منصة التمويل اللامركزية bZX كانت في كثير من الأحيان في دائرة الضوء هذا العام ، ليس فقط للأسباب الصحيحة. بدأت معظم منصات DeFi المشهورة اليوم ، بما في ذلك bZX ، رحلتها في حوالي عام 2018 ، في نهاية طفرة عرض العملات الأولية. في عام 2019 ، بدأت DeFi في اكتساب قوة دفع ، على الرغم من أنها كانت لا تزال قطاعًا مهملاً إلى حد ما في الصناعة.
مع استمرار النمو ، بدأت الشكوك في أن الاختراقات الرئيسية ، النموذجية لقطاع الأصول الرقمية ، قد فات موعدها. نظرًا لتعقيد هذه المنصات وحداثتها ، كان من المعقول افتراض أنها ليست جميعها منيعة ضد الأخطاء.
يمكن وصف هذا العام بأنه شهادة على القول المأثور “عندما تمطر تسكب”. لسوء حظ bZX ، أصبحت أول منصة DeFi رئيسية تتعرض لاختراق كبير ، في فبراير من عام 2020. كما أصبحت ثاني منصة يتم استغلالها ، حيث أدى هجومان متتاليان إلى شل المشروع وإجباره على تفويت الفرصة. غالبية طفرة DeFi.
ذات صلة: هل هجمات قرض BZx السريعة تشير إلى نهاية DeFi؟
بينما حذت بعض المنصات الأخرى حذوها ، لم تنته مشاكل bZX حقًا: بعد فترة وجيزة من إعادة إطلاقها في سبتمبر ، تم اختراقها مرة أخرى. في حين أنه قد يبدو أنها كانت الضربة الأخيرة للمشروع ، إلا أن المؤسس المشارك كايل كيستنر لا يزال متفائلاً بأن النظام الأساسي سوف يرتد مرة أخرى.
قال Kistner في مقابلة مع Cointelegraph: “منذ أن استعدنا المال والأموال آمنة ، لدينا مجموعة كاملة من القيمة الإجمالية مقفلة وكمية ضخمة من حجم التداول”. “لم نعد إلى ما كنا عليه ، لكن أحجام تداولنا كانت تتفجر حقًا.”
كرر Kistner مرات عديدة خلال المقابلة أنه على الرغم من كل هذه الاختراقات ، لم تفقد المنصة أموال مستخدميها بشكل قاطع. تم رد أموال الضحايا الأوائل ، بينما تم القبض على مخترق سبتمبر متلبسًا من خلال تحليلات blockchain وأعاد الأموال. مهما كان الأمر ، كانت رحلة Kistner وفريق bZX هذا العام صاخبة ، على أقل تقدير.
اشتعلت مع مشروباتهم
كوينتيليغراف: حدث اختراق bZX الأول في 14 فبراير بينما كان الفريق بعيدًا في مؤتمر ETHDenver. كيف علمت بالهجوم؟
كايل كيستنر: كنا في هذه الحفلة ، كانت ساعة التخفيضات Keep and Compound. نحن نجلس هناك ، نتحدث مع ريان [Berkun, CEO of Tellor] وكان يخبرني عن كيفية قيامه للتو بوضع بعض المال في Fulcrum ، كان يطلعني على أسعار الفائدة. لقد لاحظت أن أسعار الفائدة على ETH كانت مرتفعة بشكل غير طبيعي. وقلت ، “أوه ، هذا غريب حقًا.”
لقد تحدثت إلى توم [bZX’s CEO] حيال ذلك وشعرت أن شيئًا غريبًا حقًا حيال ذلك. في وقت لاحق من الليل تلقينا رسالة من Lev Livnev من DappHub ، الذي لاحظ معاملة غريبة ، والتي كانت في الأساس تلك التي أدت إلى هذا الاهتمام الكبير جدًا في تجمع iETH.
وكما تعلم ، كنا نشرب ، لذلك كنا بحاجة إلى أن نستيقظ. كانت هذه تجربة مجنونة ، كانت الساعة 11:30 ليلاً ، وكنا نحتفل مع بقية العاملين في هذا المجال وفجأة دخلت في هذا الموقف الخطير للغاية. أثناء التحقيق ، أدركنا أننا بحاجة إلى إيقاف النظام بأكمله مؤقتًا.
