Платформа децентрализованного финансирования bZX в этом году часто была в центре внимания, но не по правильным причинам. Большинство популярных сегодня платформ DeFi, включая bZX, начали свой путь примерно в 2018 году, когда начался бум предложения монет. В 2019 году DeFi начал набирать обороты, хотя он все еще оставался в некоторой степени игнорируемым сектором отрасли.
По мере продолжения роста начали расти подозрения, что серьезные взломы, типичные для сектора цифровых активов, были запоздалыми. Из-за сложности и новизны этих платформ было разумно предположить, что не все из них устойчивы к ошибкам.
Этот год можно охарактеризовать как свидетельство поговорки: «Когда идет дождь, то льет». К сожалению для bZX, она стала первой крупной платформой DeFi, подвергшейся серьезному взлому в феврале 2020 года. Она также стала второй платформой, которую можно было использовать, поскольку две последовательные атаки парализовали проект и вынудили его упустить большинство бум DeFi.
Связанные с: Сигнализируют ли об окончании DeFi атак на краткосрочные кредиты BZx?
Хотя некоторые другие платформы последовали его примеру, проблемы bZX на этом не закончились: вскоре после перезапуска в сентябре его снова взломали. Хотя это может показаться последним ударом для проекта, соучредитель Кайл Кистнер сохраняет оптимизм в отношении того, что платформа вернется в норму.
«С тех пор, как мы вернули деньги и средства оказались в безопасности, у нас появилась целая кучка заблокированных общих ценностей и огромный объем торгов», – сказал Кистнер в интервью Cointelegraph. «Мы не совсем вернулись туда, где были, но наши торговые объемы действительно стремительно растут».
Кистнер много раз повторял на протяжении интервью, что, несмотря на все эти взломы, платформа никогда окончательно не теряла деньги своих пользователей. Ранним жертвам были возвращены деньги, в то время как сентябрьский хакер был по сути пойман с поличным благодаря аналитике блокчейна и вернул деньги. Как бы то ни было, путь Кистнера и команды bZX в этом году был, мягко говоря, бурным.
Пойманы с напитками
Cointelegraph: Первый взлом bZX произошел 14 февраля, когда команда отсутствовала на конференции ETHDenver. Как вы узнали о нападении?
Кайл Кистнер: Мы были на афтепати, это был счастливый час Keep and Compound. Мы сидим там, говорим с Райаном [Berkun, CEO of Tellor] и он рассказывал мне о том, как он только что вложил немного денег в Fulcrum, он показывал мне процентные ставки. Я заметил, что процентные ставки для ETH были аномально высокими. И я подумал: «О, это действительно странно».
Я разговаривал с томом [bZX’s CEO] об этом, и мне показалось, что в этом есть что-то действительно странное. Позже ночью мы получили сообщение от Льва Ливнева из DappHub, который заметил странную транзакцию, которая, по сути, и вызвала очень высокий интерес к пулу iETH.
И вы знаете, мы были пьяны, поэтому нам нужно было протрезветь. Это был сумасшедший опыт, было 11:30 ночи, мы тусовались с остальными представителями индустрии, и внезапно вы оказались в очень серьезной ситуации. В процессе расследования мы поняли, что нам нужно приостановить работу всей системы.
На самом деле на этой штуке не было кнопки паузы, но мы разработали решение, отключив белый список Oracle. Это сработало, чтобы предотвратить получение большего количества денег.
Затем я позвонил жене и сказал: «Я не знаю, как я смогу встретиться с людьми в этой отрасли, вернуться в ETHDenver, увидеть всех там». На мгновение я подумал, что, может быть, просто соберу чемоданы и поеду домой, но жена отговорила меня от этого. Том просто сидел там, ненадолго в кататоническом состоянии, все это захлестнуло его.
Второй взлом
В конце концов Кистнер и команда перегруппировались. Им удалось поймать удачный момент – протокол не распространил автоматически убыток в размере более 1100 ETH на сумму около 300000 долларов среди всех пользователей платформы. Это дало им возможность полностью вернуть деньги и продолжить бизнес. «Это придало нам морального духа, – сказал Кистнер.
