作者:SpreehaDutta
译者:弯月
出品:区块链大本营
以太坊是一个基于区块链的开源平台,支持智能合约。以太坊平台生成的加密货币以太币是目前市值第二高的加密货币。
2016年6月,以太坊发现自己受到了攻击,一位不知名的黑客利用一些已有的漏洞窃取了360多万以太币,价值5000万美金。
为了帮助区块链新手了解整个攻击的过程,下面我们介绍一些简单的专有名词:
DAO是一个分布式自治组织,在这个计算机程序中,组织的策略和决策结构依靠智能合约在区块链上执行。它对所有参与者都是透明的,因此不需要中央集权。
智能合约是一种计算机协议,旨在以数字的方式促成合同的谈判,验证合同的真实性,并强制履行合同。智能合约无需第三方即可保证交易的可靠执行。这些交易可跟踪但不可逆。简而言之,智能合约是在以太坊区块链上执行的代码,可以与以太坊和用户钱包进行交互。
分布式账本是以太坊区块链上所有交易的公共数据库,并由每个以太坊节点维护。
以太坊使用了上述概念。这些区块链拥有两大重要的特性:安全性以及不可变性。如果这些非常核心的原则受到威胁,那么利益相关者必然会陷入疯狂!
攻击发生的背景故事
以太坊由21岁的VitalikButerin于2015年创立,他希望通过以太坊在互联网上实现去中心化。众筹活动帮忙以太坊筹集了启动资金。
Bitwise推出独立管理账户产品,帮助财务顾问为客户提供BTC/ETH的直接所有权:4月27日,据官方消息,全球最大的加密货币指数基金管理公司Bitwise宣布推出独立管理账户 (SMA) 产品,帮助财务顾问为其客户提供加密资产的直接所有权。新策略将在比特币和以太坊中持有同等权重的头寸,并每季度重新平衡,确保投资者对全球两大加密资产的敞口保持平衡。 Bitwise BTC/ETH等权SMA策略适用于希望帮助客户管理加密货币敞口的财务顾问,以配合其更广泛的投资计划。Bitwise BTC/ETH等权重SMA可通过其顾问向认可和非认可投资者提供,不受最低投资额限制,并提供每日流动性。客户资产将直接由受监管加密货币托管公司Gemini持有。[2022/4/27 2:34:49]
以太坊是一个分布式自治组织。而“TheDAO”是由德国的一家名为Slock.it的创业公司于2016年4月创建的一个DAO。在启动两个月后,TheDAO发现自己受到了攻击,一位不知名的黑客不断地从TheDAO中提取以太币,并转移到另一个子DAO中,该子DAO的结构与父DAO相同。这导致以太币的市场价格从17.5美元急剧下跌至13美元。
哪里出了问题?
6月17日,TheDAO宣布找到了一个递归调用错误,但声称无需担心,所有资金都是安全的。6天后,一位不知名的黑客窃取了价值5000万美元的以太币。这位攻击者还宣称自己的行为属于法律管辖权的合法范围内,因此无法对他提起刑事诉讼,因为他所做的一切都是利用了系统的漏洞。
“狗狗币冲上1美元”话题排名美国Twitter趋势第四位:据Twitter显示,“狗狗币冲上1美元”话题排名美国趋势第四位,相关推特数量达17.7k。[2021/5/8 21:38:05]
攻击者干了什么?
这名黑客利用漏洞合法地窃取了以太币。以太坊是一个平台,其上的交易以“gas”为单位进行计算,这里的gas就是在区块链上执行智能合约所需的成本。攻击者利用这个漏洞,通过大量没有价值的非法交易增大了以太坊区块链的大小。这导致了对攻击者有用的交易延迟。
但是,攻击者无法在28天内提走子DAO中的以太币,因为这笔资金是子DAO的初始集资期。从子DAO中提款会引发警报。这位攻击者不敢冒这样的险!
=====?BEGIN?SIGNED?MESSAGE?=====
To?the?DAO?and?the?Ethereum?community,
I?have?carefully?examined?the?code?of?The?DAO?and?decided?to?participate?after?finding?the?feature?where?splitting?is?rewarded?with?additional?ether.?I?have?made?use?of?this?feature?and?have?rightfully?claimed?3,641,694?ether,?and?would?like?to?thank?the?DAO?for?this?reward.?It?is?my?understanding?that?the?DAO?code?contains?this?feature?to?promote?decentralization?and?encourage?the?creation?of?"child?DAOs".