لم يكن هناك حقًا زر إيقاف مؤقت مصمم على هذا الشيء ، لكننا اخترقنا حلًا معًا من خلال تعطيل قائمة oracle البيضاء. عمل هذا على منع أخذ المزيد من الأموال.
ثم اتصلت بزوجتي ، وأقول “لا أعرف كيف سأكون قادرًا على مواجهة الناس في الصناعة ، والعودة إلى ETHDenver ، ورؤية الجميع هناك.” فكرت للحظة أنني ربما سأحزم حقائبي وأعود إلى المنزل ، لكن زوجتي أخرجتني من ذلك. كان توم جالسًا هناك ، جامدًا قليلاً ، كل شيء يغسله.
الاختراق الثاني
في النهاية ، أعاد Kistner والفريق تجميع صفوفهم. تمكنوا من الحصول على استراحة محظوظة – لم ينشر البروتوكول تلقائيًا خسارة أكثر من 1100 ETH ، بقيمة حوالي 300000 دولار ، بين جميع مستخدمي النظام الأساسي. وقد منحهم ذلك فرصة لإعادة الأموال بالكامل إلى أسفل الخط وسمح للشركة بالاستمرار. قال كيستنر: “لقد منحنا هذا الكثير من الروح المعنوية”.
عندما ظهر الفريق في ETHDenver في اليوم التالي ، قال Kistner إن “الناس كانوا في الواقع يهنئوننا. كان هناك الكثير من الدعم ، وكان الناس يقولون ، “نحن بناة ، أنتم بناة ، نحن جميعًا في هذا معًا.”
CT: ثم حدث الهجوم الثاني. كيف تعرف ذلك؟
KK: لقد وصلنا للتو إلى هذا المطعم. كنا في منتجع التزلج في كولورادو ، وساعدنا في تنظيمه وكنا متحمسين جدًا له. لقد طلبنا كل هذا الطعام ، وكان توم ينظر إلى هاتفه – إنه يحب فقط إجراء المعاملات المختلفة الموجودة على النظام ، خاصةً إذا كان أي شيء يبدو غريبًا أو غريبًا. لذلك نظر إلى هذه المعاملة الواحدة وبدا الأمر غريبًا حقًا لأنه تم حذف العقود ولديها قرض سريع وكان يتم استدعاء مبالغ صغيرة بشكل متكرر مرارًا وتكرارًا.
لذلك نظرنا إلى تلك الصفقة و استغرق الأمر منا حوالي ثانيتين لنقول “حسنًا ، شخص ما تم اختراقه”. هذا لا يبدو صحيحًا على الإطلاق. كنا نعلم أنه يشمل نظامنا.
وهكذا وصل الطعام ، كان ثمنه مائة دولار لثلاثة أشخاص. لحظة وصولها على الطاولة ، نهضت وقلت ، “هل يمكنني دفع الفاتورة؟” وسلمتهم البطاقة. كان توم بالفعل يركض بسرعة إلى المنزل وقد حجزناه جميعًا ، بدأنا جميعًا في الركض عبر الثلج ، وكما تعلم ، كانت رحلة الجري لمدة سبع دقائق من المطعم إلى مكاننا.
قمنا بتشغيل محطات معركتنا ، وأوقفنا النظام مؤقتًا ، وبدأنا في فرز المشكلة وتشخيصها. […] عند هذه النقطة ، كنا مثل “نحن نعرف كيفية التعامل مع هذا ، إذا كان هناك بعض الأموال التي تم أخذها فهي ليست نهاية العالم.” لسوء الحظ ، نظرًا لأن البرق ضرب مرتين ، فقد تآكل كثيرًا من النوايا الحسنة التي كان الناس يسعون إليها من قبل.
التفكير في الخطأ الذي حدث
أجبر الاختراقان الفريق على إغلاق البروتوكول وإعادة بناءه. منذ ذلك الحين ، شهدت مشاريع أخرى استغلال الثغرات الأمنية أيضًا ، ولكن لم تحدث عمليات اختراق متعددة خلال فترة قصيرة.
