公司聚会时项目被攻击,两次审计无果:我们付不起20万美元的审计费

2020 年 10 月 27 日

公司聚会时项目被攻击,两次审计无果:我们付不起20万美元的审计费

该平台前后三次遭遇黑客攻击,直接将项目团队推进无底深渊。


今年,DeFi 平台遭受攻击的情况颇为严重,而 bZX 成为 2020 年 2 月首个遭受重大黑客攻击的主要 DeFi 平台。第二波攻势紧跟其后,直接导致项目瘫痪并在年内 DeFi 市场大繁荣期间错失了大部分机会。


虽然其他一些平台也被先后攻击,但 bZX 的困境还没有真正结束:在今年 9 月重新启动后不久,他们再次遭遇黑客入侵。就目前来看,此轮攻击很可能宣告该项目的彻底死亡。但 bZX 联合创始人凯尔 奇斯特纳(Kyle Kistner)却仍保持乐观。


第一轮攻击时,团队正在参加聚会


第一轮针对 bZX 的攻击发生在 2014 年 2 月,当时 bZX 团队集体去参加了 ETHDenver 大会。


奇斯特纳在现场跟 Ryan(Tellor CEO Ryan Berkun)相谈甚欢。“他告诉我,他刚刚在 Fulcrum 投入了不少钱,而且向我强调投资收益。我注意到当时以太坊的利率高得离谱,所以觉得有点奇怪。”奇斯特纳说道。


奇斯特纳跟 bZX CEO Tom 谈到了自己的疑惑。当天晚上,bZX 收到来自 DappHub 的 Lev Livnev 消息,他注意到一笔奇怪的交易,在 iETH 池上产生了极高的收益。


“之前我们都喝了酒,需要缓一缓。当时是晚上 11:30,我们正跟其他业内人士聚会,突然就出了这么档子事。在进行调查之后,我们意识到必须马上叫停整个系统。”


奇斯特纳透露,项目设计上并没有一键叫停的功能,团队通过禁用预言机白名单设计出一套临时解决方案,防止非法交易影响到更多资金。


之后,奇斯特纳给他妻子打电话说到:“我不知道该怎么面对这些业内人士,我不知道该怎么回到 ETHDenver 会场面对那里的参会者。”同时,他表示:“我想了一会,觉得应该马上收拾行李回家,但妻子劝我打消这个主意。Tom 则是呆呆坐在那里,整件事明显给他造成了严重的打击。”


最终,奇斯特纳决定对团队重新分组,最终损失被锁定在 1100 枚以太币,价值约 30 万美元,而且被篡改的协议并没有把这些资金分配给平台上的所有用户。所以,他们全额退还了资金,并继续开展业务。“损失不大,这让我们又重拾了信心。”


“当团队第二天出现在 ETHDenver 会场时,大家对我们表示了祝贺。他们支持我们的项目,还喊出了‘天下 builder 是一家’的口号。”奇斯特纳说道。


第二轮攻击时,公司正在聚餐团建


bZX 遭受第二轮攻击时,团队正在在科罗拉多的滑雪度假村组织团建。


“大家都很兴奋,我们点了不少好吃的,而 Tom 则一直盯着手机——他习惯了在系统上查看不同的交易,特别是那些看起来不太正常的交易。突然,他又发现了一笔奇怪的交易,其中删除了合约并发放了一笔快速贷款。整个交易过程基本上就是一遍又一遍地调动小额资金。”


之后,团队马上及时跟进,并很快意识到项目又被黑了。“餐点上来之后,我们对着这顿价值 100 美元的食物难以下咽。我起身说道‘可以现在结账吗?’Tom 都等不及想回去了。大家开始在雪地上狂奔,几分钟之后就回到了家中。”奇斯特纳表示。


团队马上归入工作,叫停了系统,开始分类诊断问题。“我们知道该如何处理,只要钱还没花掉,就仍然有挽救的余地。但我们就像是被闪电击中了两次,造成的信誉损失已经很难挽回了。”


两轮黑客攻击,迫使 bZX 团队关闭了协议并着手重建。从那时起,其他项目也陆续发现了漏洞,但都没有像 bZX 这样在短时间内连续遭到两次黑客入侵。


奇斯特纳承认,接连被攻击并不是巧合,而是团队确实犯了一些错误。虽然团队里有安全审计师,但工作完成得并不好。


“出于种种因素,我们选择了 Kyber 作为预言机,这也成为引发第二次黑客入侵的主要原因。实际上,审计师已经发现了其中存在的一项漏洞,但我们还是一直在使用。我们意识到 Kyber 并不是最佳选择,但我们固执地拒绝使用集中式预言机。我们本可以及时插入 Chainlink,但却并没有。“奇斯特纳分析道。


请不起权威的审计公司


在启动协议之前,对智能合约的审计无疑是一项至关重要的工作。未经审计的协议肯定不够安全,所以 Yearn Finance 的创始人甚至表示曾故意隐瞒协议经过审计的事实以降低对项目的期望。


2018 年初,团队构建了一套协议版本,并将内容发布到了测试网上。但当时的 bZX 对金融领域的安全审计并不了解。之后,便联系到了 ZK Labs。bZX 团队认为 ZK Labs 非常有名,其创始人 Matthew DiFerrante 也与以太坊基金会往来密切,并在基金会中担任过安全工程师,是值得信赖的。


“现在我才知道,甚至 Matthew 在安全审计行业的名声很差。同行们都认为他们不够专业。他看起来很聪明,但处理实际工作的能力并不太行。”


bZX 的审计工作由 Matthew DiFerrante 独立完成,并收取了约 50000 美元的费用。


“对于我们这样一家小公司来说,这绝对是一笔巨款了,但我们仍然尽了最大努力筹集资金。但这 50000 美元花得是在很糟心。当年 3 月初左右,我们已经准备好了所有材料,但直到接近 9 月,审计工作才在争吵与扯皮当中磕磕绊绊地完成。”


奇斯特纳表示,他们在审计报告中甚至发现了错别字,某处是 Chainlink 的名字而非 bZX。团队也心生疑惑:你这审计用了多长时间?到底是真做了审计还是在骗我们?


