The DAO事件的经验教训

暴走时评：The  DAO项目是目前最大的众筹项目，共筹得1.5亿美元左右，可谓名声大噪。而前几天The  DAO遭遇黑客入侵，一时间引起了一片混乱。在冷静下来后再仔细分析这一事件，就会发现，很多问题之前就已经存在，并且也在积极研究解决方案。The  DAO的管理运营问题一直是业界各方所关注的问题，本文作者就此给出了一些建议，并表示万事不能操之过急，稳步前进才是最重要的。  

翻译：spring_zqy  

The DAO事件的经验教训  

The DAO项目发布以来，已经有无数人前来询问我的看法，我也正有打算公开一些见解。但是最近的事件使得这篇报道迟迟未能发布，因此，现在将会把一些分析、经验以及对未来的建议一同加进去。

上个月，我两次公开警告The DAO项目，首先就是其集资数额过高，其次就是，我认为其管理的复杂程度以及仅仅依靠智能合约这种做法，就像一个定时炸弹，这个项目实在有点操之过急。

我完全相信同样的实验好处本能在更低的风险下实现，而且还能维持用户参与度多样化。

本文作者：William Mougayar  

你完全不需要1.5亿美元来启动一项自主资助的实验并建设一个运营团队——这个项目基于智能合约管理，但其代码未经证实，管理人员也缺乏经验。在我看来，1000万到1500万美元就足够了，而且也能达到同样的效果，就是少点头条和公众关注罢了。

在我从Slock.it那儿听闻关于THE DAO的风言风语时，我刚写完我的书《商业区块链》，这本书里有关于DAO（去中心化自治组织）的内容，这部分的标题就是“DAO即将来临”（P111）。

但是，书中这一部分是基于我之前的研究和分析的，以及我个人关于DAO框架确保良好运营的解释。关于之后Slock.it 创始人构想的DAO模型，其中并没有涉及任何过度乐观的观点。

5月1日，THE DAO资金开始频频冲击记录，我听到的解释是，这个项目是用来分配资金到其他以太坊项目的一次实验，然而我就觉得这个目的还不错，如果管理得当，规定严格且明确的话。我希望他们能进展良好，并且也考虑过投资，参与到实验中去，但是最终没弄。

我还是决定做个旁观者，因为我认为他们设想的实现不够完善。

初现担忧  

在五月中旬，THE DAO资金数目已经滚到新高，我开始担心了。5月18日，巴黎召开的OuiShare大会上，我特别警告过THE DAO实验可能太大，风险太高。  

我当时说：

“我建议不要操之过急，可以慢慢推进DAO。它需要实践，需要测试。我希望测试能够以小额进行，而不是耗费巨资，因为一旦出现损失可能会对整个系统带去严重影响。”

在黑客攻击事件前几天，我还积极地为THE DAO提供自愿服务，希望说动他们改善管理方案。但是他们的回答是：“谢谢，不过目前项目自主进行得还挺顺利。”

显然他们对实现这个自主实验任务太过武断。然后617黑客时间就这么发生了。

教训和影响  

关于一些背景资料，你可以参考Reddit以太坊基金会编写的常见问题。

关于其分析与观点的文章并不少，不过我更倾向于那些提供了解决方案以及建设性意见的作者，比如以太坊创建者Vitalik Buterin的分析，还有康奈尔大学教授Emin Gun Sirer，广和投资的合伙人Albert Wenger。此外我也欣赏Andreas Antonopoulos的文章，还有彭博社的分析。  

我在推特上发表了一些观点：

有很多办法可以看到作案者的犯案手段。在这次“攻击”背后，也涉及到法律、伦理、监管、偷盗、恐怖主义、贿赂以及讹诈问题。如果我是法官，我会让黑客背负多项罪名。

现在不是耍小聪明的时候，也不该去为黑客维护，不能说因为他们运行的是一个有效智能合约，只是借助一个特点来“允许”资金转移到尚未成熟的DAO项目中， 就认为他们没有做错什么。我们不应该容许这种言论的出现。黑客把360万个以太币当做自我奖励，但他们除了利用完全没有做出任何贡献。

在他们所谓的“公开信”里，黑客没有表达出一点对资金用于THE  DAO任务和目标（即资助项目和公司运行）中的兴趣。DAO初期项目的特点就是为了达到一个目的，即批准项目提案，并通过DAO把资金分配给真正的公司。 而对黑客来说，其目的是保留资金，而不是资助公司，因此他们这是犯了盗窃罪。