CT: عدد الانتهاكات التي تعرضت لها bZX يثير تساؤلات حول ممارسات المشروع. هل يمكن أن يكون مجرد سوء حظ ، أم أن هناك شيئًا أعمق في اللعب؟
KK: إنها ليست مصادفة. إذن هناك شيئان: الأول هو أننا ارتكبنا خطأ ، وكان لدينا مدقق أمني لم يفعله هذا النوع تمامًا [their job]. هناك مشكلة واحدة أحاول الوصول إليها هنا – في الأساس ، هناك عدد من العوامل التي تفسر سبب اعتبار Kyber بمثابة أوراكل [the primary vulnerability resulting in the second hack].
لقد كانت ثغرة مفاهيمية كان يجب أن يكتشفها المدقق بالفعل ، لكن ما كان ينبغي لنا أن نستخدمها. كان لدينا فهم أن Kyber لم تكن مثالية ، لكننا نوعًا ما رفضنا بعناد تركيز الوسيط. لم يكن لدينا Chainlink ، والذي كان بإمكاننا توصيله في ذلك الوقت ، لذا كان الخيار الآخر الوحيد هو جعل الوسيطة مركزية.
الآن ، كان الاختراق الأول في الأساس خطأ مطبعي. أعتقد أن هذا كان بسبب عدم وجود العمليات المناسبة في المكان. […] كنا شركة صغيرة. لم نكن مدعومين بمجموعة كاملة من أموال المجازفة ، مثل الكثير من بروتوكولات الإقراض الأخرى. نحن الآن شركة أكبر بكثير وأكثر نضجًا.
المدققون ليسوا نفس الشيء
تعتبر مراجعة العقود الذكية خطوة حاسمة قبل إطلاق البروتوكول. تعتبر البروتوكولات غير المدققة أقل أمانًا ، لدرجة أن منشئ Yearn Finance قال إنه عمداً قلل من الإثارة حول مشروعه من خلال حجب حقيقة أن البروتوكول قد تم تدقيقه.
CT: إذن ما الذي حدث بالضبط مع تدقيق الكود الخاص بك بواسطة ZK Labs؟
KK: أشعر أن هناك من يحتاج إلى معرفة هذه القصة. لذلك كنا جددًا وكنا نحافظ على البيئة في الصناعة. لقد قمنا للتو ببناء هذا الإصدار كواحد من بروتوكولنا ، كان مثل بداية عام 2018. لقد وضعنا أشياءنا على شبكة الاختبار ، لكننا لم نعرف حقًا مدققي الأمن في الفضاء.
لذلك سألنا حولنا وتم إحالتنا أولاً إلى مجموعة أكاسيا. […] لقد اكتشفوا الأمر وقالوا بشكل أساسي ، “نحن خارج أعماقنا هنا.” لذلك كنا بحاجة إلى العثور على مدقق مختلف ، وفي النهاية وجدنا ZK Labs. كنا نظن أن ZK Labs كانت ذات سمعة فائقة. […] ماثيو ديفيرانت [ZK Labs founder] كان مرتبطًا بمؤسسة Ethereum ، وعمل مهندسًا أمنيًا هناك.
الآن ، ما لم أكن أعرفه هو أنه وراء الكواليس ، لم يحب كل مدققي الأمن الآخرين في الفضاء ماثيو حقًا. شعروا أنه كان غير محترف للغاية ولا يقوم بعمل جيد. […] يبدو أنه رجل ذكي ، على ما أعتقد ، لكن يبدو أنه واجه صعوبة كبيرة في التعامل مع عبء العمل.
لقد قمنا بتدقيق بروتوكولنا بواسطتهم ، وكان من الواضح جدًا أنه لا يوجد في الواقع سوى ماثيو ديفيرانت الذي يقوم بالمراجعة. لقد كلفنا حوالي 50000 دولار ، والتي كانت بالنسبة لنا – شركة ممتلئة بالكامل – مثل مبلغ ضخم ضخم من المال.
لكننا بذلنا قصارى جهدنا لجمع الأموال والقيام بكل ما في وسعنا – وقد فعلنا ذلك. لقد جمعنا خمسين ألفًا من أجل هذا التدقيق ، لكن شعرنا وكأننا نتحرك بطريقة ما. […] كانت أغراضنا جاهزة له في بداية شهر آذار (مارس) ، ولكن كان أقرب إلى شهر أيلول (سبتمبر) حيث تم الانتهاء منه بالفعل – وفقط بعد الكثير من سحب الأسنان والصراخ.
