什麼是“ dao” hack，為什麼很重要？

DAO駭客暴露了批判性的智能合同脆弱性，導致以太坊的堅硬分叉和以太坊經典的誕生。

2025/07/19 21:08

“ dao”的背景

“ DAO”（分散的自治組織）是建立在2016年4月推出的以太坊區塊鏈的風險投資基金。它是分散式治理中最早，最雄心勃勃的實驗之一，旨在允許標記持有人對投資決策進行投票而無需中心監督。 DAO在眾籌階段籌集了超過1.5億美元的Ether（ETH） ，使其成為當時最大的眾籌活動之一。

該組織完全通過智能合約操作，這些合同是將合同的自執行合同，並直接寫入代碼中的規則。這意味著其運營沒有傳統的管理結構或中介機構。但是，這也引入了重大風險：如果代碼包含漏洞，則沒有中央權力進行干預或修復。

智能合約中的脆弱性

儘管“ dao”的智能合同代碼中有一個很有希望的概念。漏洞使攻擊者能夠在合同更新用戶餘額之前反复調用提款功能。這被稱為重新進入攻擊，在第一個功能呼叫完成之前，惡意合同或外部帳戶在原始合同中回電。

開發人員在啟動之前就對該法規的安全提出了擔憂，但其中許多警告並未引起人們的注意。直到2016年6月17日，一名未知的攻擊者將其剝奪了大約360萬以太從“ Dao”中排出，但該缺陷仍未被發現。當時，這約佔合同中鎖定的資金的三分之一。

黑客對以太坊的影響

DAO HACK對以太坊網絡和更廣泛的加密貨幣社區產生了直接且深遠的後果。由於被盜的資金是由“ DAO”創建的兒童合同中持有的，因此攻擊者從技術上遵循了智能合同代碼定義的系統規則。這提出了一個主要的哲學和技術問題：即使這違背了不變性的原則，也應該改變以太坊區塊鏈以扭轉交易嗎？

這導致了以太坊社區的激烈辯論。有人認為，在任何情況下都不應修改區塊鏈，而另一些人認為不採取行動會對以太坊的聲譽和用戶信任造成無法彌補的損害。最終，實施了硬叉，以將被盜的資金恢復為新合同，從而有效地扭轉了黑客攻擊。

社區反應和以太坊經典的誕生

執行硬叉的決定是有爭議的。社區的一部分認為，改變區塊鏈違反了權力下放和不成度的基本原則。結果，他們繼續支持原始的以太坊鏈，該鏈被稱為以太坊經典（ETC） 。扭轉DAO Hack的分叉版本保留了以太坊（ETH）的名稱，並且是當今廣泛使用的版本。

該事件暴露了分散系統固有的治理挑戰。它還強調了與智能合同開發相關的風險，尤其是在涉及大量資金的情況下。 DAO HACK是開發商和投資者的警鐘，促使部署智能合同的方法更加謹慎。

事件的長期課程

DAO駭客是區塊鏈歷史上的關鍵時刻，揭示了分散財務的承諾和危險。它強調了嚴格的代碼審核，正式驗證和安全性最佳實踐的重要性。從那時起，該行業開發了更好的工具和方法來防止類似的利用。

此外，該事件導致為分散組織建立了更健壯的治理框架。這也促進了Bug Bounty計劃和安全審核的興起，作為區塊鏈項目中的標準做法。從DAO Hack中學到的經驗教訓繼續影響開發人員如何處理分散應用程序（DAPP）和分散的自治組織。

常見問題

允許DAO黑客的技術缺陷是什麼？

DAO合同在其拆分功能中有一個漏洞，這使攻擊者可以在更新余額之前遞歸地調用撤回功能。這被稱為重新進入攻擊。

為什麼以太坊團隊不能在黑客攻擊之後修復代碼？

智能合約是一旦部署而不可變的，這意味著代碼不能追溯更改。恢復資金的唯一方法是執行硬叉，這創建了一個新版本的區塊鏈。

攻擊者是否違反了任何法律？

從技術上講，攻擊者遵循了智能合約的邏輯，該合同公開可用。儘管該行動在道德上是值得懷疑的，但由於缺乏圍繞智能合同的明確法規，當時並未構成法律違規。

DAO黑客如何影響投資者對以太坊的信心？

該黑客造成了暫時的信任喪失，導致以太坊的價格急劇下降。但是，社區的反應和硬叉隨著時間的流逝有助於恢復信心，從而促成了以太坊的持續增長，作為分散應用程序的平台。