写点什么

公司聚会时项目被攻击,两次审计无果:我们付不起 20 万美元的审计费

  • 2020-10-27
  • 本文字数:2627 字

    阅读完需:约 9 分钟

公司聚会时项目被攻击,两次审计无果:我们付不起20万美元的审计费

该平台前后三次遭遇黑客攻击,直接将项目团队推进无底深渊。


今年,DeFi 平台遭受攻击的情况颇为严重,而 bZX 成为 2020 年 2 月首个遭受重大黑客攻击的主要 DeFi 平台。第二波攻势紧跟其后,直接导致项目瘫痪并在年内 DeFi 市场大繁荣期间错失了大部分机会。


虽然其他一些平台也被先后攻击,但 bZX 的困境还没有真正结束:在今年 9 月重新启动后不久,他们再次遭遇黑客入侵。就目前来看,此轮攻击很可能宣告该项目的彻底死亡。但 bZX 联合创始人凯尔 奇斯特纳(Kyle Kistner)却仍保持乐观。

第一轮攻击时,团队正在参加聚会

第一轮针对 bZX 的攻击发生在 2014 年 2 月,当时 bZX 团队集体去参加了 ETHDenver 大会。


奇斯特纳在现场跟 Ryan(Tellor CEO Ryan Berkun)相谈甚欢。“他告诉我,他刚刚在 Fulcrum 投入了不少钱,而且向我强调投资收益。我注意到当时以太坊的利率高得离谱,所以觉得有点奇怪。”奇斯特纳说道。


奇斯特纳跟 bZX CEO Tom 谈到了自己的疑惑。当天晚上,bZX 收到来自 DappHub 的 Lev Livnev 消息,他注意到一笔奇怪的交易,在 iETH 池上产生了极高的收益。


“之前我们都喝了酒,需要缓一缓。当时是晚上 11:30,我们正跟其他业内人士聚会,突然就出了这么档子事。在进行调查之后,我们意识到必须马上叫停整个系统。”


奇斯特纳透露,项目设计上并没有一键叫停的功能,团队通过禁用预言机白名单设计出一套临时解决方案,防止非法交易影响到更多资金。


之后,奇斯特纳给他妻子打电话说到:“我不知道该怎么面对这些业内人士,我不知道该怎么回到 ETHDenver 会场面对那里的参会者。”同时,他表示:“我想了一会,觉得应该马上收拾行李回家,但妻子劝我打消这个主意。Tom 则是呆呆坐在那里,整件事明显给他造成了严重的打击。”


最终,奇斯特纳决定对团队重新分组,最终损失被锁定在 1100 枚以太币,价值约 30 万美元,而且被篡改的协议并没有把这些资金分配给平台上的所有用户。所以,他们全额退还了资金,并继续开展业务。“损失不大,这让我们又重拾了信心。”


“当团队第二天出现在 ETHDenver 会场时,大家对我们表示了祝贺。他们支持我们的项目,还喊出了‘天下 builder 是一家’的口号。”奇斯特纳说道。

第二轮攻击时,公司正在聚餐团建

bZX 遭受第二轮攻击时,团队正在在科罗拉多的滑雪度假村组织团建。


“大家都很兴奋,我们点了不少好吃的,而 Tom 则一直盯着手机——他习惯了在系统上查看不同的交易,特别是那些看起来不太正常的交易。突然,他又发现了一笔奇怪的交易,其中删除了合约并发放了一笔快速贷款。整个交易过程基本上就是一遍又一遍地调动小额资金。”


之后,团队马上及时跟进,并很快意识到项目又被黑了。“餐点上来之后,我们对着这顿价值 100 美元的食物难以下咽。我起身说道‘可以现在结账吗?’Tom 都等不及想回去了。大家开始在雪地上狂奔,几分钟之后就回到了家中。”奇斯特纳表示。


团队马上归入工作,叫停了系统,开始分类诊断问题。“我们知道该如何处理,只要钱还没花掉,就仍然有挽救的余地。但我们就像是被闪电击中了两次,造成的信誉损失已经很难挽回了。”


