BSC「农协」围猎链上「土狗」

  • 时间:
  • 浏览:65
  • 来源:区块链技术网

币安智能链BSC链上DeFi项目「Meerkat Finance跑路事件」已告一段落,被卷走的用户资产大部分退回到了用户手里。

这是一场对作恶者的合力围猎,「猎人」一方包括社区成员、安全机构、媒体和CeFi机构,他们组成了名叫「BSC农民安全协会」的组织,计划将驱逐链上「土狗」项目作为日常的工作之一。

Meerkat Finance有跑路风险,最早的预警来自安全审计机构Peckshield派盾,他们发现该项目的合约存在漏洞,有人通过后门转走了时值3000万美元的加密资产,其中绝大部分来源于用户。

派盾通报BSC开发团队的同时,也给Meerkat Finance的合约地址打上标签,并实时监控着该项目资金池内的资产流向。

BSC核心社群即刻向全网通报相关信息,开放了追踪资金的论坛贴,方便所有用户了解事故进展,「BSC农民安全协会」也被调动起来,确定了Meerkat Finance跑路的事实。

追击「土狗」的力量逐渐扩大,慢雾、CertiK等安全审计机构也加入进来,最终,作恶者地址被锁定。在「BSC农民安全协会」加上币安的压力之下,对方同意退回用户资产。

BSC安全团队表示,如此大规模地联合社区用户、安全机构以及CeFi力量来维护生态健康,是BSC社区的一次重要尝试。

当「土狗」项目在交易所公链上频繁出现引发用户不满之时,「围猎」跑路项目Meerkat Finance的方式,为交易所公链治理「土狗」现象提供了一些参考意义。

「农协」合力围堵跑路项目

Meerkat Finance(MKAT)卷走的资产中,已经有95%退还给了用户。该项目事后发布声明称,剩下的5%将通过新产品XFarm公平分配,以这种方式抵消MKAT持有者和「MKAT-BNB池」中流动性提供者的损失。

目前,多位受害者向蜂巢财经证实,他们在上周收到了大部分本金。

「这是BSC农民安全协会合力推动的结果,这一次Meerkat事故能及时得到预警,并锁定作恶者,农协发挥了重要作用。」BSC社区相关负责人Xiaoguang介绍,今年2月,BSC社区联合派盾、CertiK等多个安全机构、媒体和社区KOL组成了「BSC农民安全协会」,这是BSC链上的DeFi安全联盟,职责之一是阻止「土狗」项目带走BSC用户的资金。

从BSC农民安全协议成员成分看,这里既有可以利用追踪系统追查资金流向的专业安全审计机构,也有可以对外及时发布消息的媒体,还有在社区内有号召力的KOL。Meerkat Finance跑路事件为BSC农民安全协会合力治理「土狗」带来了实践机会。

3月4日,Meerkat Finance自称受黑客攻击被盗走所有资产。随后,项目官网无法打开。Xiaoguang说,最先发出预警的是派盾,他们发现漏洞后及时给BSC社区反馈,同时展开工作。

派盾在接受蜂巢财经采访时回忆,3月5日晚上,派盾安全预警系统提示,DeFi项目Meerkat Finance合约金库遭遇黑客攻击,「我们的安全人员立即启动响应,通过我们旗下的反欺诈平台CoinHolmes给Meerkat Finance的合约地址打上标签。」

很快,派盾找到了问题所在——Meerkat原始合约代码中存在可升级的代理合约,合约代码留有后门,这意味着项目方转移用户资金的权限被放大,金库合约中1400万美元的BUSD和价值1760万美元的BNB的确消失了。

CoinHolmes系统实时监控着项目金库中流出的资金去向,并将每一次异动时同步给BSC及币安安全团队。

由于BUSD和BNB两种资产最大的交易市场是币安交易平台,因此BSC团队也第一时间向币安安全团队寻求技术支持,监测失窃的资金是否流入了币安,「一旦流入,请及时冻结。」

