Facebook 
Pinterest Protokol DeFi yang paling malang? Pengambilan peribadi pada tahun penuh bZX
Platform kewangan terdesentralisasi bZX sering menjadi tumpuan tahun ini, bukan hanya untuk alasan yang tepat. Sebilangan besar platform DeFi yang popular hari ini, termasuk bZX, memulakan perjalanan mereka sekitar 2023, di hujung koin awal yang menawarkan ledakan. Pada tahun 2023, DeFi mula mendapat daya tarikan, walaupun ia masih merupakan sektor industri yang agak diabaikan.
Ketika pertumbuhan berlanjutan, kecurigaan mulai meningkat kerana peretasan besar, khas dari sektor aset digital, telah terlambat. Oleh kerana kerumitan dan kebaruan platform ini, adalah wajar untuk menganggap bahawa tidak semuanya tidak tahan terhadap bug.
Tahun ini dapat dicirikan sebagai bukti pepatah, “Ketika hujan, hujan turun.” Sayangnya untuk bZX, ia menjadi platform DeFi utama pertama yang mengalami hack besar, pada bulan Februari 2023. Ia juga menjadi platform kedua yang harus dieksploitasi, kerana dua serangan berturut-turut melumpuhkan projek itu dan memaksanya kehilangan majoriti ledakan DeFi.
Berkaitan: Adakah Serangan Pinjaman Kilat BZx Menandakan Akhir DeFi?
Walaupun beberapa platform lain mengikutinya, kesengsaraan bZX belum selesai: tidak lama selepas pelancarannya pada bulan September, ia diretas sekali lagi. Walaupun nampaknya merupakan tamparan terakhir untuk projek ini, pengasas bersama Kyle Kistner tetap optimis platform ini akan bangkit kembali.
“Sejak kami mendapat kembali wang dan dana selamat, kami mempunyai banyak nilai yang terkunci dan jumlah dagangan yang banyak,” kata Kistner dalam temu bual dengan Cointelegraph. “Kami belum berjaya kembali ke tempat kami berada, tetapi jumlah dagangan kami benar-benar meletup.”
Kistner mengulangi berkali-kali sepanjang wawancara bahawa di sebalik semua peretasan ini, platform ini tidak pernah kehilangan wang penggunanya. Mangsa awal dikembalikan, sementara penggodam September pada dasarnya ditangkap dengan tangan merah melalui analisis blockchain dan mengembalikan wangnya. Walau bagaimana pun, perjalanan Kistner dan pasukan bZX tahun ini penuh dengan kekacauan, paling tidak.
Terperangkap dengan minuman mereka
Cointelegraph: Peretasan bZX pertama berlaku pada 14 Februari semasa pasukan itu pergi di persidangan ETHDenver. Bagaimana anda mengetahui mengenai serangan itu?
Kyle Kistner: Kami berada di waktu selepas ini, ini adalah waktu gembira Keep and Compound. Kami duduk di sana, kami bercakap dengan Ryan [Berkun, Ketua Pegawai Eksekutif Tellor] dan dia memberitahu saya tentang bagaimana dia baru saja memasukkan sejumlah wang di Fulcrum, dia menunjukkan kepada saya kadar faedah. Saya perhatikan bahawa kadar faedah ETH sangat tinggi. Dan saya seperti, “Oh, itu sangat pelik.”
Saya bercakap dengan Tom [bZX’s CEO] mengenai perkara itu dan saya merasa sesuatu yang sangat pelik dengannya. Pada waktu malam, kami mendapat pesanan dari Lev Livnev dari DappHub, yang menyedari transaksi yang aneh, yang pada dasarnya merupakan minat yang sangat tinggi di kumpulan iETH.
Dan anda tahu, kami telah minum dan jadi kami perlu sedar. Ini adalah pengalaman gila ini, jam 11:30 malam, kami berpesta dengan orang industri yang lain dan tiba-tiba anda terdorong ke situasi yang sangat serius ini. Semasa kami menyiasat, kami menyedari bahawa kami perlu menjeda seluruh sistem.
