Facebook 
Pinterest Nelaimingiausias „DeFi“ protokolas? Asmeninis audringas bZX metas
Decentralizuota finansų platforma „bZX“ šiais metais dažnai atsidūrė dėmesio centre, tik ne dėl tinkamų priežasčių. Dauguma šiandien populiarių „DeFi“ platformų, įskaitant „bZX“, savo kelionę pradėjo maždaug 2023 m., Pradinio monetos pasiūlymo bumo pabaigoje. 2023 m. „DeFi“ pradėjo traukti, nors tai vis dar buvo šiek tiek ignoruojamas pramonės sektorius.
Augant toliau, pradėjo kilti įtarimai, kad pagrindiniai įsilaužimai, būdingi skaitmeninio turto sektoriui, vėluoja. Dėl šių platformų sudėtingumo ir naujumo buvo pagrįsta manyti, kad ne visos jos buvo nelaidžios klaidoms.
Šiuos metus galima apibūdinti kaip posakio „Kai lyja, tai pila“, įrodymą. Deja, „bZX“ ji tapo pirmąja didele „DeFi“ platforma, patyrusia didelį įsilaužimą, 2023 m. Vasario mėn. Tai taip pat tapo antrąja platforma, kuria buvo pasinaudota, nes dvi nuoseklios atakos suluošino projektą ir privertė jį praleisti. didžioji „DeFi“ bumo dalis.
Susijęs: Ar „BZx“ greitosios paskolos atakos rodo „DeFi“ pabaigą?
Nors kai kurios kitos platformos pasekė paskui, „bZX“ bėdos tikrai nesibaigė: netrukus po jos atnaujinimo rugsėjį jis buvo vėl nulaužtas. Nors gali pasirodyti, kad tai buvo paskutinis smūgis projektui, vienas iš įkūrėjų Kyle’as Kistneris išlieka optimistiškas, kad platforma atsimuš atgal.
„Nuo tada, kai mes susigrąžinome pinigus ir lėšos yra saugios, mes užfiksavome dar visą krūvą bendros vertės ir didžiulę prekybos apimtį“, – interviu „Cointelegraph“ sakė Kistneris. “Mes ne visai grįžome ten, kur buvome, tačiau mūsų prekybos apimtys išties sprogo”.
Kistneris per interviu daug kartų pakartojo, kad nepaisant visų šių įsilaužimų, platforma niekada galutinai neprarado savo vartotojų pinigų. Ankstyvosioms aukoms buvo grąžinta grąžinamoji išmoka, o rugsėjo įsilaužėlis iš esmės buvo sugautas per blokų grandinės analizę ir grąžino pinigus. Kad ir kaip ten būtų, Kistnerio ir „bZX“ komandos kelionė šiais metais buvo švelni, švelniai tariant.
Pagauti su savo gėrimais
„Cointelegraph“: Pirmasis „bZX“ įsilaužimas įvyko vasario 14 d., Komandai išvykus į konferenciją „ETHDenver“. Kaip sužinojai apie ataką?
Kyle’as Kistneris: Mes buvome šiame vakarėlyje, tai buvo „Keep and Compound“ laiminga valanda. Mes sėdime ten, kalbamės su Ryanu [Berkunu, „Tellor“ generaliniu direktoriumi] ir jis man pasakojo, kaip ką tik įdėjo pinigų Fulcrum, jis man rodė palūkanų normas. Pastebėjau, kad ETH palūkanų normos buvo neįprastai aukštos. Aš buvau toks: „O, tai tikrai keista“.
Kalbėjau apie tai su Tomu [„bZX“ generaliniu direktoriumi] ir pajutau, kad kažkas iš tikrųjų yra keista. Vėliau naktį gavome pranešimą iš Levo Livnevo iš „DappHub“, kuris pastebėjo keistą sandorį, kuris iš esmės ir sukėlė šį labai didelį susidomėjimą „iETH“ baseinu.
