Nền tảng tài chính phi tập trung bZX thường xuyên được chú ý trong năm nay, chỉ vì những lý do chính đáng. Hầu hết các nền tảng DeFi phổ biến hiện nay, bao gồm cả bZX, đã bắt đầu hành trình của họ vào khoảng năm 2018, ở giai đoạn cuối của đợt bùng nổ cung cấp tiền xu ban đầu. Vào năm 2019, DeFi bắt đầu đạt được sức hút, mặc dù nó vẫn là một lĩnh vực có phần bị bỏ qua trong ngành.
Khi sự tăng trưởng tiếp tục, những nghi ngờ bắt đầu tăng lên rằng các vụ hack lớn, điển hình của lĩnh vực tài sản kỹ thuật số, đã quá hạn. Do tính phức tạp và tính mới của các nền tảng này, có lý khi cho rằng không phải tất cả chúng đều không có lỗi.
Năm nay có thể được coi là một minh chứng cho câu nói “Khi trời đổ mưa thì trời đổ lửa”. Thật không may cho bZX, nó đã trở thành nền tảng DeFi lớn đầu tiên bị tấn công lớn, vào tháng 2 năm 2020. Nó cũng trở thành nền tảng thứ hai bị khai thác, vì hai cuộc tấn công trở lại đã làm tê liệt dự án và buộc nó phải bỏ lỡ. phần lớn sự bùng nổ DeFi.
Có liên quan: Các cuộc tấn công khoản vay Flash BZx có báo hiệu sự kết thúc của DeFi không?
Mặc dù một số nền tảng khác cũng làm theo, nhưng tai ương của bZX vẫn chưa thực sự kết thúc: ngay sau khi ra mắt lại vào tháng 9, nó đã bị tấn công một lần nữa. Mặc dù có vẻ như đây là đòn cuối cùng cho dự án, nhưng người đồng sáng lập Kyle Kistner vẫn lạc quan rằng nền tảng sẽ phục hồi trở lại.
Kistner cho biết trong một cuộc phỏng vấn với Cointelegraph: “Kể từ khi chúng tôi nhận lại được tiền và các khoản tiền được an toàn, chúng tôi đã bị khóa tổng giá trị nhiều hơn và khối lượng giao dịch khổng lồ. “Chúng tôi chưa hoàn toàn quay trở lại như trước đây, nhưng khối lượng giao dịch của chúng tôi đã thực sự bùng nổ.”
Kistner đã nhắc lại nhiều lần trong suốt cuộc phỏng vấn rằng bất chấp tất cả các vụ hack này, nền tảng này chưa bao giờ làm mất tiền của người dùng một cách rõ ràng. Các nạn nhân đầu tiên đã được hoàn lại tiền, trong khi tin tặc tháng 9 về cơ bản đã bị bắt quả tang thông qua phân tích blockchain và trả lại tiền. Có thể là như vậy, hành trình của Kistner và nhóm bZX trong năm nay rất hỗn loạn, ít nhất phải nói là.
Bắt với đồ uống của họ lên
Cointelegraph: Vụ hack bZX đầu tiên xảy ra vào ngày 14 tháng 2 trong khi nhóm vắng mặt tại hội nghị ETHDenver. Làm thế nào bạn biết được cuộc tấn công?
Kyle Kistner: Chúng tôi đã có mặt tại bữa tiệc sau đó, đó là giờ hạnh phúc của Keep and Compound. Chúng tôi đang ngồi đó, chúng tôi đang nói chuyện với Ryan [Berkun, Giám đốc điều hành của Tellor] và anh ấy nói với tôi về việc anh ấy vừa gửi một số tiền vào Fulcrum như thế nào, anh ấy đang cho tôi biết lãi suất. Tôi nhận thấy rằng lãi suất cho ETH cao bất thường. Và tôi đã nói, “Ồ, điều đó thực sự kỳ lạ.”
Tôi đã nói chuyện với Tom [CEO của bZX] về điều đó và tôi cảm thấy có điều gì đó thực sự kỳ lạ về điều đó. Tối muộn, chúng tôi nhận được tin nhắn từ Lev Livnev từ DappHub, người đã nhận thấy một giao dịch kỳ lạ, về cơ bản là giao dịch đã tạo ra mức lãi rất cao này trên nhóm iETH.
Và bạn biết đấy, chúng tôi đã uống rượu và vì vậy chúng tôi cần phải tỉnh táo. Đó là trải nghiệm điên rồ này, đó là 11:30 đêm, chúng tôi đang tiệc tùng với những người còn lại trong ngành và đột nhiên bạn rơi vào tình huống rất nghiêm trọng này. Khi đang điều tra, chúng tôi nhận ra rằng chúng tôi cần tạm dừng toàn bộ hệ thống.
