The DAO事件始末

最新推荐文章于 2022-11-20 09:00:29 发布
最新推荐文章于 2022-11-20 09:00:29 发布
阅读量2.8k 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38013013/article/details/126664057
版权

DAO,英文全称是Decentralized Autonomous Organization ,去中心化自治组织,代码即法律。

在The DAO项目中,发行代币,以太币可以换取一定数量的代币。代币越多的人投票权重越大,项目资金的用途需要代币持有人投票决定,相关的提议由智能合约支撑。如果你觉得这个投资不符合你的预期你可以执行拆分出去,经过七天的拆分期,期间其他用户可以加入这个拆分。拆分之后在过28天的锁定期,锁定期一过你就可以提现了。

The DAO则是区块链公司Slock.it发起的一个众筹项目2015。1个月就筹集到1.5亿

重入攻击,一下是代码,从代码上可以看到,代码先把钱转给了个人然后再把thedao里面用户的钱清零。问题来了如果我在执行在清零的时候报错不让他执行清零,是不是我可以一直给自己转钱呢?

//totalSupply:当前代币总量
//rewardAccount:奖励账户,用于管理奖励的账户,奖励将分配给该 DAO 的 DAO 代币持有者
//paidOut:已支付到某个地址的奖励金额(以wei为单位)以太币
function splitDAO(uint _proposalID,
    address _newCurator) 
    noEther onlyTokenholders returns (bool _success) {
    	.........
    	// Burn DAO Tokens
           Transfer(msg.sender, 0, balances[msg.sender]);//把用户账户代币转给0,也就是销毁代币
           withdrawRewardFor(msg.sender); // be nice, and get his rewards;将你拥有的代币连同奖励一起给到你的新账户
           totalSupply -= balances[msg.sender];//将合约账户中的钱减少
           balances[msg.sender] = 0;//将合约账户中该用户金额置0
           paidOut[msg.sender] = 0;
           return true;
}
function withdrawRewardFor(address _account) 
    noEther internal returns (bool _success) {
        if ((balanceOf(_account) * rewardAccount.accumulatedInput()) / totalSupply < paidOut[_account])
            throw;

        uint reward =
            (balanceOf(_account) * rewardAccount.accumulatedInput()) / totalSupply - paidOut[_account];
        if (!rewardAccount.payOut(_account, reward))//转账到_account这个账户,同时这里会调用fallback函数
            throw;
        paidOut[_account] += reward;
        return true;
}

其实在被黑客攻击之前就有人发现这个里面的漏洞,但是Thedao社区还没有来的急处理

withdrawRewardFor调用过程最后转账的时候会调用fallback函数,黑客利用这个fallback函数再次调用splitDAO函数,就在这无限循环嵌套,永远没有办法将账户置0,黑客在程序嵌套流程中已经把账上的钱转走了,想追也追不回来了。这时就算黑客写了跳出循环的规则也没有用了。

如此熟悉The DAO代码与机制的人,全世界或许不超过100个。黑客利用这两个漏洞,进行了两百多次攻击,总共盗走了360万的以太坊,超过了该项目筹集的以太坊总数目的三分之一。

幸好有28天的锁定期,这就有了操作的空间了。thedao意识到赶紧把剩下的钱转走不能再被盗了,问题来了!怎么转走?合约里面没有写啊,又不能改合约(去中心化无法修改合约,或者说极其困难修改合约),只能用黑客的方式把剩下的钱转到一个安全的账户。到现在应该算是及时止损了吧。

这时以太坊社区闹翻了天了,一部分人觉得这个太严重了对以太坊可以说是一个重创,投资者损失太严重了,事实也证明以太坊市值也在该事件的影响下不断下跌,他们认为必须把黑客手里的钱还给投资者。另一部分人觉的黑客有没有犯法只是利用你们智能合约里面的漏洞,你不是说的代码即法律,退一万步将你THE dao只是以太坊众多合约里面的一个很普通的合约犯得着为他这样干吗!这不是自毁信用吗?说什么去中心化,说什么无法篡改,你们现在所做的就是强盗强行把别人的钱转走,你们已经背离了以太坊的初衷了。

不过玩归玩闹归闹别把Money开玩笑,以太坊还是做出了这个艰难的决定--分叉(软分叉)。以太坊升级了代码,代码规定所有有关这个黑客账户转账交易都不允许写到区块链中。因为是个软分叉以太坊中绝大部分人都把软件更新了。(软分叉:升级后的程序认为老程序执行的交易不合法,未升级的程序认为升级后的程序所执行的交易同样是合法的)