Sebenarnya tidak ada butang jeda yang dirancang untuk perkara ini, tetapi kami menggodam penyelesaian dengan melumpuhkan senarai putih oracle. Ini berfungsi untuk mengelakkan lebih banyak wang diambil.
Kemudian saya menelefon isteri saya, saya berkata “Saya tidak tahu bagaimana saya akan dapat menghadapi orang-orang di industri ini, kembali ke ETHDenver, lihat semua orang di sana.” Saya berfikir sejenak bahawa mungkin saya hanya akan mengemas beg saya dan pulang ke rumah, tetapi isteri saya mengeluarkannya. Tom hanya duduk di situ, sedikit demi sedikit, semuanya membasahi dirinya.
Peretasan kedua
Akhirnya Kistner dan pasukan berkumpul semula. Mereka berjaya melakukan rehat bertuah – protokol tidak secara automatik menyebarkan kerugian lebih dari 1,100 ETH, bernilai sekitar $ 300,000, di antara semua pengguna platform. Ini memberi mereka peluang untuk mengembalikan wang sepenuhnya dan membolehkan perniagaan terus berjalan. “Itu memberi kita banyak semangat,” kata Kistner.
Ketika pasukan itu muncul di ETHDenver keesokan harinya, Kistner mengatakan bahawa “orang-orang sebenarnya mengucapkan tahniah kepada kami. Terdapat banyak sokongan, orang berkata, ‘Kami pembangun, anda pembangun, kami semua bersama-sama.’ “
CT: Dan kemudian serangan kedua berlaku. Bagaimana anda mendapat tahu mengenainya?
KK: Kami baru sahaja tiba di restoran ini. Kami berada di tempat percutian ski di Colorado, kami membantu mengaturnya dan kami sangat teruja dengannya. Kami memesan semua makanan ini, dan Tom melihat telefonnya – dia suka hanya melalui pelbagai transaksi yang ada di sistem, terutamanya jika ada yang kelihatan pelik atau pelik. Oleh itu, dia melihat transaksi yang satu ini dan kelihatan sangat pelik kerana kontraknya dihapus dan mempunyai pinjaman kilat dan pada dasarnya jumlah kecil dipanggil berulang kali berulang kali.
Oleh itu, kami melihat transaksi tersebut dan kami mengambil masa sekitar dua saat untuk menjadi seperti ‘Ok, seseorang telah diretas.’ Ini sama sekali tidak kelihatan. Kami tahu ia melibatkan sistem kami.
Oleh itu, makanan itu tiba, seperti makanan bernilai seratus dolar untuk tiga orang. Sebaik sahaja tiba di atas meja, saya bangun dan saya berkata, “Bolehkah saya membayar bil?” dan menyerahkan kad itu kepada mereka. Tom sudah berlari pulang dan kami semua menempahnya, kami semua mula berjalan melalui salji dan, anda tahu, itu adalah tujuh minit joging dari restoran ke tempat kami.
Kami mengendalikan stesen pertempuran kami, menjeda sistem, mula menyusun dan mendiagnosis masalahnya. […] Pada ketika itu kami seperti ‘kami tahu bagaimana menangani ini, jika ada sejumlah wang yang diambil, itu bukan akhir dunia.’ Sayangnya, sejak kilat menyerang dua kali, banyak muhibah yang dilanjutkan orang kita sebelum ini terhakis.
Merenung apa yang salah
Kedua-dua peretasan itu memaksa pasukan untuk menutup dan membina semula protokol. Sejak itu, projek lain melihat kelemahan dieksploitasi juga, tetapi tidak ada banyak peretasan berlaku dalam jangka masa pendek.
CT: Jumlah pelanggaran yang dialami oleh bZX menimbulkan persoalan mengenai amalan projek tersebut. Mungkinkah itu nasib buruk, atau ada sesuatu yang lebih dalam bermain?
