BXH 盜幣案反思:駭客用最原始的方式 “摧毀了”國產機槍池

買賣虛擬貨幣

吳說作者|吳卓鋮

本期編輯|Colin Wu

10月30日,去中心化收益類協議 BXH 發生私鑰被盜事件,損失了價值約1.39億美元的加密資產。此次安全事故發生在 BSC 鏈上,據官方宣告顯示,以太坊、OEC 和 Heco 的鏈上資產未受影響,但出於安全考量,所有鏈上的充提功能都被關閉。

事件發生後,根據區塊鏈安全機構慢霧科技的分析,駭客於27日13時 (UTC) 部署了攻擊合約 0x8877,接著 BXH 的錢包地址 0x5614 於29日8時 (UTC) 透過 grantRole 將管理許可權賦予了攻擊合約 0x8877。30日3時 (UTC) 攻擊者透過攻擊合約 0x8877 獲得的許可權從 BXH 金庫中將其管理的資產轉出。30日4時 (UTC) 錢包地址 0x5614 暫停了金庫。因此,BXH 本次被盜是由於其管理許可權被惡意地修改,導致攻擊者利用此許可權轉移了專案資產。目前,駭客初始地址(0x48c94305bddfd80c6f4076963866d968cac27d79)裡的4000 ETH已經從BSC轉移到ETH,還有300 BTCB兌換成renBTC轉移到新地址 (1Jw...9oU 和 1Fr...Vow)。區塊鏈安全機構派盾在推特上公佈了截止11月1日被盜資金的去向:

此事一出,輿論譁然,大家疑惑的是為什麼 BXH 能將資金管理許可權交給駭客,駭客不需要攻克複雜的智慧合約,僅需獲取私鑰就摧毀了整個協議。這種盜幣手段頗為原始,不免讓人質疑是否是存在內鬼。隨後關於創始人的一系列黑歷史也被扒出。目前官方只是表示此次事件系私鑰洩露,併發布100萬美元懸賞金招攬白帽子團隊追回資金。

可是,風波並未就此結束,由於 BXH 已經關閉了提現功能,依靠它產生收益的機槍池專案也被迫關停了提幣功能。目前已有四個機槍池受到牽連,首當其衝的就是 Heco 上鎖倉量排名第二的 Coinwind(關聯金額高達1.5億美金)。Coinwind 團隊表示正在全力跟進 BXH 被盜資產的追回情況、損失情況和開放充提的時間以及資產提取方案的處理進度。

不僅如此,由於 Coinwind 在 Heco 上鎖倉量較高,其他小規模的機槍池會直接選擇將資金鎖在 Coinwind 裡並透過槓桿放大收益的“懶人式操作”,因此此次事件中這類專案自然也無法倖免。這現象背後反映的問題值得深思。

目前,機槍池的盈利模式就是不斷地尋找各種高收益的借貸協議,然後頻繁地存錢和借錢來賺取平臺 token,最後透過 boosting 放大槓桿倍數,用這種“搭樂高”方式呈現給投資者誇張的收益率。當然,這種方式在放大了收益的同時也放大的風險,任何一層發生本金損失都可能導致整個樂高坍塌。

因此機槍池的每一步操作,每一筆資金去向應當時時公開,就像公募基金公開持倉股一樣,讓投資人自行做出選擇。以 Yearn 為例,其機槍池中每一個資金池的投資策略和資金去向都需要 DAO 組織成員討論並投票,最後公佈策略。如果使用者對某個資金池的投資策略不滿意,可以選擇不投。而其他很多機槍池在公開透明這塊做的很糟糕,尤其是國內專案,暗箱操作頗多。此次事件,就有使用者對 CoinWind 將資產投入到屢受爭議的 BXH 感到不滿,他們表示如果事先知道就不會將資產存入 CoinWind。而 CoinWind 的迴應卻是,他們對 BXH 做了盡職調研,BXH 的審計報告沒有問題,這次 BXH 被攻擊是由於私鑰被盜,屬於不可抗風險。然而,檢視慢霧在3月份給 BXH 做出的審計報告卻發現:

(慢霧還表示後續的BSC審計並非由他們完成。後續審計似乎是由靈蹤安全完成)

目前機槍池只是在各借貸協議之間迴圈操作放大收益,從傳統金融的角度來看這顯然不可能持續性發展的。傳統世界只有銀行或一些大機構 (例如房地產商) 可以迴圈借貸放大貨幣乘數,普通人受監管限制不能這麼做。DeFi 世界沒有監管,因此散戶可以像機構那樣迴圈借貸,不少使用者甚至以為這是 DeFi 特有的產品,事實上並非如此。監管不允許散戶這麼操作自然是合理的,畢竟大多普通人的風險控制能力較弱。

這也是當下機槍池類產品最大的風險所在,根據風險高低主要分為三類:

低風險 – 簡單策略 – 單一資產抵押金庫(即穩定幣單幣質押)

中風險 – 簡單策略 – 流動性 token 與平臺 token 的自動複合

高風險 – 高階策略 – 使用多個協議的多層策略迴圈借貸(以 Yearn 為例)

不同型別的策略池風險等級不同,通常單一資產的策略池無常損失風險低於需要流動性 token 作為存款資產的策略池。這次盜幣事件大眾的關注點都在合約安全風險,其實這是區塊鏈產品共同的問題。但是機槍池的存在放大了這種風險,每次在策略中加入新協議時,都會增加一層駭客風險,其中任何一個環節出現問題都會影響整個機槍池。個人認為這才是最值得引起重視的。

現在已經出現一些基於期權組合策略、合成資產套利等對標傳統金融產品的協議,這些產品在傳統領域已經被驗證其盈利模式是可持續的。當然參與這些產品需要更高的技術門檻,這正是機構投資人的價值所在,專業的事交給專業的人去做在任何領域都是合理的。這也是機槍池未來發展的方向,像如今這種迴圈借貸實在技術含量偏低。如此看來,駭客採用這種頗為原始且似乎沒什麼技術含量的盜竊手法,對國內這些“樂高式”機槍池來說也不算辱沒。

(由於公眾號推送邏輯調整,老讀者請給吳說公眾號加上星標,以避免無法收到,加星標方式:如何給公眾號設定星標)

根據央行等部門釋出“關於進一步防範和處置虛擬貨幣交易炒作風險的通知”,本文內容僅用於資訊分享,不對任何經營與投資行為進行推廣與背書,請讀者嚴格遵守所在地區法律法規,不參與任何非法金融行為。吳說內容未經許可,禁止進行轉載、複製等,違者將追究法律責任。

免責聲明:

  1. 本文版權歸原作者所有,僅代表作者本人觀點,不代表鏈報觀點或立場。
  2. 如發現文章、圖片等侵權行爲,侵權責任將由作者本人承擔。
  3. 鏈報僅提供相關項目信息,不構成任何投資建議

推荐阅读