QCon 演讲火热征集中,快来分享技术实践与洞见! 了解详情
写点什么

公司聚会时项目被攻击,两次审计无果:我们付不起 20 万美元的审计费

  • 2020-10-27
  • 本文字数:2627 字

    阅读完需:约 9 分钟

公司聚会时项目被攻击,两次审计无果:我们付不起20万美元的审计费

该平台前后三次遭遇黑客攻击,直接将项目团队推进无底深渊。


今年,DeFi 平台遭受攻击的情况颇为严重,而 bZX 成为 2020 年 2 月首个遭受重大黑客攻击的主要 DeFi 平台。第二波攻势紧跟其后,直接导致项目瘫痪并在年内 DeFi 市场大繁荣期间错失了大部分机会。


虽然其他一些平台也被先后攻击,但 bZX 的困境还没有真正结束:在今年 9 月重新启动后不久,他们再次遭遇黑客入侵。就目前来看,此轮攻击很可能宣告该项目的彻底死亡。但 bZX 联合创始人凯尔 奇斯特纳(Kyle Kistner)却仍保持乐观。

第一轮攻击时,团队正在参加聚会

第一轮针对 bZX 的攻击发生在 2014 年 2 月,当时 bZX 团队集体去参加了 ETHDenver 大会。


奇斯特纳在现场跟 Ryan(Tellor CEO Ryan Berkun)相谈甚欢。“他告诉我,他刚刚在 Fulcrum 投入了不少钱,而且向我强调投资收益。我注意到当时以太坊的利率高得离谱,所以觉得有点奇怪。”奇斯特纳说道。


奇斯特纳跟 bZX CEO Tom 谈到了自己的疑惑。当天晚上,bZX 收到来自 DappHub 的 Lev Livnev 消息,他注意到一笔奇怪的交易,在 iETH 池上产生了极高的收益。


“之前我们都喝了酒,需要缓一缓。当时是晚上 11:30,我们正跟其他业内人士聚会,突然就出了这么档子事。在进行调查之后,我们意识到必须马上叫停整个系统。”


奇斯特纳透露,项目设计上并没有一键叫停的功能,团队通过禁用预言机白名单设计出一套临时解决方案,防止非法交易影响到更多资金。


之后,奇斯特纳给他妻子打电话说到:“我不知道该怎么面对这些业内人士,我不知道该怎么回到 ETHDenver 会场面对那里的参会者。”同时,他表示:“我想了一会,觉得应该马上收拾行李回家,但妻子劝我打消这个主意。Tom 则是呆呆坐在那里,整件事明显给他造成了严重的打击。”


最终,奇斯特纳决定对团队重新分组,最终损失被锁定在 1100 枚以太币,价值约 30 万美元,而且被篡改的协议并没有把这些资金分配给平台上的所有用户。所以,他们全额退还了资金,并继续开展业务。“损失不大,这让我们又重拾了信心。”


“当团队第二天出现在 ETHDenver 会场时,大家对我们表示了祝贺。他们支持我们的项目,还喊出了‘天下 builder 是一家’的口号。”奇斯特纳说道。

第二轮攻击时,公司正在聚餐团建

bZX 遭受第二轮攻击时,团队正在在科罗拉多的滑雪度假村组织团建。


“大家都很兴奋,我们点了不少好吃的,而 Tom 则一直盯着手机——他习惯了在系统上查看不同的交易,特别是那些看起来不太正常的交易。突然,他又发现了一笔奇怪的交易,其中删除了合约并发放了一笔快速贷款。整个交易过程基本上就是一遍又一遍地调动小额资金。”


之后,团队马上及时跟进,并很快意识到项目又被黑了。“餐点上来之后,我们对着这顿价值 100 美元的食物难以下咽。我起身说道‘可以现在结账吗?’Tom 都等不及想回去了。大家开始在雪地上狂奔,几分钟之后就回到了家中。”奇斯特纳表示。


团队马上归入工作,叫停了系统,开始分类诊断问题。“我们知道该如何处理,只要钱还没花掉,就仍然有挽救的余地。但我们就像是被闪电击中了两次,造成的信誉损失已经很难挽回了。”


两轮黑客攻击,迫使 bZX 团队关闭了协议并着手重建。从那时起,其他项目也陆续发现了漏洞,但都没有像 bZX 这样在短时间内连续遭到两次黑客入侵。


奇斯特纳承认,接连被攻击并不是巧合,而是团队确实犯了一些错误。虽然团队里有安全审计师,但工作完成得并不好。


“出于种种因素,我们选择了 Kyber 作为预言机,这也成为引发第二次黑客入侵的主要原因。实际上,审计师已经发现了其中存在的一项漏洞,但我们还是一直在使用。我们意识到 Kyber 并不是最佳选择,但我们固执地拒绝使用集中式预言机。我们本可以及时插入 Chainlink,但却并没有。“奇斯特纳分析道。

请不起权威的审计公司

在启动协议之前,对智能合约的审计无疑是一项至关重要的工作。未经审计的协议肯定不够安全,所以 Yearn Finance 的创始人甚至表示曾故意隐瞒协议经过审计的事实以降低对项目的期望。


2018 年初,团队构建了一套协议版本,并将内容发布到了测试网上。但当时的 bZX 对金融领域的安全审计并不了解。之后,便联系到了 ZK Labs。bZX 团队认为 ZK Labs 非常有名,其创始人 Matthew DiFerrante 也与以太坊基金会往来密切,并在基金会中担任过安全工程师,是值得信赖的。


“现在我才知道,甚至 Matthew 在安全审计行业的名声很差。同行们都认为他们不够专业。他看起来很聪明,但处理实际工作的能力并不太行。”


bZX 的审计工作由 Matthew DiFerrante 独立完成,并收取了约 50000 美元的费用。


“对于我们这样一家小公司来说,这绝对是一笔巨款了,但我们仍然尽了最大努力筹集资金。但这 50000 美元花得是在很糟心。当年 3 月初左右,我们已经准备好了所有材料,但直到接近 9 月,审计工作才在争吵与扯皮当中磕磕绊绊地完成。”


奇斯特纳表示,他们在审计报告中甚至发现了错别字,某处是 Chainlink 的名字而非 bZX。团队也心生疑惑:你这审计用了多长时间?到底是真做了审计还是在骗我们?