大家都以为这个事情就告一段落了,但是情况又有了新变化,以太坊出现了大量的关于黑客账户的转账交易,很多挖矿的节点执行这样的交易之后没有汽油费得,旷工发现这样下去吃力不讨好啊,很多节点由于不堪重负就回退了。现在离28天的锁定期没有几天了情况已经非常紧急了。

以太坊社区也没有很好的办法了只能硬分叉,然后就在社区里面举行投票,最后投票结果是决定硬分叉。将黑客所有的以太币强行转到一个特殊的合约账户,这个账户只有一个功能“退钱”,大多数节点都在192w个区块的时候执行这样的“非法的交易”。但是以太坊社区质疑的声音还是一直存在,有人说投票不能代表所有还有好多人没有参与投票,这样非法的交易已经违反了我们建立以太坊的初衷了,这就是强盗行径,别人把就算钱存在银行被扣留了我还可以去法院辩解,现在就你们投票就把我的钱给强行转走了。(硬分叉:未升级的程序认为升级后的程序所执行的交易是不合法的)

过了没多久有就发现还有人在沿着老版本在挖矿他们觉的自己才是正统是纯粹的。再后来有的交易所也在慢慢接受经典以太坊。以太坊社区发现硬分叉的后果已经无法挽回了但是分成两条链会出现双花攻击,于是将代码升级添加版本号,老版本成为经典以太坊ETC

