買以太坊 買以太坊
Ctrl+D 買以太坊
ads
首頁 > 火必APP > Info

ETH:盜走360萬枚ETH、改變以太坊歷史,回顧這場史上最大鏈上攻擊始末_以太坊

Author:

Time:1900/1/1 0:00:00

2月22日,《Unchained》主理人LauraShin在Forbes上發文表示,據其發現的相關證據顯示,以太坊2016年TheDAO事件中黑客的身份疑似為TenX聯合創始人兼首席執行官、奧地利程序員TobyHoenisch。LauraShin表示,根據其對嫌疑人的數據追蹤以及區塊鏈分析公司Chainalysis的鏈上分析,她鎖定了TenX位于新加坡的節點地址。這起6年前的史上最大黑客攻擊事件,又勾起了很多人的會議。

「當時我看到以太坊創始人Vitalik突然發了一句話,說TheDAO被黑客攻擊了,錢正在被黑客拿走,我還以為是玩笑,然后我就懵了。」加密貨幣錢包ImToken的聯合創始人Daniel說。

360萬ETH,當時超過6000萬美金,這是這場影響深遠的黑客攻擊事件的被盜金額。如果按照ETH的歷史最高價格計算,360萬ETH,價值接近175億美金。

價值6000萬美金的兩行代碼

直到現在,很多人在想起6年前加密行業這起黑客攻擊事件時,估計還會心有余悸。

某獨立礦工幸運獲得14.8萬美元比特幣區塊獎勵:金色財經報道,一位獨立礦工因將區塊780,112添加到比特幣區塊鏈而獲得價值14.8萬美元的區塊獎勵。

BTC.com數據顯示,該礦工使用Solo CK Pool挖礦服務建立了一個獨立礦池并獲得6.25 BTC的區塊獎勵和大約0.63 BTC的費用獎勵。通常這種規模的礦工平均需要10個月時間才能創建有效交易,但該礦工只用了2天時間。據社區用戶@ckpooldev披露數據顯示,該礦工的平均算力只有6.7 PH/s,相比之下當前世界上最大礦池Foundry USA的算力為107 EH/s,是其約15,970倍。(Decrypt)[2023/3/13 12:59:38]

大家都知道比特幣是一個安全地記錄了所有轉賬記錄的全球賬本,可以實現無障礙的點對點轉賬,以太坊可以看做比特幣的2.0版本,可以把它看做是一臺「全球計算機」,開發者基于以太坊,可以高效、快速地開發出很多上層應用。

在這樣一個系統之上,很多致力于解決現實痛點的項目開始出現。當時,這種通過代碼自行運作、不依賴個人主觀意志的運作方式被很多人追捧,也是在這樣的背景下,TheDAO誕生了。

The Sandbox LAND系列NFT24小時交易額漲幅達30.10%:金色財經報道,據NFTGo.io數據顯示,The Sandbox LAND系列NFT總市值達5.8億美元,在所有NFT項目總市值排名中位列第7;其24小時交易額為189,128.92美元,增幅達30.10%。截止發稿時,該系列NFT當前地板價為1.6ETH,增幅達3.23%。[2022/6/29 1:38:56]

它其實是由一家名為德國初創公司Slock.it發起的項目,這家公司當時做的是實體資產的上鏈業務,但因為很難在傳統行業中融資,他們就萌生了一個大膽的想法:既然沒人投自己,為什么不造出一個投資機構?

分布式自治組織的理念被他們引入,通過利用合約把一群利益相關者把錢放到一起,如果有人拿著商業計劃書來尋求融資,所有人投票決定是不是要投資,如果成功了,大家共享收益。

它整個過程,其實是這樣運作的:用戶向它提起希望獲得投資的proposal,在提案公示后,如果被超過半數以上的用戶投票同意,那么這個虛擬「VC」就會拿出一筆錢,投給項目。被投項目需要保證將來其業務會通過這個合約連本帶利,持續回饋給這個機構,而「VC」里的每個LP都能分到相應的收益。

