Merkezi olmayan finans platformu bZX, sadece doğru nedenlerle değil, bu yıl sık sık gündemdeydi. Bugün bZX de dahil olmak üzere popüler olan çoğu DeFi platformu yolculuğuna 2018 civarında, ilk madeni para sunan patlamanın son noktasında başladı. 2019’da DeFi, sektörün biraz göz ardı edilen bir sektörü olmasına rağmen, ilgi görmeye başladı..
Büyüme devam ettikçe, dijital varlık sektörüne özgü büyük saldırıların gecikmiş olduğuna dair şüpheler artmaya başladı. Bu platformların karmaşıklığı ve yeniliği nedeniyle, hepsinin böceklere karşı dayanıklı olmadığını varsaymak mantıklıydı..
Bu yıl, “Yağmur yağdığında yağar” sözünün bir kanıtı olarak nitelendirilebilir. Ne yazık ki bZX için, Şubat 2020’de büyük bir saldırıya uğrayan ilk büyük DeFi platformu oldu. Arka arkaya yapılan iki saldırı projeyi sakat bıraktığı ve projeyi kaçırmaya zorladığı için sömürülen ikinci platform oldu. DeFi patlamasının çoğunluğu.
İlişkili: BZx Anlık Kredi Saldırıları DeFi’nin Sonunu Gösteriyor mu??
Diğer bazı platformlar aynı şeyi takip ederken, bZX’in sıkıntıları tam anlamıyla sona ermemişti: Eylül ayında yeniden başlatılmasından kısa bir süre sonra, bir kez daha saldırıya uğradı. Proje için son darbe gibi görünse de kurucu ortak Kyle Kistner, platformun geri döneceği konusunda iyimser..
Kistner, Cointelegraph ile yaptığı röportajda “Parayı geri aldığımızdan ve fonlar güvende olduğundan beri, bir sürü toplam değerimiz kilitlendi ve muazzam miktarda işlem hacmimiz var” dedi. “Bulunduğumuz yere tam olarak geri dönemedik, ancak ticaret hacimlerimiz gerçekten patlama yaşıyor.”
Kistner, röportaj boyunca birçok kez, tüm bu saldırılara rağmen, platformun kullanıcılarının parasını asla kesin olarak kaybetmediğini yineledi. Erken kurbanlara para iadesi yapılırken, Eylül hacker’ı blok zinciri analizleri yoluyla suçüstü yakalandı ve parayı iade etti. Öyle olsa bile, Kistner ve bZX ekibinin bu yılki yolculuğu en hafif tabirle çalkantılıydı.
İçkileriyle yakalandılar
Cointelegraph: İlk bZX hacklemesi 14 Şubat’ta ekip ETHDenver konferansındayken gerçekleşti. Saldırıyı nasıl öğrendin?
Kyle Kistner: Biz bu partideydik, Keep ve Compound mutlu saatiydi. Orada oturuyoruz, Ryan [Berkun, Tellor’un CEO’su] ile konuşuyoruz ve bana Fulcrum’da nasıl biraz para yatırdığını anlatıyordu, bana faiz oranlarını gösteriyordu. ETH faiz oranlarının anormal derecede yüksek olduğunu fark ettim. Ben de “Oh, bu gerçekten tuhaf” dedim.
Tom [bZX’in CEO’su] ile bunun hakkında konuştum ve bu konuda bir şeylerin gerçekten tuhaf olduğunu hissettim. Gecenin ilerleyen saatlerinde DappHub’dan Lev Livnev’den garip bir işlem fark eden ve temelde iETH havuzuna bu kadar yüksek ilgiyi yaratan bir mesaj aldık..
Ve biliyorsun, içiyorduk ve bu yüzden ayılmamız gerekiyordu. Bu çılgın bir deneyimdi, gece saat 11: 30’du, sektörün geri kalanıyla parti yapıyorduk ve bir anda bu çok ciddi durumun içine giriyorsunuz. Araştırırken, tüm sistemi duraklatmamız gerektiğini fark ettik..
