3

BXH盗币案反思:黑客用最原始的方式 “摧毁了”国产机枪池 原因与教训是什么

 2 years ago
source link: https://www.chainfor.pro/news/show/136195.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
BXH盗币案反思:黑客用最原始的方式 “摧毁了”国产机枪池 原因与教训是什么_区块链资讯_链向财经
BXH盗币案反思:黑客用最原始的方式 “摧毁了”国产机枪池 原因与教训是什么

来源:吴说区块链

吴说作者 | 吴卓铖

本期编辑 | Colin Wu

10月30日,去中心化收益类协议 BXH 发生私钥被盗事件,损失了价值约1.39亿美元的加密资产。此次安全事故发生在 BSC 链上,据官方声明显示,以太坊、OEC 和 Heco 的链上资产未受影响,但出于安全考量,所有链上的充提功能都被关闭。

事件发生后,根据区块链安全机构慢雾科技的分析,黑客于27日13时 (UTC) 部署了攻击合约 0x8877,接着 BXH 的钱包地址 0x5614 于29日8时 (UTC)  通过 grantRole 将管理权限赋予了攻击合约 0x8877。30日3时 (UTC) 攻击者通过攻击合约 0x8877 获得的权限从 BXH 金库中将其管理的资产转出。30日4时 (UTC) 钱包地址 0x5614 暂停了金库。因此,BXH 本次被盗是由于其管理权限被恶意地修改,导致攻击者利用此权限转移了项目资产。目前,黑客初始地址(0x48c94305bddfd80c6f4076963866d968cac27d79)里的4000 ETH已经从BSC转移到ETH,还有300 BTCB兑换成renBTC转移到新地址 (1Jw...9oU 和 1Fr...Vow)。区块链安全机构派盾在推特上公布了截止11月1日被盗资金的去向:

图片

此事一出,舆论哗然,大家疑惑的是为什么 BXH 能将资金管理权限交给黑客,黑客不需要攻克复杂的智能合约,仅需获取私钥就摧毁了整个协议。这种盗币手段颇为原始,不免让人质疑是否是存在内鬼。随后关于创始人的一系列黑历史也被扒出。目前官方只是表示此次事件系私钥泄露,并发布100万美元悬赏金招揽白帽子团队追回资金。

可是,风波并未就此结束,由于 BXH 已经关闭了提现功能,依靠它产生收益的机枪池项目也被迫关停了提币功能。目前已有四个机枪池受到牵连,首当其冲的就是 Heco 上锁仓量排名第二的 Coinwind(关联金额高达1.5亿美金)。Coinwind 团队表示正在全力跟进 BXH 被盗资产的追回情况、损失情况和开放充提的时间以及资产提取方案的处理进度。

图片

不仅如此,由于 Coinwind 在 Heco 上锁仓量较高,其他小规模的机枪池会直接选择将资金锁在 Coinwind 里并通过杠杆放大收益的“懒人式操作”,因此此次事件中这类项目自然也无法幸免。这现象背后反映的问题值得深思。

目前,机枪池的盈利模式就是不断地寻找各种高收益的借贷协议,然后频繁地存钱和借钱来赚取平台 token,最后通过 boosting 放大杠杆倍数,用这种“搭乐高”方式呈现给投资者夸张的收益率。当然,这种方式在放大了收益的同时也放大的风险,任何一层发生本金损失都可能导致整个乐高坍塌。

因此机枪池的每一步操作,每一笔资金去向应当时时公开,就像公募基金公开持仓股一样,让投资人自行做出选择。以 Yearn 为例,其机枪池中每一个资金池的投资策略和资金去向都需要 DAO 组织成员讨论并投票,最后公布策略。如果用户对某个资金池的投资策略不满意,可以选择不投。而其他很多机枪池在公开透明这块做的很糟糕,尤其是国内项目,暗箱操作颇多。此次事件,就有用户对 CoinWind 将资产投入到屡受争议的 BXH 感到不满,他们表示如果事先知道就不会将资产存入 CoinWind。而 CoinWind 的回应却是,他们对 BXH 做了尽职调研,BXH 的审计报告没有问题,这次 BXH 被攻击是由于私钥被盗,属于不可抗风险。然而,查看慢雾在3月份给 BXH 做出的审计报告却发现:

图片

(慢雾还表示后续的BSC审计并非由他们完成。后续审计似乎是由灵踪安全完成)

目前机枪池只是在各借贷协议之间循环操作放大收益,从传统金融的角度来看这显然不可能持续性发展的。传统世界只有银行或一些大机构 (例如房地产商) 可以循环借贷放大货币乘数,普通人受监管限制不能这么做。DeFi 世界没有监管,因此散户可以像机构那样循环借贷,不少用户甚至以为这是 DeFi 特有的产品,事实上并非如此。监管不允许散户这么操作自然是合理的,毕竟大多普通人的风险控制能力较弱。

这也是当下机枪池类产品最大的风险所在,根据风险高低主要分为三类:

  • 低风险 – 简单策略 – 单一资产抵押金库(即稳定币单币质押)
  • 中风险 – 简单策略 – 流动性 token 与平台 token 的自动复合
  • 高风险 – 高级策略 – 使用多个协议的多层策略循环借贷(以 Yearn 为例)

不同类型的策略池风险等级不同,通常单一资产的策略池无常损失风险低于需要流动性 token 作为存款资产的策略池。这次盗币事件大众的关注点都在合约安全风险,其实这是区块链产品共同的问题。但是机枪池的存在放大了这种风险,每次在策略中加入新协议时,都会增加一层黑客风险,其中任何一个环节出现问题都会影响整个机枪池。个人认为这才是最值得引起重视的。

现在已经出现一些基于期权组合策略、合成资产套利等对标传统金融产品的协议,这些产品在传统领域已经被验证其盈利模式是可持续的。当然参与这些产品需要更高的技术门槛,这正是机构投资人的价值所在,专业的事交给专业的人去做在任何领域都是合理的。这也是机枪池未来发展的方向,像如今这种循环借贷实在技术含量偏低。如此看来,黑客采用这种颇为原始且似乎没什么技术含量的盗窃手法,对国内这些“乐高式”机枪池来说也不算辱没。


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK