BSC「农协」围猎链上「土狗」

  • 时间:
  • 浏览:196
  • 来源:区块链技术网

币安智能链BSC链上DeFi项目「Meerkat Finance跑路事件」已告一段落,被卷走的用户资产大部分退回到了用户手里。

这是一场对作恶者的合力围猎,「猎人」一方包括社区成员、安全机构、媒体和CeFi机构,他们组成了名叫「BSC农民安全协会」的组织,计划将驱逐链上「土狗」项目作为日常的工作之一。

Meerkat Finance有跑路风险,最早的预警来自安全审计机构Peckshield派盾,他们发现该项目的合约存在漏洞,有人通过后门转走了时值3000万美元的加密资产,其中绝大部分来源于用户。

派盾通报BSC开发团队的同时,也给Meerkat Finance的合约地址打上标签,并实时监控着该项目资金池内的资产流向。

BSC核心社群即刻向全网通报相关信息,开放了追踪资金的论坛贴,方便所有用户了解事故进展,「BSC农民安全协会」也被调动起来,确定了Meerkat Finance跑路的事实。

追击「土狗」的力量逐渐扩大,慢雾、CertiK等安全审计机构也加入进来,最终,作恶者地址被锁定。在「BSC农民安全协会」加上币安的压力之下,对方同意退回用户资产。

BSC安全团队表示,如此大规模地联合社区用户、安全机构以及CeFi力量来维护生态健康,是BSC社区的一次重要尝试。

当「土狗」项目在交易所公链上频繁出现引发用户不满之时,「围猎」跑路项目Meerkat Finance的方式,为交易所公链治理「土狗」现象提供了一些参考意义。

「农协」合力围堵跑路项目

Meerkat Finance(MKAT)卷走的资产中,已经有95%退还给了用户。该项目事后发布声明称,剩下的5%将通过新产品XFarm公平分配,以这种方式抵消MKAT持有者和「MKAT-BNB池」中流动性提供者的损失。

目前,多位受害者向蜂巢财经证实,他们在上周收到了大部分本金。

「这是BSC农民安全协会合力推动的结果,这一次Meerkat事故能及时得到预警,并锁定作恶者,农协发挥了重要作用。」BSC社区相关负责人Xiaoguang介绍,今年2月,BSC社区联合派盾、CertiK等多个安全机构、媒体和社区KOL组成了「BSC农民安全协会」,这是BSC链上的DeFi安全联盟,职责之一是阻止「土狗」项目带走BSC用户的资金。

从BSC农民安全协议成员成分看,这里既有可以利用追踪系统追查资金流向的专业安全审计机构,也有可以对外及时发布消息的媒体,还有在社区内有号召力的KOL。Meerkat Finance跑路事件为BSC农民安全协会合力治理「土狗」带来了实践机会。

3月4日,Meerkat Finance自称受黑客攻击被盗走所有资产。随后,项目官网无法打开。Xiaoguang说,最先发出预警的是派盾,他们发现漏洞后及时给BSC社区反馈,同时展开工作。

派盾在接受蜂巢财经采访时回忆,3月5日晚上,派盾安全预警系统提示,DeFi项目Meerkat Finance合约金库遭遇黑客攻击,「我们的安全人员立即启动响应,通过我们旗下的反欺诈平台CoinHolmes给Meerkat Finance的合约地址打上标签。」

很快,派盾找到了问题所在——Meerkat原始合约代码中存在可升级的代理合约,合约代码留有后门,这意味着项目方转移用户资金的权限被放大,金库合约中1400万美元的BUSD和价值1760万美元的BNB的确消失了。

CoinHolmes系统实时监控着项目金库中流出的资金去向,并将每一次异动时同步给BSC及币安安全团队。

由于BUSD和BNB两种资产最大的交易市场是币安交易平台,因此BSC团队也第一时间向币安安全团队寻求技术支持,监测失窃的资金是否流入了币安,「一旦流入,请及时冻结。」

