广场
最新
热门
资讯
我的主页
发布
唐华斑竹
2026-07-04 07:22:24
关注
2016年,区块链行业爆出一桩轰动全网的安全奇案:攻击者仅花不到1美元的交易手续费,凭着一行写反顺序的代码,就从头部项目The DAO的链上合约中,卷走了价值6000万美元的数字资产。全程没有暴力破解,没有非法入侵,完全是顺着代码本身的逻辑漏洞完成的操作。
这个漏洞的原理简单到离谱:正常的提现逻辑本该先清零用户账户余额,再执行转账。但当年的合约写反了先后顺序——先打款,再清余额。攻击者就在转账触发的回调机制里,循环发起提现申请,趁着系统还没更新余额状态,一轮接一轮套取资金,递归循环直到把整个合约的储备彻底搬空。而修复方案只需要调换两行代码的位置。
The DAO绝非无名小项目,它是当时以太坊生态最受瞩目的标杆项目,众筹规模达1.5亿美元,代码经过社区多轮评审、专业安全团队核查,偏偏没人揪出这个最基础的逻辑错误。
事件最终倒逼以太坊社区启动硬分叉,强行回滚交易追回被盗资产,也直接分裂出了以太坊经典这条分支链。行业长期信奉的“代码即规则”的理念,第一次被现实狠狠打脸,关于“利用漏洞是合理操作还是盗窃”的争论,至今仍在发酵。
更讽刺的是,十几年过去,这类基础漏洞非但没有绝迹,反而换着马甲反复上演。2021年知名借贷协议CREAM Finance被同款手法卷走1.3亿美元,由于调用链路层层嵌套、隐蔽复杂,即便经过了完整的专业审计,也没能排查出风险。
除此之外,零本金的闪电贷操控攻击、函数权限写错的低级失误、甚至仅凭一封钓鱼邮件就造成6.25亿美元损失的跨链桥大案,在行业里轮番上演。不少项目为了赶上线进度、压开发成本,在安全环节一再妥协,每一处偷懒的细节,最终都酿成了难以挽回的天价损失。
$ETH
{spot}(ETHUSDT)
ETH
0.77%
此页面可能包含第三方内容,仅供参考(非陈述/保证),不应被视为 Gate 认可其观点表述,也不得被视为财务或专业建议。详见
声明
。
1人点赞了这条动态
赞赏
1
评论
转发
分享
评论
请输入评论内容
请输入评论内容
评论
暂无评论
热门话题
查看更多
#
gStocks代币化股票上线
476.31万 热度
#
非农爆冷打压加息预期
104.97万 热度
#
预测世界杯巴西VS挪威
18.95万 热度
#
ETH突破1700
1.52亿 热度
#
Meta卖算力引发存储股大跌
140.45万 热度
置顶
网站地图
2016年,区块链行业爆出一桩轰动全网的安全奇案:攻击者仅花不到1美元的交易手续费,凭着一行写反顺序的代码,就从头部项目The DAO的链上合约中,卷走了价值6000万美元的数字资产。全程没有暴力破解,没有非法入侵,完全是顺着代码本身的逻辑漏洞完成的操作。
这个漏洞的原理简单到离谱:正常的提现逻辑本该先清零用户账户余额,再执行转账。但当年的合约写反了先后顺序——先打款,再清余额。攻击者就在转账触发的回调机制里,循环发起提现申请,趁着系统还没更新余额状态,一轮接一轮套取资金,递归循环直到把整个合约的储备彻底搬空。而修复方案只需要调换两行代码的位置。
The DAO绝非无名小项目,它是当时以太坊生态最受瞩目的标杆项目,众筹规模达1.5亿美元,代码经过社区多轮评审、专业安全团队核查,偏偏没人揪出这个最基础的逻辑错误。
事件最终倒逼以太坊社区启动硬分叉,强行回滚交易追回被盗资产,也直接分裂出了以太坊经典这条分支链。行业长期信奉的“代码即规则”的理念,第一次被现实狠狠打脸,关于“利用漏洞是合理操作还是盗窃”的争论,至今仍在发酵。
更讽刺的是,十几年过去,这类基础漏洞非但没有绝迹,反而换着马甲反复上演。2021年知名借贷协议CREAM Finance被同款手法卷走1.3亿美元,由于调用链路层层嵌套、隐蔽复杂,即便经过了完整的专业审计,也没能排查出风险。
除此之外,零本金的闪电贷操控攻击、函数权限写错的低级失误、甚至仅凭一封钓鱼邮件就造成6.25亿美元损失的跨链桥大案,在行业里轮番上演。不少项目为了赶上线进度、压开发成本,在安全环节一再妥协,每一处偷懒的细节,最终都酿成了难以挽回的天价损失。$ETH
{spot}(ETHUSDT)