DAO
Decentralized Autonomous Organization (DAO),中文翻译是“去中心化自治组织”,是一种通过智能合约将个体与个体、个人与组织、或组织与组织联系在一起的新型组织形式。
国家、股份公司、企业、保险公司只是帮助人们实现大规模合作的几种方法。本质上,它们只是抽象存在,我们利用它们进行自我组织,实现协作。但是,它们的功能与DAO的功能没有不同之处,但是它们所用到的技术(纸质文件、印刷、由司法系统执行)是不同的。
Why
- 成本低,智能合约来进行财务和权利等管理,取代传统出纳,人事,股东制度,降低大量成本。
- 代码强制性,避免贪腐,保证资金安全。
- 无地域性差异。
- 高效,节约大量时间,让机器处理繁琐的细节。
- 民主,避免多数人绑架少数人。
- 未来的世界是人围绕机器进行的。
Slock.it
区块锁Slock.it是本届DEVCON上关注度最高的项目之一。
区块锁Slock.it是一个开放平台,供所有人使用和开发。它以一种完全去中心化的方式运作,将租赁人和产权人直接连接起来。
- 去中心化的方式管理租赁人和产权人,避免了中心化机构的高昂成本,以及中心化垄断的问题。
- 通过区块链来解决信任问题。
Slock.it 和 TheDAO关系
起初,Slock.it创建了一个DAO,用来众筹,通过DAO来分配DTH的收益。后来,Slock.it希望能将DAO作为一个平台,于是就有了TheDAO,其他项目也可以通过TheDAO来筹集资金。
好戏开场
众筹到超过1.3亿美元的资金,成为有史以来最大的众筹项目!
为什么可以筹集到这么多钱?
- 去中心化的共享经济概念
- 明星团队
- Digix的火爆和成功
- SpliteDAO的退出机制
- 没有上限
TheDAO
- 代码优秀,早期的代码考虑到了gas依赖,去除了循环,获取奖励等都采用withdraw模式。
- 法律团队“DAO.Link“,在瑞士的团队,用来专门负责区块链线上资金到线下的转化等相关的法律问题。
暂停 DAO 提案和可能的攻击方式介绍
TheDAO在博弈学上存在漏洞,可能被攻击。具体攻击参见下文:什么是“暂停 DAO”的提案,以及为什么要支持它?
- 倾向投赞成票和抑制投反对票
- 跟踪攻击
- 埋伏攻击
- Token 价格攻击
- extraBalance 攻击
- 多数分裂劫持攻击
- 稀释回报
- 无风险投票
- 并行提案陷阱
- 独立性假设
最终结果,该提议未通过。
实际存在的问题
- 投票率低
- 关于群体智慧的讨论(题外话:脱欧公投)
- 对Slock.it proposal的争论
- 安全顾问费用的争论
- spam proposal等
解决办法:DAO2.0:Liquid Democracy 和 Futarchy。最早在Ethereum的白皮书中,就有介绍Liquid Democracy 和 Futarchy。
DAO 攻击事件经过
- The DAO 合约攻击信息汇总
- 汇总国内社区对于 DAO 问题的意见,传达给以太坊基金会
- 白帽子团队的奇袭
- 软分叉(潜在DoS攻击,证明以太坊的天然抗审查性)
- 硬分叉
攻击事件过程不是分享重点。重点是,DAO过程中有意义的讨论和发现的问题,以及在DAO安全漏洞给智能合约开发安全性的一些提醒。
漏洞解析
splitDAO
// Burn DAO Tokens
Transfer(msg.sender, 0, balances[msg.sender]);
withdrawRewardFor(msg.sender); // be nice, and get his rewards
totalSupply -= balances[msg.sender];
balances[msg.sender] = 0; // <---------- 看我看我
paidOut[msg.sender] = 0;
return true;
function withdrawRewardFor(address _account) noEther internal returns (bool _success) {
if ((balanceOf(_account) * rewardAccount.accumulatedInput()) / totalSupply < paidOut[_account])
throw;
uint reward =
(balanceOf(_account) * rewardAccount.accumulatedInput()) / totalSupply - paidOut[_account];
if (!rewardAccount.payOut(_account, reward))
throw;
paidOut[_account] += reward;
return true;
}
function payOut(address _recipient, uint _amount) returns (bool) {
if (msg.sender != owner || msg.value > 0 || (payOwnerOnly && _recipient != owner))
throw;
if (_recipient.call.value(_amount)()) { // <---------- 看我看我
PayOut(_recipient, _amount);
return true;
} else {
return false;
}
}
如何编写安全的智能合约
- 首先要区别send和call的区别,并理解以太坊的gas机制
- 使用正确的顺序或者采用加锁的方式
- 合理使用throw
- 转换发送模式为提款模式,使收款方控制以太币转移,减少其他逻辑和提款逻辑的耦合
- 防范调用栈攻击,判断调用外部合约的结果
- 去掉循环处理,或者限制循环防范gas限制攻击或者让合约调用者控制循环
DAO 的未来
TheDAO失败了,并不代表DAO是不可行的。相反,社区的大量有益讨论,让我觉得未来的DAO是更加完善的,或许是Liquid Democracy,Futachy,或者是更为先进的理念。
展望
汽车终究会取代马车,技术进步的道路是无法阻挡的。
DAO代码简析
- Token
- ManagedAccount
- TokenCreation
- DAO
- newProposal
- vote
- executeProposal
- splitDAO
链接:
比特坊 DAO 的创立设想
【白皮书】以太坊 (Ethereum ):下一代智能合约和去中心化应用平台
通过十点向非技术人群解释 DAO
为什么你招聘不到程序员,以及软件如何定义现实世界
Slock - 区块锁,去中心化的共享经济
The DAO
Futarchy: 对价值投票,对赌信念
介绍Futarchy
An Introduction to Futarchy
Liquid Democracy In Simple Terms
Liquid Democracy: True Democracy for the 21st Century
Liquid Democracy for The DAO 1.0
如何使用Solidity编写安全的智能合约代码?
各位 DAO 参与者
Raising the Proposal Deposit to 11 ETH
DAO improvement proposal of Gnosis - shift towards futarchy and proxy voting
Getting to Know DAO 2.0
Slock.it Proposal #1 - Discussion Thread
The DAO: are we taking “The Wisdom of the Crowd” too far?
Slock.It outlines ~$1.5Ms security proposal for the DAO
DAOTokenCreationProxyTransferer.sol
The DAO框架从1.0版本升级到1.1版本的详细步骤
The DAO 合约攻击信息汇总
关于 The DAO 智能合约被攻击事件的反思
汇总国内社区对于 DAO 问题的意见,传达给以太坊基金会
[投票]硬分叉 VS 不分叉?通过 CarbonVote 让你的以太币来说话
以太坊 DAO Wars 软分叉可能会成为潜在的 Dos 攻击载体
DAO战争:矿工请选择
Ethereum天然具有抗审查的安全性
Options in the Hard Fork
从技术角度剖析针对THE DAO的攻击手法
TheDAO 攻击代码简介
send 和 call 的区别
智能合约中常见错误及如何避免
EIPS
