แพลตฟอร์มการเงินแบบกระจายอำนาจ bZX ได้รับความสนใจบ่อยครั้งในปีนี้ไม่ใช่ด้วยเหตุผลที่ถูกต้องเท่านั้น แพลตฟอร์ม DeFi ส่วนใหญ่ที่ได้รับความนิยมในปัจจุบันรวมถึง bZX เริ่มต้นการเดินทางในปีพ. ศ. 2561 ที่ส่วนท้ายของการเติบโตของการเสนอขายเหรียญเริ่มต้น ในปี 2019 DeFi เริ่มได้รับความสนใจแม้ว่าจะยังคงเป็นภาคอุตสาหกรรมที่ถูกละเลยไปบ้าง.
ในขณะที่การเติบโตยังคงดำเนินต่อไปความสงสัยก็เริ่มเพิ่มขึ้นว่าการแฮ็กรายใหญ่ซึ่งเป็นปกติของภาคสินทรัพย์ดิจิทัลนั้นเกินกำหนด เนื่องจากความซับซ้อนและความแปลกใหม่ของแพลตฟอร์มเหล่านี้จึงมีเหตุผลที่จะสันนิษฐานว่าไม่ใช่ทั้งหมดที่ไม่สามารถเข้าถึงข้อบกพร่องได้.
ปีนี้มีลักษณะเป็นเครื่องพิสูจน์คำพูดที่ว่า“ เมื่อฝนตกก็จะเท” น่าเสียดายสำหรับ bZX มันกลายเป็นแพลตฟอร์ม DeFi รายใหญ่รายแรกที่ประสบปัญหาการแฮ็กครั้งใหญ่ในเดือนกุมภาพันธ์ปี 2020 และยังกลายเป็นแพลตฟอร์มที่สองที่ถูกใช้ประโยชน์เนื่องจากการโจมตีแบบแบ็คเอนด์สองครั้งทำให้โปรเจ็กต์พิการและบังคับให้พลาด บูม DeFi ส่วนใหญ่.
ที่เกี่ยวข้อง: การโจมตีเงินกู้แฟลช BZx เป็นการส่งสัญญาณการสิ้นสุดของ DeFi หรือไม่?
ในขณะที่แพลตฟอร์มอื่น ๆ บางส่วนทำตามอย่างเหมาะสม แต่ความทุกข์ยากของ bZX ยังไม่จบลงอย่างแท้จริงหลังจากเปิดตัวใหม่ในเดือนกันยายนไม่นานมันก็ถูกแฮ็กอีกครั้ง แม้ว่าดูเหมือนว่าจะเป็นการระเบิดครั้งสุดท้ายของโครงการ แต่ Kyle Kistner ผู้ร่วมก่อตั้งยังคงมองโลกในแง่ดีว่าแพลตฟอร์มจะเด้งกลับ.
“ นับตั้งแต่เราได้เงินคืนและเงินทุนก็ปลอดภัยเรามีมูลค่ารวมที่ล็อคไว้มากขึ้นและปริมาณการซื้อขายจำนวนมาก” Kistner กล่าวในการให้สัมภาษณ์กับ Cointelegraph “ เราไม่ได้ย้อนกลับไปในจุดที่เราเคยอยู่มากนัก แต่ปริมาณการซื้อขายของเราเพิ่มขึ้นอย่างมาก”
Kistner ย้ำหลายครั้งตลอดการสัมภาษณ์ว่าแม้จะมีการแฮ็กทั้งหมดนี้แพลตฟอร์มก็ไม่เคยสูญเสียเงินของผู้ใช้อย่างแน่นอน เหยื่อรายแรกได้รับเงินคืนในขณะที่แฮ็กเกอร์ในเดือนกันยายนถูกจับได้คาหนังคาเขาผ่านการวิเคราะห์บล็อกเชนและคืนเงินให้ อาจเป็นไปได้ว่า Kistner และการเดินทางของทีม bZX ในปีนี้มีความสับสนอลหม่าน.