黑客的目的很明显破坏了THE DAO及以太坊，而且给加密技术领域的信誉染上了污点。

因此，他们是诈骗犯，是违法人员。他们还带来了侮辱性伤害，他们为不遵守分叉的矿工提供资金，这相当于贿赂和讹诈。到目前为止，犯案人员或团体并没有显示 出任何“好意”。他们完全就是出于恶意。在我看来，这是一场加密界的“恐怖袭击”。我们知道对恐怖分子我们该怎么做。不能有同情，也不该给他们任何缓刑机 会。特使情况要采取特殊手段，我希望社区这个时候能做点正事。

让我们知道了智能合约的内在风险以及THE  DAO的畸形问题，这是否就算是黑客给我带来的好处？或许是吧。但是我不会因此褒奖他们。这些缺陷Vitalik  Buterin已经在他博客中解释过了，而且他们正在积极的研究。这完全没必要用这么极端的方式来曝光这些问题，曝光DAO智能合约监管的问题。

如果黑客真的是带着好意想要揭发合约代码漏洞问题，那么他们只要给出证明就行，然后立刻归还以太币，做一个有道德的黑客。事实上黑客这种身份就毫无道德可言。

从小做起  

无论如何，从这一事件中，我们可以学到不少教训。

根据去中心化自治组织原则来运营管理公司，其实就像设置汽车自动驾驶一样。它需要承担责任，进行大量测试来避免事故。可能以太坊和特斯拉汽车公司（为我们带来自动驾驶车辆）有点像，就比较接近这种模式，但是我们还没到那一步。

我们需要实训指导，我们需要从半自动化开始，像特斯拉的汽车，司机可以随时放下方向盘，观察车自己会怎么走，也可以在车库外召唤汽车，或者让车自己停。这两个过程可以相对降低他们的危害，即使他们出了问题。

简易要比复杂好。THE DAO的构建有点复杂而且设计有点过。在融资期，THE  DAO中心网站是逐渐更新的，最后呈现的就是打磨好的成品。然而，我看的越多，懂得越少，问题一个接一个出现。网站太复杂不是好事。它的用语在法律、技 术、合约方面都很模糊，而且完全没有提到承担

DAO的管理并不容易。THE DAO面临两大管理难题，而不是一个。它需要进行自我管理，而且还要考虑如何确保去中心化运营管理的问题（涉及智能合约的实现）以及与接收公司和投票成员之间的关系问题。

这使得DAO越来越复杂，可能已经超出DAO创始人的一开始的构想。

和自治相伴的是责任。涉及钱财的智能合约不是什么砸彩罐游戏，它肩负着巨大的责任。智能合约涉及大量经济价值的时候，我们就要警惕起来。

智能合约不是锤子。对一些加密技术狂热爱好者来说，智能合约就像个锤子。他们想要把智能合约用到所有领域，而THE DAO就是这一信念的缩影。但是不是所有东西都是钉子，都能用到智能合约。要想借助智能合约来统治世界还为时过早。

安全是第一位的。越多的钱处于风险之中，就需要越高级别的安全性。在部署前，需要先保证安全性，而不是中期加入。区块链加密货币已经经历了强制的测试阶段，DAO为什么不这样呢？太多表面文章了。

不止是技术  

技术师单打独斗是不够的。

如果你没有参与过正当的组织运营中，你就不能编造管理或运营经验。如果团队运营中涉及太多没有技术经验的人，那么就很难快速解决常见错误和琐碎的问题。

如果你没有运营经验就不要捏造出一个去中心化自治组织来，因为你会进入盲区。要确保正确的运营DAO不能只有管理员。

有效匿名领导层仍旧是科幻小说才有的事。我们做好准备信任匿名领导了吗？现在我们所了解的匿名领导一般都是邪恶组织，比如：ISIS、ISIL还有基地组织。虽然中本聪也算匿名领导，但是他至少到领导责任去中心化后才匿名。

好意不重要。在邪恶势力和无能面前，好意完全被掩盖掉了。

涉及钱财的智能合约不像任何代码片段。你不能像编写几条Java或Solidity代码那样，去编写智能合约代码。携带货币价值的智能合约必须谨慎谨慎再谨慎。毕竟这是信任的问题不是吗？去中心化协议正在完善信任，现在我们对机器的信任要超过现任企业对中介结构的信任。