派盾的预警即刻蔓延至BSC社区,追踪资金的论坛建立起来。「这个公开的渠道可以帮助BSC链上的用户了解事件进展,我们也希望用户能参与进来,调动农民安全协会的力量,一起协助追溯失窃资金。」

安全审计机构CertiK、慢雾和Oasis Labs也开始跟进事故,展开头脑风暴寻找解决措施。事发半小时后,自媒体吴说区块链发布了Meerkat Finance的项目信息,进一步将事件进展传播至BSC社区外的社群中,以提示风险。

Meerkat Finance资金失窃,到底是黑客所为还是项目方作恶?BSC社区将答案指向了项目方。

币圈KOL「七彩神仙鱼」、「土澳大狮兄Leon」们在推特、电报群中搜索项目方消息,他们发现,Meerkat项目官方电报群已解散。项目方作恶的可能性增加。同时,KOL们也在各个社群扩散警告信息,提示用户不要再往Meerkat合约里存入资金。

有人发现,Meerkat Finance的官网正在以1万美元出售域名,这更是放大了项目方「圈钱跑路」的嫌疑。

项目方窃取用户资金的核心证据是地址,安全机构们通过追踪监测确认,失窃资金流向的地址多数属于项目方。

群体压力之下,项目方再次现身,狡称整个事件是一个实验,黑客是他们邀请来的,攻击旨在帮用户认识智能合约的风险。

这种说法显然难以取信于用户。最终,币安安全团队在BSC农民安全协会的支持下,定位到了项目方并与之联系。对于项目方来说,这意味着他们的身份已经暴露,放大了需要承担的法律风险。

3月7日,Meerkat Finance在电报社群中发声,做出退款和补偿用户的决定。BSC农民安全协会取得了这次胜利。

BSC探索社区治理

对于交易所公链开发方来说,他们无法阻挠任何前来链上部署合约的举动。

派盾认为,从币安智能链的定位上来看,它致力于打造一条公有链,也就是非许可链(Permissionless Blockchain)。在理想状态下,任何人都可以参与区块链数据维护和读取,容易部署应用程序,完全去中心化不受任何机构控制。作为一个去中心化开发平台,要实现完全的去中心化就要做到「去中心化」和「自治」。但值得注意的是,币安智能链还处于发展初期,在构建生态的过程中,可能还需要有一个「弱中心化」的过渡过程。

管还是不管?去中心化与安全如何实现平衡?BSC社区也被这个问题困扰。

「我们早就觉得,必须得做点什么了,BSC农民安全协会就是在这样的初衷下发起的。」Xiaoguang认为,社区是可以动员的强大力量,它既可以容纳安全审计机构这样的专业组织,也可以接受媒体的参与和监督,它也包罗着形形色色拥有不同技能的草根高人,点燃他们的力量,将给「土狗」带去压力。

「最开始是寻找鲸鱼,但现在最怕『鲸鱼』变『鲨鱼』。」BSC社区相关负责人Xiaoguang已经被「土狗」问题困扰许久,Meerkat Finance跑路事件的解决,多少给他带来了一些宽慰,但他依然不敢松懈,因为BSC生态正在迅速发展,安全事故会成为生态健康的威胁。

截至今年2月,BSC已支持 43个币种跨链,跨链资产总值已达 141.2 亿美元,BEP-20标准的Token 代币总市值在高峰时期达到了 50.5 亿美元。

资产跨链方便用户将手中的资产自由地在各个链上的应用中流通,但也客观上给安全维护增加了难度,链的开发方要保证跨链运转的稳定性,而安全机构在遇到项目资金失窃时也要考虑跨链追踪的可行性。

预防和提示风险是安全系统工程中十分重要的举措。

Xiaoguang表示,BSC开发团队尝试调动社区力量做用户教育,让用户间形成相互提醒,认识到DeFi挖矿是一项有门槛的投资方式,提示大家参与前做好功课和风险管控。