两轮黑客攻击,迫使 bZX 团队关闭了协议并着手重建。从那时起,其他项目也陆续发现了漏洞,但都没有像 bZX 这样在短时间内连续遭到两次黑客入侵。


奇斯特纳承认,接连被攻击并不是巧合,而是团队确实犯了一些错误。虽然团队里有安全审计师,但工作完成得并不好。


“出于种种因素,我们选择了 Kyber 作为预言机,这也成为引发第二次黑客入侵的主要原因。实际上,审计师已经发现了其中存在的一项漏洞,但我们还是一直在使用。我们意识到 Kyber 并不是最佳选择,但我们固执地拒绝使用集中式预言机。我们本可以及时插入 Chainlink,但却并没有。“奇斯特纳分析道。

请不起权威的审计公司

在启动协议之前,对智能合约的审计无疑是一项至关重要的工作。未经审计的协议肯定不够安全,所以 Yearn Finance 的创始人甚至表示曾故意隐瞒协议经过审计的事实以降低对项目的期望。


2018 年初,团队构建了一套协议版本,并将内容发布到了测试网上。但当时的 bZX 对金融领域的安全审计并不了解。之后,便联系到了 ZK Labs。bZX 团队认为 ZK Labs 非常有名,其创始人 Matthew DiFerrante 也与以太坊基金会往来密切,并在基金会中担任过安全工程师,是值得信赖的。


“现在我才知道,甚至 Matthew 在安全审计行业的名声很差。同行们都认为他们不够专业。他看起来很聪明,但处理实际工作的能力并不太行。”


bZX 的审计工作由 Matthew DiFerrante 独立完成,并收取了约 50000 美元的费用。


“对于我们这样一家小公司来说,这绝对是一笔巨款了,但我们仍然尽了最大努力筹集资金。但这 50000 美元花得是在很糟心。当年 3 月初左右,我们已经准备好了所有材料,但直到接近 9 月,审计工作才在争吵与扯皮当中磕磕绊绊地完成。”


奇斯特纳表示,他们在审计报告中甚至发现了错别字,某处是 Chainlink 的名字而非 bZX。团队也心生疑惑:你这审计用了多长时间?到底是真做了审计还是在骗我们?


但审计公司还是提出了一些重要的建议,并发现了其中有一项严重 bug。“不能说他们什么都没做,只是最终出炉的审计结果还不够有说服力。“


奇斯特纳补充称,虽然 OpenZeppelin、Traikl of Bits 等其他安全公司更权威,但开价更高,大约在 20 万美元左右,bZX 实在承受不起。

两次审计后仍被攻击

BZX 的第三次黑客攻击发生在 Certik 与 PeckShield 的两轮重大审计之后。


虽然经过审计,但似乎仍有一项细微 bug 遗留在了网络当中。奇斯特纳表示同样的情况也发生在 Aave、Compound 等平台上,它们也在接受广泛审计之后也被发现存在安全漏洞。


奇斯特纳认为审计本身没有问题,如果不加审计,上线后的问题只会更多。但不要指望依靠两到三轮审计就能发现每一项 bug。这也正是 Bug 赏金项目的诉求——在对代码进行公开审计时,可以吸引到更多人的关注,发现更多实际问题。


经历了一系列事件,bZX 对公司内部及其安全审计进行了全面改革。今年 9 月之后,其总锁定价值开始反弹,目前超过 2000 万美元。奇斯特纳表示,他们的团队希望把负面消息转化为对安全问题的深刻认知,并真正融入整个协议平台之内。


此外,bZX 开始着眼于长远,通过引入行权期限等机制调整了投资政策,旨在阻止短期资本的大量涌入。奇斯特纳表示,黑客事件之后,团队只进行了一轮小规模融资,创始团队没有放弃任何股权或控制权。


延伸阅读:


https://cointelegraph.com/news/the-unluckiest-defi-protocol-a-personal-take-on-bzx-s-tumultuous-year