ติดกับเครื่องดื่มของพวกเขา
Cointelegraph: การแฮ็ก bZX ครั้งแรกเกิดขึ้นเมื่อวันที่ 14 กุมภาพันธ์ขณะที่ทีมไม่อยู่ในการประชุม ETHDenver คุณเรียนรู้การโจมตีได้อย่างไร?
Kyle Kistner: พวกเราอยู่ในงานปาร์ตี้หลังเลิกงานนี้มันเป็นชั่วโมงแห่งความสุขของ Keep and Compound เรากำลังนั่งอยู่ที่นั่นเรากำลังคุยกับ Ryan [Berkun ซีอีโอของ Tellor] และเขากำลังบอกฉันเกี่ยวกับวิธีที่เขาใส่เงินใน Fulcrum เขากำลังแสดงอัตราดอกเบี้ยให้ฉันดู. ฉันสังเกตเห็นว่าอัตราดอกเบี้ยของ ETH สูงผิดปกติ. และฉันก็ชอบ“ โอ้มันแปลกจริงๆ”
ฉันได้คุยกับ Tom [bZX’s CEO] เกี่ยวกับเรื่องนี้และฉันรู้สึกว่ามีบางอย่างแปลก ๆ เกี่ยวกับเรื่องนี้ ต่อมาในคืนนั้นเราได้รับข้อความจาก Lev Livnev จาก DappHub ซึ่งสังเกตเห็นธุรกรรมแปลก ๆ ซึ่งโดยพื้นฐานแล้วสิ่งที่สร้างความสนใจให้กับ iETH pool นี้เป็นอย่างมาก.
และคุณรู้ไหมว่าเราดื่มกันมาเรื่อย ๆ เราจึงต้องมีสติ มันเป็นประสบการณ์ที่บ้าคลั่งนี้มันเป็นเวลา 11:30 น. ในตอนกลางคืนเรากำลังปาร์ตี้กับคนอื่น ๆ ในอุตสาหกรรมและทันใดนั้นคุณก็ตกอยู่ในสถานการณ์ที่ร้ายแรงนี้ ในขณะที่เรากำลังตรวจสอบเราตระหนักว่าเราจำเป็นต้องหยุดระบบทั้งหมดชั่วคราว.
ไม่มีปุ่มหยุดชั่วคราวที่ออกแบบมาสำหรับสิ่งนี้ แต่เราได้แฮ็ควิธีแก้ปัญหาร่วมกันโดยการปิดใช้งานรายการที่อนุญาตของ oracle วิธีนี้ได้ผลเพื่อป้องกันไม่ให้มีการใช้เงินมากขึ้น.
จากนั้นฉันก็โทรหาภรรยาของฉันฉันพูดว่า“ ฉันไม่รู้ว่าฉันจะเผชิญหน้ากับคนในวงการได้อย่างไรกลับไปที่ ETHDenver ดูทุกคนที่นั่น” ฉันคิดอยู่ครู่หนึ่งว่าบางทีฉันอาจจะแพ็คกระเป๋ากลับบ้าน แต่ภรรยาของฉันกลับไม่พูดอะไร ทอมแค่นั่งอยู่ตรงนั้นไม่พูดไม่จาสักหน่อยเรื่องทั้งหมดก็ล้างเขา.
แฮ็คที่สอง
ในที่สุด Kistner และทีมก็รวมกลุ่มกันใหม่ พวกเขาสามารถจับโชคได้ – โปรโตคอลไม่ได้กระจายการสูญเสียมากกว่า 1,100 ETH โดยอัตโนมัติซึ่งมีมูลค่าประมาณ $ 300,000 ในผู้ใช้แพลตฟอร์มทั้งหมด สิ่งนี้ทำให้พวกเขามีโอกาสคืนเงินอย่างเต็มที่และทำให้ธุรกิจดำเนินต่อไปได้ “ นั่นทำให้เรามีขวัญกำลังใจมาก” Kistner กล่าว.