Когда на следующий день команда появилась в ETHDenver, Кистнер сказал, что «люди действительно поздравляли нас. Была большая поддержка, люди говорили: «Мы строители, вы строители, мы все вместе» ».
КТ: А потом случилась вторая атака. Как вы узнали об этом?
К.К .: Мы только что приехали в этот ресторан. Мы были на лыжном курорте в Колорадо, мы помогли его организовать, и нам это очень понравилось. Мы заказали всю эту еду, и Том смотрит в свой телефон – ему нравится просто выполнять различные транзакции в системе, особенно если что-то выглядит странным или странным. Итак, он посмотрел на эту транзакцию, и она выглядела действительно странно, потому что у нее были удаляемые контракты, и у нее был срочный заем, и в основном небольшие суммы запрашивались неоднократно снова и снова.
Итак, мы посмотрели на эту транзакцию и нам потребовалось около двух секунд, чтобы сказать: «Хорошо, кого-то взломали». Это вообще не выглядит правильным. Мы знали, что это касается нашей системы.
Итак, еда прибыла, это была еда на сто долларов для троих. Как только он оказался на столе, я встал и сказал: «Могу я оплатить счет?» и вручил им карточку. Том уже мчался домой, и мы все только что забронировали номер, мы просто начали бегать по снегу, и, знаете, это было семиминутной пробежкой от ресторана до нашего дома.
Мы обслужили наши боевые станции, приостановили работу системы, начали сортировку и диагностику проблемы. […] К тому моменту мы думали, что «мы знаем, как с этим справиться, если будут взяты деньги, это не конец света». К сожалению, поскольку молния ударила дважды, большая часть той доброй воли, которую люди распространяли до нас, была существенно подорвана.
Размышляя о том, что пошло не так
Эти два взлома вынудили команду завершить работу и восстановить протокол. С тех пор уязвимости использовались и в других проектах, но ни в одном из них не было многократных взломов за короткий промежуток времени.
CT: Количество нарушений, от которых страдает bZX, вызывает вопросы о практике проекта. Может быть, это просто неудача, или есть что-то более глубокое?
К.К .: Это не совпадение. Итак, есть две вещи: первая состоит в том, что мы сделали ошибку, и у нас был аудитор безопасности, который не совсем [their job]. Есть одна проблема, которую я пытаюсь решить здесь – в основном есть ряд факторов, которые повлияли на то, почему у нас был Кибер как оракул. [the primary vulnerability resulting in the second hack].
Это была концептуальная уязвимость, которую на самом деле должен был обнаружить аудитор, но мы не должны были ее использовать. У нас было понимание того, что Kyber не является оптимальной, но мы как-то упорно не централизовать оракул. У нас не было Chainlink, которое мы могли просто подключить в то время, поэтому единственным вариантом было централизовать оракул.
Итак, первый взлом был в основном ошибкой на уровне опечатки. Я думаю, это произошло из-за отсутствия надлежащих процессов. […] Мы были небольшой компанией. Мы не были обеспечены целой кучей венчурных денег, как многие другие протоколы кредитования. Теперь мы стали намного крупнее и более зрелой компанией.
Аудиторы – не одно и то же
Аудит смарт-контрактов считается важным шагом перед запуском протокола. Неаудированные протоколы считаются менее безопасными, настолько, что создатель Yearn Finance говорит, что он намеренно подавлял ажиотаж по поводу своего проекта, скрывая тот факт, что протокол был проверен.
CT: Так что же именно произошло с аудитом вашего кода ZK Labs?
К.К .: Я чувствую, что кому-то нужно знать эту историю. Так что мы были новичками и были в некотором роде экологичными для отрасли. Мы только что создали эту первую версию нашего протокола, это было как в начале 2018 года. Мы просто поместили наши материалы в тестовую сеть, но мы действительно не знали аудиторов безопасности в этой области.
Итак, мы поспрашивали и сначала нас направили в Acacia Group. […] Они оценили это и в основном сказали: «Мы здесь не в своей тарелке». Поэтому нам нужно было найти другого аудитора, и в конце концов мы нашли ZK Labs. Мы думали, что ZK Labs пользуется большой репутацией. […] Мэтью ДиФерранте [ZK Labs founder] был связан с Ethereum Foundation, работал там инженером по безопасности.
