十年前的昨天，The DAO遭到駭客攻擊，從當時史上規模最大的眾籌活動中，盜走了數百萬以太幣（ETH），並最終迫使以太坊做出最具影響力的決定：一次硬分岔，將區塊鏈分裂成以太坊和以太坊經典。

The DAO是由德國區塊鏈公司Slock.it在開發者Christoph Jentzsch領導下建立的，在攻擊發生前不到三週結束的代幣銷售中，從超過11,000名投資者那裡籌集了約1,200萬枚ETH，當時價值約1.5億美元。

2016年6月17日，一名當時身份不明的攻擊者利用了The DAO的splitDAO函數中的重入攻擊漏洞，在合約更新其餘額之前，重複盜取以太幣。

約360萬枚ETH，約佔資金總額的三分之一，最終流入了一個設有28天提款鎖定期的「子DAO」中，這段延遲為以太坊社區提供了應對的空間。

一個由開發者組成的鬆散團體，被稱為白帽駭客組織，其中包括The DAO的社區經理Griff Green，競相將剩餘的脆弱資金轉移到他們控制的合約中，這是一次在實時區塊鏈上公開進行的前所未有的救援行動。

程式碼即法律的爭論

這一事件將以太坊社區分裂成了兩個陣營。

一方認為這次駭客攻擊是按照合約程式碼的規定進行的，因此結果應該成立，這個立場最終演變成了以太坊經典。

另一方則認為漏洞並非預期行為，社區應該運用集體判斷來彌補受害者的損失。

今天所知的以太坊選擇了後者。

2016年7月20日，在區塊高度1,920,000處，網路執行了一次硬分岔，將鏈的狀態回溯到駭客攻擊之前，約有85%至89%的投票者表示支持。被盜走的ETH被轉移到一個恢復合約中，原始的DAO代幣持有者可以按照每100個DAO代幣兌換1個ETH的比例提取他們的份額。

新鏈上的參與者獲得了補償，並從分岔中獲得了額外的ETC。在原始鏈（以太坊經典）上，這次駭客攻擊被記錄下來，攻擊者保留了他們的ETC份額。這是以太坊的首次重大硬分岔，也是將網路永久一分為二的事件。

十年之後

這次駭客攻擊對去中心化金融的影響遠遠超出了這次分岔。迄今為止，它被廣泛認為是啟動加密貨幣智能合約安全產業的事件，因為審計和形式化驗證從此成為了標準實踐，而不是事後諸葛。

它也成為了美國證券法的一個里程碑。美國證券交易委員會（SEC）2017年的DAO報告總結稱，DAO代幣在現行法律下符合證券資格，這項基於事實和情況的分析從那時起就成為了加密貨幣執法行動的基礎。

The DAO，浴火重生

十年後，The DAO回來了，但這次是以安全基金而非風險投資基金的形式。

The DAO基金的起源可以追溯到駭客攻擊後不久做出的一項承諾：任何在2017年1月前仍未被認領的被救回的ETH，最終將用於支持以太坊的安全工作。

這個承諾一直沉寂著，直到Wintermute的一位研究員重新發現了這篇舊部落格文章並提醒了Green，Green於一月份宣布了該基金的啟動。

來自原始恢復的超過75,000枚ETH，其中約70,500枚ETH存放在未認領的ExtraBalance合約中，另有4,600枚ETH存放在The DAO的管理員多簽（multisig）中，這些資金正被質押作為一項長期捐贈基金，其收益將用於資助安全研究、工具開發和事件響應。

該基金由七位管理員監督，其中包括以太坊共同創辦人Vitalik Buterin和前MetaMask安全主管Taylor Monahan，它與以太坊基金會的「萬億美元安全倡議」（Trillion Dollar Security initiative）協調運作。

Green在一月份告訴The Block：「過去六年我們一直停滯不前」，他指出網路釣魚攻擊和錢包掏空事件證明，儘管協議本身已經成熟，但普通以太坊用戶的安全仍然落後。

該基金於4月23日至5月14日期間進行了首次資金分配，即以太坊安全QF輪次，向從250多名申請者中選出的134個項目分發了超過100萬美元的ETH，其中造市商Wintermute作為貢獻者之一，向配對池追加了20萬美元。

當Green在一月份宣布該基金時，這75,000枚ETH的價值超過2.2億美元。以目前ETH接近1,750美元的價格計算，相同的質押資產價值接近1.3億美元。

風險已轉移

並非所有人都將這次重新啟動解讀為對以太坊2016年選擇的徹底認可。

錢包安全公司Blockaid的執行長Ido Ben-Natan表示：「『程式碼即法律』這個框架從來就不是完全站得住腳的。」他認為，任何處理真實價值的系統都需要在邊緣為人類判斷留有空間，而將新基金限制在休眠的、已經恢復的資產上，使其保持保守，因為它不會重新開啟網路在2016年已經結算的交易。

預言機提供商RedStone的共同創辦人Marcin Kazmierczak認為，從永久質押捐贈基金中資助安全，而不是在每次駭客攻擊後才籌款，這標誌著真正的進步，但這並沒有消除對系統的信任，只是轉移了它。

參與者現在信任七位管理員和一個資金分配流程，以明智地每年分配約800萬美元的收益，而不是信任底層程式碼是完美無瑕的。

Kazmierczak告訴The Block：「這並沒有消除信任，只是轉移了它。」

從背景來看，這些美元數字也呈現出不同的樣貌。Chainalysis發現，加密貨幣在2025年因駭客攻擊損失了34億美元，其中僅2月份Bybit的15億美元洩露事件就佔了總額的44%。

Kazmierczak說，面對這樣的數字，100萬美元的補助輪次幾乎微不足道。他表示，損失規模仍然是錯誤的衡量標準，因為更具意義的轉變是以太坊現在擁有一個常設的、自我資助的安全資金池，而以前是沒有的。

他還質疑該基金是否正在追逐正確的威脅。The DAO駭客攻擊是一個合約漏洞，隨著審計的成熟，這類問題現在已大致在控制中，而今天災難性的損失越來越多來自於操作層面：被盜的密鑰、社交工程和被破壞的簽名介面。

Bybit的洩露事件就是最清楚的例子，這不是一個Solidity漏洞，而是，用Kazmierczak的話來說，「一個被篡改的簽名螢幕，將硬體錢包的批准變成了盲簽名。」他認為，資助另一波智能合約審計將會錯失目前資金實際流向何處的焦點。

Ben-Natan更直白地表達了同樣的轉變。他告訴The Block，重入攻擊教會了這個行業審計程式碼，但「我們也必須注意人們點擊批准時發生了什麼。」