عندما نظرنا إلى التدقيق ، وجدنا هذه الأخطاء المطبعية – كان هناك مكان يوجد به اسم Chainlink بدلاً من اسمنا. لم يستبدل الأسماء. وكنا مثل “كم من الوقت قضيت في تدقيق هذا؟ هل قمت بتدقيق هذا حقًا أم تم خداعنا من قبل ZK Labs؟ “
كان هذا نوعًا من السؤال في أذهاننا. قدم بعض الاقتراحات التي كانت مفيدة ، ولاحظ وجود خطأ فادح. ليس الأمر وكأنه لم يفعل أي شيء على الإطلاق ، لكننا خرجنا غير مقتنعين بالمراجعة على الإطلاق.
أضاف Kistner أيضًا أن شركات الأمان الأخرى مثل OpenZeppelin أو Trail of Bits كانت ستكلف الشركة حوالي 200000 دولار ، “ولم يكن لدينا ذلك [money]. ”
هل عمليات تدقيق الكود مبالغ فيها؟
جاء الاختراق الثالث لـ BZX بعد عمليتي تدقيق كبيرتين أجراهما Certik و PeckShield ، والتي يبدو أنها سمحت لخلل خفي بالمرور عبر شبكتهما. وقال إن منصات مثل Aave و Compound عانت أيضًا من نقاط ضعف عند الإطلاق ، على الرغم من حقيقة أنها خضعت للتدقيق على نطاق واسع.
CT: هل ما زلت تعتقد أن عمليات التدقيق تضيف قيمة؟
KK: عمليات التدقيق رائعة. إذا نظرت إلى Compound أو Aave أو غيرهما ، فهناك عدد غير قليل من نقاط الضعف الخطيرة التي تم العثور عليها نتيجة لعمليات التدقيق. إذا لم يمروا بها ، فستكون هناك الكثير من نقاط الضعف.
لا يمكنك أن تتوقع عمليتي تدقيق أو ثلاث للعثور على كل خطأ. يحتاج الناس لفهم ذلك. هذا هو الغرض من مكافآت الأخطاء – عندما يتم تدقيق الشفرة علنًا ، فهناك الكثير من العيون.
البطانة الفضية لهذه التجارب
بعد الحوادث الأولية ، أصلحت bZX الشركة وممارساتها الأمنية. انتعشت القيمة الإجمالية التي تم قفلها بعد سبتمبر ، لتصل إلى أكثر من 20 مليون دولار. في حين أن هذا بعيد كل البعد عن بعض البروتوكولات الأكبر ، لا يزال الرقم ملحوظًا نظرًا للسنة المضطربة للمشروع ونقص الإعانات المباشرة لوضع الأصول في البروتوكول.
ذات صلة: تعمل زراعة المحاصيل على إنتاج ضجيج حول DeFi ، لكن الأساسيات تتباطأ
قال كيستنر إن الفريق “ربما استغل [negative] الدعاية من أجل التعرف على أفضل واستخدام أكثر للبروتوكول بشكل عام. ” وأضاف أن الوقت سمح لهم أيضًا بالعثور على “شيء يحبه الناس حقًا”. يركز الفريق على منظور طويل الأجل ، ويتضمن تطوره في زراعة المحاصيل فترة الاستحقاق ، والتي يُنظر إليها على أنها آلية تثني رأس المال قصير الأجل عن الانضمام.
في الوقت نفسه ، يعتقد Kistner أن التجربة سمحت لـ bZX بتجنب التحول إلى مشروع يقوده المشروع. “نحن نرى أنفسنا أكثر من مجرد شخص مستقل ، وأكثر من نوع بروتوكول خارجي.”
عندما سئل عن الاستثمارات التي تلقتها الشركة منذ ذلك الحين ، قال إنها “كانت جولة صغيرة جدًا” وأنهم “لم يتخلوا عن أي حقوق ملكية أو سيطرة.”
في النهاية ، لا تزال هيئة المحلفين خارج دائرة النقاش حول ما إذا كان بإمكان bZX اللحاق بالأرض المفقودة. وجهت الاختراقات ضربات مدمرة كان من الممكن أن تؤدي بسهولة إلى وفاة المشروع ، لكن الفريق ثابر ويتراجع. تظل قصة bZX ، على الرغم من تطورها ، تحذيرًا مهمًا للمشاريع الأخرى ومستخدمي DeFi: هناك الكثير مما يجري في إنشاء منتج آمن يتجاوز مجرد دفع الأموال للمراجعين.