Bu şey üzerinde gerçekten bir duraklatma düğmesi tasarlanmamıştı, ancak oracle beyaz listesini devre dışı bırakarak bir çözümü birlikte hackledik. Bu, daha fazla para alınmasını önlemek için çalıştı.
Sonra karımı aradım, “Sektördeki insanlarla nasıl yüzleşeceğimi bilmiyorum, ETHDenver’a geri dönün, oradaki herkesi görün.” Diyorum. Bir an için çantalarımı toplayıp eve gideceğimi düşündüm ama karım beni bundan vazgeçirdi. Tom orada oturmuş, bir süre katatonikti, her şey onu yıkıyordu..
İkinci hack
Sonunda Kistner ve ekip yeniden bir araya geldi. Şanslı bir mola yakalamayı başardılar – protokol, yaklaşık 300.000 $ değerinde 1.100’den fazla ETH kaybını tüm platform kullanıcıları arasında otomatik olarak yaymadı. Bu onlara parayı tamamen iade etme şansı verdi ve işin devam etmesine izin verdi. “Bu bize çok moral verdi,” dedi Kistner.
Ekip ertesi gün ETHDenver’e geldiğinde, Kistner “insanlar bizi gerçekten tebrik ediyorlardı. Çok fazla destek vardı, insanlar “Biz inşaatçıyız, siz inşaatçısınız, hepimiz bu işin içindeyiz” diyordu. “
CT: Sonra ikinci saldırı oldu. Bunu nasıl öğrendin?
KK: Bu restorana yeni gelmiştik. Colorado’daki kayak merkezindeydik, organize edilmesine yardımcı olduk ve bu konuda gerçekten heyecanlandık. Tüm bu yiyecekleri sipariş ettik ve Tom telefonuna bakıyor – sistemdeki farklı işlemlerden geçmeyi seviyor, özellikle de herhangi bir şey tuhaf veya tuhaf görünüyorsa. Bu yüzden bu işleme baktı ve gerçekten tuhaf görünüyordu çünkü sözleşmeleri siliniyordu ve hızlı bir kredisi vardı ve temelde küçük miktarlarda defalarca aranıyordu..
Bu yüzden bu işleme baktık ve “Tamam, birisi saldırıya uğradı” dememiz yaklaşık iki saniye sürdü. Bu hiç doğru görünmüyor. Sistemimizi içerdiğini biliyorduk.
Böylece yiyecek geldi, üç kişi için yüz dolarlık yiyecek gibiydi. Masaya geldiği an kalktım ve “Hesabı ödeyebilir miyim?” Dedim. ve onlara kartı uzattı. Tom çoktan eve koşuyordu ve biz sadece rezervasyon yaptırdık, hepimiz karda koşmaya başladık ve bilirsiniz, restorandan bizim evimize yedi dakikalık bir yürüyüş oldu..
Savaş istasyonlarımızda görev aldık, sistemi durdurduk, önceliklendirmeye ve sorunu teşhis etmeye başladık. […] O noktaya kadar ‘bununla nasıl başa çıkacağımızı biliyoruz, eğer bir miktar para alınırsa bu dünyanın sonu değil.’ Maalesef, yıldırım iki kez düştüğü için, insanların yaydığı iyi niyetin çoğu daha önce büyük ölçüde aşınmıştık.
Neyin yanlış gittiğini düşünmek
İki saldırı, ekibi protokolü kapatmaya ve yeniden oluşturmaya zorladı. O zamandan beri, diğer projeler de güvenlik açıklarından yararlanıldığını gördü, ancak hiçbiri kısa bir süre içinde birden fazla saldırı gerçekleşmedi.
CT: bZX’in uğradığı ihlallerin sayısı, projenin uygulamaları hakkında soruları gündeme getiriyor. Kötü şans olabilir mi yoksa oyunda daha derin bir şeyler mi var?