Ir žinote, mes gėrėme, todėl reikėjo išsiblaivyti. Tai buvo ši beprotiška patirtis, buvo 11:30 nakties, mes šventėme su kitais pramonės žmonėmis ir staiga jūs patekote į šią labai rimtą situaciją. Tyrinėdami supratome, kad turime pristabdyti visą sistemą.
Šiam dalykui nebuvo sukurtas pauzės mygtukas, bet mes nulaužėme sprendimą, išjungdami „Oracle“ baltąjį sąrašą. Tai padėjo išvengti daugiau pinigų paėmimo.
Tada paskambinau savo žmonai, sakau: „Nežinau, kaip sugebėsiu susidurti su pramonės žmonėmis, grįžti į ETHDenverį ir pamatyti visus ten“. Akimirką pagalvojau, kad gal tiesiog susikrausiu lagaminus ir grįšiu namo, bet žmona mane iškalbėjo. Tomas tiesiog sėdėjo, po truputį katatoniškas, visas reikalas jį skalavo.
Antrasis nulaužimas
Galų gale Kistneris ir komanda persijungė. Jiems pavyko sulaukti laimingos pertraukos – protokolas automatiškai nepaskirstė daugiau nei 1100 ETH nuostolių, kurių vertė buvo apie 300 000 USD, tarp visų platformos vartotojų. Tai suteikė jiems galimybę visiškai grąžinti pinigus ir leido tęsti verslą. “Tai suteikė mums daug moralės”, – sakė Kistneris.
Kai komanda kitą dieną pasirodė ETHDenver, Kistner pasakė, kad „žmonės iš tikrųjų mus sveikino. Buvo daug palaikymo, žmonės sakė: „Mes statybininkai, jūs statybininkai, mes visi kartu.“
CT: Ir tada įvyko antrasis išpuolis. Kaip tu apie tai sužinojai?
K. K .: Mes ką tik buvome atvykę į šį restoraną. Mes buvome slidžių rekolekcijose Kolorade, padėjome tai suorganizuoti ir tuo labai džiaugėmės. Mes užsisakėme visą šį maistą, o Tomas žiūri į savo telefoną – jam patinka tiesiog atlikti įvairias operacijas, kurios yra sistemoje, ypač jei kas nors atrodo keista ar keista. Taigi jis pažvelgė į šį vieną sandorį ir atrodė tikrai keistai, nes buvo ištrintos sutartys, buvo suteikta greita paskola ir iš esmės mažos sumos buvo reikalaujamos pakartotinai..
Taigi mes pažvelgėme į tą sandorį ir mums prireikė maždaug dviejų sekundžių, kad būtume panašūs į „Gerai, kažkas įsilaužė“. Tai atrodo visai ne taip. Žinojome, kad tai susiję su mūsų sistema.
Taigi maistas atkeliavo, tai buvo tarsi šimto dolerių vertės maistas trims žmonėms. Tą akimirką, kai jis atsidūrė ant stalo, atsikėliau ir pasakiau: „Ar galiu apmokėti sąskaitą?“ ir padavė jiems kortelę. Tomas jau spurtavo namo ir mes visi jį užsisakėme, mes tik pradėjome bėgioti per sniegą ir, žinote, tai buvo septynių minučių bėgimas nuo restorano iki mūsų.
Mes sukomplektavome savo mūšio stotis, pristabdėme sistemą, pradėjome vertinti ir diagnozuoti problemą. […] Tuo metu mes buvome panašūs į „mes žinome, kaip tai elgtis, jei yra šiek tiek paimtų pinigų, tai dar ne pasaulio pabaiga“. Deja, kadangi žaibas trenkė du kartus, daugybė žmonių geranoriškumo tęsė buvome iš esmės sugadinti.
Apmąstymas, kas nutiko ne taip
Du įsilaužimai privertė komandą uždaryti ir atstatyti protokolą. Nuo to laiko kituose projektuose taip pat buvo naudojami pažeidžiamumai, tačiau nė vienas neturėjo kelių įsilaužimų per trumpą laikotarpį.
CT: „bZX“ patirtų pažeidimų skaičius kelia klausimų dėl projekto praktikos. Ar tai gali būti tik nesėkmė, ar yra kažkas giliau žaidžiama?