KK: Ini bukan kebetulan. Oleh itu, ada dua perkara: satu ialah kita melakukan kesilapan, dan kita mempunyai juruaudit keselamatan yang tidak melakukan [tugas mereka] sepenuhnya. Terdapat satu masalah yang saya cuba selesaikan di sini – pada dasarnya terdapat beberapa faktor yang menjadi sebab mengapa kita menjadikan Kyber sebagai oracle [kerentanan utama yang mengakibatkan peretasan kedua].
Ini adalah kerentanan konseptual yang semestinya ditangkap oleh juruaudit, tetapi kita seharusnya tidak menggunakannya. Kami mempunyai pemahaman bahawa Kyber tidak optimum, tetapi kami dengan nekad menolak untuk memusatkan oracle. Kami tidak mempunyai Chainlink, yang dapat kami pasangkan pada masa itu, jadi satu-satunya pilihan lain adalah memusatkan oracle.
Sekarang, penggodaman pertama pada dasarnya adalah pepijat tahap ketik. Saya rasa ini disebabkan oleh proses yang tidak betul. […] Kami adalah syarikat kecil. Kami tidak disokong oleh sejumlah besar wang teroka, seperti banyak protokol pinjaman lain. Sekarang, kita adalah syarikat yang jauh lebih besar dan lebih matang.
Juruaudit tidak sama dan sama
Mengaudit kontrak pintar dianggap sebagai langkah penting sebelum pelancaran protokol. Protokol yang tidak diaudit dianggap kurang selamat, sehingga pencipta Yearn Finance mengatakan bahawa dia sengaja mengurangkan keseronokan mengenai projeknya dengan menahan kenyataan bahawa protokol itu diaudit.
CT: Jadi apa sebenarnya yang berlaku dengan audit kod anda oleh ZK Labs?
KK: Saya rasa seseorang perlu mengetahui kisah ini. Oleh itu, kami masih baru dan kami seperti hijau untuk industri ini. Kami baru sahaja membina versi ini dari protokol kami, seperti awal tahun 2023. Kami hanya meletakkan barang kami di testnet, tetapi kami tidak benar-benar mengenali juruaudit keselamatan di ruang tersebut.
Oleh itu, kami bertanya-tanya dan mula-mula merujuk kepada Kumpulan Acacia. […] Mereka mencarinya dan pada dasarnya mereka berkata, “Kami berada di luar kedalaman kami di sini.” Oleh itu, kami perlu mencari juruaudit yang berbeza dan akhirnya kami menemui ZK Labs. Kami berpendapat bahawa ZK Labs sangat terkenal. […] Matthew DiFerrante [pengasas ZK Labs] dikaitkan dengan Yayasan Ethereum, dia pernah bekerja sebagai jurutera keselamatan di sana.
Sekarang, apa yang saya tidak tahu ialah di sebalik tabir, semua juruaudit keselamatan lain di ruang itu tidak begitu menyukai Matthew. Mereka merasa seperti dia tidak profesional dan tidak melakukan pekerjaan dengan baik. […] Dia sepertinya orang pintar, saya rasa, tetapi nampaknya dia menghadapi banyak kesukaran untuk menangani beban kerja.
Kami membuat pengauditan protokol kami, dan jelas bahawa hanya ada Matthew DiFerrante yang melakukan pengauditan. Dia membebankan kami sekitar $ 50,000, yang bagi kami – sebuah syarikat yang diikat sepenuhnya – seperti sejumlah besar wang.
Tetapi kami berusaha sekuat tenaga untuk mengumpulkan dana dan melakukan apa yang kami mampu – dan kami berjaya. Kami mengumpulkan lima puluh ribu untuk audit ini, tetapi rasanya kami entah bagaimana. […] Kami telah menyediakan barang-barang kami untuknya sekitar awal bulan Mac, tetapi hampir pada bulan September ia benar-benar dilakukan – dan hanya setelah banyak gigi menarik dan berteriak.