但审计公司还是提出了一些重要的建议,并发现了其中有一项严重 bug。“不能说他们什么都没做,只是最终出炉的审计结果还不够有说服力。“


奇斯特纳补充称,虽然 OpenZeppelin、Traikl of Bits 等其他安全公司更权威,但开价更高,大约在 20 万美元左右,bZX 实在承受不起。


两次审计后仍被攻击


BZX 的第三次黑客攻击发生在 Certik 与 PeckShield 的两轮重大审计之后。


虽然经过审计,但似乎仍有一项细微 bug 遗留在了网络当中。奇斯特纳表示同样的情况也发生在 Aave、Compound 等平台上,它们也在接受广泛审计之后也被发现存在安全漏洞。


奇斯特纳认为审计本身没有问题,如果不加审计,上线后的问题只会更多。但不要指望依靠两到三轮审计就能发现每一项 bug。这也正是 Bug 赏金项目的诉求——在对代码进行公开审计时,可以吸引到更多人的关注,发现更多实际问题。


经历了一系列事件,bZX 对公司内部及其安全审计进行了全面改革。今年 9 月之后,其总锁定价值开始反弹,目前超过 2000 万美元。奇斯特纳表示,他们的团队希望把负面消息转化为对安全问题的深刻认知,并真正融入整个协议平台之内。


此外,bZX 开始着眼于长远,通过引入行权期限等机制调整了投资政策,旨在阻止短期资本的大量涌入。奇斯特纳表示,黑客事件之后,团队只进行了一轮小规模融资,创始团队没有放弃任何股权或控制权。


延伸阅读:


https://cointelegraph.com/news/the-unluckiest-defi-protocol-a-personal-take-on-bzx-s-tumultuous-year


2020 年 10 月 27 日 13:551585

评论

发布
暂无评论
发现更多内容

重磅发布!Flink Forward Asia 2020 在线峰会预约开启!

Apache Flink

flink

重大活动网络攻击面前,京东智联云的攻防之道

京东智联云开发者

云计算 网络安全 云安全

接口测试文件上传(python+requests)

测试人生路

Python 接口测试

简要分析近几年商业软件开发平台的现状

Learun

企业 企业开发 企业应用

Mock服务设计与实现:MySQL驱动字节码修改增强

华为云开发者社区

MySQL 数据库 sql

【涂鸦物联网足迹】涂鸦云平台数据类型和取值约束说明

IoT云工坊

人工智能 云计算 物联网 云平台 数据类型

决策树算法-实战篇

比伯

Java 大数据 编程 架构 算法

阿里P10带你深度剖析:淘宝网是如何基于Spring Cloud微服务框架搭建大型电商平台设计

Java架构追梦

Java 架构 面试 微服务 SpringCloud

架构师训练营 1 期 - 第八周作业(vaik)

行之

区块链带来的业务流程优化是数字化转型最深层次的变革

CECBC区块链专委会

区块链 数字化

高性能IO模型:为什么单线程Redis能那么快?

小Q

Java redis 学习 架构 面试

缓存与数据库一致性策略

李浩宇/Alex

企业级软件的核心价值

Marilyn

敏捷开发

简要分析近几年商业软件开发平台的现状

Marilyn

快速开发 企业开发

技术分析:AnalyticDB强力支撑双11

阿里云情报局

数据库 互联网 数据分析 双十一 数据舱

手把手教你撸一个能生成抖音风格动图的gif制作平台

徐小夕

JavaScript css3 GitHub GIF 开源项目

架构师第一期作业(第8周)

Cheer

作业

usdt支付系统开发方案,币支付交易系统搭建

WX13823153201

数字货币合约交易所系统开发技术

薇電13242772558

区块链 数字货币

云图说|云上攻击早知道,少不了这个“秘密武器”!

华为云开发者社区

安全 云服务 云端

建行数字债券允许比特币交易?官方回应了!业内人士:交易架构的创新值得赞赏

CECBC区块链专委会

比特币 债券

微服务下,使用 ELK 进行日志采集以及统一处理

华为云开发者社区

微服务 Kibana ELK

区块链赋能供应链金融 | 应用优势与四类常见模式

CECBC区块链专委会

区块链 供应商审核

数据库建表、SQL、索引规范

Bruce Duan

MySQL sql 建表 规范

自己写歌怎么编曲?4款超好用编曲软件推荐

Geek_96964a

编曲 音频制作 midi daw

用废旧纸箱DIY智能宠物喂食器!旅行在外远程投喂“二狗子”

智能物联实验室

物联网 DIY 智能硬件

函数式编程:如何高效简洁地对数据查询与变换

华为云开发者社区

编程 面向对象 数据处理

数字货币交易所开发定制,币币撮合交易开发商

13530558032

Week 8 命题作业

阿泰

飞书的「背道而驰」

ToB行业头条

企业级软件的核心价值

Learun

敏捷开发 快速开发 企业开发 企业应用

公司聚会时项目被攻击,两次审计无果:我们付不起20万美元的审计费-InfoQ