派盾的预警即刻蔓延至BSC社区,追踪资金的论坛建立起来。「这个公开的渠道可以帮助BSC链上的用户了解事件进展,我们也希望用户能参与进来,调动农民安全协会的力量,一起协助追溯失窃资金。」

安全审计机构CertiK、慢雾和Oasis Labs也开始跟进事故,展开头脑风暴寻找解决措施。事发半小时后,自媒体吴说区块链发布了Meerkat Finance的项目信息,进一步将事件进展传播至BSC社区外的社群中,以提示风险。

Meerkat Finance资金失窃,到底是黑客所为还是项目方作恶?BSC社区将答案指向了项目方。

币圈KOL「七彩神仙鱼」、「土澳大狮兄Leon」们在推特、电报群中搜索项目方消息,他们发现,Meerkat项目官方电报群已解散。项目方作恶的可能性增加。同时,KOL们也在各个社群扩散警告信息,提示用户不要再往Meerkat合约里存入资金。

有人发现,Meerkat Finance的官网正在以1万美元出售域名,这更是放大了项目方「圈钱跑路」的嫌疑。

项目方窃取用户资金的核心证据是地址,安全机构们通过追踪监测确认,失窃资金流向的地址多数属于项目方。

群体压力之下,项目方再次现身,狡称整个事件是一个实验,黑客是他们邀请来的,攻击旨在帮用户认识智能合约的风险。

这种说法显然难以取信于用户。最终,币安安全团队在BSC农民安全协会的支持下,定位到了项目方并与之联系。对于项目方来说,这意味着他们的身份已经暴露,放大了需要承担的法律风险。

3月7日,Meerkat Finance在电报社群中发声,做出退款和补偿用户的决定。BSC农民安全协会取得了这次胜利。

BSC探索社区治理

对于交易所公链开发方来说,他们无法阻挠任何前来链上部署合约的举动。

派盾认为,从币安智能链的定位上来看,它致力于打造一条公有链,也就是非许可链(Permissionless Blockchain)。在理想状态下,任何人都可以参与区块链数据维护和读取,容易部署应用程序,完全去中心化不受任何机构控制。作为一个去中心化开发平台,要实现完全的去中心化就要做到「去中心化」和「自治」。但值得注意的是,币安智能链还处于发展初期,在构建生态的过程中,可能还需要有一个「弱中心化」的过渡过程。

管还是不管?去中心化与安全如何实现平衡?BSC社区也被这个问题困扰。

「我们早就觉得,必须得做点什么了,BSC农民安全协会就是在这样的初衷下发起的。」Xiaoguang认为,社区是可以动员的强大力量,它既可以容纳安全审计机构这样的专业组织,也可以接受媒体的参与和监督,它也包罗着形形色色拥有不同技能的草根高人,点燃他们的力量,将给「土狗」带去压力。

「最开始是寻找鲸鱼,但现在最怕『鲸鱼』变『鲨鱼』。」BSC社区相关负责人Xiaoguang已经被「土狗」问题困扰许久,Meerkat Finance跑路事件的解决,多少给他带来了一些宽慰,但他依然不敢松懈,因为BSC生态正在迅速发展,安全事故会成为生态健康的威胁。

截至今年2月,BSC已支持 43个币种跨链,跨链资产总值已达 141.2 亿美元,BEP-20标准的Token 代币总市值在高峰时期达到了 50.5 亿美元。

资产跨链方便用户将手中的资产自由地在各个链上的应用中流通,但也客观上给安全维护增加了难度,链的开发方要保证跨链运转的稳定性,而安全机构在遇到项目资金失窃时也要考虑跨链追踪的可行性。

预防和提示风险是安全系统工程中十分重要的举措。

Xiaoguang表示,BSC开发团队尝试调动社区力量做用户教育,让用户间形成相互提醒,认识到DeFi挖矿是一项有门槛的投资方式,提示大家参与前做好功课和风险管控。