KK: Bu bir tesadüf değil. Yani iki şey var: Birincisi, bir hata yaptık ve [işini] tamamen yapmayan bir güvenlik denetçimiz vardı. Burada anlamaya çalıştığım bir sorun var – temelde neden Kyber’ı kehanet olarak gördüğümüzü açıklayan birkaç faktör var [ikinci saldırı ile sonuçlanan birincil güvenlik açığı].
Gerçekten bir denetçinin yakalamış olması gereken kavramsal bir güvenlik açığıydı, ancak onu kullanmamalıydık. Kyber’in optimal olmadığını anladık, ancak inatla kehaneti merkezileştirmeyi reddettik. O sırada bağlayabileceğimiz Chainlink’e sahip değildik, bu yüzden diğer tek seçenek oracle’ı merkezileştirmekti..
Şimdi, ilk hack temelde yazım hatası düzeyinde bir hataydı. Sanırım bunun nedeni uygun süreçlerin olmamasıydı. […] Küçük bir şirkettik. Diğer birçok kredi protokolü gibi, bir sürü girişim parası tarafından desteklenmedik. Şimdi biz çok daha büyük ve çok daha olgun bir şirketiz.
Denetçiler tek ve aynı değildir
Akıllı sözleşmelerin denetlenmesi, protokolün başlamasından önce çok önemli bir adım olarak kabul edilir. Denetlenmemiş protokoller daha az güvenli kabul edilir, öyle ki, Yearn Finance’ın yaratıcısı, protokolün denetlendiği gerçeğini göz ardı ederek projesiyle ilgili heyecanı kasıtlı olarak azalttığını söylüyor.
CT: Kodunuzun ZK Labs tarafından denetlenmesiyle tam olarak ne oldu??
KK: Birilerinin bu hikayeyi bilmesi gerektiğini düşünüyorum. Yani biz yeniydik ve sektöre biraz daha yakındık. Bu sürümü protokolümüzden bir tanesini henüz oluşturmuştuk, 2018’in başlangıcı gibiydi. Öğelerimizi test ağına koyduk, ancak alandaki güvenlik denetçilerini gerçekten tanımıyorduk.
Etrafa sorduk ve ilk olarak Acacia Grubu’na yönlendirildik. […] Konuyu incelediler ve temelde “Burada derinliğimizin dışındayız” dediler. Bu yüzden farklı bir denetçi bulmamız gerekiyordu ve sonunda ZK Labs’ı bulduk. ZK Labs’ın çok saygın olduğunu düşündük. […] Matthew DiFerrante [ZK Labs kurucusu] Ethereum Vakfı ile ilişkiliydi, orada güvenlik mühendisi olarak çalışmıştı.
Şimdi, bilmediğim şey, perde arkasında, alandaki diğer tüm güvenlik denetçilerinin Matthew’dan pek hoşlanmadığıdır. Onun çok profesyonelce olmadığını ve iyi bir iş yapmadığını hissettiler. […] Zeki bir adama benziyor sanırım, ama iş yüküyle başa çıkmakta çok güçlük çekiyor gibi görünüyordu.
Protokolümüzü onlar tarafından denetledik ve denetlemeyi aslında sadece Matthew DiFerrante’nin yaptığı oldukça açıktı. Bizden yaklaşık 50.000 $ talep etti, bu bizim için – tamamen önyüklemeli bir şirket – çok büyük miktarda para gibiydi..
Ancak fon toplamak ve elimizden geleni yapmak için elimizden geleni yaptık ve yaptık. Bu denetim için elli bin topladık, ama bir şekilde etrafta sarsılıyormuşuz gibi hissettim. […] Eşyalarımızı Mart ayı başında hazırlamıştık, ancak Eylül ayına yaklaştı ve ancak çok sayıda diş çekip bağırdıktan sonra.