自此以后以太坊社区再也没有为任何一个漏洞合约分叉过了,后果太严重了

何处是归途
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
DAO编程模式
03-05
J2EE开发人员使用数据访问对象(DAO)设计模式把底层的数据访问逻辑和高层的商务逻辑分开.实现DAO模式能够更加专注于编写数据访问代码.在这篇文章中,Java开发人员Sean C. Sullivan从三个方面讨论DAO编程的结构特征:...
The Dao黑客事件,不得不去回看的“历史″
Bidecaijing的博客
06-11 668
DAO 攻击发生已经快2年时间,TheDao攻击,从本质上来说是一个技术失误,但是从加密经济学上来看问题的话,也许更像一个系统问题,甚至可以是哲学问题。​知识库—The DAO事件The DAO 事件是区块链历史上的著名事件,由于智能合约的漏洞造成资金被黑客转移,而近期也有几起被黑客攻击的事件。可以预见,未来智能合约还会有更多的安全问题。类似的事件给我们的启示是:区块链项目安全问题很重要,但并...
Solidity - 安全 - 重入攻击(Reentrancy)
ling1998的博客
06-28 2207
首先简要说明下一个很有名的重入攻击事件,再模拟重入攻击。The DAO是分布式自治组织,2016年5月正式发布,该项目使用了由德国以太坊创业公司Slock.it编写的开源代码。2016年6月17上午,被攻击的消息开始在社交网站上出现,到6月18日黑客将超过360万个以太币转移到一个child DAO项目中,child DAO项目和The DAO有着一样的结构,当时以太币的价格从20美元降到了13美元。当时,一个所谓的”递归调用“攻击(现在称为重入攻击)名词随之出现,这种攻击可以被用来消耗一些智能合约账户。这
区块链的那些事—THE DAO攻击事件源码分析
Fly_鹏程万里
12-17 1260
一、DAO项目介绍 DAO(Decentralized Autonomous Organization)是一种通过智能合约将个体与个体、个人与组织、或组织与组织联系在一起的新型组织形式。The DAO项目于2016年4月30日开始,融资窗口开放了28天。The DAO项目就这么火起来了,截止5月15日这个项目筹得了超过一亿美元,而到整个融资期结束,共有超过11,000位热情的成员参与进来,筹...
《我学区块链》—— 十一、以太坊安全之 The DAO 漏洞分析
xuguangyuansh的博客
06-15 4833
十一、合约安全之 DAO 漏洞分析 &amp;amp;nbsp;&amp;amp;nbsp;&amp;amp;nbsp;&amp;amp;nbsp;&amp;amp;nbsp;&amp;amp;nbsp;&amp;amp;nbsp;首先,再罗嗦几句 DAO 是什么,DAO 本质上是一个风险投资基金,是一个基于以太坊区块链平台的迄今为止世界上最大的众筹项目。可理解为完全由计算机代码控制运作的类似公司的实体,通过以太坊筹集到的资金会锁定在智能合约中,每个
[区块链]回顾史上最大智能合约漏洞事件——The DAO事件
热门推荐
ECNU乐扣老师——区块链、可计算情感
04-13 2万+
乐扣老师讲解The DAO事件 在区块链技术领域,The DAO事件可以算是一个以太坊的丑闻,当然也直接导致了硬分叉。在现实面前,面对黑客当着面利用漏洞源源不断从1.5亿美金的以太币池中拿走资金,而且还没办法。 本文面对这样的一个场景,主要是描述该场景中提到的攻击事件代码,围绕攻击的前因后果。项目进行的始末,最终通过剖析整个事件,达到历史经验借鉴,为未来利用智能合约时铭记安全意识的最终目的。...
走进 DAO 时代:就像智能分布在各处的海星,当你打掉他身体的一部分,这个部分甚至会长成另一只海星...
shadowcz007的博客
11-20 522
D - A - O?这么说吧:如果传统公司制是中心蜘蛛式组织,那么 DAO 是一种典型的海星式组织。传统组织的智力集中在头部,蜘蛛的头一旦被去掉,蜘蛛就会死掉。而去中心化组织,就如同海星,海星根本就没有头,他的智能分布在身体各处,就算你打掉他身体的一部分,那么这个部分甚至可能会再长成另一只海星。“DAO” 就是这么一个 “海星" 似的区块链组织,一种新型元宇宙组织。从其概念上来讲,DAO 是 “D...
重入攻击和 DAO 被黑事件
smartContractXH的博客
09-15 461
在 2015 年之前,还在早期的以太坊社区就开始讨论了。DAO 想要做到的是通过可验证的代码(具体来说,就是运行在以太坊区块链上的智能合约)来实现人与人之间的协作,同时通过社区的协议来进行去中心化的决策。在 2016 年,也就是以太坊主网运行了一年以后,一个名叫 “The DAO” 的 DAO 被创建了。它是一个去中心化的,由社区控制的投资基金。它通过销售自己的社区通证募集了价值 1 亿 5000 万的美元的 ether(大概有 354 万 ETH)。
DAO单元测试
01-31
今天我将展示一下我是如何在实际中对dao进行单元测试的首先我们来确认一下dao需要什么样的环境,我的dao是用Spring+hibernate来构建的,而对应的数据源是oracle9。所以要进行dao的测试我需要从Spring的连接oracle的...
高仿JPA自定义通用DAO
05-07
自定义通用DAO实现基本的CRUD,比如: public interface BaseDao<T> { int insert(T obj) throws Exception; int update(T obj) throws Exception; int deleteByPrimaryKey(Object key) throws Exception; int ...
dao.rar_dao
09-21
使用个DAO来获取商品的价格 数量 种类 和还有用户等等
The DAO的漏洞利用分析
李赫的专栏
09-04 7969
我相信大家都已经听说了关于DAO被盗高达$150M的头条新闻是由黑客使用递归以太坊发送漏洞利用。 这篇文章将会是第一个涉及这一系列可能是什么,提供通过区块链来对攻击者的行动进行时间轴上的追踪,解构和解释在技术层面上到底是什么出错了。第一篇的发布将会关注于攻击者具体是如何从DAO中偷走了所有的钱。 一个多级的攻击 DAO的这次漏洞利用显然不是微不足道的;具体的编程模式使得DAO的弱
TheDAO被攻击事件考察报告
李赫的专栏
07-04 1万+
