该平台前后三次遭遇黑客攻击，直接将项目团队推进无底深渊。

今年，DeFi平台遭受攻击的情况颇为严重，而bZX成为2020年2月首个遭受重大黑客攻击的主要DeFi平台。第二波攻势紧跟其后，直接导致项目瘫痪并在年内DeFi市场大繁荣期间错失了大部分机会。

虽然其他一些平台也被先后攻击，但bZX的困境还没有真正结束：在今年9月重新启动后不久，他们再次遭遇黑客入侵。就目前来看，此轮攻击很可能宣告该项目的彻底死亡。但bZX联合创始人凯尔奇斯特纳（Kyle Kistner）却仍保持乐观。

第一轮攻击时，团队正在参加聚会

第一轮针对bZX的攻击发生在2014年2月，当时bZX团队集体去参加了ETHDenver大会。

奇斯特纳在现场跟 Ryan（Tellor CEO Ryan Berkun）相谈甚欢。“他告诉我，他刚刚在Fulcrum投入了不少钱，而且向我强调投资收益。我注意到当时以太坊的利率高得离谱，所以觉得有点奇怪。”奇斯特纳说道。

奇斯特纳跟bZX CEO Tom谈到了自己的疑惑。当天晚上，bZX 收到来自DappHub的Lev Livnev消息，他注意到一笔奇怪的交易，在iETH池上产生了极高的收益。

“之前我们都喝了酒，需要缓一缓。当时是晚上11：30，我们正跟其他业内人士聚会，突然就出了这么档子事。在进行调查之后，我们意识到必须马上叫停整个系统。”

奇斯特纳透露，项目设计上并没有一键叫停的功能，团队通过禁用预言机白名单设计出一套临时解决方案，防止非法交易影响到更多资金。

之后，奇斯特纳给他妻子打电话说到：“我不知道该怎么面对这些业内人士，我不知道该怎么回到ETHDenver会场面对那里的参会者。”同时，他表示：“我想了一会，觉得应该马上收拾行李回家，但妻子劝我打消这个主意。Tom则是呆呆坐在那里，整件事明显给他造成了严重的打击。”

最终，奇斯特纳决定对团队重新分组，最终损失被锁定在1100枚以太币，价值约30万美元，而且被篡改的协议并没有把这些资金分配给平台上的所有用户。所以，他们全额退还了资金，并继续开展业务。“损失不大，这让我们又重拾了信心。”

“当团队第二天出现在ETHDenver会场时，大家对我们表示了祝贺。他们支持我们的项目，还喊出了‘天下builder是一家’的口号。”奇斯特纳说道。

第二轮攻击时，公司正在聚餐团建

bZX 遭受第二轮攻击时，团队正在在科罗拉多的滑雪度假村组织团建。

“大家都很兴奋，我们点了不少好吃的，而Tom则一直盯着手机——他习惯了在系统上查看不同的交易，特别是那些看起来不太正常的交易。突然，他又发现了一笔奇怪的交易，其中删除了合约并发放了一笔快速贷款。整个交易过程基本上就是一遍又一遍地调动小额资金。”

之后，团队马上及时跟进，并很快意识到项目又被黑了。“餐点上来之后，我们对着这顿价值100美元的食物难以下咽。我起身说道‘可以现在结账吗？’Tom都等不及想回去了。大家开始在雪地上狂奔，几分钟之后就回到了家中。”奇斯特纳表示。

团队马上归入工作，叫停了系统，开始分类诊断问题。“我们知道该如何处理，只要钱还没花掉，就仍然有挽救的余地。但我们就像是被闪电击中了两次，造成的信誉损失已经很难挽回了。”

两轮黑客攻击，迫使bZX团队关闭了协议并着手重建。从那时起，其他项目也陆续发现了漏洞，但都没有像bZX这样在短时间内连续遭到两次黑客入侵。

奇斯特纳承认，接连被攻击并不是巧合，而是团队确实犯了一些错误。虽然团队里有安全审计师，但工作完成得并不好。

“出于种种因素，我们选择了Kyber作为预言机，这也成为引发第二次黑客入侵的主要原因。实际上，审计师已经发现了其中存在的一项漏洞，但我们还是一直在使用。我们意识到Kyber并不是最佳选择，但我们固执地拒绝使用集中式预言机。我们本可以及时插入Chainlink，但却并没有。“奇斯特纳分析道。

在启动协议之前，对智能合约的审计无疑是一项至关重要的工作。未经审计的协议肯定不够安全，所以Yearn Finance的创始人甚至表示曾故意隐瞒协议经过审计的事实以降低对项目的期望。

2018年初，团队构建了一套协议版本，并将内容发布到了测试网上。但当时的bZX对金融领域的安全审计并不了解。之后，便联系到了ZK Labs。bZX团队认为ZK Labs非常有名，其创始人Matthew DiFerrante也与以太坊基金会往来密切，并在基金会中担任过安全工程师，是值得信赖的。

“现在我才知道，甚至Matthew在安全审计行业的名声很差。同行们都认为他们不够专业。他看起来很聪明，但处理实际工作的能力并不太行。”

bZX的审计工作由Matthew DiFerrante独立完成，并收取了约50000美元的费用。

“对于我们这样一家小公司来说，这绝对是一笔巨款了，但我们仍然尽了最大努力筹集资金。但这50000美元花得是在很糟心。当年3月初左右，我们已经准备好了所有材料，但直到接近9月，审计工作才在争吵与扯皮当中磕磕绊绊地完成。”

奇斯特纳表示，他们在审计报告中甚至发现了错别字，某处是Chainlink的名字而非bZX。团队也心生疑惑：你这审计用了多长时间？到底是真做了审计还是在骗我们？

但审计公司还是提出了一些重要的建议，并发现了其中有一项严重bug。“不能说他们什么都没做，只是最终出炉的审计结果还不够有说服力。“

奇斯特纳补充称，虽然OpenZeppelin、Traikl of Bits等其他安全公司更权威，但开价更高，大约在20万美元左右，bZX实在承受不起。

BZX的第三次黑客攻击发生在Certik与PeckShield的两轮重大审计之后。

虽然经过审计，但似乎仍有一项细微bug遗留在了网络当中。奇斯特纳表示同样的情况也发生在Aave、Compound等平台上，它们也在接受广泛审计之后也被发现存在安全漏洞。

奇斯特纳认为审计本身没有问题，如果不加审计，上线后的问题只会更多。但不要指望依靠两到三轮审计就能发现每一项bug。这也正是Bug赏金项目的诉求——在对代码进行公开审计时，可以吸引到更多人的关注，发现更多实际问题。

经历了一系列事件，bZX对公司内部及其安全审计进行了全面改革。今年9月之后，其总锁定价值开始反弹，目前超过2000万美元。奇斯特纳表示，他们的团队希望把负面消息转化为对安全问题的深刻认知，并真正融入整个协议平台之内。

此外，bZX开始着眼于长远，通过引入行权期限等机制调整了投资政策，旨在阻止短期资本的大量涌入。奇斯特纳表示，黑客事件之后，团队只进行了一轮小规模融资，创始团队没有放弃任何股权或控制权。

延伸阅读：