K. K .: Tai nėra sutapimas. Taigi yra du dalykai: vienas yra tas, kad mes padarėme klaidą, ir mes turėjome saugumo auditorių, kuris visiškai neatliko [savo darbo]. Čia bandau atkreipti dėmesį į vieną problemą – iš esmės yra keletas veiksnių, paaiškinančių, kodėl „Kyber“ laikėme „orakulu“ [pagrindinis pažeidžiamumas, dėl kurio atsirado antrasis įsilaužimas].
Tai buvo konceptualus pažeidžiamumas, kurį auditorius tikrai turėjo sugauti, tačiau mes neturėjome juo naudotis. Mes supratome, kad „Kyber“ nėra optimalus, bet mes kažkiek atkakliai atsisakėme centralizuoti orakulą. Neturėjome „Chainlink“, kurią tuo metu galėjome tiesiog prijungti, todėl vienintelis kitas variantas buvo „Oracle“ centralizavimas.
Dabar pirmasis įsilaužimas iš esmės buvo klaidos lygio klaida. Manau, kad taip nutiko dėl to, kad nebuvo tinkamų procesų. […] Mes buvome maža įmonė. Mums nepritarė visa krūva rizikos pinigų, kaip ir daugelis kitų skolinimo protokolų. Dabar mes esame daug didesnė ir brandesnė įmonė.
Auditoriai nėra vienas ir tas pats
Pažangių sutarčių auditas yra laikomas esminiu žingsniu prieš paleidžiant protokolą. Neaudituoti protokolai laikomi mažiau saugiais, todėl „Yearn Finance“ kūrėjas sako, kad jis tikslingai slopino jaudulį dėl savo projekto, nesilaikė fakto, kad buvo patikrinta.
CT: Taigi, kas tiksliai įvyko, kai „ZK Labs“ atliko jūsų kodo auditą?
K. K .: Manau, kad kažkas turi žinoti šią istoriją. Taigi mes buvome nauji ir buvome tarsi žalieji pramonėje. Mes ką tik sukūrėme šią versiją kaip vieną iš savo protokolo, tai buvo kaip 2023 m. Pradžia. Mes tiesiog įdėjome savo daiktus į testnet, bet iš tikrųjų nežinojome saugumo auditorių erdvėje.
Taigi mes paklausėme ir pirmiausia nukreipėme į „Acacia“ grupę. […] Jie tai išplėtė ir iš esmės pasakė: „Mes čia nesame savo gilumoje“. Taigi mums reikėjo susirasti kitą auditorių ir galiausiai radome „ZK Labs“. Mes manėme, kad „ZK Labs“ yra labai gerbiama. […] Matthew DiFerrante [ZK Labs įkūrėjas] buvo susijęs su Ethereum fondu, jis ten dirbo saugos inžinieriumi.
Dabar nežinojau, kad užkulisiuose visi kiti erdvės saugumo auditoriai Matthew nelabai patiko. Jie jautėsi, kad jis labai neprofesionalus ir nedirba gerai. […] Atrodo, kad jis yra protingas vaikinas, bet atrodė, kad jis turėjo daug sunkumų susidorodamas su darbo krūviu.
Mes patikrinome jų protokolą, ir buvo visiškai aišku, kad auditą iš tikrųjų atlieka tik Matthew DiFerrante’as. Jis mums nuskaičiavo apie 50 000 USD, o tai mums – visiškai pakabinamai įmonei – buvo tarsi didžiulė, didžiulė pinigų suma.
Bet mes stengėmės sunkiausiai rinkti lėšas ir daryti tai, ką galėjome – ir padarėme. Šiam auditui surinkome penkiasdešimt tūkstančių, bet atrodė, kad mus kažkaip aplamdo. […] Mes turėjome jam paruošti daiktus maždaug kovo pradžioje, tačiau arčiau rugsėjo tai buvo padaryta – ir tik po daugybės dantų traukimo ir rėkimo.