Чего я не знал, так это того, что за кулисами всем другим аудиторам службы безопасности в космосе не очень нравился Мэтью. Им казалось, что он был очень непрофессионален и плохо справлялся. […] Думаю, он кажется умным парнем, но, похоже, ему было очень трудно справляться с нагрузкой.
Мы получили от них аудит нашего протокола, и было довольно ясно, что на самом деле аудит проводит только Мэтью ДиФерранте. Он взял с нас около 50 000 долларов, что для нас – полностью созданной компании – было огромной суммой денег.
Но мы изо всех сил старались собрать средства и сделать все, что могли – и мы это сделали. Мы собрали пятьдесят тысяч для этой проверки, но казалось, что нас как-то дергают. […] Мы приготовили для него наши вещи примерно в начале марта, но ближе к сентябрю это было сделано – и только после того, как много выдергивали зубы и кричали.
Когда мы посмотрели ревизию, то обнаружили эти опечатки – было место, где было название Chainlink вместо нашего. Он не заменил имена. И мы были похожи, «Сколько времени вы потратили на это? Вы действительно это проверили или ZK Labs обманули нас? »
Это был вопрос в наших головах. Он сделал несколько полезных предложений, он заметил критическую ошибку. Не то чтобы он вообще ничего не делал, но нас не убедила проверка.
Кистнер также добавил, что другие охранные компании, такие как OpenZeppelin или Trail of Bits, обошлись бы компании примерно в 200 000 долларов: «И у нас не было этого. [money]. »
Аудит кода переоценен?
Третий взлом BZX произошел сразу после двух крупных аудитов, проведенных Certik и PeckShield, которые, похоже, позволили незаметной ошибке пройти через свои сети. Платформы, такие как Aave и Compound, также пострадали от запуска. уязвимости– сказал он, несмотря на то, что они были тщательно проверены.
КТ: Вы все еще верите, что аудит увеличивает ценность?
К.К .: Аудиты – это здорово. Если вы посмотрите на Compound, Aave или другие, то в результате аудитов было обнаружено довольно много серьезных уязвимостей. Если бы они не прошли через них, было бы намного больше уязвимостей.
Вы не можете ожидать, что две или три проверки обнаружат каждую ошибку. Люди должны это понимать. Вот для чего нужны награды за ошибки – когда у вас есть публичный аудит кода, есть намного больше глаз.
Серебряная подкладка к этому опыту
После первых инцидентов bZX полностью пересмотрела компанию и ее методы обеспечения безопасности. Его общая заблокированная стоимость восстановилась после сентября, достижение более 20 миллионов долларов. Хотя это далеко от некоторых более крупных протоколов, эта цифра все же примечательна, учитывая бурный год проекта и отсутствие прямых субсидий на включение активов в протокол.
Связанные с: Урожайное земледелие подпитывает шум вокруг DeFi, но основы отстают
Кистнер сказал, что команда «вероятно [negative] публичность для лучшего признания и более широкого использования протокола в целом ». Время также позволило им найти «то, что действительно нравится людям», – добавил он. Команда сосредоточена на долгосрочной перспективе, и ее поворот в области урожайного земледелия включает период перехода прав, который рассматривается как механизм, препятствующий присоединению краткосрочного капитала.
В то же время Кистнер считает, что этот опыт позволил bZX избежать превращения в венчурный проект. «Мы рассматриваем себя скорее как индивидуалист, а как сторонник протокола».
Когда его спросили об инвестициях, которые компания получила с тех пор, он сказал, что «это был очень небольшой раунд» и что они «не отказались от капитала или контроля».
В конце концов, все еще не решено, сможет ли bZX наверстать упущенное. Хаки урона парализует удары, которые могли бы легко привели к смерти проект, но команда упорно и отскакивает назад. История с bZX, как бы она ни развивалась, остается важным предупреждением для других проектов и пользователей DeFi: для создания безопасного продукта требуется гораздо больше, чем просто выплата денег аудиторам.