เมื่อทีมปรากฏตัวที่ ETHDenver ในวันรุ่งขึ้น Kistner กล่าวว่า“ ผู้คนแสดงความยินดีกับเราจริงๆ มีการสนับสนุนมากมายหลายคนพูดว่า “เราคือผู้สร้างคุณคือผู้สร้างเราทุกคนอยู่ด้วยกัน” “
CT: แล้วการโจมตีครั้งที่สองก็เกิดขึ้น คุณรู้ได้อย่างไร?
KK: เราเพิ่งมาถึงร้านอาหารนี้ เราขึ้นที่ลานสกีในโคโลราโดเราช่วยกันจัดระเบียบและตื่นเต้นกับมันมาก เราสั่งอาหารทั้งหมดนี้และทอมกำลังดูโทรศัพท์ของเขา – เขาชอบทำธุรกรรมต่าง ๆ ที่อยู่ในระบบโดยเฉพาะอย่างยิ่งถ้ามีอะไรดูแปลก ๆ หรือแปลก ๆ ดังนั้นเขาจึงมองไปที่ธุรกรรมนี้และมันดูแปลกมากเพราะมีการลบสัญญาและมีเงินกู้แฟลชและโดยทั่วไปมีการเรียกจำนวนเล็กน้อยซ้ำแล้วซ้ำอีก.
เราจึงมองไปที่ธุรกรรมนั้นและ เราใช้เวลาประมาณสองวินาทีกว่าจะเป็นแบบ “ตกลงมีคนโดนแฮ็ก” นี่ดูไม่ถูกเลย เรารู้ว่ามันเกี่ยวข้องกับระบบของเรา.
ดังนั้นอาหารที่มาถึงมันก็เหมือนกับอาหารหนึ่งร้อยเหรียญสำหรับสามคน เมื่อมันมาถึงโต๊ะฉันก็ลุกขึ้นและพูดว่า“ ฉันจ่ายบิลได้ไหม” และส่งการ์ดให้ ทอมกำลังวิ่งกลับบ้านแล้วและเราก็จองไว้ทั้งหมดเราเพิ่งเริ่มวิ่งฝ่าหิมะและคุณรู้ไหมว่าการวิ่งเหยาะๆจากร้านอาหารไปยังสถานที่ของเราใช้เวลาเจ็ดนาที.
เราจัดการสถานีรบของเราหยุดระบบชั่วคราวเริ่มตรวจสอบและวินิจฉัยปัญหา [… ] เมื่อถึงจุดนั้นเราก็เหมือนกับว่า ‘เรารู้วิธีจัดการกับสิ่งนี้ถ้ามีเงินติดตัวไปก็ไม่ใช่จุดจบของโลก’ น่าเสียดายที่ฟ้าผ่าลงมาสองครั้งความปรารถนาดีมากมายที่ผู้คนแผ่ขยายออกไป ก่อนหน้านี้เราถูกกัดเซาะไปมาก.
สะท้อนสิ่งที่ผิดพลาด
การแฮ็กทั้งสองทำให้ทีมต้องปิดและสร้างโปรโตคอลใหม่ ตั้งแต่นั้นเป็นต้นมาโครงการอื่น ๆ ก็เห็นช่องโหว่ที่ถูกใช้ประโยชน์เช่นกัน แต่ไม่มีการแฮ็กหลายครั้งในช่วงเวลาสั้น ๆ.
CT: จำนวนการละเมิดที่เกิดจาก bZX ทำให้เกิดคำถามเกี่ยวกับแนวทางปฏิบัติของโครงการ มันอาจจะเป็นโชคร้ายหรือมีอะไรบางอย่างที่ลึกกว่าในการเล่น?