据悉,目前已有成员们自发制作了不同类型的挖矿指南、风险提示指南和视频课程等,来帮助新用户深入了解DeFi。一旦发生项目跑路或其他安全事故,社区会调动成员们自发采取行动,参与到提示甚至跟进动向的过程中来。

有BSC社区人员透露,他经常潜伏在一些DeFi用户挖掘出的可疑「土狗」项目群里,「就怕这些项目上BSC链上,一旦发现异常,我都会向BSC社区反馈。」

派盾介绍,随着行业不断发展,新资金和新项目都在不断涌入,这些项目很难做到全部通过审计。同时,黑客的攻击也越来越多样化,比如,已经出现专门针对经济模型(Economic Modle)的攻击,「为杜绝假币、经济模型攻击以及跑路等安全事件的发生,安全机构、公链开发团队、社区以及CeFi等不同赛道的伙伴应该联合起来,阻止『土狗』项目作恶。」

BSC开发团队也在尝试其他方式阻止「土狗」,「比如加强与CeFi的合作。」Xiaoguang认为,在冻结资产方面,公链无法越权,但中心化交易所是可以发挥权力的主体,一旦链上失窃或跑路的资金流向中心化交易所,他们可以及时冻结资产,甚至有机会发现作恶者的身份。

「我们在几次成功追回的跑路项目的案例中,币安安全团队都为我们提供了帮助,他们第一时间响应BSC社区的需求,最大程度帮社区监控资金流向,提供技术支持。」Xiaoguang说。「但很多时候,资金不一定会流向中心化交易所,这种就非常难追。」

从定位上看,币安智能链BSC的长远目标是实现去中心化的开发平台。这就决定了,它的未来无论从节点支撑上还是社区治理上都需要过渡到去中心化。

Xiaoguang透露,BSC将在社区支持和生态发展的进程中逐渐放开节点,最终成为一个自由、开放、安全的去中心化开发平台。同时他也提醒用户,尽管做到完全去中心化,也不能保证完全杜绝作恶者,以太坊上的协议也经常被攻击,「用户在参与DeFi挖矿时尽可能地熟悉项目,BSC社区并不能保证每一次资产被盗都能找回。」

「土狗」的出现让BSC先行探索了去中心化的社区治理,也给链节点的逐渐去中心化提供了环境基础。最重要的是,这种尝试将为交易所公链驱逐「土狗」带来借鉴意义。毕竟,对于用户来说,「土狗」越少,他们参与应用才会越放心。

猜你喜欢

去中心化NFT背后:有你意想不到的中心化运作

一周前还炒得热火朝天的周杰伦相关NFT,其地板价距最高点已跌去81%。但无论如何,前段时间NFT、DAO、DEFi、Web3等区块链应用迅速出圈,走入了大众视野。

2022-01-23

BSC主网链搭建,如何在不到24小时之内同步完成?

还是老样子,在本篇文档开始之前,大概说明一下本次BSC同步的情况:

2021-12-22

说好的"去中心化"是骗人的?亚马逊云服务中断曾导致dydx等DAPP停摆

12月8日消息,衍生品协议dYdX暂停交易服务,官方称该现象的出现是因为受到了亚马逊云(AWS)宕机的影响。

2021-12-15

预测ETH L2 Rollup 的去中心化发展方向

现在的运行的Rollup都是中心化的,即执行验证L2的交易并集中将交易打包上传到L1的节点都是单一的。我觉得以后都会去中心化,即由多个节点,以某种共识机制来分配节点执行。

2021-12-14

区块链app十大排名,2021年区块链去中心化钱包排行榜

区块链app十大排名,2021年区块链去中心化钱包排行榜 这篇文章主要介绍了2021年区块链钱包排名榜TOP5盘点的相关资料,目前市面上区块链钱包很多,很多币圈小白想要使用数字钱包,结果在第一步如何选择上就犯了难,今天小编就给大家带来区块链钱包排名榜,一起来看看吧!

2021-12-12