不運なDeFiプロトコル？ bZXの激動の年の個人的な見解

分散型ファイナンスプラットフォームbZXは、正当な理由だけでなく、今年頻繁に脚光を浴びています。 bZXを含む今日人気のあるほとんどのDeFiプラットフォームは、最初のコイン提供ブームの終わりに、2023年頃に旅を始めました。 2023年、DeFiは勢いを増し始めましたが、それでも業界ではやや無視されていました。.

成長が続くにつれ、デジタル資産セクターに典型的な大規模なハッキングが遅れているという疑いが高まり始めました。これらのプラットフォームは複雑で斬新であるため、すべてのプラットフォームがバグの影響を受けないわけではないと考えるのが妥当でした。.

今年は「雨が降ると降り注ぐ」ということわざの証です。 bZXにとって残念なことに、2023年2月に、大規模なハッキングに見舞われた最初の主要なDeFiプラットフォームになりました。また、2回の連続攻撃によりプロジェクトが機能しなくなり、プロジェクトを見逃したため、悪用される2番目のプラットフォームにもなりました。 DeFiブームの大部分.

関連： BZxフラッシュローン攻撃はDeFiの終了を知らせていますか?

他のいくつかのプラットフォームもそれに続きましたが、bZXの問題は完全には解消されていませんでした。9月に再起動した直後に、再びハッキングされました。プロジェクトの最後の打撃だったように見えるかもしれませんが、共同創設者のカイル・キスナー氏は、プラットフォームが回復することを楽観視しています。.

「私たちがお金を取り戻し、資金が安全になって以来、私たちははるかに多くの総価値をロックし、膨大な量の取引量を手に入れました」とキスナーはコインテレグラフとのインタビューで述べました。 「私たちは元の場所に完全には戻っていませんが、取引量は本当に爆発的に増えています。」

Kistnerはインタビューを通じて何度も繰り返し、これらすべてのハッキングにもかかわらず、プラットフォームがユーザーのお金を決定的に失うことはなかったと述べました。初期の犠牲者は払い戻されましたが、9月のハッカーはブロックチェーン分析を通じて本質的に手に負えないものとして捕らえられ、お金を返しました。とはいえ、今年のキスナーとbZXチームの旅は、控えめに言っても激動の時代でした。.

彼らの飲み物に追いついた

Cointelegraph：最初のbZXハッキングは、チームがETHDenver会議に不在だった2月14日に発生しました。どうやって攻撃を知ったのですか?

カイル・キスナー：私たちはこのアフターパーティーに参加しました。それはキープアンドコンパウンドのハッピーアワーでした。私たちはそこに座って、ライアン[TellorのCEO、Berkun]と話していて、彼はどのようにしてフルクラムにお金を入れたかについて私に話していました。彼は私に金利を見せていました。. ETHの金利が異常に高いことに気づきました. そして、私は「ああ、それは本当に奇妙だ」と思った。

トム[bZXのCEO]にそれについて話しましたが、何かが本当に奇妙だと感じました。夜遅くに、DappHubのLev Livnevからメッセージが届きました。彼は奇妙なトランザクションに気づきました。これは基本的に、iETHプールでこの非常に高い関心を生み出したトランザクションです。.

そして、あなたが知っている、私たちは飲んでいたので、私たちは落ち着く必要がありました。それはこのクレイジーな経験でした。夜の11時30分でした。私たちは他の業界の人々とパーティーをしていましたが、突然あなたはこの非常に深刻な状況に突入しました。調査していると、システム全体を一時停止する必要があることに気付きました。.

このために設計された一時停止ボタンは実際にはありませんでしたが、オラクルのホワイトリストを無効にすることで解決策をまとめました。これは、より多くのお金が取られるのを防ぐために働きました.

それから私は妻に電話しました。「業界の人々とどのように向き合うことができるかわかりません。ETHDenverに戻って、そこでみんなに会いましょう。」ちょっと荷物をまとめて家に帰ろうかと思ったのですが、妻が話しかけてくれました。トムはただそこに座っていて、少し緊張病で、すべてが彼を洗い流していた。.

2番目のハック

最終的に、キスナーとチームは再編成されました。彼らはなんとか幸運な休憩をとることができました—プロトコルはすべてのプラットフォームユーザーの間で約300,000ドルに相当する1,100ETH以上の損失を自動的に広めませんでした。これは彼らに完全にお金を返還する機会を与え、ビジネスを継続することを可能にしました。 「それは私たちに多くの士気を与えました」とキスナーは言いました.