KK: ไม่ใช่เรื่องบังเอิญ ดังนั้นมีสองสิ่ง: หนึ่งคือเราทำผิดพลาดและเรามีผู้ตรวจสอบความปลอดภัยที่ไม่ได้ทำ [งานของพวกเขา] อย่างสมบูรณ์ มีปัญหาหนึ่งที่ฉันพยายามแก้ไขที่นี่โดยพื้นฐานแล้วมีหลายปัจจัยที่ทำให้เรามี Kyber เป็น oracle [ช่องโหว่หลักที่ทำให้เกิดการแฮ็กครั้งที่สอง].
เป็นช่องโหว่ทางความคิดที่ผู้ตรวจสอบควรจับได้ แต่เราไม่ควรใช้มัน. เรามีความเข้าใจว่า Kyber ไม่เหมาะสม แต่เราปฏิเสธที่จะรวมศูนย์พยากรณ์อย่างหัวชนฝา เราไม่มี Chainlink ซึ่งเราสามารถเสียบปลั๊กได้ในเวลานั้นดังนั้นทางเลือกเดียวคือรวม oracle.
ตอนนี้การแฮ็กครั้งแรกโดยพื้นฐานแล้วเป็นบั๊กระดับการพิมพ์ผิด. ฉันคิดว่านี่เป็นเพราะไม่มีกระบวนการที่เหมาะสม [… ] เราเป็น บริษัท เล็ก ๆ เราไม่ได้รับการสนับสนุนจากเงินร่วมลงทุนจำนวนมากเช่นเดียวกับโปรโตคอลการให้กู้ยืมอื่น ๆ ตอนนี้เราเป็น บริษัท ที่ใหญ่ขึ้นและเป็นผู้ใหญ่มากขึ้น.
ผู้ตรวจสอบไม่ได้เป็นหนึ่งเดียวกัน
การตรวจสอบสัญญาอัจฉริยะถือเป็นขั้นตอนสำคัญก่อนการเปิดตัวโปรโตคอล โปรโตคอลที่ไม่ได้รับการตรวจสอบถือว่าปลอดภัยน้อยกว่ามากดังนั้นผู้สร้างของ Yearn Finance กล่าวว่าเขาตั้งใจลดความตื่นเต้นเกี่ยวกับโครงการของเขาโดยการระงับความจริงที่ว่าโปรโตคอลได้รับการตรวจสอบ.
CT: แล้วเกิดอะไรขึ้นกับการตรวจสอบโค้ดของคุณโดย ZK Labs?
KK: ฉันรู้สึกว่าต้องมีใครรู้เรื่องนี้บ้าง ดังนั้นเราจึงเป็นคนใหม่และเราเป็นสีเขียวสำหรับอุตสาหกรรม เราเพิ่งสร้างโปรโตคอลเวอร์ชันนี้ขึ้นมาเหมือนเมื่อต้นปี 2018 เราเพิ่งนำข้อมูลของเราไปไว้ในเทสเน็ต แต่เราไม่รู้จักผู้ตรวจสอบความปลอดภัยในพื้นที่จริงๆ.
ดังนั้นเราจึงถามไปรอบ ๆ และได้รับการอ้างอิงถึงกลุ่ม Acacia เป็นครั้งแรก [… ] พวกเขากำหนดขอบเขตออกมาและโดยพื้นฐานแล้วพวกเขาก็พูดว่า “เรามาจากส่วนลึกของเราที่นี่” ดังนั้นเราจึงต้องหาผู้ตรวจสอบคนอื่นและในที่สุดเราก็พบ ZK Labs เราคิดว่า ZK Labs มีชื่อเสียงมาก [… ] Matthew DiFerrante [ผู้ก่อตั้ง ZK Labs] เกี่ยวข้องกับมูลนิธิ Ethereum เขาเคยทำงานเป็นวิศวกรรักษาความปลอดภัยที่นั่น.