2020-10-27 13:552517

评论

发布
暂无评论
发现更多内容

COPT4.0新增凸QP、QCP和QCQP求解能力

杉数科技

求解器 优化求解器 凸QP 凸QCP

【场景化集成方案】如何让企业快速集成钉钉各种能力

钉钉开发者

钉钉能力中心 钉钉官网 场景化能力包 场景化解决方案 应用集成方案

Window下Redis的安装和部署详细教程

明金同学

redis

斯图飞腾Stratifyd入选「2022爱分析·营销科技厂商全景报告」

极客天地

生态扩大进行中!Apache APISIX 支持 Azure Functions 集成

API7.ai 技术团队

microsoft azure API网关 Apache APISIX

MASA Framework - DDD设计(2)

MASA技术团队

C# .net .net core 框架 Framework

阿里云资深专家李国强:云原生的一些趋势和新方向

Serverless Devs

APP热更新技术最优解,不只是支持热更新...

Speedoooo

小程序 APP开发 容器安全 热更新 小程序容器

学生外包管理系统架构设计文档

孙强

#架构实战营

你知道钓鱼网站的形成步骤吗?一次网络钓鱼演练带你了解(增强安全意识)

H

网络安全 钓鱼网站

第十五节:SpringBoot使用JPA访问数据库

入门小站

spring-boot

新插件上线,public API 处理能力更进一步

API7.ai 技术团队

HTTP APISIX APISIX 网关

Apache APISIX 集成 HashiCorp Vault,生态系统再添一员

API7.ai 技术团队

开源 安全 后端 API网关 APISIX

异步请求积压可视化|如何 1 分钟内快速定位函数计算积压问题

Serverless Devs

使用goofys挂载S3 bucket为文件系统

阿呆

文件系统 goofys aws s3

生态扩大进行中!Apache APISIX 集成 Splunk HTTP Event Collector

API7.ai 技术团队

API网关 Apache APISIX

Nacos 在 Apache APISIX API 网关中的服务发现实践

API7.ai 技术团队

nacos 注册中心 服务发现 API网关 APISIX

Apache APISIX 集成 Open Policy Agent

API7.ai 技术团队

开源 后端 API网关 OPA Apache APISIX

为什么国企要加快推进数字化转型?

用友BIP

数字化转型 用友 用友iuap 用友YonBIP 国企

2022写作计划2月文章排行榜

TGO鲲鹏会

TGO鲲鹏会 写作计划

JWT Token在线编码生成

入门小站

工具

云服务器ECS选购指南及省钱法宝(强烈建议收藏)

阿里云弹性计算

玩转ECS 选购指南

计算IIS

杉数科技

求解器 优化求解器 计算IIS 混合整数规划 杉数科技

常青藤开源科技加入,龙蜥社区再迎 HPC 和开源领域新伙伴

OpenAnolis小助手

Linux 开源 高性能计算

极速生成缩略图,Serverless 支撑赛事转播锁定冬奥亮点

Serverless Devs

StarRocks 元数据管理及 FE 高可用机制

邸星星

BerkeleyDB-JE bdbje StarRocks元数据管理

万字通俗讲解何为复杂度

华为云开发者联盟

数据结构 时间复杂度 复杂度 空间复杂度 复杂度分许

如何使用 Apache APISIX CSRF 安全插件拦截跨站点伪造攻击

API7.ai 技术团队

CSRF API网关 Apache APISIX

企业级 APIs 安全实践指南 (建议初中级工程师收藏)

领创集团Advance Intelligence Group

API

Apache APISIX 新技能,代理 gRPC-Web 请求

API7.ai 技术团队

gRPC HTTP 网关 APISIX

选轻量应用服务器还是云服务器ECS?一图彻底搞懂

阿里云弹性计算

轻量应用 玩转ECS

公司聚会时项目被攻击,两次审计无果:我们付不起20万美元的审计费_区块链_ANDREY SHEVCHENKO_InfoQ精选文章