2016年,区块链行业爆出一桩轰动全网的安全奇案:攻击者仅花不到1美元的交易手续费,凭着一行写反顺序的代码,就从头部项目The DAO的链上合约中,卷走了价值6000万美元的数字资产。全程没有暴力破解,没有非法入侵,完全是顺着代码本身的逻辑漏洞完成的操作。


Pada tahun 2016, industri blockchain diguncang oleh sebuah kasus keamanan yang menggemparkan: seorang penyerang hanya dengan biaya transaksi kurang dari 1 dolar AS, menggunakan satu baris kode yang urutannya terbalik, berhasil menguras aset digital senilai 60 juta dolar AS dari kontrak on-chain proyek terkemuka The DAO. Sepanjang proses, tidak ada peretasan paksa, tidak ada intrusi ilegal, semuanya dilakukan dengan memanfaatkan celah logika dalam kode itu sendiri.

这个漏洞的原理简单到离谱:正常的提现逻辑本该先清零用户账户余额,再执行转账。但当年的合约写反了先后顺序——先打款,再清余额。攻击者就在转账触发的回调机制里,循环发起提现申请,趁着系统还没更新余额状态,一轮接一轮套取资金,递归循环直到把整个合约的储备彻底搬空。而修复方案只需要调换两行代码的位置。
Prinsip celah ini sangat sederhana hingga tidak masuk akal: logika penarikan normal seharusnya menghapus saldo akun pengguna terlebih dahulu, baru kemudian melakukan transfer. Namun kontrak saat itu menulis urutan terbalik — mengirim dulu, lalu menghapus saldo. Penyerang memanfaatkan mekanisme panggilan balik yang dipicu oleh transfer, berulang kali mengajukan permintaan penarikan, selagi sistem belum memperbarui status saldo, terus menguras dana putaran demi putaran, secara rekursif hingga seluruh cadangan kontrak habis. Solusi perbaikannya hanya perlu menukar posisi dua baris kode.

The DAO绝非无名小项目,它是当时以太坊生态最受瞩目的标杆项目,众筹规模达1.5亿美元,代码经过社区多轮评审、专业安全团队核查,偏偏没人揪出这个最基础的逻辑错误。
The DAO bukanlah proyek kecil yang tidak dikenal; ia adalah proyek unggulan paling menonjol di ekosistem Ethereum saat itu, dengan skala crowdfunding mencapai 150 juta dolar AS. Kodenya telah melalui beberapa kali tinjauan komunitas dan pemeriksaan tim keamanan profesional, namun tidak ada yang menemukan kesalahan logika paling mendasar ini.

事件最终倒逼以太坊社区启动硬分叉,强行回滚交易追回被盗资产,也直接分裂出了以太坊经典这条分支链。行业长期信奉的“代码即规则”的理念,第一次被现实狠狠打脸,关于“利用漏洞是合理操作还是盗窃”的争论,至今仍在发酵。
Peristiwa ini akhirnya memaksa komunitas Ethereum melakukan hard fork, memutar balik transaksi secara paksa untuk memulihkan aset yang dicuri, dan secara langsung menghasilkan cabang rantai Ethereum Classic. Konsep "kode adalah hukum" yang selama ini diyakini industri, untuk pertama kalinya ditampar keras oleh kenyataan, dan perdebatan tentang apakah mengeksploitasi celah adalah tindakan yang sah atau pencurian, masih terus bergulir hingga hari ini.

更讽刺的是,十几年过去,这类基础漏洞非但没有绝迹,反而换着马甲反复上演。2021年知名借贷协议CREAM Finance被同款手法卷走1.3亿美元,由于调用链路层层嵌套、隐蔽复杂,即便经过了完整的专业审计,也没能排查出风险。
Lebih ironisnya, puluhan tahun berlalu, celah dasar semacam ini tidak hanya tidak punah, tetapi terus berulang dengan berbagai kedok. Pada tahun 2021, protokol pinjaman terkenal CREAM Finance kehilangan 130 juta dolar AS dengan teknik yang sama. Karena rantai panggilan yang bertumpuk dan kompleks serta tersembunyi, meskipun telah melalui audit profesional yang lengkap, risiko tersebut tidak terdeteksi.

除此之外,零本金的闪电贷操控攻击、函数权限写错的低级失误、甚至仅凭一封钓鱼邮件就造成6.25亿美元损失的跨链桥大案,在行业里轮番上演。不少项目为了赶上线进度、压开发成本,在安全环节一再妥协,每一处偷懒的细节,最终都酿成了难以挽回的天价损失。$ETH
Selain itu, serangan manipulasi flash loan tanpa modal, kesalahan rendah dalam penulisan izin fungsi, bahkan kasus besar jembatan lintas rantai yang hanya dengan satu email phishing menyebabkan kerugian 625 juta dolar AS, terus terjadi silih berganti di industri. Banyak proyek, demi mengejar jadwal peluncuran dan menekan biaya pengembangan, terus-menerus berkompromi dalam hal keamanan. Setiap detail kecil yang diabaikan pada akhirnya berujung pada kerugian besar yang sulit dipulihkan.{spot}(ETHUSDT)
ETH1,93%
Lihat Asli
post-image
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
  • Hadiah
  • Komentar
  • Posting ulang
  • Bagikan
Komentar
Tambahkan komentar
Tambahkan komentar
Tidak ada komentar
  • Disematkan