安全分析師:有盜取NFT的惡意文件偽裝成PDF文件的攻擊形式:6月26日消息,Web3安全分析師Serpent在Twitter上表示,已發現一種將盜取錢包內NFT的惡意文件偽裝成PDF文件的攻擊形式,目前Twitter ID為@RabbitinM的藝術家已因此遭受了損失。攻擊者將屏幕保護程序(.scr)文件(一種可執行腳本)偽裝成PDF文件,當接受者打開PDF文件后,錢包內所有的NFT都將被掛單出售并將所得轉入攻擊者錢包。攻擊者將文件末尾添加.pdf來將其偽裝成PDF文件,Serpent提醒用戶不要隨意打開文件,可以將其放在Google Drive上查看或使用虛擬機來預防被攻擊。[2022/6/26 1:32:19]

TheDAO這種完全憑借智能合約運行的方式得到了社區追捧。項目在2016年4月底開啟募資,不到一個月時間,就吸引了11000名投資者參與,最終成功募集了1150萬枚以太坊,這么多數量的ETH,占到了當時以太坊全網15%的流通量,總價值超1.5億美元。也讓TheDAO成為了加密史上募集到以太坊數量最多項目。

Web3初創公司Navigate完成760萬美元種子輪融資:6月7日消息,Web3初創公司Navigate完成760萬美元種子輪融資,Distributed Global領投,Kraken Ventures、Outlier Ventures、英國對沖基金億萬富翁Alan Howard等案頭。

據悉,Navigate讓其用戶共享數據并通過其原生NVG8代幣獲得加密獎勵。(TheBlock)[2022/6/7 4:08:36]

但危險的種子,在項目融資大獲成功的消息傳出時,就悄悄埋下了。

當時,連團隊都沒想到,項目能融到那么多錢,自信的他們,把所有的ETH都放在一個地址里。這是一件非常可怕的事情,稍微有點常識的人都知道,如果你手上有巨額Token,最好是把Token分散存到多個地址,即便丟失了一部分,也不至于蕩然無存。

木秀于林風必摧之。TheDAO成了別有用心的黑客攻擊的「靶子」。

事實上,早在2016年5月份,以太坊團隊成員就曾呼吁過,這類DAO項目可能存在安全問題,并給出了幾種可能的攻擊方案。6月11日,以太坊另一個項目也發現合約就存在這樣的問題,所幸處置及時,沒造成損失。

Cardano在過去一個月平均日增2340個新錢包:5月21日消息,Watcher.Guru發推稱,在過去的一個月里,Cardano平均每天增加2340個新錢包。[2022/5/22 3:33:20]

不過,即使團隊也收到同樣的安全報告后,他們還是沒引起重視,以為漏洞不會產生威脅。另外,當時已經有數十個提案等著投票,如果合約暫停進行查驗,估計社區也不能接受。

就在所有人自以為萬事大吉的時候,危險降臨了。

黑客非常聰明,他先在6月15日悄無聲息地寫了一個攻擊合約,安靜地埋伏兩天,直到6月17日才開始行動。利用合約的漏洞,黑客從主合約中成功轉出了超360萬枚ETH,轉入了一個childDAO中,這是一種遞歸式分割的方式,最終將收集到的幣單次轉走了。

出現問題的是下面兩行代碼:代碼沒錯,就是順序反了。

有人分析,如果程序員把兩行代碼的順序上下換個位置,各個功能沒有變化,但卻能避免漏洞產生,沒準TheDAO就成功了。

當然,這也只是美好的幻想,黑客就是利用了這個漏洞,成功轉移了3百多萬枚ETH,引起了加密社區的軒然大波。

這次攻擊,讓項目丟失了360萬枚ETH,按照當時的價格,總價值超過6000萬美金,如果按ETH歷史最高價計算,這筆丟失的資產近175億美金。這個消息很快影響到二級市場,以太坊價格從20美金,跌破13美元,下跌幅度超30%。

不過,狡猾的黑客沒想到,因為childDAO的合約還處在創建階段,有27天的鎖定期,所以,他在短時間內也轉不走這筆錢。

留給所有人的時間只有短短二十幾天,大家必須在這筆錢被轉走之前作出決策。

攻擊發生后,Vitalik發了文章,還原了TheDAO被攻擊細節,同時也給出了解決方案。他提議社區對以太坊區塊鏈進行一次軟分叉,把與之相關的交易認做無效交易,避免攻擊者提走被盜的ETH。之后,再發起一場硬分叉投票,再將這筆ETH找回來。

幣還沒轉走,以太坊社區就放出了這么一個大招,黑客坐不住了。

6月18日,這位自稱主導了這場攻擊的黑客現身,堂而皇之地發了一封致TheDAO和以太坊社區的公開信,他表示,自己對社區定義他的行為是「盜竊」非常失望,聲稱他獲得的ETH是合法并正當的,「我的律師事務所表示這樣的行為完全符合法律」。