ตอนนี้สิ่งที่ฉันไม่รู้ก็คือเบื้องหลังผู้ตรวจสอบความปลอดภัยคนอื่น ๆ ในอวกาศไม่ชอบ Matthew จริงๆ พวกเขารู้สึกว่าเขาไม่เป็นมืออาชีพมากและทำงานได้ไม่ดี [… ] เขาดูเหมือนเป็นคนฉลาดฉันเดาว่า แต่ดูเหมือนว่าเขาจะมีปัญหาในการรับมือกับภาระงานมาก.
เราได้รับการตรวจสอบโปรโตคอลของเราและเป็นที่ชัดเจนว่ามีเพียง Matthew DiFerrante เท่านั้นที่ทำการตรวจสอบ เขาเรียกเก็บเงินเราประมาณ 50,000 ดอลลาร์ซึ่งสำหรับเราซึ่งเป็น บริษัท ที่เลิกใช้งานแล้วนั้นเป็นเหมือนเงินจำนวนมหาศาล.
แต่เราพยายามอย่างเต็มที่ในการระดมทุนและทำในสิ่งที่ทำได้ – และเราก็ทำได้ เราเพิ่มเงินห้าหมื่นสำหรับการตรวจสอบครั้งนี้ แต่มันรู้สึกเหมือนถูกเหวี่ยงไปมา [… ] เราเตรียมของไว้ให้พร้อมสำหรับเขาประมาณต้นเดือนมีนาคม แต่ใกล้จะถึงเดือนกันยายนแล้วจริงๆ – และหลังจากถอนฟันไปหลายซี่แล้วก็ตะโกน.
เมื่อเราดูการตรวจสอบเราพบข้อผิดพลาดเหล่านี้ – มีที่หนึ่งที่มีชื่อของ Chainlink แทนที่จะเป็นชื่อของเรา เขาไม่ได้แทนที่ชื่อ และเราก็ชอบ, “ คุณใช้เวลาตรวจสอบเรื่องนี้นานแค่ไหน? คุณตรวจสอบสิ่งนี้จริง ๆ หรือว่าเราถูกหลอกลวงโดย ZK Labs?”
นั่นเป็นคำถามในใจของเรา เขาให้คำแนะนำบางอย่างที่เป็นประโยชน์เขาสังเกตเห็นว่ามีข้อบกพร่องที่สำคัญ ไม่ใช่ว่าเขาไม่ได้ทำอะไรเลย แต่เรากลับไม่ได้รับความเชื่อมั่นจากการตรวจสอบเลย.
Kistner กล่าวเพิ่มเติมว่า บริษัท รักษาความปลอดภัยอื่น ๆ เช่น OpenZeppelin หรือ Trail of Bits จะมีค่าใช้จ่าย บริษัท ประมาณ 200,000 ดอลลาร์“ และเราไม่มี [เงิน] ขนาดนั้น”
มีการตรวจสอบโค้ดมากเกินไป?
การแฮ็กครั้งที่สามของ BZX เกิดขึ้นทันทีหลังจากการตรวจสอบครั้งใหญ่สองครั้งโดย Certik และ PeckShield ซึ่งดูเหมือนว่าจะปล่อยให้ข้อบกพร่องเล็กน้อยผ่านตาข่ายของพวกเขา แพลตฟอร์มเช่น Aave และ Compound ยังได้รับผลกระทบจากการเปิดตัว ช่องโหว่, เขากล่าวแม้ว่าพวกเขาจะได้รับการตรวจสอบอย่างกว้างขวาง.
CT: คุณยังเชื่อว่าการตรวจสอบเพิ่มมูลค่า?
KK: การตรวจสอบดีมาก หากคุณดูที่ Compound, Aave หรืออื่น ๆ มีช่องโหว่ร้ายแรงอยู่ไม่น้อยที่พบอันเป็นผลมาจากการตรวจสอบ หากพวกเขาไม่ผ่านมันก็มีช่องโหว่อีกมากมาย.
