The DAO的故事

编者按：本文转载自“蓝狐笔记”（ID：lanhubiji），36氪经授权转载

The DAO 事件是区块链历史上的著名事件，由于智能合约的漏洞造成资金被黑客转移，而近期也有几起被黑客攻击的事件。可以预见，未来智能合约还会有更多的安全问题。类似的事件给我们的启示是：区块链项目安全问题很重要，但并没有得到足够重视。区块链项目都是有关资产的问题，全世界的黑客都在虎视眈眈。由此带来的是，智能合约安全审计会变得重要。从投资的角度，这类项目值得关注。本文作者Samuel Falkon，源自于mediu.com，由蓝狐笔记社群“Carlo”翻译。

通过区块链技术成功实现的最不可思议的概念之一是The DAO，一种分布式的自治组织。分布式的自治组织是通过智能合约运行的实体。其金融交易和规则被编码在区块链上，有效地消除了对中心化的需求--因此，对它的描述为“分布式”和“自主的”。  

分布式的自治组织(被称为The DAO)致力于成为像风险投资基金那样来运作加密和去中心化项目，没有了集中的权力约束，降低了成本，并在理论上为投资者提供了更多的自我控制和入场机会。 

2016年5月初，以太坊社区的一些成员宣布了“The DAO”的诞生。它是作为以太坊区块链上的一种智能合约而被建造的。编码框架是由Slock开源开发的。 

它是由以太坊社区的成员以“The DAO”的名字部署。在创建期间，任何人都可以将Ether发送到一个指定的钱包地址，以换取1-100的DAO Token。在创建期间，它取得意外的成功，成功地收集了当时价值约1.5亿美元Ether，使它成为当时有史以来最大的众筹。 

从本质上讲，这个平台可以让任何有项目的人向社区宣传他们的想法和项目，并有可能从The DAO那里获得资金。任何有DAO Token的人都可以对投资计划进行投票。如果项目盈利，就会得到回报。随着融资到位，一切都安好。 

The DAO的伟大开端出了问题

2016年6月17日，一名黑客在编码上发现了漏洞，使得他可以从The Dao上抽走资金。在攻击的头几个小时，360万的以太被转出，在当时价值相当于七千万美元，今天则达到了21亿美元。黑客达成了他想要的破坏，退出了攻击。

在此漏洞中，攻击者能够“请求”智能合同( DAO )多次返回以太，且都是在智能合约更新它的余额前进行的。两个主要问题使它成为可能：一是在创建DAO智能合约时，编码人员没有考虑到递归调用的可能性；二是智能合约首先发送ETH资金，然后再更新内部token余额。

重要的是要了解这个bug不是来自以太坊本身，而是来自基于以太坊上的构建应用程序。为DAO编写的代码有多个缺陷，递归调用的漏洞就是其中之一。

另外一种理解它的方式是比较。以太坊比作是互联网，基于以太坊的应用比作是网站。也就是说，如果网站不运行，不意味着整个互联网出问题。它只能说明网站有问题。 

黑客出于未知的原因停止从The DAO抽取资金，尽管他可以继续这么做。以太坊社区和团队很快就控制了局面，并提出了多项应对攻击的建议。

然而，这些资金被存入一个账户，有一个28天锁定期，黑客无法转走。为了退还损失的钱，以太坊通过硬分叉把被黑资金退还到原所有者的账户上。退还汇率是1 ETH兑100 DAO ，与首次公开发行时的汇率相同。 

毫无意外，黑客攻击意味着DAO的终结。很多以太坊用户质疑硬分叉违反区块链的基本信条。更糟糕的是，2016年9月5日，Poloniex交易所下架了DAO token，Kraken在2016年12月也下架了DAO token。 

与美国证券交易委员会(SEC)2017年7月25日发布的报告相比，以上的这些问题都相形见绌。它提到： 

“由一个名为“DAO”的“虚拟”组织提供和出售的代币是证券，因此受联邦证券法的约束。报告确认，发行基于区块链技术的证券发行者必须登记此类证券的发行和销售，除非有有效的豁免。参与未注册发行的证券的人也可能要对违反证券法的行为负责。”

换句话说，TheDAO的发行与首次公开发行(IPO)一样，受到同样监管原则的约束。按照SEC观点，DAO违反了联邦证券法，所有投资者也一样。 

DAO兴衰的持续影响

虽然DAO项目已经结束，但其影响仍在继续。当前的区块链开发团队不断地从DAO案例中寻求指导——看看哪些事情不应该做。 

首先，TheDAO提供了一个宝贵的教训，就是关于建立安全区块链平台的重要性。DAO的黑客攻击并不是以太坊区块链内生的问题，而是来自一个被智能黑客利用的编码漏洞。如果代码写得正确，可以避免黑客攻击。  

其次，SEC对DAO的裁决鼓励了区块链初创企业想办法避免证券注册和联邦监管。公司做的方式之一是使用SAFT方法。如果在区块链平台上的token有合法的实用价值，它们违反了Howey法案的部分内容，因此不能作为证券上市。 

没有the DAO事件，谁会知道这些教训呢。