不過有人發現,他留下的簽名是假的,所以這封公開信可能是有人偽造。

6月19日,一位名為「daoattacker」的用戶還在討論該事件的slackchannel出沒,在一場匿名對話中,他表示會采取措施暫停有組織地對他財產的「盜竊」行為,「很快我們就會制定一個智能合約獎勵那些不支持軟分叉的礦工,共計100萬枚以太幣和100枚比特幣。」試圖慫恿礦工不支持分叉。有意思的是,他還給討論區留下地址的人發了幾枚btc。

「黑客」的意思很清楚:不認可以太坊分叉。不過,對于他的辯護,社區大多數人可不會理睬。

很快,以太坊社區發起了一項是否支持硬分叉的投票,近97%的ETH持有者投出了贊成票,只有少數人不同意分叉,最終硬分叉方案一致通過。

2016年7月15日,具體硬分叉方案公布,退幣合約開始建立,由于7月21日是最終期限,硬分叉執行的最終期限確定,超過85%的算力支持硬分叉,以太坊硬分叉成功。

如今,我們在回顧這起加密世界的黑客攻擊事件時,會發現這場攻擊,不僅擊垮了TheDAO,還有另一個更糟糕「副作用」:很多人開始懷疑,去中心化自治組織是不是空想,「CodeisLaw」到底是不是空中樓閣?以太坊社區確實是出于挽回大多數投資者損失的目前,發起了硬分叉投票,并終止了一場攻擊的發生。

但從某個角度來看,「黑客」說的不無道理:TheDAO本身就是個智能合約,它的仲裁人是自己,任何其他外部節點都不能改變已經制定好的規則。而以太坊官方的做法則推翻了這種規則。

很多時候,引發黑客攻擊的事件可以在開發者編寫代碼的過程中盡量避免,但加密世界的黑客,能利用的可不僅是一行行代碼,還有人為治理中的漏洞。

Tags:以太坊DAOETHTHE怎么購買以太坊幣Bidao Smart ChainCETH幣ethereum代幣瀏覽器下載

火必APP
無聊猿:山寨NFT橫行,暢游元宇宙急需“火眼金睛”_比特幣總市值破萬億

本文來自微信公眾號“財經新知” 作者:李哩哩 原標題《山寨NFT,洗出一個元宇宙》“國內目前已經有100個NFT交易市場了.

1900/1/1 0:00:00
AIN:美國懷俄明州立法者提出法案,旨在允許州政府發行與美元掛鉤的穩定幣_ALY

據Cointelegraph2月19日消息,美國懷俄明州參議員ChrisRothfuss和TaraNethercott與眾議員JaredOlsen和MikeYin本周提交了參議院文件SF0106.

1900/1/1 0:00:00
數字貨幣:科普 | 區塊鏈如何優化ESG的流程?_央行數字貨幣是穩定幣嗎為什么

2022年2月22日,萬向區塊鏈推出智能樓宇碳足跡監測系統——“萬碳居”,“萬碳居”不僅能夠可視化實時監測樓宇碳排放數據,幫助政府和企業立足精準可信的碳排數據,規劃雙碳路徑.

1900/1/1 0:00:00
SOLA:Solana生態NFT元宇宙Chillchat完成185萬美元種子輪融資,Solana Ventures領投,FTX Ventures等參投_solana幣什么意思

據NFTCulture2月22日報道,基于Solana的像素藝術NFT元宇宙Chillchat宣布以1000萬美元估值完成185萬美元種子輪融資,SolanaVentures領投.

1900/1/1 0:00:00
DAO:他山之石:美國元宇宙監管現狀及應對策略_WEB

摘要自10月28日,臉書更名為“Meta”,表示將向元宇宙的前景邁進后,該主題得到了市場的空前關注.

1900/1/1 0:00:00
區塊鏈:一文闡述給區塊鏈安全領域帶來問題的五個因素_元宇宙nft怎么賺錢

區塊鏈通過網絡可以將記錄數字化并分發到網絡上,有了區塊鏈,交易驗證不再依賴單一的中心化機構。在毛球科技看來,沒有單點故障——或腐敗——不僅是去中心化結構范式的固有安全優勢,也是基本的哲學和商業驅.

1900/1/1 0:00:00
ads