1年前,某黑客盗取了价值5500万美元的以太币,本文尝试将这段历史重现于公众面前。
一、第666行代码
夏天感冒最痛苦不过,艾明·古恩·萨若( Emin Gün Sirer )从他1岁的儿子那里传染上了感冒病毒。于是,2016年6月13日,这位康纳尔大学计算机科学副教授,发现自己不得不在病床上一边流眼泪擦鼻涕,一边抱着笔记本电脑跟代码漏洞死磕——他怀疑某行代码中的缺陷有可能导致2.5亿美元有被盗风险。
这不是什么无足轻重的代码,这是区块链相关软件设计最新突破里的核心代码,而区块链是创新组合了去中心化计算和密码学,在2009年缔造了虚拟货币比特币的核心技术。自那以后,区块链改变众多行业生态系统的前景,吸引了企业董事会和政府之类头头脑脑的关注和想象延伸。然而,这位土耳其出生的教授,在那个周一带病探索的东西,却是比特币的下一个飞跃——以太坊(ethereum)区块链。
以太坊区块链不是将比特币在用户间流转,而是托管被称为“智慧合约”的全功能计算机程序——基本上靠代码而非法庭执行的协议。这意味着可以自动化债券付款生命周期,或者医药公司可以验证药品来源。不过,智慧合约还很新,基本未经检验,且与所有软件一样,可靠性由其编码决定——而古恩非常确定他在代码中发现了大问题。
晚上7:30的时候,在一封发给他门下研究生的邮件中,古恩指出,他正在审查的智慧合约代码第666行可能有问题。细节决定成败古恩怕该漏洞可使黑客无限制提款——即使攻击者账户中仅有10美元(攻击者的身份必需为虚拟货币投资人),也可以无限制提出上千万美元。
数量惊人的钱存在于一个名为“分权自治组织(DAO)”的程序中。该程序在近1年前编写建立,由智慧合约监管,用于民主化以太坊项目资金支持。数千名植根于计算机科学前沿的年轻梦想家、野心家和开发者,都投资了DAO。这都是真金白银,2.5亿美元,他们的钱,用来打造更美好的世界的钱,这每一分钱都笼罩了巨大的风险。
古恩,这位留着黑色短发,看上去比实际年龄年轻10岁的45岁教授,一直在跟踪并公布DAO设计中的缺陷。几周前,5月27号,与两名同事一起,他敦促投资人在安全漏洞未修复前别再往DAO里投钱。然而,已经太迟了,该程序在第二天继续在线。像DAO这样的智慧合约,一旦在以太坊区块链上发布,就完全依赖其代码了。这意味着,DAO代码无法修复。其他区块链专家,包括比特币基金会共同创始人皮特·维赛尼斯,也指出了智慧合约中的安全缺陷,但古恩似乎是首位定位该吞钱漏洞的专家。问题在于,该代码太新了,没人知道会发生什么,或者说,没人知道里面有没有问题。
古恩也有自己的疑虑。这甚至不是他的工作。他只是出于兴趣而已。戴安也不觉得他们发现了什么。邮件中,他说:“我们或许进退两难了。”之后不久,在古恩指出666行的错误时,戴安回复说:“我不这么认为。”
古恩说:“我们并不是每次发现个可疑漏洞就会敲响警钟。”相反,他躺床上去缓解感冒了——这才是他认知中真正需要修复的漏洞。
4天后,克里斯托弗·延奇躺在自家地板上,深呼吸,极力保持平静。
二、价值2.5亿美元的虚拟货币
那是周五早上,西方世界的软件开发者们都被延奇创建的DAO遭到攻击的新闻惊醒了。古恩没说错,真的有漏洞,能把钱吸走的漏洞。
延奇一头黑发满脸胡子,与家人住在距捷克边境不远的德国米特韦达乡下。延奇一家的早晨总是一片忙乱,因为他和他妻子得喂饱从2岁到9岁不等的5个小孩,并送他们上学。然而今天,在接到他哥哥的电话,听说DAO被黑的消息后,延奇不得不放下他的家庭责任。他对妻子说:“你照看孩子,我有急事。”
这是史上最大数字劫案之一的故事。或许你听说过去年黑客入侵Swift银行间消息系统,从孟加拉央行盗取8100万美元的事,但DAO攻击却是完全不同的类型。它就发生在众人眼前,想看就能看见,而且阻止不了。就像5月份WannaCry勒索软件暴露出计算机操作系统漏洞一样,DAO黑客事件也暴露出智慧合约安全中的早期弱点,让社区中的很多人震惊于他们竟然没能及时发现这些漏洞。事件余波最终会导致黑白帽子大战——在奇怪又充满未来感的DAO战争中。
DAO的创意,源于延奇从另一个互联网驱动的现象中借用的概念:众筹。32岁的延奇是个理论物理学家,与几个同事一起,于2015年创立了Slock.it。在他们考虑为公司筹资的时候,延奇采用了很多人都干过的做法——出售数字货币,也就是代币。但是,为什么每家新初创公司都得研发自己的初始货币产品呢?延奇想,为什么不能是由一个大基金来监管所有的数字货币?
2015年11月,在伦敦举行的 DevCon 1 开发者大会上,延奇将自己的想法告诉了全世界。“创建一家公司的区块链方法是什么?”延奇问他的听众,“显然,必须是DAO。”它的运作方式是这样的:以太币,作为比特币一类的虚拟货币,被用于在以太坊区块链上注资并开发应用。这类似于创建像iTunes一样的音乐App,或是按Uber路线创建拼车服务。投资人用以太币购买DAO代币;代币可用于投票支持自己喜欢的项目。只要支持的App赚到钱,代币持有者就能分享利润。