据悉,目前已有成员们自发制作了不同类型的挖矿指南、风险提示指南和视频课程等,来帮助新用户深入了解DeFi。一旦发生项目跑路或其他安全事故,社区会调动成员们自发采取行动,参与到提示甚至跟进动向的过程中来。

有BSC社区人员透露,他经常潜伏在一些DeFi用户挖掘出的可疑「土狗」项目群里,「就怕这些项目上BSC链上,一旦发现异常,我都会向BSC社区反馈。」

派盾介绍,随着行业不断发展,新资金和新项目都在不断涌入,这些项目很难做到全部通过审计。同时,黑客的攻击也越来越多样化,比如,已经出现专门针对经济模型(Economic Modle)的攻击,「为杜绝假币、经济模型攻击以及跑路等安全事件的发生,安全机构、公链开发团队、社区以及CeFi等不同赛道的伙伴应该联合起来,阻止『土狗』项目作恶。」

BSC开发团队也在尝试其他方式阻止「土狗」,「比如加强与CeFi的合作。」Xiaoguang认为,在冻结资产方面,公链无法越权,但中心化交易所是可以发挥权力的主体,一旦链上失窃或跑路的资金流向中心化交易所,他们可以及时冻结资产,甚至有机会发现作恶者的身份。

「我们在几次成功追回的跑路项目的案例中,币安安全团队都为我们提供了帮助,他们第一时间响应BSC社区的需求,最大程度帮社区监控资金流向,提供技术支持。」Xiaoguang说。「但很多时候,资金不一定会流向中心化交易所,这种就非常难追。」

从定位上看,币安智能链BSC的长远目标是实现去中心化的开发平台。这就决定了,它的未来无论从节点支撑上还是社区治理上都需要过渡到去中心化。

Xiaoguang透露,BSC将在社区支持和生态发展的进程中逐渐放开节点,最终成为一个自由、开放、安全的去中心化开发平台。同时他也提醒用户,尽管做到完全去中心化,也不能保证完全杜绝作恶者,以太坊上的协议也经常被攻击,「用户在参与DeFi挖矿时尽可能地熟悉项目,BSC社区并不能保证每一次资产被盗都能找回。」

「土狗」的出现让BSC先行探索了去中心化的社区治理,也给链节点的逐渐去中心化提供了环境基础。最重要的是,这种尝试将为交易所公链驱逐「土狗」带来借鉴意义。毕竟,对于用户来说,「土狗」越少,他们参与应用才会越放心。

猜你喜欢

什么是去中心化的数字身份

DiD是什么 DID(Decentralized Identifier,去中心化身份体系),作为一种新的身份标识,由传统的中心化身份衍化和派生出来,指去中介化,个人或组织完全拥有的自身数字身份的所有权,控制权以及管理权,将这部分权利完全归于用户自身。

2022-04-15

defi去中心化金融,锁仓量整体颓势,较上季度下降16%

defi去中心化金融,锁仓量整体颓势,较上季度下降16% 2022年第一季度已经结束,整个加密货币市场的表现都不太尽人意。在过去的三个月里,比特币一度从2021年底的5万美元下探至3.3万美元附近,以太坊也跌至2200美元。截至发稿前,比特币暂报41199美元。

2022-04-15

提醒:BSC上的漏洞利用(Exploits)

最近几周BSC链上出现了很多exploits(漏洞利用)特别是“闪电贷”攻击。最大的exploit是在VenusProtocol上,被盗了1亿美元。目前大量资金和流动性已经离开

2022-02-14

Yearn Finance –去中心化资产管理

YearnFinance是一个去中心化金融(DeFi)协议,它首创了资产管理为用户以稳定和高风险资产赚取被动收益。大家可以将其视为一个自动化资产管理机器人,它可将存款人的资金分

2022-02-13

【Fantom】FTM代币三大价值特性,新型DAG推动去中心化

Fantom基本资料小档案总供应量3,175,000,000当前价格USD$0.576844总市值USD$1,466,290,812市值市占率0.07%总市值排名#80历史高价

2022-02-13