Không thực sự có nút tạm dừng được thiết kế cho thứ này, nhưng chúng tôi đã cùng nhau tìm ra giải pháp bằng cách vô hiệu hóa danh sách trắng của oracle. Điều này đã ngăn chặn việc lấy thêm tiền.
Sau đó, tôi gọi cho vợ mình, tôi nói “Tôi không biết làm cách nào để có thể đối mặt với những người trong ngành, hãy quay lại ETHDenver, gặp mọi người ở đó.” Tôi nghĩ một lúc rằng có lẽ tôi sẽ thu dọn đồ đạc và về nhà, nhưng vợ tôi đã nói với tôi rằng hãy bỏ qua. Tom chỉ ngồi đó, catatonic một chút, toàn bộ mọi thứ đang rửa sạch anh ấy.
Lần hack thứ hai
Cuối cùng thì Kistner và đội đã tập hợp lại. Họ đã cố gắng nắm bắt được một sự đột phá may mắn – giao thức không tự động lây lan khoản lỗ hơn 1.100 ETH, trị giá khoảng 300.000 đô la, trong số tất cả người dùng nền tảng. Điều này giúp họ có cơ hội trả lại đầy đủ tiền và cho phép công việc kinh doanh tiếp tục. “Điều đó đã cho chúng tôi rất nhiều tinh thần,” Kistner nói.
Khi nhóm xuất hiện tại ETHDenver vào ngày hôm sau, Kistner nói rằng “mọi người thực sự đang chúc mừng chúng tôi. Có rất nhiều sự hỗ trợ, mọi người nói, “Chúng tôi là những người xây dựng, bạn là những người xây dựng, tất cả chúng ta cùng tham gia.”
CT: Và sau đó cuộc tấn công thứ hai đã xảy ra. bạn tìm ra nó bằng cách nào?
KK: Chúng tôi vừa đến nhà hàng này. Chúng tôi đã có mặt tại khóa tu trượt tuyết ở Colorado, chúng tôi đã giúp tổ chức nó và chúng tôi thực sự hào hứng với nó. Chúng tôi đã gọi tất cả món ăn này và Tom đang nhìn vào điện thoại của anh ấy – anh ấy thích chỉ xem qua các giao dịch khác nhau có trên hệ thống, đặc biệt là nếu bất kỳ thứ gì trông kỳ lạ hoặc kỳ lạ. Vì vậy, anh ấy đã xem xét một giao dịch này và nó trông thực sự kỳ lạ bởi vì nó có hợp đồng bị xóa và nó có một khoản vay nhanh và về cơ bản nó có một số tiền nhỏ được gọi đi gọi lại nhiều lần.
Vì vậy, chúng tôi đã xem xét giao dịch đó và chúng tôi mất khoảng hai giây để giống như “Ok, ai đó đã bị tấn công.” Điều này trông không ổn chút nào. Chúng tôi biết nó liên quan đến hệ thống của chúng tôi.
Vì vậy, thức ăn đã đến, nó giống như một trăm đô la thức ăn cho ba người. Vào lúc nó đến trên bàn, tôi đứng dậy và nói, “Tôi có thể thanh toán hóa đơn không?” và đưa thẻ cho họ. Tom đã chạy nước rút về nhà và tất cả chúng tôi đã đặt trước, tất cả chúng tôi chỉ bắt đầu chạy qua tuyết và, bạn biết đấy, từ nhà hàng đến chỗ chúng tôi chỉ mất bảy phút chạy bộ.
Chúng tôi đã điều khiển các trạm chiến đấu của mình, tạm dừng hệ thống, bắt đầu phân tích và chẩn đoán sự cố. […] Đến thời điểm đó, chúng tôi như thể ‘chúng tôi biết cách giải quyết chuyện này, nếu có một số tiền lấy đi thì đó không phải là ngày tận thế.’ Thật không may, vì sét đã đánh hai lần, rất nhiều thiện chí mà mọi người đang mở rộng. chúng tôi trước đây đã bị xói mòn đáng kể.
Suy ngẫm về những gì đã xảy ra
Hai vụ hack đã buộc nhóm phải đóng cửa và xây dựng lại giao thức. Kể từ đó, các dự án khác cũng bị khai thác lỗ hổng bảo mật, nhưng không có dự án nào có nhiều lần hack xảy ra trong một khoảng thời gian ngắn.
CT: Số lượng vi phạm mà bZX phải chịu đặt ra câu hỏi về các hoạt động của dự án. Có thể chỉ là do xui xẻo, hay có điều gì đó sâu xa hơn?
