【小哈划重点:区块链项目安全问题很重要,但并没有得到足够重视。区块链项目都是有关资产的问题,全世界的黑客都在虎视眈眈。由此带来的是,智能合约安全审计会变得重要。从投资的角度,这类项目值得关注。】
The DAO 事件是区块链历史上的著名事件,由于智能合约的漏洞造成资金被黑客转移,而近期也有几起被黑客攻击的事件。可以预见,未来智能合约还会有更多的安全问题。类似的事件给我们的启示是:区块链项目安全问题很重要,但并没有得到足够重视。区块链项目都是有关资产的问题,全世界的黑客都在虎视眈眈。由此带来的是,智能合约安全审计会变得重要。从投资的角度,这类项目值得关注。
通过区块链技术成功实现的最不可思议的概念之一是TheDAO,一种分布式的自治组织。分布式的自治组织是通过智能合约运行的实体。其金融交易和规则被编码在区块链上,有效地消除了对中心化的需求--因此,对它的描述为“分布式”和“自主的”。
分布式的自治组织(被称为TheDAO)致力于成为像风险投资基金那样来运作加密和去中心化项目,没有了集中的权力约束,降低了成本,并在理论上为投资者提供了更多的自我控制和入场机会。
2016年5月初,以太坊社区的一些成员宣布了“TheDAO”的诞生。它是作为以太坊区块链上的一种智能合约而被建造的。编码框架是由Slock开源开发的。
它是由以太坊社区的成员以“TheDAO”的名字部署。在创建期间,任何人都可以将Ether发送到一个指定的钱包地址,以换取1-100的DAOToken。在创建期间,它取得意外的成功,成功地收集了当时价值约1.5亿美元Ether,使它成为当时有史以来最大的众筹。
从本质上讲,这个平台可以让任何有项目的人向社区宣传他们的想法和项目,并有可能从TheDAO那里获得资金。任何有DAOToken的人都可以对投资计划进行投票。如果项目盈利,就会得到回报。随着融资到位,一切都安好。
TheDAO的伟大开端出了问题
2016年6月17日,一名黑客在编码上发现了漏洞,使得他可以从TheDao上抽走资金。在攻击的头几个小时,360万的以太被转出,在当时价值相当于七千万美元,今天则达到了21亿美元。黑客达成了他想要的破坏,退出了攻击。
在此漏洞中,攻击者能够“请求”智能合同(DAO)多次返回以太,且都是在智能合约更新它的余额前进行的。两个主要问题使它成为可能:一是在创建DAO智能合约时,编码人员没有考虑到递归调用的可能性;二是智能合约首先发送ETH资金,然后再更新内部token余额。
重要的是要了解这个bug不是来自以太坊本身,而是来自基于以太坊上的构建应用程序。为DAO编写的代码有多个缺陷,递归调用的漏洞就是其中之一。
另外一种理解它的方式是比较。以太坊比作是互联网,基于以太坊的应用比作是网站。也就是说,如果网站不运行,不意味着整个互联网出问题。它只能说明网站有问题。
黑客出于未知的原因停止从TheDAO抽取资金,尽管他可以继续这么做。以太坊社区和团队很快就控制了局面,并提出了多项应对攻击的建议。
然而,这些资金被存入一个账户,有一个28天锁定期,黑客无法转走。为了退还损失的钱,以太坊通过硬分叉把被黑资金退还到原所有者的账户上。退还汇率是1ETH兑100DAO,与首次公开发行时的汇率相同。
毫无意外,黑客攻击意味着DAO的终结。很多以太坊用户质疑硬分叉违反区块链的基本信条。更糟糕的是,2016年9月5日,Poloniex交易所下架了DAOtoken,Kraken在2016年12月也下架了DAOtoken。
与美国证券交易委员会(SEC)2017年7月25日发布的报告相比,以上的这些问题都相形见绌。它提到:
“由一个名为“DAO”的“虚拟”组织提供和出售的代币是证券,因此受联邦证券法的约束。报告确认,发行基于区块链技术的证券发行者必须登记此类证券的发行和销售,除非有有效的豁免。参与未注册发行的证券的人也可能要对违反证券法的行为负责。”
换句话说,TheDAO的发行与首次公开发行(IPO)一样,受到同样监管原则的约束。按照SEC观点,DAO违反了联邦证券法,所有投资者也一样。
DAO兴衰的持续影响
虽然DAO项目已经结束,但其影响仍在继续。当前的区块链开发团队不断地从DAO案例中寻求指导——看看哪些事情不应该做。
首先,TheDAO提供了一个宝贵的教训,就是关于建立安全区块链平台的重要性。DAO的黑客攻击并不是以太坊区块链内生的问题,而是来自一个被智能黑客利用的编码漏洞。如果代码写得正确,可以避免黑客攻击。
其次,SEC对DAO的裁决鼓励了区块链初创企业想办法避免证券注册和联邦监管。公司做的方式之一是使用SAFT方法。如果在区块链平台上的token有合法的实用价值,它们违反了Howey法案的部分内容,因此不能作为证券上市。
没有theDAO事件,谁会知道这些教训呢。