作者 ChinaLedge联盟 段玺(Andy Dan) 简介     北京时间2016年6月17日发生了在区块链历史上留下沉重一笔的攻击事件。由于 其编写的智能合约存在着重大缺陷,区块链业界最大的众筹项目TheDAO(被攻击前 拥有1亿美元左右资产)遭到攻击,目前已导致300多万以太币资产被分离出TheDAO 资产池。TheDAO编写的智能合约中有一个splitDAO函数,攻击者通过
为什么会有ETH和ETC?the DAO攻击事件2周年祭
weixin_34203832的博客
06-19 404
前两天,跟一位HiBlock区块链社区的用户私聊,他问我一个问题,同样是智能合约,为什么会有以太坊和以太经典,又为什么会有相应的ETH和ETC,两者价格还相差如此之大。 转给他一篇the DAO事件的文章后突然发现,the DAO攻击事件已经过去2年了,今年的6月17日大家都在关注父亲节、端午节以及德国和墨西哥队的比赛爆冷,无论币圈还是链圈,没有人提及the DAO。 也许今年的6月17日有人因...
THE DAO 事件
zhaiguowei的博客
04-27 868
THE DAO :https://etherscan.io/address/0xbb9bc244d798123fde783fcc1c72d3bb8c189413THE DAO 合约地址:0xBB9bc244D798123fDe783fCc1C72d3Bb8C189413THE DAO 初始区块:查看所有交易的最后一页;THE DAO 初始高度:1599274(注意别把交易哈希和区块高度弄混,一个区...
以太坊社区的分裂——The DAO项目分析
cactusblossom
02-13 1417
DAO:Decentralized Autonomous Organization The DAO:众筹投资基金,创建了一个智能合约,运行在以太坊区上。 将以太币转账给该智能合约,然后换回代币,通过代币作为权重投票决定投资哪个项目。 2015年5月发起众筹,1个月内就筹到了1.5亿的以太币,但是3个月后该项目被迫宣告结束。 split DAO - child DAO 回款时没有先清0,导致重入攻...
thedao
weixin_34019144的博客
05-07 121
TheDao 简化版解释 the Dao 合约 contract f1{ function transfer() { if (acccount[m]>=100) { m.send(100) account[m]-=100 } } } send...
基于go开发的waf,包括网关和WAF两部分;.zip
最新发布
05-23
Go语言(也称为Golang)是由Google开发的一种静态强类型、编译型的编程语言。它旨在成为一门简单、高效、安全和并发的编程语言,特别适用于构建高性能的服务器和分布式系统。以下是Go语言的一些主要特点和优势: 简洁性:Go语言的语法简单直观,易于学习和使用。它避免了复杂的语法特性,如继承、重载等,转而采用组合和接口来实现代码的复用和扩展。 高性能:Go语言具有出色的性能,可以媲美C和C++。它使用静态类型系统和编译型语言的优势,能够生成高效的机器码。 并发性:Go语言内置了对并发的支持,通过轻量级的goroutine和channel机制,可以轻松实现并发编程。这使得Go语言在构建高性能的服务器和分布式系统时具有天然的优势。 安全性:Go语言具有强大的类型系统和内存管理机制,能够减少运行时错误和内存泄漏等问题。它还支持编译时检查,可以在编译阶段就发现潜在的问题。 标准库:Go语言的标准库非常丰富,包含了大量的实用功能和工具,如网络编程、文件操作、加密解密等。这使得开发者可以更加专注于业务逻辑的实现,而无需花费太多时间在底层功能的实现上。 跨平台:Go语言支持多种操作系统和平台,包括Windows、Linux、macOS等。它使用统一的构建系统(如Go Modules),可以轻松地跨平台编译和运行代码。 开源和社区支持:Go语言是开源的,具有庞大的社区支持和丰富的资源。开发者可以通过社区获取帮助、分享经验和学习资料。 总之,Go语言是一种简单、高效、安全、并发的编程语言,特别适用于构建高性能的服务器和分布式系统。如果你正在寻找一种易于学习和使用的编程语言,并且需要处理大量的并发请求和数据,那么Go语言可能是一个不错的选择。
springboot dao
05-27
Spring Boot 中的 DAO(Data Access Object)主要是用于与数据库进行交互,通过 DAO 对象可以实现对数据库的增删改查等操作。下面是一个简单的 Spring Boot DAO 实现示例: 1. 创建实体类 ```java @Entity @Table(name = "user") public class User { @Id @GeneratedValue(strategy = GenerationType.IDENTITY) private Long id; private String name; private Integer age; // 省略getter和setter方法 } ``` 2. 创建 DAO 接口 ```java public interface UserDao extends JpaRepository<User, Long> { User findByName(String name); } ``` 3. 创建 DAO 实现类 ```java @Repository public class UserDaoImpl implements UserDao { @Autowired private JdbcTemplate jdbcTemplate; @Override public User findByName(String name) { String sql = "SELECT * FROM user WHERE name = ?"; return jdbcTemplate.queryForObject(sql, new Object[]{name}, new BeanPropertyRowMapper<>(User.class)); } } ``` 在上述示例中,我们使用了 Spring Data JPA 提供的 JpaRepository 接口,它提供了一些常用的 CRUD 方法,如 save、delete、findAll 等。同时,我们也可以自定义一些方法,如通过名称查询用户的方法 findByName。 最后,我们在 DAO 实现类上标注 @Repository 注解,让 Spring Boot 自动扫描到该类并将其注册为 Bean 对象,从而可以在其他组件中注入该 DAO 对象。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值