以太坊硬分叉始末：读懂历史上的TheDAO被盗案

03月09日 11:17

【摘要】

1. TheDAO是以太坊平台上的一个去中心化投资基金，也是迄今为止世界上最大的众筹项目。
2. 2016年6月17日，TheDAO便遭到黑客袭击。攻击者利用TheDAO智能合约中的递归漏洞劫持了360多万枚以太币。
3. 2016年7月20日以太坊正式实施硬分叉。不支持分叉的社区成员则坚持在原有链上挖矿，并将区块链改名为以太坊经典。
4. 智能合约开发较之通常程序开发具有特殊性，开发智能合约程序必须保持高度的严谨性。

填写表单即可领取5点卡→

2016年7月，刚刚因TheDAO被盗案而大受打击的以太坊社区决定壮士断腕，实施硬分叉以撤销黑客所实施的交易。当时，可能很少有人能够想到，以太坊不仅没有就此一蹶不振，反而越做越强，成为引领了IC0、DeFi、NFT三次行业潮流的公链之王……

什么是TheDAO

TheDAO是以太坊平台上的一个去中心化投资基金，也是迄今为止世界上最大的众筹项目。DAO全称Decentralized Autonomous Organization（即分布式自治组织），TheDAO向投资人募集ETH，并给出对于数量的$DAO作为回报，用户持有$DAO，即是持有了对应权重的投票权，可以通过投票干涉基金的运作。

因此，TheDAO看起来像是一家新形式的投资公司，没有传统意义上的领导人，而是在智能合约的控制下严格按照代码规则运作。成员根据自身对于组织的贡献（量化为所拥有的DAO代币数量）获取对应程度的决策权，以去中心化的方式共同维护组织的运行。由于其概念的突破性，TheDAO的众筹之路顺风顺水，在28日内筹得超过1200万以太坊，达到当时市场流通总量的14%，时价达到1.5亿美元。

但好景不长，2016年5月27日，TheDAO完成众筹刚刚开始运作，仅20天后的6月17日，TheDAO便遭到黑客袭击。攻击者利用TheDAO智能合约中的递归漏洞劫持了360多万枚以太币（约为流通总量4%），并将这些以太币中的绝大部分转移到了黑客自己创建了“Child DAO”中。根据智能合约规则，这些被转移的以太币在经过27天才能提取，也就是说，社区只剩下四周时间来寻找对策了。

万策用尽，被迫分叉

事发之后，以Vitalik代表的以太坊核心团队提出了三种解决方案。其一是维持智能合约与区块链的独立性，对于事件本身不做干预，只是这样的话黑客造成的损失便再也无法追回；其二是进行向前兼容的软分叉，通过修改共识协议，暂时限制黑客转出被盗资金；其三则是进行硬分叉，这也是最终手段，将强行回滚交易，使得以太坊恢复到被盗案发生前的状态。

最初，社区成员中支持进行软分叉的占据了多数，软分叉升级逐步开展。但在升级即将完成时，却发现单纯将任何涉及TheDAO和Child DAO的交易视作无效可能导致整个以太坊网络瘫痪。若还坚持挽回损失，便只剩下硬分叉一条路可走。

区块链自诞生以来，便被人们认为具有去中心化、抵抗监管、不可篡改的特性，然而，对于一个大如以太坊这样的头部公链来说，居然也可能为了追回损失修改区块链记录，这无疑对部分社区成员的信仰产生了冲击。随后，由于投票结果显示大部分社区成员支持回滚交易，以太坊于7月20日正式实施硬分叉。而剩下不支持分叉的社区成员则坚持在原有链上挖矿，并将区块链改名为以太坊经典（Ethereum Classic, ETC）。

本次硬分叉完成后，新生的两条区块链有各次进行了数次分叉，以避免可能发生的重放攻击。

Code? Or Law?

TheDAO被盗案造成了极为深远的影响，以太坊被迫分叉、几近夭折，所幸时间流逝，以太坊也逐渐恢复，成长为我们现在所看到的第一公链。但以太坊硬分叉为ETC、ETH也提供了一个生动的案例，分叉成为了大型社区发生争端时的一个最终解决方案。此后比特币的两次分叉中，我们也能够看到以太坊分叉案例的影子。TheDAO本身虽然胎死腹中，但分布式组织这一概念却因本次事件而声名远扬。随着Web 3.0时代渐行渐近，各式各样DAO雨后春笋般出现，为人类合作提供了一个全新而有效的范式。

此外，TheDAO被盗案还给我们留下了许多反思的空间。

其一，区块链的本质。区块链的本质是去中心化，但仅仅基于社区的共识，便可以随意修改链上记录，这是否违背了区块链的初心？通过硬分叉追回损失确实维护了社区成员的“结果正义”，但一旦开次先河，是否违背了区块链的“程序正义”呢？或者从另个角度来说，一旦将来有人通过刻意引导，利用这种共识作恶，这是否又是对于社区权力的滥用呢？

其二，代码与法律孰是孰非。在DAO的世界中有一句名言，Code is Law。但单就代码而言，其实并未明确禁止黑客的行为，很难说黑客的行为这到底是纯粹的恶，还是仅仅是在利用合约的机制。但从法律的角度来说，黑客的行为无疑侵犯了其他用户的权益。这使得我们必须反思智能合约与法律之间的关系。

其三，智能合约的安全性问题。根据以太坊官方出具的报告，以太坊本身并不安全性漏洞，问题出在应用层。在TheDAO被盗事件中，TheDAO的代码提供方Slock.it负有不可推脱的责任。智能合约开发较之通常程序开发具有特殊性，智能合约程序往往很短，如TheDAO的智能合约长度仅有数百行代币，但其作用却极为重要。因此，开发智能合约程序必须保持高度的严谨性，并且经过多轮、仔细的代码审计，以尽量排除其中的有害漏洞。

作者：Gate.io 研究员 Edward H.
*本文仅代表观察员观点，不构成任何投资建议。
*本文内容为原创，版权为Gate.io所有，如需转载请注明作者和出处。