有被禁止的。从软件算法上完善合约可能需要更多的时间。
3:软件时开源的,也就是说提供代码的人散布在全世界,有没有恶意的程序员?能否接受匿名贡献?在一个去中心化的社区中,软件出了问题谁来负责?
4:矿工作为区块链生态的重要一环非常容易产生中心化聚集,如何给矿工分配合理的奖励,同时又限制其影响力?此次TheDao的解决方案中,如果没有矿工的支持,可能又会是另外一个完全不一样的结果。
之所以需要去中心化,是因为我们相信没有完美的人,同时我们也要严肃地思考一个问题,是否有完美的代码?如果没有完美的代码,我们应该用什么样的奖励和惩罚机制来实现一个DAO组织?这也是未来的共识算法设计时需要涉及的议题。
4
说在最后
小编认为我们可以将这次的事情当成是以太坊公有区块链的新纪元的标志。
虽然“准备、发射、瞄准”的敏捷方法通常适用于新软件的开发中,但当涉及到1.5亿美元时,这样的做法就可能很危险了。
以太坊的宣传点是一个通用的计算平台,也是为计算和社会而设的新型去中心化模式的先驱。我们将会看到——或许比我们希望的更早——这些事情在现实世界中如何执行。
在回到整个问题前,不妨先思考一下,我们想要一个什么样的世界。
没有the DAO事件,谁会知道这些教训呢。