Peržiūrėję auditą radome šias klaidas – buvo vieta, kur vietoj mūsų buvo „Chainlink“ vardas. Jis nepakeitė vardų. Ir mes buvome panašūs, „Kiek laiko praleidote tai audituodamas? Ar tikrai tai patikrinote, ar mus apgavo „ZK Labs“? “
Tai buvo toks klausimas mūsų galvoje. Jis pateikė keletą naudingų pasiūlymų, jis pastebėjo, kad yra kritinė klaida. Nėra taip, kad jis apskritai nieko nedarė, bet mes atėjome visiškai nepatikrinę audito.
Kistneris taip pat pridūrė, kad kitos saugos įmonės, tokios kaip „OpenZeppelin“ ar „Trail of Bits“, įmonei būtų kainavusios apie 200 000 USD: „Ir mes neturėjome tų [pinigų]“.
Ar pervertinti kodų auditai?
Trečiasis „BZX“ įsilaužimas įvyko iškart po dviejų pagrindinių „Certik“ ir „PeckShield“ auditų, kurie, atrodo, leido per tinklus praleisti subtilią klaidą. Tokios platformos kaip „Aave“ ir „Compound“ taip pat nukentėjo nuo paleidimo pažeidžiamumas, jis sakė, nepaisant to, kad jie buvo plačiai audituoti.
KT: ar vis dar manote, kad auditai sukuria pridėtinę vertę?
K. K .: Auditas yra puikus. Pažvelgus į „Compound“, „Aave“ ar kitus, yra nemažai rimtų pažeidžiamumų, kurie buvo nustatyti atlikus auditą. Jei jie jų neišeitų, būtų tik tiek daugiau pažeidžiamumų.
Negalite tikėtis, kad du ar trys auditai aptiks kiekvieną klaidą. Žmonės turi tai suprasti. Tam ir yra klaidų gausa – kai viešai patikrini kodą, yra tik tiek daugiau akių.
Sidabrinis pamušalas šioms patirtims
Po pirminių incidentų „bZX“ peržiūrėjo įmonę ir jos saugumo praktiką. Bendra jo užfiksuota vertė po rugsėjo atsigavo, pasiekti daugiau nei 20 mln. Nors tai yra toli nuo kai kurių didesnių protokolų, šis skaičius vis dar pastebimas, atsižvelgiant į audringus projekto metus ir tiesioginių subsidijų trūkumą įtraukiant turtą į protokolą.
Susijęs: Derlingumas ūkininkavimui skatina „DeFi“, tačiau pagrindai atsilieka
Kistneris teigė, kad komanda „tikriausiai perteikė [neigiamą] viešumą, kad geriau atpažintų ir apskritai naudotų protokolą“. Šis laikas taip pat leido jiems rasti „tai, kas žmonėms labai patinka“, pridūrė jis. Komanda sutelkia dėmesį į ilgalaikę perspektyvą, o jos derliaus auginimo posūkis apima teisių suteikimo laikotarpį, kuris laikomas mechanizmu, kuris atbaido trumpalaikį kapitalą nuo prisijungimo.
Tuo pačiu metu Kistneris mano, kad patirtis leido „bZX“ netapti rizikos vadovaujamu projektu. „Mes save vertiname labiau kaip„ maverick “, labiau„ outsider “tipo protokolą.“
Paklaustas apie investicijas, kurias bendrovė gavo nuo to laiko, jis teigė, kad „tai buvo labai mažas turas“ ir kad jie „neatsisakė jokio kapitalo ar kontrolės“.
Galų gale žiuri vis dar nežino, ar „bZX“ gali pasivyti prarastą žemę. Įsilaužėliai patyrė sunkius smūgius, kurie galėjo lengvai sukelti projekto mirtį, tačiau komanda atkakliai laikėsi ir atšoko. „BZX“ istorija, kad ir kokia ji vystytųsi, išlieka svarbiu įspėjimu kitiems projektams ir „DeFi“ vartotojams: kuriant saugų produktą yra daug daugiau nei tik mokėti pinigus auditoriams.