摘要:DeFi 收益能「套娃」,安全事故出現時也會產生「套娃」反應。 10 月30 日,多鏈部署的去中心化交易應用(DEX) BXH 被盜,損失了價值約1.39 億美元的加密資產,此次安全事故發生在BSC 鏈上的BXH 協議,據該應用官方聲明顯示,以太坊、OEC 鏈、Heco 鏈上的BXH 協議…
DeFi 收益能「套娃」,安全事故出現時也會產生「套娃」反應。
10 月30 日,多鏈部署的去中心化交易應用(DEX) BXH 被盜,損失了價值約1.39 億美元的加密資產,此次安全事故發生在BSC 鏈上的BXH 協議,據該應用官方聲明顯示,以太坊、OEC 鏈、Heco 鏈上的BXH 協議及資產未受影響,但出於安全考量,關閉了所有鏈上的對外服務。
事故發生後,根據區塊鏈安全機構慢霧科技的分析,被盜前,BXH 管理錢包地址出現過「賦予攻擊合約管理權限」的操作,導致攻擊合約通過管理權限從BXH 策略池資金庫將其管理的資產轉出,被盜的部分資金已跨鏈轉移。
失竊原因一出,輿論嘩然,BXH 不幸地以安全事故的方式反應了它的中文花名「笨小孩」。
有人想不通為何BXH 能將資金管理權限「拱手讓黑客」,也有人質疑該應用監守自盜,該應用的王姓主導人此前的負面信息再次被扒出。 BXH 其官方未就輿情進行過多回應,僅表示「私鑰洩露」,並發布100 萬美元懸賞金招攬白帽子團隊追回資金。
由於BXH 已經關閉了應用的充提功能,依賴該交易所流動性的機槍池應用Coinwind 也因安全排查而關閉了其在多條鏈上的充提功能,而另一個機槍池應用Earn DeFi 則因Coinwind 的充提暫停而關了充提。
DeFi 收益能「套娃」,安全事故出現時也會產生「套娃」反應。截至發稿,上述三個應用均未開放充提功能。
BXH 管理權限「被黑」遭質疑
價值1.39 億美元的加密資產被盜走一天后,北京時間10 月31 日,BXH 在官方社交媒體上公示了其在BSC 鏈上的資金池剩餘資產,包括USDT、USDC、BTC、ETH、BUSD、MDX 在內,資產殘值約餘1.84 億美元左右。
當前BXH 在BSC 鏈上的殘值剩1.84 億美元
BXH 官方表示,剩餘資產的提幣方案將在第三方安全聯合團隊確認事故原因和合約安全以及警方調查初步問題以後,出具資產提幣公告和其他補償方案。
此前的公開信息顯示,去中心化交易應用BXH 於今年3 月初始部署於火幣Heco 鏈,曾以「短短10 天內吸引了數万用戶以及12 億美金的TVL」的成績風靡DeFi 火爆期;今年7 月30 日正式部署在BSC 鏈上,此後又在以太坊和OEC 鏈上「建站」。
事發前的10 月25 日,BXH 剛在BSC 鏈上啟動了借貸池挖礦功能,結果5 天后就出了事兒。
區塊鏈安全機構、BXH 的審計方之一慢霧科技已在事發後給出了初步分析,據該機構情報,黑客於27 日13 時(UTC) 部署了攻擊合約0×8877;接著在29 日08 時(UTC), BXH 項目管理錢包地址0×5614 通過grantRole 賦予攻擊合約0×8877 管理權限;30 日03 時(UTC),攻擊者通過攻擊合約0×8877 的權限從BXH 策略池資金庫中將其管理的資產轉出;30 日04 時(UTC) 0×5614 暫停了資金庫。 「因此,BXH 本次被盜是由於其管理權限被惡意的修改,導致攻擊者利用此權限轉移了項目資產。」
追踪也在事發後的10 月30 日開始了,慢霧科技於當日的北京時間16 時24 分公告,黑客在BSC 鏈上的初始獲利地址已將4000 ETH 從BSC 鏈轉移到ETH 鏈,接著將300 BTCB 兌換為renBTC,跨鏈到了兩個地址上。
如按照BXH 事發後的公告,被盜資金的轉移鏈條已經在多個安全機構的追踪中,該應用也已經發布了100 萬美元的懸賞公告,計劃招攬白帽子團隊進行資金追回。
慢霧科技的「初診」一出,網上輿論及BXH 的用戶紛紛表示不解,有人疑惑,BXH 的錢包管理權限為何會拱手讓予黑客,也有人將此質疑為項目方的監守自盜。 BXH 目前沒有應對這些輿情,僅表示「私鑰洩露」。
官方「私鑰洩露」說暴露了該交易應用在私鑰管理上的漏洞。 DeFi 領域的KOL 神魚就有疑問,私鑰「為啥不多簽,為啥不加時間鎖」。對於這類疑惑,BXH 也尚未對外給出答复,有待事後的更詳細的安全分析复盤。
媒體《巴比特》援引加密資產存管服務商安全鷺說法稱,加密資產的管理者需要更加重視單私鑰管理中帶來的安全風險,應盡快把Owner 私鑰升級為多簽管理的方式,避免私鑰單點風險。而通過鏈上合約多籤或者MPC 多簽,均可以實現對Owner 私鑰的多簽管理。