Cardano创始人提出解决Twitter安全问题的建议:Cardano创始人Charles Hoskinson提出了解决Twitter安全性问题的建议,并认为这个平台上不能有太多改变,而是需要建立在它已经存在的坚实基础上。Hoskinson建议不要做太过激进的改变,要保持简单易懂。他指出,自己提出的这个解决方案不会给Twitter带来太多成本。
他提到,W3C创建了一个DID标准,其基础由微软、IBM、Hyperledger和其他一些公司组成。DID有两个部分,一个DID ID和一个DID文档,其中包含一组有关DID的信息。Hoskinson表示,这个想法将在平台上提供一条经过验证的推文和一条常规推文。通过这种方式,人们可以很容易地了解到某条特定的推文是来自该账户的真正所有者,而不仅仅是那些以他们的名义注册账户的人。他建议将DID嵌入像Cardano这样的区块链中,因为这样一来,任何保存下来的东西都会一直在线,没有人能够更改。其建议用户可以创建或导入一个DID或获得一个DID验证,或许要为此付费,而Twitter无法访问该私钥。(News Logical)[2020/7/23]
I?am?disappointed?by?those?who?are?characterizing?the?use?of?this?intentional?feature?as?"theft".?I?am?making?use?of?this?explicitly?coded?feature?as?per?the?smart?contract?terms?and?my?law?firm?has?advised?me?that?my?action?is?fully?compliant?with?United?States?criminal?and?tort?law.?For?reference?please?review?the?terms?of?the?DAO:
动态 | PeckShield: EOS竞猜游戏FastWin遭遇黑客攻击 FAST代币被大量抛售:据 PeckShield 态势感知平台12月25日数据显示:今天中午12:05,EOS竞猜类游戏FastWin遭到黑客(mcblockchain)的攻击。 PeckShield 安全人员初步分析发现:黑客通过攻击手段掌握并修改了FAST的发币合约,故意制造出了可多次免费“增发”代币的漏洞,之后又通过NewDex交易所将“增发”的上亿代币兑换成EOS抛售, 随后提现上万个EOS至火币。值得一提的是,在完成盗币操作后,黑客于17:03分将游戏合约公钥修改为黑洞公钥\"EOS1111111111111111111111111111111114T1Anm”,致使游戏合约被迫停止运营。PeckShield 在此提醒广大游戏开发者警惕安全风险,尤为注意保护合约私钥的安全。[2018/12/25]
"The?terms?of?The?DAO?Creation?are?set?forth?in?the?smart?contract?code?existing?on?the?Ethereum?blockchain?at?0xbb9bc244d798123fde783fcc1c72d3bb8c189413.?Nothing?in?this?explanation?of?terms?or?in?any?other?document?or?communication?may?modify?or?add?any?additional?obligations?or?guarantees?beyond?those?set?forth?in?The?DAO’s?code.?Any?and?all?explanatory?terms?or?descriptions?are?merely?offered?for?educational?purposes?and?do?not?supercede?or?modify?the?express?terms?of?The?DAO’s?code?set?forth?on?the?blockchain;?to?the?extent?you?believe?there?to?be?any?conflict?or?discrepancy?between?the?descriptions?offered?here?and?the?functionality?of?The?DAO’s?code?at?0xbb9bc244d798123fde783fcc1c72d3bb8c189413,?The?DAO’s?code?controls?and?sets?forth?all?terms?of?The?DAO?Creation."
Bitwise资产管理副总裁将要离开ETF基金,转向加密货币行业:22日讯,北美时间上午11:59,Bitwise资产管理公司研究与开发副总裁Matt Hougan在彭博访谈中提到,将要离开ETF基金,转向加密货币行业。 据了解,该公司的创始人兼首席执行官Hunter Horsley,曾于1月底在佛罗里达州好莱坞举行的小型见面会上说过:我们接触比特币比较早。[2018/2/22]
A?soft?or?hard?fork?would?amount?to?seizure?of?my?legitimate?and?rightful?ether,?claimed?legally?through?the?terms?of?a?smart?contract.?Such?fork?would?permanently?and?irrevocably?ruin?all?confidence?in?not?only?Ethereum?but?also?the?in?the?field?of?smart?contracts?and?blockchain?technology.?Many?large?Ethereum?holders?will?dump?their?ether,?and?developers,?researchers,?and?companies?will?leave?Ethereum.?Make?no?mistake:?any?fork,?soft?or?hard,?will?further?damage?Ethereum?and?destroy?its?reputation?and?appeal.
I?reserve?all?rights?to?take?any?and?all?legal?action?against?any?accomplices?of?illegitimate?theft,?freezing,?or?seizure?of?my?legitimate?ether,?and?am?actively?working?with?my?law?firm.?Those?accomplices?will?be?receiving?Cease?and?Desist?notices?in?the?mail?shortly.
I?hope?this?event?becomes?an?valuable?learning?experience?for?the?Ethereum?community?and?wish?you?all?the?best?of?luck.
Yours?truly,
"The?Attacker"
=====?END?SIGNED?MESSAGE?=====
Message?Hash?(Keccak):?0xaf9e302a664122389d17ee0fa4394d0c24c33236143c1f26faed97ebbd017d0e
Signature:?0x5f91152a2382b4acfdbfe8ad3c6c8cde45f73f6147d39b072c81637fe81006061603908f692dc15a1b6ead217785cf5e07fb496708d129645f3370a28922136a32
以太坊尚未解决的弊端
以太坊设计师没有解决的问题是,所有以太币都存储在一个地址中。这给了黑客攻击的空间。当然,通过分叉阻止攻击的想法的确引起了参与者们的注意,但是时间太短,不足以形成共识并获得足够的投票数进行分叉。
提议的解决方案
现在只剩下两个办法了。一个是什么都不做,最终损失数千万美元。第二个解决方案是分两步走,首先进行软分叉,然后再进行硬分叉。但这违背了区块链“不可变性”这一主要原则,因此引发了很多质疑。
“开发社区提议软分叉,这会导致所有TheDAO及其子DAO的交易都将无效,以此来阻止攻击者在27天后提取以太币。然后再进行一次硬分叉,找回所有以太币。”
——VitalikButerin于6月17日发布的《紧急状态更新:关于TheDAO的漏洞》
然而,软分叉的想法被搁置了,因为这会引发许多安全方面的问题。另一方面,以太坊的大多数参与者投票赞成并同意了硬分叉提案。
最终渡过了这个难关……
硬分叉于2016年7月20日落实。自此以后以太坊形成了两条链:一条为原链,一条为新的分叉链。
之后,以太坊采取了多种措施来防止区块链的规模再次扩大。此外,它还增加了针对拒绝服务攻击攻击的额外保护。
从那以后,以太坊重新从攻击中站了起来。它将挖矿方法从工作量证明原理改成了权益证明原理。如今,以太币成为了市场上第二大货币,市值高达450亿美元。
原文:HowEthereumReverseda$50MillionDAOAttack!
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。