Semasa melihat audit, kami mendapati kesalahan ketik ini – ada tempat di mana terdapat nama Chainlink dan bukan nama kami. Dia tidak mengganti nama. Dan kami seperti, “Berapa lama anda menghabiskan mengaudit ini? Adakah anda benar-benar mengaudit ini atau adakah kami telah ditipu oleh ZK Labs?
Itulah persoalan yang ada di fikiran kami. Dia membuat beberapa cadangan yang bermanfaat, dia melihat ada bug kritikal. Bukannya dia sama sekali tidak melakukan apa-apa, tetapi kami tidak sama sekali yakin dengan audit.
Kistner menambah bahawa syarikat keselamatan lain seperti OpenZeppelin atau Trail of Bits akan menelan belanja syarikat itu sekitar $ 200,000, “Dan kami tidak mempunyai wang itu.”
Adakah audit kod terlalu tinggi?
Peretasan ketiga BZX berlaku tepat setelah dua audit utama oleh Certik dan PeckShield, yang nampaknya membiarkan bug halus melewati jaring mereka. Platform seperti Aave dan Compound juga mengalami masalah semasa pelancaran kelemahan, katanya, walaupun pada hakikatnya mereka diaudit secara menyeluruh.
CT: Adakah anda masih percaya bahawa audit menambah nilai?
KK: Audit hebat. Sekiranya anda melihat Compound, Aave atau yang lain, terdapat beberapa kelemahan serius yang dijumpai sebagai hasil pemeriksaan. Sekiranya mereka tidak melaluinya, akan ada banyak lagi kelemahan.
Anda tidak boleh mengharapkan dua atau tiga audit untuk menemui setiap pepijat. Orang perlu memahami perkara itu. Itulah tujuan karunia bug – apabila anda mempunyai kod yang diaudit secara terbuka, terdapat banyak lagi mata.
Lapisan perak untuk pengalaman ini
Berikutan kejadian awal, bZX merombak syarikat dan amalan keselamatannya. Nilai keseluruhan terkunci pulih selepas September, menjangkau lebih daripada $ 20 juta. Walaupun ini jauh dari beberapa protokol yang lebih besar, angka itu masih terkenal memandangkan tahun yang penuh gejolak dan kekurangan subsidi langsung untuk memasukkan aset ke dalam protokol.
Berkaitan: Hasil Bensin Hasil Pertanian Di Sekitar DeFi, tetapi Dasarnya Tertinggal
Kistner mengatakan bahawa pasukan “mungkin mempamerkan publisiti [negatif] menjadi pengiktirafan yang lebih baik dan penggunaan protokol yang lebih banyak secara keseluruhan.” Masa juga memungkinkan mereka untuk mencari “sesuatu yang sangat disukai orang,” tambahnya. Pasukan ini memfokuskan pada perspektif jangka panjang, dan kelainannya pada pertanian hasil merangkumi tempoh hak letak hak, yang dilihat sebagai mekanisme yang mencegah modal jangka pendek untuk bergabung.
Pada masa yang sama, Kistner percaya bahawa pengalaman tersebut memungkinkan bZX untuk mengelakkan menjadi projek yang diterajui usaha. “Kami melihat diri kita lebih sebagai maverick, lebih daripada jenis protokol orang luar.”
Ketika ditanya mengenai pelaburan yang telah diterima syarikat sejak itu, dia mengatakan bahawa “itu adalah putaran yang sangat kecil” dan mereka “tidak melepaskan ekuiti atau kawalan.”
Pada akhirnya, juri masih belum mengetahui apakah bZX dapat mengejar ketinggalan. Peretasan yang dilakukan melumpuhkan pukulan yang dapat dengan mudah mengakibatkan kematian projek itu, tetapi pasukan itu bertahan dan bangkit kembali. Kisah bZX, bagaimanapun ia berkembang, tetap menjadi peringatan penting untuk projek lain dan pengguna DeFi: Terdapat banyak lagi yang berlaku dalam membuat produk yang selamat selain hanya membayar wang kepada juruaudit.