翌日、チームがETHDenverに現れたとき、キスナーは次のように述べています。「人々は実際に私たちを祝福していた。たくさんのサポートがあり、人々は「私たちはビルダーです、あなたはビルダーです、私たちはみんな一緒にいます」と言っていました。

CT：そして2回目の攻撃が起こりました。どうやってそれを知りましたか?

KK：このレストランに到着したばかりです。私たちはコロラドのスキーリトリートに立ち寄り、それを整理するのを手伝いました、そして私たちはそれについて本当に興奮していました。私たちはこの食べ物をすべて注文しました。トムは自分の携帯電話を見ています。彼は、特に何かが奇妙または奇妙に見える場合に、システム上にあるさまざまなトランザクションを実行するのが好きです。それで彼はこの1つのトランザクションを見て、契約が削除され、フラッシュローンがあり、基本的に少量が何度も何度も呼び出されていたため、非常に奇妙に見えました。.

だから私たちはそのトランザクションを見て、 「OK、誰かがハッキングされた」のようになるまでに約2秒かかりました。 これはまったく正しく見えません。私たちはそれが私たちのシステムに関係していることを知っていました.

それで食べ物が到着しました、それは3人にとって100ドル相当の食べ物のようでした。それがテーブルに到着した瞬間、私は起きて、「請求書を払ってもいいですか？」と言いました。そして彼らにカードを手渡した。トムはすでに家に全力疾走していて、私たちはみんなそれを予約しました、私たちはみんな雪の中を走り始めました、そしてあなたが知っている、それはレストランから私たちの場所まで7分のジョギングでした.

私たちはバトルステーションに人員を配置し、システムを一時停止し、問題のトリアージと診断を開始しました。 […]その時点で、私たちは「これを処理する方法を知っています。いくらかのお金がかかったとしても、それは世界の終わりではありません。」残念ながら、雷が2回発生したため、人々の善意の多くが拡大していました。以前はかなり侵食されていた.

何が悪かったのかを振り返る

2つのハッキングにより、チームはプロトコルをシャットダウンして再構築する必要がありました。それ以来、他のプロジェクトでも脆弱性が悪用されましたが、短期間に複数のハッキングが発生したプロジェクトはありませんでした.

CT：bZXが被った違反の数は、プロジェクトの実践について疑問を投げかけています。それは運が悪いだけなのか、それとももっと深いところにあるのか?

KK：それは偶然ではありません。つまり、2つのことがあります。1つは、間違いを犯したことと、セキュリティ監査人が[彼らの仕事]を完全に実行しなかったことです。私がここで取得しようとしている問題が1つあります。基本的に、Kyberをオラクルとして使用した理由にはいくつかの要因があります[2番目のハッキングにつながる主要な脆弱性].

これは、実際に監査人が捕らえるべき概念上の脆弱性でしたが、私たちはそれを使用すべきではありませんでした. カイバーは最適ではないことは理解していましたが、オラクルを一元化することを頑固に拒否しました。当時プラグインできたChainlinkがなかったため、他の唯一のオプションはオラクルを一元化することでした。.

さて、最初のハックは基本的にタイプミスレベルのバグでした. これは、適切なプロセスが整っていないことが原因だと思います。 […]私たちは小さな会社でした。他の多くの融資プロトコルのように、私たちはたくさんのベンチャー資金に支えられていませんでした。今、私たちははるかに大きく、はるかに成熟した会社です.

監査人は同一ではありません

スマートコントラクトの監査は、プロトコルが開始される前の重要なステップと見なされます。監査されていないプロトコルは安全性が低いと見なされているため、Yearn Financeの作成者は、プロトコルが監査されたという事実を差し控えることで、プロジェクトに対する興奮を意図的に弱めたと述べています。.

CT：では、ZKLabsによるコードの監査で正確に何が起こったのでしょうか。?

KK：誰かがこの話を知る必要があるように感じます。ですから、私たちは新しく、業界にとってグリーンでした。このバージョンをプロトコルの1つとして構築したばかりで、2023年の初めのようでした。テストネットにデータを配置しただけですが、この分野のセキュリティ監査人についてはよくわかりませんでした。.

それで私たちは周りに尋ねて、最初にアカシアグループに紹介されました。 […]彼らはそれを調査し、基本的に「私たちはここで私たちの深みから外れている」と言いました。そのため、別の監査人を見つける必要があり、最終的にZKLabsを見つけました。 ZKラボは非常に評判が良いと思いました。 […] Matthew DiFerrante [ZKLabsの創設者]はEthereumFoundationに所属しており、そこでセキュリティエンジニアとして働いていました。.

