公司聚会时项目被攻击,两次审计无果:付不起20万美元的审计费
该平台前后三次遭遇黑客攻击,直接将项目团队推进无底深渊。
今年,defi 平台遭受攻击的情况颇为严重,而 bZX 成为 2020 年 2 月首个遭受重大黑客攻击的主要 DeFi 平台。第二波攻势紧跟其后,直接导致项目瘫痪并在年内 DeFi 市场大繁荣期间错失了大部分机会。
虽然其他一些平台也被先后攻击,但 bZX 的困境还没有真正结束:在今年 9 月重新启动后不久,他们再次遭遇黑客入侵。就目前来看,此轮攻击很可能宣告该项目的彻底死亡。但 bZX 联合创始人凯尔 奇斯特纳(Kyle Kistner)却仍保持乐观。
第一轮针对 bZX 的攻击发生在 2014 年 2 月,当时 bZX 团队集体去参加了 ETHDenver 大会。
奇斯特纳在现场跟 Ryan(Tellor CEO Ryan Berkun)相谈甚欢。“他告诉我,他刚刚在 Fulcrum 投入了不少钱,而且向我强调投资收益。我注意到当时以太坊的利率高得离谱,所以觉得有点奇怪。”奇斯特纳说道。
奇斯特纳跟 bZX CEO Tom 谈到了自己的疑惑。当天晚上,bZX 收到来自 DappHub 的 Lev Livnev 消息,他注意到一笔奇怪的交易,在 iETH 池上产生了极高的收益。
“之前我们都喝了酒,需要缓一缓。当时是晚上 11:30,我们正跟其他业内人士聚会,突然就出了这么档子事。在进行调查之后,我们意识到必须马上叫停整个系统。”
奇斯特纳透露,项目设计上并没有一键叫停的功能,团队通过禁用预言机白名单设计出一套临时解决方案,防止非法交易影响到更多资金。
之后,奇斯特纳给他妻子打电话说到:“我不知道该怎么面对这些业内人士,我不知道该怎么回到 ETHDenver 会场面对那里的参会者。”同时,他表示:“我想了一会,觉得应该马上收拾行李回家,但妻子劝我打消这个主意。Tom 则是呆呆坐在那里,整件事明显给他造成了严重的打击。”
最终,奇斯特纳决定对团队重新分组,最终损失被锁定在 1100 枚以太币,价值约 30 万美元,而且被篡改的协议并没有把这些资金分配给平台上的所有用户。所以,他们全额退还了资金,并继续开展业务。“损失不大,这让我们又重拾了信心。”
“当团队第二天出现在 ETHDenver 会场时,大家对我们表示了祝贺。他们支持我们的项目,还喊出了‘天下 builder 是一家’的口号。”奇斯特纳说道。
bZX 遭受第二轮攻击时,团队正在在科罗拉多的滑雪度假村组织团建。
“大家都很兴奋,我们点了不少好吃的,而 Tom 则一直盯着手机——他习惯了在系统上查看不同的交易,特别是那些看起来不太正常的交易。突然,他又发现了一笔奇怪的交易,其中删除了合约并发放了一笔快速贷款。整个交易过程基本上就是一遍又一遍地调动小额资金。”
之后,团队马上及时跟进,并很快意识到项目又被黑了。“餐点上来之后,我们对着这顿价值 100 美元的食物难以下咽。我起身说道‘可以现在结账吗?’Tom 都等不及想回去了。大家开始在雪地上狂奔,几分钟之后就回到了家中。”奇斯特纳表示。
团队马上归入工作,叫停了系统,开始分类诊断问题。“我们知道该如何处理,只要钱还没花掉,就仍然有挽救的余地。但我们就像是被闪电击中了两次,造成的信誉损失已经很难挽回了。”
两轮黑客攻击,迫使 bZX 团队关闭了协议并着手重建。从那时起,其他项目也陆续发现了漏洞,但都没有像 bZX 这样在短时间内连续遭到两次黑客入侵。
奇斯特纳承认,接连被攻击并不是巧合,而是团队确实犯了一些错误。虽然团队里有安全审计师,但工作完成得并不好。
“出于种种因素,我们选择了 Kyber 作为预言机,这也成为引发第二次黑客入侵的主要原因。实际上,审计师已经发现了其中存在的一项漏洞,但我们还是一直在使用。我们意识到 Kyber 并不是最佳选择,但我们固执地拒绝使用集中式预言机。我们本可以及时插入 Chainlink,但却并没有。“奇斯特纳分析道。
在启动协议之前,对智能合约的审计无疑是一项至关重要的工作。未经审计的协议肯定不够安全,所以 Yearn Finance 的创始人甚至表示曾故意隐瞒协议经过审计的事实以降低对项目的期望。
2018 年初,团队构建了一套协议版本,并将内容发布到了测试网上。但当时的 bZX 对金融领域的安全审计并不了解。之后,便联系到了 ZK Labs。bZX 团队认为 ZK Labs 非常有名,其创始人 Matthew DiFerrante 也与以太坊基金会往来密切,并在基金会中担任过安全工程师,是值得信赖的。
“现在我才知道,甚至 Matthew 在安全审计行业的名声很差。同行们都认为他们不够专业。他看起来很聪明,但处理实际工作的能力并不太行。”
bZX 的审计工作由 Matthew DiFerrante 独立完成,并收取了约 50000 美元的费用。
“对于我们这样一家小公司来说,这绝对是一笔巨款了,但我们仍然尽了最大努力筹集资金。但这 50000 美元花得是在很糟心。当年 3 月初左右,我们已经准备好了所有材料,但直到接近 9 月,审计工作才在争吵与扯皮当中磕磕绊绊地完成。”
奇斯特纳表示,他们在审计报告中甚至发现了错别字,某处是 Chainlink 的名字而非 bZX。团队也心生疑惑:你这审计用了多长时间?到底真做了审计还是在骗我们?
但审计公司还是提出了一些重要的建议,并发现了其中有一项严重 bug。“不能说他们什么都没做,只是最终出炉的审计结果还不够有说服力。“
奇斯特纳补充称,虽然 OpenZeppelin、Traikl of Bits 等其他安全公司更权威,但开价更高,大约在 20 万美元左右,bZX 实在承受不起。
两次审计后仍被攻击
BZX 被第三次黑客攻击发生在 Certik 与 PeckShield 的两轮重大审计之后。
虽然经过审计,但似乎仍有一项细微 bug 遗留在了网络当中。奇斯特纳表示同样的情况也发生在 Aave、Compound 等平台上,它们也在接受广泛审计之后也被发现存在安全漏洞。
奇斯特纳认为审计本身没有问题,如果不加审计,上线后的问题只会更多。但不要指望依靠两到三轮审计就能发现每一项 bug。这也正是 Bug 赏金项目的诉求——在对代码进行公开审计时,可以吸引到更多人的关注,发现更多实际问题。
经历了一系列事件,bZX 对公司内部及其安全审计进行了全面改革。今年 9 月之后,其总锁定价值开始反弹,目前超过 2000 万美元。奇斯特纳表示,他们的团队希望把负面消息转化为对安全问题的深刻认知,并真正融入整个协议平台之内。
此外,bZX 开始看得更长远,通过引入行权期限等机制调整了投资政策,旨在阻止短期资本的大量涌入。奇斯特纳表示,黑客事件之后,团队只进行了一轮小规模融资,创始团队没有放弃任何股权或控制权。
Scan QR code with WeChat