可見,私鑰安全風險雖有,但也有技可施,掌管著用戶上億美元資產的BXH 在私鑰管理上失職了。
兩個第三方機槍池連環關停充提
儘管事故發生在BSC 版的BXH 中,以太坊、OEC 及Heco 上的資產並未受到影響,但該應用出於安全考量,還是關閉了其在各個鏈上的服務功能。
BXH 暫時關停服務後,DeFi「套娃」效應的暗黑一面也出現了,依賴BXH 流動性的第三方機槍池應用CoinWind 也在10 月30 日緊急地關停了其在BSC、Heco 及以太坊鏈上的部分充值和提現功能。結果,另一個機槍池應用Earn DeFi 的官方公告稱,因為CoinWind 暫停充提,他們也停了充提。
BXH 被盜的連鎖反應導致三個應用的用戶們目前都無法取出存儲在其中的資產。
蜂巢財經登陸CoinWind 應用發現,該應用確實已經暫停了充提功能,收益雖然正常計算,但本金和收益均無法正常提取。 Earn DeFi 同樣如此。
兩個機槍池應用接連關閉充提
10 月31 日,CoinWind 的公告顯示,由於BXH 關閉了所有主鏈的充提,目前CoinWind 無法從BXH 取回部分投放資金,故跟隨暫停了Heco、BSC、ETH 三條主鏈的充提,且相關數據暫無法準確計算。該應用表示,BXH 如在確定無風險後開放Heco、ETH 充提,CoinWind 也將開放。現階段,Heco、ETH 主鏈的CoinWind 用戶的本幣及收益未受到影響,該應用正在全力跟進BXH 在BSC 鏈本次被盜資產的追回情況、損失情況和開放充提的時間以及資產提取方案的處理進度。
CoinWind 暫停充提後,Earn DeFi 僅在用戶群中通過小助手發了一紙公告,官網及官方該公告顯示,由於CoinWind 緊急關閉了三條鏈上的單幣質押及DAO 充提,Earn DeFi 用戶在ETH、BTC、USDT 池的充提會受到影響。具體多少資金被波及,該公告同樣沒有明說。
從雙方的公告看,機槍池應用CoinWind 的投入及收益來源之一是BXH,而Earn DeFi 的部分收益耕種區是CoinWind,結果,城門失火,殃及池魚。池是機槍池,魚是這些應用的用戶們。
需要關注的是,很多值得深思的細節問題也在事故發生後浮出水面。
比如,CoinWind 官方社群的管理員就表示,他們與Earn DeFi 並無關係,雙方沒有合作,也從未收到過對方前來存幣的對接信息,對方自事發後也沒有給出與CoinWind 交互的合約地址。有CoinWind 用戶認為,Earn DeFi 在「甩鍋」,仍在使用該應用的用戶「要小心了」。
Earn DeFi 也沒對對方的說法給出更多回應,但從其自身公告看,Earn DeFi 作為機槍池「寄生」在另一個機槍池的做法多少顯得很懶惰,一般情況下,交易應用的挖礦池才應該是機槍池們獲取高收益的主要來源,結果CoinWind 關充提,Earn DeFi 三個主流單幣池就受了影響。
再比如,有用戶對CoinWind 將資產投入到屢受爭議的BXH 感到不滿,「早知道是投入BXH,我就不再CoinWind 存幣了。」用戶有此情緒皆因今年7 月,BXH 被多家自媒體深扒了主導成員的「不靠譜」行徑,該應用的主導者王小彬被批評連續兩年在區塊鏈領域「發幣、圈錢」、「10 個項目全是空氣」,而王小彬此前在互聯網領域創業時曾出現過產品跳票不發貨、公司倒閉、欠薪成老賴被限制消費等「黑歷史」。
有CoinWind 用戶認為,將用戶資產投入到團隊有爭議的應用中去賺取收益,已經是風險前兆。
CoinWind 社群管理員針對「為什麼選BXH 機槍」作出解釋稱,他們對BXH 做了盡職調研,包括對接入的所有其他池子都會做調研評估,BXH 的審計報告沒有問題,且基本是實名項目。 「作為機槍池,我們的義務就是選擇收益高且較為可靠的池子投入,這次BXH 被攻擊是由於私鑰被盜,就CoinWind 而言,這確實屬於人力不可抗因素。」
BXH 被盜需要反思自身的私鑰管理問題,而對機槍池來說,至少有一些用戶建議是值得這類收益管理應用們應該考慮的,特別是一個個DeFi 應用都在朝著DAO 發展時——公開、透明的告知用戶資金配置的去向。
不要以「機密」為由敷衍用戶,配資策略也許是機槍池的生存和競爭的壁壘,但公佈資金被分配到了哪些收益耕地中並不太影響機密策略的具體執行,讓用戶知情權和選擇權得到提前滿足,這不正是區塊鏈所倡導的精神嗎?