KK: Đó không phải là một sự ngẫu nhiên. Vì vậy, có hai điều: một là chúng tôi đã mắc sai lầm và chúng tôi có một kiểm toán viên bảo mật mà loại này không hoàn toàn làm [công việc của họ]. Có một vấn đề tôi đang cố gắng giải quyết ở đây – về cơ bản có một số yếu tố dẫn đến lý do tại sao chúng tôi coi Kyber như một nhà tiên tri [lỗ hổng chính dẫn đến vụ hack thứ hai].
Đó là một lỗ hổng khái niệm mà một kiểm toán viên thực sự nên mắc phải, nhưng chúng tôi không nên sử dụng nó. Chúng tôi hiểu rằng Kyber không phải là tối ưu, nhưng chúng tôi đã cố chấp từ chối tập trung vào nhà tiên tri. Chúng tôi không có Chainlink mà chúng tôi chỉ có thể cắm vào lúc đó, vì vậy, lựa chọn khác duy nhất là tập trung vào tiên tri.
Bây giờ, vụ hack đầu tiên về cơ bản là lỗi đánh máy. Tôi nghĩ rằng điều này là do không có quy trình phù hợp. […] Chúng tôi là một công ty nhỏ. Chúng tôi không được hỗ trợ bởi cả đống tiền mạo hiểm, giống như nhiều giao thức cho vay khác. Hiện tại, chúng tôi là một công ty lớn hơn và trưởng thành hơn nhiều.
Kiểm toán viên không phải là một và giống nhau
Kiểm tra các hợp đồng thông minh được coi là một bước quan trọng trước khi ra mắt giao thức. Các giao thức chưa được kiểm toán được coi là kém an toàn hơn, đến nỗi người sáng tạo của Yearn Finance cho biết anh ta cố tình làm giảm sự phấn khích về dự án của mình bằng cách giấu giếm thực tế rằng giao thức đã được kiểm toán.
CT: Vậy chính xác thì điều gì đã xảy ra với việc kiểm tra mã của bạn bởi ZK Labs?
KK: Tôi cảm thấy như ai đó cần biết câu chuyện này. Vì vậy, chúng tôi là người mới và chúng tôi là loại xanh đối với ngành. Chúng tôi vừa xây dựng phiên bản này, một trong những giao thức của chúng tôi, giống như đầu năm 2018. Chúng tôi chỉ đưa nội dung của mình lên testnet, nhưng chúng tôi không thực sự biết các kiểm toán viên bảo mật trong không gian.
Vì vậy, chúng tôi đã hỏi xung quanh và đầu tiên được giới thiệu đến Nhóm Acacia. […] Họ đã tìm ra nó và về cơ bản họ nói, “Ở đây chúng ta chưa hiểu rõ về độ sâu của chúng ta.” Vì vậy, chúng tôi cần tìm một chuyên gia đánh giá khác và cuối cùng chúng tôi đã tìm thấy ZK Labs. Chúng tôi nghĩ ZK Labs là siêu uy tín. […] Matthew DiFerrante [người sáng lập ZK Labs] được liên kết với Ethereum Foundation, anh ấy đã làm việc như một kỹ sư bảo mật ở đó.
Bây giờ, điều tôi không biết là đằng sau hậu trường, tất cả các kiểm toán viên an ninh khác trong không gian không thực sự thích Matthew. Họ cảm thấy như anh ấy rất thiếu chuyên nghiệp và không làm tốt công việc của mình. […] Anh ấy có vẻ là một chàng trai thông minh, tôi đoán vậy, nhưng có vẻ như anh ấy đã gặp rất nhiều khó khăn trong việc giải quyết khối lượng công việc.
Chúng tôi đã được họ kiểm tra giao thức của chúng tôi và rõ ràng là thực sự chỉ có Matthew DiFerrante thực hiện việc kiểm tra. Anh ấy đã tính phí cho chúng tôi khoảng 50.000 đô la, đối với chúng tôi – một công ty hoàn toàn thiếu thốn – giống như một khoản tiền khổng lồ, khổng lồ.
Nhưng chúng tôi đã cố gắng hết sức để gây quỹ và làm những gì có thể – và chúng tôi đã làm được. Chúng tôi đã quyên góp được 50.000 cho cuộc kiểm toán này, nhưng có cảm giác như chúng tôi đã bị giật một cách bằng cách nào đó. […] Chúng tôi đã chuẩn bị đồ đạc sẵn sàng cho anh ấy vào khoảng đầu tháng 3, nhưng đến gần tháng 9 thì nó mới thực sự hoàn thành – và chỉ sau rất nhiều lần nhổ răng và la hét.
