在DAO被[db:标签]事件两年多之后,以太坊社区陷入内战,其中一个导致黑天鹅事件的漏洞仍然潜伏在许多智能合约中,随时可能被黑客利用。
康奈尔大学(Cornell)计算机科学教授、加密货币研究项目IC3的联合主任Emin Gün Sirer表示,他认为有各种智能合约很容易受到“重入(reentrancy)”漏洞的攻击,这种攻击允许恶意用户从某个支付渠道提取以太币。他在推特上写道:
“我看到过其他类似的合约,它们完全信任他们平台上发布的erc-20代币不会执行可重入调用。我确信这个漏洞以后还会发生。”
这是Sirer对SpankChain被攻击事件的评价。上周末,初创企业SpankChain遭到黑客入侵,价值近4万美元的加密货币被盗。而SpankChain平台部分运行在基于以太坊的区块链上。
据CCN报道,该公司表示,黑客利用了重入攻击,通过一系列交易从智能合约中窃取了1165.38 ETH。简而言之,攻击者使用恶意的智能合约对SpankChain合约进行欺骗,让它错误地认为攻击者有权限从支付渠道提取资金。该公司解释道:
“攻击者创建了一个伪装成ERC20代币的恶意合约,在该恶意合约中,‘转移’函数多次调用支付通道的合约,每次都抽取一些以太币。”
正如Spankchain和Sirer指出的那样,这次攻击与导致DAO严重受损的攻击类似。DAO是一个去中心化的风险投资基金,其通过ICO筹集的资金总额很长时间一直位居榜首。
DAO价值高达1.5亿美元的时候,以太坊的总市值还远低于20亿美元。2016年6月17日,黑客利用DAO的智能合约漏洞盗取了其360万个以太币,按目前的价格这些币价值近8.15亿美元。当时DAO持有的以太币占总供给的近15%。
我们都知道接下来发生什么,项目方做出了一系列徒劳的追回资金的尝试,开通了臭名昭著的聊天室对话,并进行了有争议的硬分叉,以太经典(Ethereum Classic)由此诞生。
如今,两年多过去了,以太坊已经走出了那次DAO被盗事件的阴影。在黑客攻击后的几个月里,以太坊的价格曾一度跌至6美元,现在它的价格在230美元左右。数以百计的区块链初创企业都在使用以太坊来进行价值数十亿美元的ICO融资,成千上万的开发者正在该平台上构建去中心化的应用程序(dApp)。
然而,尽管此后的攻击所带来的后果可能并不总是像2016年6月那个臭名昭著的早晨那么严重,但这个永久改变了加密货币格局的漏洞似乎一直在蠢蠢欲动。