漏洞成本很高，这个说法也很形象但又明确。以代码为基础的管理仍旧不够成熟。可以说我们还在起步阶段。

我们不能急于求成，要从小的实验慢慢做起。2015年2月，我写了一篇文章，探讨了“去中心化自治组织成功要素”的问题，其中有很多条现在还在采用。在我的书里，我更新了一些想法。单单是DAO的问题就已经很严峻了。

为什么不从一个混合版本开始呢？单纯的DAO需要指导和业务模式的反复。我们不能认为它们从一开始就是正确配置的。

影响和建议  

那么对DAO、智能合约和去中心化来说未来怎么办呢？

这个答案会非常非常长，而且我确定其他人也会有更好的想法，但是我的首要观点如下：

制定智能合约级别。Vitalik Buterin写过一篇关于智能合约安全问题及潜在解决方案的全面回顾，希望我们不是在打鼹鼠（一种游戏，暗指冒出一个问题解决一个问题。）

为合约制定一个自我限制，最多不超过1000万美元。在我们确定没有其他问题之后，再逐渐增加，就像车速限制一样，只要很长时间都没有事故发生就可以稍微调整。我认为这个自我限制至少要实行个几年。

对DAO及其管理进行多次调查与研究。DAO仍旧是一个非常不成熟的领域。我们需要在一个初始沙盒中，合理采用DAO，之后在集中学习并继续有针对性的实现创新。

铭记区块链应用三部曲：商业、技术以及合法性。这不仅仅是要设计出更好的智能合约。三部曲方案可以确保，在实现去中心化技术过程中没有绊脚石的出现。

对智能合约工程科学进行投资。在以太坊的推动下，这一全新领域已经全面开放，我们了解的越多，就会发现正确实现还有更多问题需要解决。

记住成功的第二个步骤：眼力、准则和人类。这三个部分还要和清晰度、精确度、质量以及能力联系起来。

不要忽略司法管辖的问题。选择并明确你所要绑定的法律和司法管辖。我们还是受政府法律管制的。专门为加密领域选择法律，就像选择丛林和达尔文的生存法则一样。

一旦有人质疑你的合法性，那么你就只能任由像THE DAO黑客这种恶作剧的摆布。  

学聪明点  

那么DAO是否必须就此终结呢？答案是不，因为DAO很难收回。这个事情在他真正了解去中心化管理模式之前就发生了。

有些道理我们本来就懂：比如，光通过幻想和雄心壮志你是够不到月亮的，再比如关于组织和安全问题，你要全力以赴。

初创公司常常会出问题，但是出色一点公司的会优雅的回应失败，他们会学习，会反复总结经验，并不断探索正确的道路。不幸的是，DAO创建人在他们头上压着。

以太坊不该因此遭罪，背负骂名。没错，它一直在尝试挽回THE DAO，主要是处于道德层面，即使是稍有扭曲其去中心化自治原则。在以太坊的维护中，他们并不希望这次攻击事件像比特币Mt Gox事件那样留在史册，尽管比特币后来完美的解决了这一问题。

讽刺的是，THE  DAO一开始是冒充以太坊的名义开始的，这一名号为融资记录的积累提供了积极信号。从表面看，从管理者名单就可以看到以太坊方面的参与者，你会想“既然以 太坊创始人或者运营方也是管理者，那事态是怎么发展到这一步的？”可惜的是，据我们了解，技术管理员并不足以让DAO名声大噪，也不能防止它不出问题。

虽然我们不知道DAO最终会发展成什么样，但是对于DAO管理模式和实现有一个潜在的实验需求。我们可以认为会有DAO2.0、3.0和其他版本出现。其他DAO及其相关架构也在研究中，花哨的套路也在逐渐减少，但是他们还是要小心谨慎。

“以太坊会更越来越强，势力会越来越大”这种说法还是比较谦虚的。给它一点时间，一切自见分晓。

我相信邪不胜正。聪明且遵守道德的人会成功，我们逐渐回到实现伟大技术创新的道路上，实现继万维网协议及其互联网基础架构之后的创新：即，以加密技术为基础层的去中心化时代。

这只是卡洛塔·佩雷兹范例转变原则在实践中的迷你版：

安装阶段后已经超出了规定，但是却推动了配置的进程。THE DAO是太过火爆，黑客是太过极端。这件事情过去后，只要我们学到了教训，那么社区其他人就能从接下来以太坊和去中心化技术的部署中得到好处。

在技术范例转换过程中，我们不能心急，但是我们可以慢慢实现这一目标，积跬步以至千里。

声明：此文出于传递更多信息之目的，并不意味着赞同其观点或证实其描述。本网站所提供的信息，只供参考之用。