但审计公司还是提出了一些重要的建议,并发现了其中有一项严重 bug。“不能说他们什么都没做,只是最终出炉的审计结果还不够有说服力。“


奇斯特纳补充称,虽然 OpenZeppelin、Traikl of Bits 等其他安全公司更权威,但开价更高,大约在 20 万美元左右,bZX 实在承受不起。

两次审计后仍被攻击

BZX 的第三次黑客攻击发生在 Certik 与 PeckShield 的两轮重大审计之后。


虽然经过审计,但似乎仍有一项细微 bug 遗留在了网络当中。奇斯特纳表示同样的情况也发生在 Aave、Compound 等平台上,它们也在接受广泛审计之后也被发现存在安全漏洞。


奇斯特纳认为审计本身没有问题,如果不加审计,上线后的问题只会更多。但不要指望依靠两到三轮审计就能发现每一项 bug。这也正是 Bug 赏金项目的诉求——在对代码进行公开审计时,可以吸引到更多人的关注,发现更多实际问题。


经历了一系列事件,bZX 对公司内部及其安全审计进行了全面改革。今年 9 月之后,其总锁定价值开始反弹,目前超过 2000 万美元。奇斯特纳表示,他们的团队希望把负面消息转化为对安全问题的深刻认知,并真正融入整个协议平台之内。


此外,bZX 开始着眼于长远,通过引入行权期限等机制调整了投资政策,旨在阻止短期资本的大量涌入。奇斯特纳表示,黑客事件之后,团队只进行了一轮小规模融资,创始团队没有放弃任何股权或控制权。


延伸阅读:


https://cointelegraph.com/news/the-unluckiest-defi-protocol-a-personal-take-on-bzx-s-tumultuous-year


2020-10-27 13:552272

评论

发布
暂无评论
发现更多内容

自动驾驶 Lidar 激光雷达 易筋 ARTS 打卡 Week 73

John(易筋)

ARTS 打卡计划

免费Android高级工程师学习资源,苦熬一个月

android 程序员 移动开发

Docker环境搭建和使用

飞鸟

Docker

Leetcode 题目解析:70. 爬楼梯

程序员架构进阶

LeetCode 动态规划 算法题 10月月更

作为一个程序员你觉得最大的悲哀是什么,安卓音视频开发

android 程序员 移动开发

Java8 Lambda表达式与Stream

风翱

Lambda 10月月更

linux之xargs使用技巧

入门小站

Linux

做了3年Android还没看过OkHttp源码,学Android看这就完事了

android 程序员 移动开发

这部分布式事务开山之作,凭啥第一天预售就拿下当当新书榜No.1?

冰河

数据库 分布式 分布式事务 微服务 数据一致性

含爱奇艺,小米,腾讯,阿里,享学课堂怎么样

android 程序员 移动开发

紧张的336小时53分钟21秒,我等来了字节跳动offer(Java岗)

Java 编程 程序员 架构 面试

谈一谈使用Python入门量化投资

Regan Yue

量化交易 10月月更

三国与AI,交汇在中原

脑极体

区块链是否正在慢慢演变为中心化的数据库?我们又该如何预防数据中心化?

CECBC

你还在把Java当成Android官方开发语言吗,字节跳动算法工程师总结

android 程序员 移动开发

华为云数据库内核专家为您揭秘MySQL Volcano模型迭代器性能提升千倍的秘密

华为云数据库小助手

GaussDB 华为云数据库 GaussDB(for MySQL)

架构设计-电商微服务拆分

小智

架构训练营

中软国际用一场自我进化,推动云市场跨入下一幕

脑极体

【Quarkus技术系列】「云原生架构体系」在云原生时代下的Java“拯救者”是Quarkus,那云原生是什么呢?

洛神灬殇

云原生 Quarkus 10月月更

央行数字货币已落地,来的太快,机遇在哪?

CECBC

分享Android资深架构师的成长之路,系列篇

android 程序员 移动开发

刚从阿里、头条面试回来,动脑学院课程值得买吗

android 程序员 移动开发

对话凡泰极客联合创始人杨涛: 小程序生态市场潜力广阔

FinClip

小程序 金融科技 移动开发

聊聊产品的使用场景

石云升

场景应用 职场经验 10月月更

什么是aPaaS?低代码与高生产率的aPaaS和RAD相比如何?

优秀

低代码 aPaaS RAD

023云原生之Kubernetes的存储

穿过生命散发芬芳

云原生 10月月更

区块链与数字化转型携手并进

CECBC

REST API 设计:过滤、排序和分页

devpoint

REST API 10月月更

模块一学习笔记、总结

吴霏

架构实战营 「架构实战营」

作为程序员一定不要仅仅追求物质,做了6年Android开发

android 程序员 移动开发

史上超级详细:扔物线学堂

android 程序员 移动开发

公司聚会时项目被攻击,两次审计无果:我们付不起20万美元的审计费_区块链_ANDREY SHEVCHENKO_InfoQ精选文章