さて、私が知らなかったのは、舞台裏では、スペース内の他のすべてのセキュリティ監査人がマシューを本当に好きではなかったということです。彼らは彼が非常に専門的ではなく、良い仕事をしていないように感じました。 […]彼は頭のいい人のように思えますが、仕事量を処理するのに非常に苦労したようです.

私たちは彼らにプロトコルの監査を受けましたが、実際に監査を行っているのはMatthewDiFerranteだけであることは明らかでした。彼は私たちに約50,000ドルを請求しましたが、これは私たちにとって、完全にブートストラップされた会社であり、莫大な金額のようなものでした。.

しかし、私たちは資金を調達し、できることを実行するために一生懸命努力しました—そして私たちはしました。この監査のために5万人を調達しましたが、どういうわけか私たちはぐずぐずしているように感じました。 […] 3月の初め頃に準備が整いましたが、実際に行われたのは9月に近づきました。そして、たくさんの歯を引っ張って叫んだ後でした。.

監査を調べたところ、これらのタイプミスが見つかりました。私たちの名前の代わりにチェーンリンクの名前があった場所がありました。彼は名前を置き換えませんでした。そして、私たちは, 「これを監査するのにどれくらいの時間を費やしましたか？これを本当に監査しましたか、それともZK Labsにだまされましたか？」

それは私たちの頭の中の一種の質問でした。彼は役立ついくつかの提案をしました、彼は重大なバグがあることに気づきました。彼が何もしなかったわけではありませんが、私たちは監査にまったく納得せずに去りました.

Kistnerはさらに、OpenZeppelinやTrail of Bitsのような他のセキュリティ会社は、会社に約20万ドルの費用がかかるだろうと付け加えました。「そして、私たちはその[お金]を持っていませんでした。」

コード監査は過大評価されていますか?

BZXの3回目のハッキングは、CertikとPeckShieldによる2つの主要な監査の直後に発生しました。これらの監査では、微妙なバグがネットを通過したようです。 AaveやCompoundなどのプラットフォームも発売時に苦しんでいました 脆弱性, 彼らが広範囲に監査されたという事実にもかかわらず、彼は言いました.

CT：監査が付加価値をもたらすとまだ信じていますか?

KK：監査は素晴らしいです。 Compound、Aaveなどを見ると、監査の結果として見つかった深刻な脆弱性がかなりあります。彼らがそれらを通過しなかった場合、それだけ多くの脆弱性が存在するでしょう.

2つまたは3つの監査ですべてのバグを見つけることは期待できません。. 人々はそれを理解する必要があります。それがバグバウンティの目的です—コードを公に監査すると、さらに多くの目があります.

これらの経験への銀の裏地

最初の事件の後、bZXは会社とそのセキュリティ慣行を見直しました。ロックされたその合計値は9月以降にリバウンドしました, 到達 2,000万ドル以上。これはいくつかの大規模なプロトコルとはかけ離れていますが、プロジェクトの激動の年と、プロトコルに資産を投入するための直接的な助成金がないことを考えると、この数字は依然として注目に値します。.

関連： 収穫量の多い農業はDeFiの周りで話題を呼んでいますが、基本は遅れています

キスナー氏は、チームは「おそらく、[否定的な]宣伝を、プロトコル全体のより良い認識とより多くの使用に役立てた」と述べた。その時はまた彼らが「人々が本当に好きなもの」を見つけることを可能にしたと彼は付け加えた。チームは長期的な視点に焦点を合わせており、収穫農業へのねじれには権利確定期間が含まれています。これは、短期資本の参加を思いとどまらせるメカニズムと見なされています。.

同時に、Kistnerは、この経験により、bZXがベンチャー主導のプロジェクトになることを回避できたと考えています。 「私たちは自分たちを異端者であり、部外者タイプのプロトコルであると考えています。」

それ以来同社が受けた投資について尋ねられたとき、彼は「それは非常に小さなラウンドでした」そして彼らは「いかなる資本や支配も放棄しなかった」と述べました。

結局、陪審員は、bZXが失われた地面に追いつくことができるかどうかについてまだ検討中です。ハッキングは、プロジェクトを簡単に死に至らしめる可能性のある壊滅的な打撃を与えましたが、チームは頑張って跳ね返っています。 bZXのストーリーは進化しますが、他のプロジェクトやDeFiユーザーにとっては重要な警告です。監査人にお金を払うだけでなく、安全な製品を作成するためにさらに多くのことが行われています。.