基於Ethereum(以太坊)公共區塊鏈平台的分散式自治組織(the Decentralized Autonomous Organization,The DAO)專案在上周五(6/17)遭到駭客入侵,駭客盜走了逾360萬個以太幣(Ether),以上周五每個以太幣價值20美元來計算,總價約7200萬美元。不過,駭客盜走以太幣後導致價值暴跌,已跌至11.2美元。
The DAO為一採用Ethereum平台的創投組織,它創下了群眾募資的新紀錄,在27天內募得了1200萬個以太幣。投資人能以以太幣購買The DAO的籌碼,擁有籌碼即握有專案投票權,屬於區塊鏈及智慧型合約(smart contract)的應用。日前已有電腦科學家警告The DAO的投票機制出了問題,可能損及投資人的利益,並呼籲The DAO進行修補,沒想到The DAO第一個碰到的問題卻是以太幣遭竊。
現年只有22歲的乙太坊共同創辦人Vitalik Buterin說明,駭客利用The DAO潛藏的遞歸呼叫漏洞,把逾360萬個乙太幣移轉到child DAO中。該漏洞存在於The DAO中,與以太坊無關。
The DAO為了提高投資人撤出資金的難度,並不允許投資人直接提領資金,而是要求投資人先把資金轉到child DAO中,且要經過27天之後才能提領。因此,目前駭客所盜走的360萬個乙太幣還存放在child DAO中。
這位匿名駭客隔天即在Pastebin上發表了公開信,他說他非常謹慎地研究了The DAO的程式碼,發現有一個得以取得以太幣的功能,於是他使用了這項功能,得到了364萬個以太幣的所有權,他覺得這是The DAO用來鼓勵分散式及建立child DAO的功能,是合法的,並非偷竊。
已有人建議The DAO打造一個軟體分支以防駭客動用該筆資金,或是撤銷駭客所曾執行的指令。在此一駭客事件傳出後,以太幣的價格在這三天從20美元快速下滑到11.2美元。