Denetime baktığımızda, bu yazım hatalarını bulduk – bizimki yerine Chainlink’in adının olduğu bir yer vardı. İsimleri değiştirmedi. Ve biz gibiydik, Bunu denetlemek için ne kadar zaman harcadın? Bunu gerçekten denetlediniz mi yoksa ZK Labs tarafından dolandırıldık mı? “
Kafamızdaki soru buydu. Yardımcı olabilecek bazı önerilerde bulundu, kritik bir hata olduğunu fark etti. Hiç bir şey yapmamış gibi görünmüyordu ama biz denetimden hiç ikna olmadık..
Kistner ayrıca OpenZeppelin veya Trail of Bits gibi diğer güvenlik şirketlerinin şirkete yaklaşık 200.000 $ ‘a mal olacağını da sözlerine ekledi, “Ve bizde bu [paraya] sahip değildik.”
Kod denetimleri abartılıyor mu??
BZX’in üçüncü saldırısı, Certik ve PeckShield tarafından ağlarından ince bir hatanın geçmesine izin vermiş gibi görünen iki büyük denetimin hemen ardından geldi. Aave ve Compound gibi platformlar da lansman sırasında zarar gördü güvenlik açıkları, kapsamlı bir şekilde denetlenmiş olmalarına rağmen.
CT: Hala denetimlerin değer kattığına inanıyor musunuz??
KK: Denetimler harika. Compound, Aave veya diğerlerine bakarsanız, denetimler sonucunda bulunan epeyce ciddi güvenlik açığı vardır. Bunlardan geçmedilerse, çok daha fazla güvenlik açığı olurdu.
İki veya üç denetimin her bir hatayı bulmasını bekleyemezsiniz. İnsanların bunu anlaması gerekiyor. Hata ödülleri bunun içindir – kodu herkese açık olarak denetlettiğinizde, çok daha fazla göz vardır.
Bu deneyimlerin gümüş astarı
İlk olayların ardından bZX şirketi ve güvenlik uygulamalarını elden geçirdi. Toplam değeri Eylül ayından sonra kilitlendi, ulaşma 20 milyon dolardan fazla. Bu, bazı büyük protokollerden çok uzak olsa da, projenin çalkantılı yılı ve varlıkları protokole koymak için doğrudan sübvansiyon eksikliği göz önüne alındığında rakam hala dikkate değer..
İlişkili: Verimli Tarım, DeFi Etrafındaki Vızıltıyı Yakıyor, Ancak Temel İlkeler Gecikiyor
Kistner, ekibin “muhtemelen [olumsuz] tanıtımı, protokolün daha iyi tanınması ve daha fazla kullanılması için kullandığını” söyledi. Zaman, onların “insanların gerçekten sevdiği bir şey” bulmalarına da izin verdi. Ekip, uzun vadeli bir perspektife odaklanıyor ve verim çiftçiliğine olan büküm, kısa vadeli sermayenin katılımını engelleyen bir mekanizma olarak görülen bir hak kazanma dönemini içeriyor..
Aynı zamanda Kistner, bu deneyimin bZX’in girişim odaklı bir proje olmaktan kaçınmasına izin verdiğine inanıyor. “Kendimizi daha çok başına buyruk, daha çok yabancı bir protokol türü olarak görüyoruz.”
O zamandan beri şirketin aldığı yatırımlar sorulduğunda, “çok küçük bir turdu” ve “herhangi bir öz sermaye veya kontrolden vazgeçmediler” dedi.
Sonunda, jüri bZX’in kayıp zemini yakalayıp yakalayamayacağı konusunda hala kararsız. Hack’ler, projenin kolayca ölümüyle sonuçlanabilecek sakatlayıcı darbeler verdi, ancak ekip sebat etti ve geri dönüyor. BZX hikayesi, her ne kadar gelişirse gelişsin, diğer projeler ve DeFi kullanıcıları için önemli bir uyarı olmaya devam ediyor: Sadece denetçilere para ödemenin ötesinde güvenli bir ürün yaratmada daha çok şey var..