廣場
最新
熱門
新聞
我的主頁
發布
唐华斑竹
2026-07-04 07:22:24
關注
2016年,區塊鏈行業爆出一樁轟動全網的安全奇案:攻擊者僅花不到1美元的交易手續費,憑著一行寫反順序的代碼,就從頭部項目The DAO的鏈上合約中,捲走了價值6000萬美元的數字資產。全程沒有暴力破解,沒有非法入侵,完全是順著代碼本身的邏輯漏洞完成的操作。
這個漏洞的原理簡單到離譜:正常的提現邏輯本該先清零用戶賬戶餘額,再執行轉賬。但當年的合約寫反了先後順序——先打款,再清餘額。攻擊者就在轉賬觸發的回調機制裡,循環發起提現申請,趁著系統還沒更新餘額狀態,一輪接一輪套取資金,遞歸循環直到把整個合約的儲備徹底搬空。而修復方案只需要調換兩行代碼的位置。
The DAO絕非無名小項目,它是當時以太坊生態最受矚目的標杆項目,眾籌規模達1.5億美元,代碼經過社區多輪評審、專業安全團隊核查,偏偏沒人揪出這個最基礎的邏輯錯誤。
事件最終倒逼以太坊社區啟動硬分叉,強行回滾交易追回被盜資產,也直接分裂出了以太坊經典這條分支鏈。行業長期信奉的「代碼即規則」的理念,第一次被現實狠狠打臉,關於「利用漏洞是合理操作還是盜竊」的爭論,至今仍在發酵。
更諷刺的是,十幾年過去,這類基礎漏洞非但沒有絕跡,反而換著馬甲反覆上演。2021年知名借貸協議CREAM Finance被同款手法捲走1.3億美元,由於調用鏈路層層嵌套、隱蔽複雜,即便經過了完整的專業審計,也沒能排查出風險。
除此之外,零本金的閃電貸操控攻擊、函數權限寫錯的低級失誤、甚至僅憑一封釣魚郵件就造成6.25億美元損失的跨鏈橋大案,在行業裡輪番上演。不少項目為了趕上線進度、壓開發成本,在安全環節一再妥協,每一處偷懶的細節,最終都釀成了難以挽回的天價損失。
$ETH
{spot}(ETHUSDT)
ETH
1.62%
查看原文
此頁面可能包含第三方內容,僅供參考(非陳述或保證),不應被視為 Gate 認可其觀點表述,也不得被視為財務或專業建議。詳見
聲明
。
1人按讚了這條動態
打賞
1
回覆
轉發
分享
回覆
請輸入回覆內容
請輸入回覆內容
回覆
暫無回覆
熱門話題
查看更多
#
gStocks代幣化股票上線
476.52萬 熱度
#
非農爆冷打壓加息預期
105.06萬 熱度
#
預測世界盃巴西VS挪威
19.33萬 熱度
#
ETH突破1700
1.52億 熱度
#
Meta賣算力引發存儲股大跌
140.48萬 熱度
已置頂
網站地圖
2016年,區塊鏈行業爆出一樁轟動全網的安全奇案:攻擊者僅花不到1美元的交易手續費,憑著一行寫反順序的代碼,就從頭部項目The DAO的鏈上合約中,捲走了價值6000萬美元的數字資產。全程沒有暴力破解,沒有非法入侵,完全是順著代碼本身的邏輯漏洞完成的操作。
這個漏洞的原理簡單到離譜:正常的提現邏輯本該先清零用戶賬戶餘額,再執行轉賬。但當年的合約寫反了先後順序——先打款,再清餘額。攻擊者就在轉賬觸發的回調機制裡,循環發起提現申請,趁著系統還沒更新餘額狀態,一輪接一輪套取資金,遞歸循環直到把整個合約的儲備徹底搬空。而修復方案只需要調換兩行代碼的位置。
The DAO絕非無名小項目,它是當時以太坊生態最受矚目的標杆項目,眾籌規模達1.5億美元,代碼經過社區多輪評審、專業安全團隊核查,偏偏沒人揪出這個最基礎的邏輯錯誤。
事件最終倒逼以太坊社區啟動硬分叉,強行回滾交易追回被盜資產,也直接分裂出了以太坊經典這條分支鏈。行業長期信奉的「代碼即規則」的理念,第一次被現實狠狠打臉,關於「利用漏洞是合理操作還是盜竊」的爭論,至今仍在發酵。
更諷刺的是,十幾年過去,這類基礎漏洞非但沒有絕跡,反而換著馬甲反覆上演。2021年知名借貸協議CREAM Finance被同款手法捲走1.3億美元,由於調用鏈路層層嵌套、隱蔽複雜,即便經過了完整的專業審計,也沒能排查出風險。
除此之外,零本金的閃電貸操控攻擊、函數權限寫錯的低級失誤、甚至僅憑一封釣魚郵件就造成6.25億美元損失的跨鏈橋大案,在行業裡輪番上演。不少項目為了趕上線進度、壓開發成本,在安全環節一再妥協,每一處偷懶的細節,最終都釀成了難以挽回的天價損失。$ETH
{spot}(ETHUSDT)