Khi xem xét kiểm tra, chúng tôi phát hiện ra những lỗi chính tả này – có nơi có tên của Chainlink thay vì tên của chúng tôi. Anh ấy không thay thế tên. Và chúng tôi đã giống như, “Bạn đã dành bao lâu để kiểm tra cái này? Bạn đã thực sự kiểm tra điều này hay chúng tôi đã bị ZK Labs lừa đảo? “
Đó là một loại câu hỏi trong tâm trí chúng tôi. Anh ấy đã đưa ra một số đề xuất hữu ích, anh ấy nhận thấy có một lỗi nghiêm trọng. Không phải là anh ấy không làm gì cả, nhưng chúng tôi không bị thuyết phục bởi cuộc kiểm toán nào cả.
Kistner nói thêm rằng các công ty bảo mật khác như OpenZeppelin hoặc Trail of Bits sẽ tiêu tốn của công ty khoảng 200.000 đô la, “Và chúng tôi không có [số tiền] đó.”
Kiểm tra mã có được đánh giá quá cao không?
Lần hack thứ ba của BZX xảy ra ngay sau hai cuộc kiểm tra lớn của Certik và PeckShield, dường như đã để cho một lỗi nhỏ lọt qua lưới của họ. Các nền tảng như Aave và Compound cũng bị ảnh hưởng khi ra mắt lỗ hổng, ông nói, mặc dù thực tế là chúng đã được kiểm toán rộng rãi.
CT: Bạn có còn tin rằng các cuộc kiểm toán làm tăng thêm giá trị không?
KK: Kiểm toán rất tuyệt vời. Nếu bạn nhìn vào Compound, Aave hoặc những thứ khác, có một số lỗ hổng khá nghiêm trọng được tìm thấy do kết quả của các cuộc kiểm tra. Nếu họ không vượt qua chúng, sẽ chỉ có thêm nhiều lỗ hổng nữa.
Bạn không thể mong đợi hai hoặc ba lần kiểm tra để tìm ra mọi lỗi. Mọi người cần hiểu điều đó. Đó là lý do của tiền thưởng lỗi – khi bạn có mã được kiểm tra công khai, sẽ có thêm rất nhiều con mắt.
Bạc lót cho những trải nghiệm này
Sau những sự cố ban đầu, bZX đã đại tu công ty và các hoạt động bảo mật của nó. Tổng giá trị của nó bị khóa tăng trở lại sau tháng 9, đạt hơn 20 triệu đô la. Mặc dù điều này khác xa so với một số giao thức lớn hơn, nhưng con số này vẫn đáng chú ý do dự án có một năm đầy biến động và thiếu trợ cấp trực tiếp để đưa tài sản vào giao thức.
Có liên quan: Năng suất nông nghiệp nhiên liệu bùng nổ xung quanh DeFi, nhưng các nguyên tắc cơ bản đang bị tụt hậu
Kistner nói rằng nhóm nghiên cứu “có lẽ đã ghép sự công khai [tiêu cực] thành sự công nhận tốt hơn và sử dụng nhiều hơn giao thức nói chung.” Thời gian cũng cho phép họ tìm thấy “thứ mà mọi người thực sự thích,” anh nói thêm. Nhóm đang tập trung vào viễn cảnh dài hạn và bước ngoặt của nó đối với canh tác năng suất bao gồm giai đoạn cạnh tranh, được coi là một cơ chế không khuyến khích nguồn vốn ngắn hạn tham gia.
Đồng thời, Kistner tin rằng kinh nghiệm cho phép bZX tránh trở thành một dự án do mạo hiểm dẫn đầu. “Chúng tôi thấy mình giống như một kẻ lừa đảo, nhiều hơn một loại giao thức bên ngoài.”
Khi được hỏi về các khoản đầu tư mà công ty đã nhận được kể từ đó, ông nói rằng “đó là một vòng rất nhỏ” và họ “không từ bỏ bất kỳ vốn chủ sở hữu hoặc quyền kiểm soát nào.”
Cuối cùng, ban giám khảo vẫn chưa biết liệu bZX có thể bắt kịp với những điểm đã mất hay không. Các vụ hack đã giáng những đòn tê liệt có thể dễ dàng dẫn đến cái chết của dự án, nhưng nhóm vẫn kiên trì và đang phục hồi. Câu chuyện bZX, dù nó có phát triển, vẫn là một lời cảnh báo quan trọng cho các dự án khác và người dùng DeFi: Còn rất nhiều điều nữa trong việc tạo ra một sản phẩm an toàn ngoài việc chỉ trả tiền cho kiểm toán viên.