10月30日,多鍊部署的去中心化交易應用(DEX)BXH被盜,損失了價值約1.39億美元的加密資産,此次安全事故發生在BSC鍊上的BXH協定,據該應用官方聲明顯示,以太坊、OEC鍊、Heco鍊上的BXH協定及資産未受影響,但出于安全考量,關閉了所有鍊上的對外服務。
事故發生後,根據區塊鍊安全機構慢霧科技的分析,被盜前,BXH管理錢包位址出現過「賦予攻擊合約管理權限」的操作,導緻攻擊合約通過管理權限從BXH政策池資金庫将其管理的資産轉出,被盜的部分資金已跨鍊轉移。
失竊原因一出,輿論嘩然,BXH不幸地以安全事故的方式反應了它的中文花名「笨小孩」。
有人想不通為何BXH能将資金管理權限「拱手讓黑客」,也有人質疑該應用監守自盜,該應用的王姓主導人此前的負面資訊再次被扒出。BXH其官方未就輿情進行過多回應,僅表示「私鑰洩露」,并釋出100萬美元懸賞金招攬白帽子團隊追回資金。
由于BXH已經關閉了應用的充提功能,依賴該交易所流動性的機槍池應用Coinwind也因安全排查而關閉了其在多條鍊上的充提功能,而另一個機槍池應用Earn DeFi則因Coinwind的充提暫停而關了充提。
DeFi收益能「套娃」,安全事故出現時也會産生「套娃」反應。截至發稿,上述三個應用均未開放充提功能。
BXH管理權限「被黑」遭質疑
價值1.39億美元的加密資産被盜走一天後,中原標準時間10月31日,BXH在官方社交媒體上公示了其在BSC鍊上的資金池剩餘資産,包括USDT、USDC、BTC、ETH、BUSD、MDX在内,資産殘值約餘1.84億美元左右。
目前BXH在BSC鍊上的殘值剩1.84億美元
BXH官方表示,剩餘資産的提币方案将在第三方安全聯合團隊确認事故原因和合約安全以及警方調查初步問題以後,出具資産提币公告和其他補償方案。
此前的公開資訊顯示,去中心化交易應用BXH于今年3月初始部署于火币Heco鍊,曾以「短短10天内吸引了數萬使用者以及12億美金的TVL」的成績風靡DeFi火爆期;今年7月30日正式部署在BSC鍊上,此後又在以太坊和OEC鍊上「建站」。
事發前的10月25日,BXH剛在BSC鍊上啟動了借貸池挖礦功能,結果5天後就出了事兒。
區塊鍊安全機構、BXH的審計方之一慢霧科技已在事發後給出了初步分析,據該機構情報,黑客于27日13時(UTC) 部署了攻擊合約 0x8877;接着在29日08時(UTC), BXH項目管理錢包位址 0x5614 通過 grantRole 賦予攻擊合約 0x8877管理權限;30日03時(UTC),攻擊者通過攻擊合約 0x8877 的權限從 BXH 政策池資金庫中将其管理的資産轉出;30日04時(UTC)0x5614 暫停了資金庫。「是以,BXH 本次被盜是由于其管理權限被惡意的修改,導緻攻擊者利用此權限轉移了項目資産。」
追蹤也在事發後的10月30日開始了,慢霧科技于當日的中原標準時間16時24分公告,黑客在BSC鍊上的初始獲利位址已将 4000 ETH 從 BSC 鍊轉移到 ETH 鍊,接着将300 BTCB 兌換為 renBTC,跨鍊到了兩個位址上。
如按照BXH事發後的公告,被盜資金的轉移鍊條已經在多個安全機構的追蹤中,該應用也已經釋出了100萬美元的懸賞公告,計劃招攬白帽子團隊進行資金追回。
慢霧科技的「初診」一出,網上輿論及BXH的使用者紛紛表示不解,有人疑惑,BXH的錢包管理權限為何會拱手讓予黑客,也有人将此質疑為項目方的監守自盜。BXH目前沒有應對這些輿情,僅表示「私鑰洩露」。
官方「私鑰洩露」說暴露了該交易應用在私鑰管理上的漏洞。DeFi領域的KOL神魚就有疑問,私鑰「為啥不多簽,為啥不加時間鎖」。對于這類疑惑,BXH也尚未對外給出答複,有待事後的更詳細的安全分析複盤。
媒體《巴比特》援引加密資産存管服務商安全鹭說法稱,加密資産的管理者需要更加重視單私鑰管理中帶來的安全風險,應盡快把Owner私鑰更新為多簽管理的方式,避免私鑰單點風險。而通過鍊上合約多簽或者MPC多簽,均可以實作對Owner私鑰的多簽管理。
可見,私鑰安全風險雖有,但也有技可施,掌管着使用者上億美元資産的BXH在私鑰管理上失職了。
兩個第三方機槍池連環關停充提
