质押7万ETH且无单点故障

TheDAO Security Fund 发布于 2026-07-17 18:05 阅读 14

TheDAO Security Fund 将来自2016年DAO黑客事件的69,420 ETH用于质押,以增强以太坊安全性。其基础设施采用分布式验证器架构,使用Dirk阈值签名将验证器密钥分片至7个节点,需4个节点共同签名;所有机器通过VPN通信,内部服务使用mTLS认证;管理访问需YubiKey硬件密钥,秘密由SOPS和age加密;备份密钥通过Shamir秘密共享拆分。客户端运行多样化的执行和共识客户端,避免单点故障。该设计旨在防止资金再次被黑,并逐步实现更去中心化的质押网络。

质押 70,000 个 ETH 并非易事。

但质押 来自 TheDAO 的 69,420 个 ETH 🍀 则有着不同的分量。

这些资金来自以太坊历史上最关键的时刻之一:2016 年的 TheDAO 攻击事件。这一事件导致了以太坊的分叉,将“代码即法律”这一最激烈的辩论推到了风口浪尖,并迫使社区直面这样一个问题:在构建去中心化系统时,使用公开、可供任何人(无论是善意还是恶意)审查并试图利用的不可变智能合约,究竟意味着什么。

将近十年后,同样的资金正被用于加强以太坊的安全性。TheDAO 安全基金的目标是将一次历史性的失败转变为保护生态系统的长期捐赠基金

因此,当我们为质押这些资金搭建基础设施时,我们遵循了一个简单的约束条件:

我们绝不能让这些资金第二次被黑客攻击

如果这些资金要用来保障以太坊的未来,那么保护它们的基础设施本身必须极其坚韧。

为抵御对手而设计

在管理着数万(高达数亿欧元)ETH 的基础设施时,不能指望一切都会顺利进行。关键问题变成了系统在出现问题时如何应对

服务器会故障。软件有漏洞。人会犯错。攻击者会探测每一个暴露的表层。

因此,质押基础设施的设计围绕一个核心原则:

没有任何一台服务器、任何一个密钥、任何一个人能够单独破坏系统。

堆栈的每一层(密钥管理、网络、客户端软件、操作控制)都遵循这一规则。

其结果是一个旨在消除单点故障的分布式验证器架构。

基础设施深度解析

以下部分有点技术性,如果你不感兴趣可以跳到结尾,直接了解 TheDAO 安全基金如何通过自身基础设施为以太坊安全做出贡献的总结。

使用阈值签名的分布式验证器密钥

该设置的核心是 Dirk,一个分布式阈值签名服务。感谢 Attestant 团队创建了它!

验证器密钥不再存储在一台机器上,而是被拆分为多个分片,并分发到七个独立的签名节点

为了生成有效的验证器签名,这七个节点中必须有四个独立参与

这意味着:

  • 验证器密钥永远不会以完整形式存在于任何一台机器、供应商甚至大洲之上

  • 攻破一到两个节点只能获得零可用的密钥材料

  • 攻击者需要同时攻破地理分布的多台机器中的超多数

换句话说,窃取验证器密钥不再是突破一台服务器的问题,而是需要在多个独立系统上进行协同攻击。

无公共攻击面的私有基础设施

验证器集群中的所有机器仅通过 VPN 网格进行通信。

内部服务没有任何公开的攻击面

每个节点可以通过加密隧道与其对等节点通信,但外部流量被限制为以太坊网络参与所需的最小值。

在 VPN 层之上,核心服务(如 Dirk 和 Vouch)之间还强制实施了双向 TLS (mTLS) 认证。即使在私有网络内部,节点在通信前也必须以加密方式证明其身份。

如果某台机器被攻破,它也无法简单地冒充其他服务。

强大的操作安全性

密码学固然重要,但如果没有操作纪律,系统仍然可能被攻破。

系统的管理访问需要硬件支持的 YubiKey 认证,确保 SSH 登录不能依赖密码或仅软件的凭证。

机密信息使用 SOPS 结合 age 加密进行管理,这意味着敏感配置绝不会以明文形式出现——包括在 git 仓库中。

防火墙策略遵循严格的默认拒绝方法,仅暴露明确需要的服务。

所有基础设施通过 Ansible 进行配置,确保所有节点的一致配置和安全加固。这包括审计日志、自动安全补丁,以及符合 SOC2 和 ISO27001 环境中常见实践的入侵防御措施。

当受保护资产达到数亿美元时,“足够好”的安全性根本不够好。

多重恢复的备份安全

备份本身会带来风险。如果密钥材料备份不当,备份本身就成为最薄弱的环节。

为了缓解这一问题,保护备份材料的加密密钥通过Shamir 秘密共享进行拆分。

多个独立的保管人持有一部分恢复密钥,没有任何一个人能够单独重建它

只有达到法定人数的保管人才能协作恢复加密材料。

这种设计消除了任何单一操作者单方面恢复的可能性。

外部安全审查

在部署之前,该基础设施在 SEAL Certs 的支持下接受了审查,SEAL Certs 是致力于提高整个以太坊生态系统安全标准的 Security Alliance 计划的一部分。

在积极观察结果中包括:

  • 分布式网格签名基础设施提高了弹性和安全性

  • 地理和供应商多样性增强了操作稳健性

  • 第三方包通过校验和固定版本,防止供应链被破坏

  • 防火墙策略强制实施严格的入站流量限制

  • 启用了自动安全更新

与任何严肃的安全审查一样,该过程也揭示了需要改进的领域——包括 WireGuard 网络中的密钥管理实践和访问控制优化。

这些发现已在基础设施的持续强化过程中得到解决。

安全从来不是静态的。它是一个持续审查和改进的过程。

具有最大多样性的验证器客户端

验证器自身的职责由 Vouch 处理,它在与多个信标节点交互的同时协调证明和区块提议。

这些信标节点运行着有意多样化的以太坊客户端集合。

post image

这种多样性很重要。

以太坊的历史表明,客户端漏洞确实会发生,而单一文化会放大其影响。通过将验证器分布在多个独立的客户端实现上,系统避免了与单一软件堆栈相关的灾难性故障。

一个客户端中的漏洞绝不应该导致整个验证器舰队瘫痪。

走向完全去中心化的验证器网络

虽然 Dappnode 目前运营着验证器基础设施,但长期目标是更高的去中心化程度

Dappnode 已经为世界各地数千个家庭质押节点提供支持,同样的理念也适用于此:基础设施应该随着时间的推移变得更加分布式,而不是更少

未来阶段可能会集成分布式验证器技术,允许独立运营者和家庭质押者参与验证器集群,进一步强化以太坊的韧性。

在这个意义上,这个设置不仅仅是保护 70,000 个 ETH——它也是迈向更广泛、更去中心化的质押生态系统的一块垫脚石。

将历史转变为安全

TheDAO 攻击是以太坊早期最具决定性的事件之一。

将近十年后,曾与那次事件相关的资金,现在正被用来支持保护以太坊免受类似失败侵害的事物:安全基础设施、研究和公共物品

这里描述的验证器架构只是这一努力的一部分。我们希望通过在本文中分享这些信息,能够激励人们认真对待基础设施安全性。

如果以太坊在未来几十年要保障价值数万亿美元的全球基础设施,它必须构建那些假设故障、假设对手的系统,并据此设计。

分享

  • 原文链接: paragraph.com/@thedao.fu...
  • 登链社区 AI 助手,为大家转译优秀英文文章,如有翻译不通的地方,还请包涵~

相关文章

0 条评论