คุณไม่สามารถคาดหวังการตรวจสอบสองหรือสามครั้งเพื่อค้นหาข้อบกพร่องทุกรายการ. คนต้องเข้าใจว่า นั่นคือสิ่งที่ทำให้เกิดข้อผิดพลาด – เมื่อคุณมีการตรวจสอบโค้ดแบบสาธารณะจะมีอีกมากมาย.
ซับเงินให้กับประสบการณ์เหล่านี้
หลังจากเหตุการณ์เริ่มต้น bZX ได้ยกเครื่อง บริษัท และแนวทางปฏิบัติด้านความปลอดภัย มูลค่ารวมของมันถูกล็อกดีดตัวขึ้นหลังจากเดือนกันยายน, เอื้อม มากกว่า 20 ล้านเหรียญ แม้ว่านี่จะเป็นวิธีที่ห่างไกลจากโปรโตคอลที่ใหญ่กว่าบางส่วน แต่ตัวเลขดังกล่าวยังคงเป็นที่น่าสังเกตเนื่องจากปีที่วุ่นวายของโครงการและการขาดเงินอุดหนุนโดยตรงสำหรับการใส่ทรัพย์สินในโปรโตคอล.
ที่เกี่ยวข้อง: ผลผลิตเชื้อเพลิงในการทำฟาร์ม Buzz รอบ ๆ DeFi แต่ปัจจัยพื้นฐานยังล้าหลัง
คิสต์เนอร์กล่าวว่าทีม“ อาจมองข้ามการประชาสัมพันธ์ [เชิงลบ] ไปสู่การรับรู้ที่ดีขึ้นและการใช้โปรโตคอลโดยรวมมากขึ้น” เวลายังทำให้พวกเขาได้พบกับ“ สิ่งที่ผู้คนชื่นชอบจริงๆ” เขากล่าวเสริม ทีมงานกำลังมุ่งเน้นไปที่มุมมองระยะยาวและการเปลี่ยนแปลงของการทำฟาร์มผลผลิตรวมถึงระยะเวลาการให้สิทธิซึ่งถูกมองว่าเป็นกลไกที่กีดกันเงินทุนระยะสั้นจากการเข้าร่วม.
ในขณะเดียวกัน Kistner เชื่อว่าประสบการณ์ดังกล่าวทำให้ bZX หลีกเลี่ยงไม่ให้กลายเป็นโครงการที่นำโดยผู้ร่วมทุน “ เรามองว่าตัวเองเป็นพวกไม่ฝักใฝ่ฝ่ายใดและเป็นคนนอกโปรโตคอลมากกว่า”
เมื่อถูกถามเกี่ยวกับการลงทุนที่ บริษัท ได้รับตั้งแต่นั้นมาเขาบอกว่า“ มันเป็นรอบที่เล็กมาก” และพวกเขา“ ไม่ยอมทิ้งส่วนของผู้ถือหุ้นหรือการควบคุมใด ๆ ”
ในท้ายที่สุดคณะลูกขุนยังคงไม่แน่ใจว่า bZX สามารถติดตามได้ในพื้นที่ที่หายไปหรือไม่ แฮ็คจัดการกับระเบิดที่ทำให้หมดความสามารถซึ่งอาจส่งผลให้โครงการเสียชีวิตได้อย่างง่ายดาย แต่ทีมงานก็อดทนและตีกลับ อย่างไรก็ตามเรื่องราวของ bZX จะพัฒนาไปเรื่อย ๆ แต่ยังคงเป็นคำเตือนที่สำคัญสำหรับโครงการอื่น ๆ และผู้ใช้ DeFi: ยังมีอีกมากมายที่เกิดขึ้นในการสร้างผลิตภัณฑ์ที่ปลอดภัยนอกเหนือจากการจ่ายเงินให้กับผู้ตรวจสอบ.