通告 | DAO正在遭受攻击,你应当如何反应?

吕国宁   |     |   588 次阅读

译者注:针对这次 DAO 被攻击事件,EthCore 的一篇文章表明了他们的态度。

DAO出现了问题,需要社区决定如何解决。

请国内社区成员跟帖发表自己的意见,谈谈对如何处理DAO问题以及对于以太坊官方提出的软硬分叉的看法。Ethfans会汇总这些消息,并向以太坊官方传达中国社区的声音。

详情见:http://ethfans.org/topics/361


原文地址: https://blog.ethcore.io/attack-on-thedao-what-will-be-your-response/

两天前,一则关于 TheDAO 合约代码中的缺陷被发现: 一种在提取投资时发起基于递归调用的漏洞的方式进行攻击。

https://forum.daohub.org/t/bug-discovered-in-mkr-token-contract-also-affects-thedao-would-allow-users-to-steal-rewards-from-thedao-by-calling-recursively/4947/7

最初这种攻击被认为是无伤大雅的,因为从 Child DAO 中获取回报需要等待很长的一段时间,并且需要得到其他 DAO 持有人的许可后,才会拿回所有属于自己的投资。

https://blog.slock.it/no-dao-funds-at-risk-following-the-ethereum-smart-contract-recursive-call-bug-discovery-29f482d348b#

不幸的是,在当时,并没有人意识到这个问题在分割 DAO 时也同样存在...

正是这种机制允许攻击者可以通过分割 DAO 的过程中实施递归调用,直到把所有的资产全部提取出来,这种攻击已经进行了几个小时了…并且以太坊核心开发者和 slock.it 都没有办法阻止它。

如果这个问题被尽可能早的发现,那么可以通过白帽攻击并将以太币转移到一个安全的非利益方,但是这样一个最佳的机会窗口被错过了。

但是我们可以修复

一个来自社区的正当回应

去中心化的共识网络是一个点对点的网络,每个独立的节点会根据自身的利益,同意并与区块链数据库一致的共识,这里的”达成一致“和“自身利益”是其中的关键。这两个观念来自于比特币,比特币通过崎岖的发展轨迹并解决了一个又一个问题,才让整个社区会在当预期的协议跟现实世界矛盾冲突的时候采取措施。

每一个软件的发展过程,总免不了循环的修复协议中的各种问题,通过硬分叉实现新功能是比特币和以太坊之间哲学上的差异。

但是这一次不同,DAO 并不是以太坊协议的一部分,软件的问题来自于合约源码的糟糕实现,威胁并不是直接来自于代码,而是在分割大量资产的过程中,允许导致问题的再分配行为。

所以我们怎么办?Ethcore 作为以太坊开发社区的一部分,我们并不经营矿场,我们并不控制整个网络,不管是 Jeff 还是 Christian 的团队,我们只是一群技术专家和代码维护者。以太坊属于以太币的持有人,矿工,节点,每一个个体为了维护自身的利益,从而达成一致的区块链网络。

我们希望给大家一个来自另外一个世界的选择,在这个世界中,The DAO 的攻击者不允许控制 The DAO 中的以太币,无论移动或者花费它们,取而代之的是 DAO token 会被返还,The DAO 的实验会结束,我们会更聪明。

我们为你提供了一个选择,通过更新到 Parity 客户端,把所有的以太币移动到一个恢复用的合约,并允许 Token 持有人取回它们的以太币,当然这需要跟 Geth 团队和 CPP 团队协调一致。

此刻我们正处于分岔路口,我们希望你做出正确的决定。

EthCore 核心开发团队。

 
0 人喜欢