一種實驗性加密貨幣是如何丟失（並找到）5300萬美元的

今天早上，以太坊加密貨幣的使用者醒來時聽到了一些非常令人震驚的訊息。有人試圖對貨幣最大、最富有的機構之一——分權自治組織（DAO）發起新的攻擊。DAO擁有巨大的現金儲備，有人想出了一個方法來榨乾5300萬美元。...

今天早上，以太坊加密貨幣的使用者醒來時聽到了一些非常令人震驚的訊息。有人試圖對貨幣最大、最富有的機構之一——分權自治組織（DAO）發起新的攻擊。DAO擁有巨大的現金儲備，有人想出了一個方法來榨乾5300萬美元。

由於以太坊的性質，開發者仍然可以看到錢在哪裡，拿走了多少錢，而且至少27天內是不可能花掉的。但是，這場大規模的、突然發生的盜竊事件，給一個曾經被譽為區塊鏈未來的專案帶來了前所未有的危機，也讓數千萬美元的資金無法永遠滑落。

為了節省5300萬美元而瘋狂的衝刺

為了瞭解這是怎麼發生的，有必要瞭解以太坊是如何工作的。該系統建立在與比特幣一樣的區塊鏈理念之上，比特幣是一個基於密碼的貨幣持有和消費系統，而不是傳統的中介機構，如銀行和信用卡公司。將這種邏輯應用於金融已經形成了一個強大而有爭議的貨幣體系，但以太坊推動了這一體系的進一步發展。以太坊不把區塊鏈限制在交易上，而是讓開發者在區塊鏈分類賬上構建任何型別的程式碼——這可能意味著基於區塊鏈的合同、基於區塊鏈的業務，甚至是尚未建立的更為荒野的系統。與大多數區塊鏈提案一樣，它還是實驗性的，有點星光滿目，但成功募集了1500萬元，吸引了部分業內最大投資者的關註。

DAO是構建在以太坊之上的最雄心勃勃的系統之一。它被設計成一種分散的風險投資基金。以太坊使用者可以購買類似股票的代幣，使他們有權對專案和投資進行投票，並分享任何利潤。它仍處於非常早期的階段，但信徒們希望它能為一種新型的分散化公司提供一種模式。

但有個問題。為DAO提供動力的契約程式有一個bug，在適當的情況下，它允許透過餘額檢查機制清空託管帳戶。這些契約建立在以太坊之上，而不是成為其核心程式碼的一部分，但它們對於DAO的日常操作至關重要。一些研究人員已經引起了人們對這個漏洞的關註，其中最著名的是比特幣基金會前主席彼得·韋斯森（Peter Vessence），但開發人員似乎沒有意識到一旦利用這個漏洞，它的破壞力會有多大。”“這個特殊的錯誤並不是未知的，”Vessence說核心開發人員知道這一點。”

事後看來，很容易責怪開發人員沒有及早發現問題，但DAO專案的性質使他們處於不利地位。構建web資料庫的編碼人員有幾十年的程式碼和安全標準可供借鑒，但區塊鏈編碼是一個全新的領域。很難預測哪些安全問題會變得嚴重，哪些保護措施會變得有效。而且由於幾千萬美元的風險，有很多攻擊者仔細研究這些程式碼，尋找他們忽略的任何東西。

“這是防禦性軟體工程的終極測試，”Vessence說你必須擔心四年後你無法修改的程式碼會遭到攻擊。工具不在那裡，文件不在那裡，最佳實踐仍在被髮現。”

“最根本的問題是青少年能很快致富。”

以太坊的開發者已經投入了巨大的努力來修補這個漏洞，但這仍然留下了5300萬美元的問題。這筆錢仍在以太坊的硬幣裡，由於DAO合同的獨特性質，在接下來的27天裡，它被卡在一個特定的持有賬戶裡。如果社群在這段時間內什麼都不做，攻擊者就可以逍遙法外——但考慮到風險有多大，這不太可能發生。

更有可能的是以太坊的領導人會想出一種辦法收回，但對於究竟該如何進行，仍有一些爭論。以太坊創始人維塔利克·布特林（上圖）在今天上午的一篇詳細描述攻擊的帖子中，提議對以太坊的密碼進行自願修改，即使在27天的視窗到期後也不可能花掉被盜的硬幣。同樣的機制最終可以用於退款，儘管這樣做需要很多政治共識。一些社群成員主張不收回這些資金——使用與2008年銀行救助方案相同的道德風險論點——但迄今為止，這些爭論似乎不太可能獲勝(更新：攻擊者自那以後就提出聲稱這些硬幣是他的合法貨幣，這使這些努力更加複雜。）

儘管如此，這一結果仍然讓道和以太坊的未來充滿了不確定性。對於加密貨幣來說，盜竊是一個長期存在的問題，特別是對於任何大到足以成為誘人目標的機構來說。2014年，基礎比特幣交易所Mt Gox因4億美元失竊事件被披露為嚴重資不抵債，這一事件導致比特幣聲譽永久受損。

今天的盜竊事件並沒有戈克斯山崩塌那麼嚴重，但一些觀察家也對此表示了類似的擔憂。康奈爾密碼學家艾明ü長期對道持懷疑態度的n Sirer今天在一篇博文中寫道，這一事件應該標志著該組織的徹底終結，他呼籲組織者“拆除基金，盡可能有序地將硬幣返還給投資者。”其他人則不那麼悲觀，將DAO的問題看作以太坊更大擴充套件中的一個減速。

對於Vessence來說，這是一個更簡單的故事：一個發展太快而不利於自身發展的專案。”最根本的問題是青少年很快就能致富開發商是冷靜、負責的人，但這個專案已經有了自己的生命。”