盡管事故發生在BSC版的BXH中,以太坊、OEC及Heco上的資産并未受到影響,但該應用出于安全考量,還是關閉了其在各個鍊上的服務功能。
BXH暫時關停服務後,DeFi「套娃」效應的暗黑一面也出現了,依賴BXH流動性的第三方機槍池應用CoinWind也在10月30日緊急地關停了其在BSC、Heco及以太坊鍊上的部分充值和提現功能。結果,另一個機槍池應用Earn DeFi的官方公告稱,因為CoinWind暫停充提,他們也停了充提。
BXH被盜的連鎖反應導緻三個應用的使用者們目前都無法取出存儲在其中的資産。
蜂巢财經登陸CoinWind應用發現,該應用确實已經暫停了充提功能,收益雖然正常計算,但本金和收益均無法正常提取。Earn DeFi同樣如此。
兩個機槍池應用接連關閉充提
10月31日,CoinWind的公告顯示,由于BXH關閉了所有主鍊的充提,目前CoinWind無法從BXH取回部分投放資金,故跟随暫停了Heco、BSC、ETH三條主鍊的充提,且相關資料暫無法準确計算。該應用表示,BXH如在确定無風險後開放Heco、ETH充提,CoinWind也将開放。現階段,Heco、ETH主鍊的CoinWind使用者的本币及收益未受到影響,該應用正在全力跟進BXH在BSC鍊本次被盜資産的追回情況、損失情況和開放充提的時間以及資産提取方案的處理進度。
CoinWind暫停充提後,Earn DeFi僅在使用者群中通過小助手發了一紙公告,官網及官方該公告顯示,由于CoinWind緊急關閉了三條鍊上的單币質押及DAO充提,Earn DeFi使用者在ETH、BTC、USDT池的充提會受到影響。具體多少資金被波及,該公告同樣沒有明說。
從雙方的公告看,機槍池應用CoinWind的投入及收益來源之一是BXH,而Earn DeFi的部分收益耕種區是CoinWind,結果,城門失火,殃及池魚。池是機槍池,魚是這些應用的使用者們。
需要關注的是,很多值得深思的細節問題也在事故發生後浮出水面。
比如,CoinWind官方社群的管理者就表示,他們與Earn DeFi并無關系,雙方沒有合作,也從未收到過對方前來存币的對接資訊,對方自事發後也沒有給出與CoinWind互動的合約位址。有CoinWind使用者認為,Earn DeFi在「甩鍋」,仍在使用該應用的使用者「要小心了」。
Earn DeFi也沒對對方的說法給出更多回應,但從其自身公告看,Earn DeFi作為機槍池「寄生」在另一個機槍池的做法多少顯得很懶惰,一般情況下,交易應用的挖礦池才應該是機槍池們擷取高收益的主要來源,結果CoinWind關充提,Earn DeFi三個主流單币池就受了影響。
再比如,有使用者對CoinWind将資産投入到屢受争議的BXH感到不滿,「早知道是投入BXH,我就不再CoinWind存币了。」使用者有此情緒皆因今年7月,BXH被多家自媒體深扒了主導成員的「不靠譜」行徑,該應用的主導者王小彬被批評連續兩年在區塊鍊領域「發币、圈錢」、「10個項目全是空氣」,而王小彬此前在網際網路領域創業時曾出現過産品跳票不發貨、公司倒閉、欠薪成老賴被限制消費等「黑曆史」。
有CoinWind使用者認為,将使用者資産投入到團隊有争議的應用中去賺取收益,已經是風險前兆。
CoinWind社群管理者針對「為什麼選BXH機槍」作出解釋稱,他們對BXH做了盡職調研,包括對接入的所有其他池子都會做調研評估,BXH的審計報告沒有問題,且基本是實名項目。「作為機槍池,我們的義務就是選擇收益高且較為可靠的池子投入,這次BXH被攻擊是由于私鑰被盜,就CoinWind而言,這确實屬于人力不可抗因素。」
BXH被盜需要反思自身的私鑰管理問題,而對機槍池來說,至少有一些使用者建議是值得這類收益管理應用們應該考慮的,特别是一個個DeFi應用都在朝着DAO發展時——公開、透明的告知使用者資金配置的去向。
不要以「機密」為由敷衍使用者,配資政策也許是機槍池的生存和競争的壁壘,但公布資金被配置設定到了哪些收益耕地中并不太影響機密政策的具體執行,讓使用者知情權和選擇權得到提前滿足,這不正是區塊鍊所倡導的精神嗎?
你是否受到了BXH事故影響?