Belt“失足”两次了。
5月30日,BSC上的机枪池+稳定币兑换平台皮带遭到黑客攻击,损失约620万USD。现在,平台上的4belt基金池已中止提存。对于这起事件导致的资金损失,政府没给予任何赔偿手段。
这是贝尔特在两个月内遭受的第二次攻击,也是本月BSC遭受的第13次攻击。
上一次贝尔被撞是在4月21日,金星忽然收取退市费,贝尔没准时调整方案,致使平台上提供稳定币LP的投资者本金损失。此后,贝尔特将V2升级,从单一策略模式调整为多策略模式。此次,4belt资金池资金受损,该资金池投资者本金损失约6%。至于上次导致的损失,贝尔到今天还没拿出任何赔偿策略。
事件发生后,区块链安全公司peckshield和区块研究职员飞速介入跟踪剖析。这种攻击来自于攻击者多次交易busd,借助beltlipsbusd方案平衡计算中的漏洞,操纵beltbushd的价格牟利。所有失窃巴士通过1inch V3转换成2680 以太币(约600万USD),然后通过nerve(anyswap)交叉连接桥分批转换成以太币,其中1463 以太币现在尚未离开交叉连接桥。
BSC的官方twitter也专门就这个问题发了微博,称一些黑客组织针对BSC,呼吁BSC的项目做好安全工作,加大与审计企业的合作。
伴随BSC黑客事件的中心化爆发,质疑ceDeFi的声音第三高涨。同时,因为pancakeswap一再为闪电贷款攻击提供资金支持,需要关闭闪电贷款功能的声音也特别高。
ceDeFi安不安全?
在2022年的DeFi热潮中,以Binance、火币等中心化交换机为代表的BSC、heco等DeFi公链将飞速崛起。与ETH的去中心化相比,交易平台支持的这类公共公链被批评为中心化,但更容易取得散户投资者的信赖。他们会下意识地觉得,项目方可以去这类交流会上讨论。当然,这个想法非常幼稚。
在2022年coindesk的共识会议上,Binance的一位员工明确表示,BSC是未经许可的基础设施,其他人都可以部署该项目。至于黑客借助项目本身的漏洞发动攻击,则是整个DeFi行业的难点。不可能期望平衡计分卡回滚。
同时,Binance的开创者CZ在同意采访时表示:
“BSC是一个独立的区块链,Binance没控制权。尽管Binance确实为很多BSC项目提供资金并从中受益,但它们都是独立运行的。假如我和这类项目方谈,他们会和我谈,但我目前基本上不会在BSC上和项目方谈。”
事实上,在BSC的早期开发中,Binance确实帮助了用户收购资金。
2022年十月13日,在BSC上启动AMM平台葡萄酒互换。在启动后的一个小时内,所有些资金都被拿走了,致使用户损失超越34.5万USD。在此次事件中,失去控制项目方的部分资金通过Binance大桥转出。之后,Binance安全团队、OTC团队、财务团队、BSC团队和Binance桥接团队帮助用户收回资金。
这一事件的象征意义大于实质意义。一是涉案金额不大。第二,平衡计分卡在进步初期需要树立安全靠谱的品牌形象。此后,Binance帮助用户追回赃款的案件鲜有报道,尤其是今年4月发生的铀攻击事件,导致的损失高达5700万USD,是BSC迄今为止最大的损失。
Binance什么都不做并不奇怪,由于在早期,BSC的资金转移一般需要经过Binance桥或Binance交易平台,Binance比较容易锁定资金。譬如,今年3月猫鼬金融的捐款跑路,Binance安全团队密切监控资金流向,一旦流向Binance交易网站,资金就会被冻结。同时,为了防止资金转移到其他区块链,Binance桥一度关闭。最后,在Binance、区块链安全公司和社区KOL的一同帮助下,项目方归还了资金。
然而,DeFi的进步非常快。伴随愈加多去中心化的跨链设施的出现,如anyswap和nerve,Binance没办法控制BSC上的资金。一旦黑客通过这类去中心化的跨链协议将资金转移到ETH,就非常难收回资金。
因此,BSC官员建议在这类去中心化的跨链协议中引入黑名单机制或其他策略来应付黑客攻击。
是不是要关闭迅速贷款功能?
针对第二轮BSC的闪贷攻击大多来自于pancakeswap的闪贷功能。
Pancakeswap是UNI的一个分支,支持UNI V2支持的所有功能,包含flash loan。但,对于一般用户来讲,并不了解这个功能。
Lightning loan是DeFi的一项重大革新,它允许用户不需要任何抵押贷款就能借钱,只须一块一块归还就好。依据UNI文件,闪贷的初衷是帮助资金不足的开发者完成资金套利或提升贷款协议的杠杆效率。不幸的是,目前闪电贷款已经成为黑客空手套白狼的工具,而且已经声名狼藉。
虽然有人呼吁pancakeswap取消闪贷的功能,但pancakeswap觉得闪贷本身是中性的,具备继续存在的意义。
贝尔如何讲解?
在上一次金星佣金事件中,贝尔没准时调整方案,致使用户资金流失。回顾那次事件,金星和贝尔特都有责任。维纳斯不看重社区伙伴。在调整策略时,只在Twitter和telegraph group上发布通知,无人提前去迎接项目方,特别是belt的大顾客。在维纳斯几次正式宣布之后,贝尔仍然漠不关心,没准时调整方案。
事件发生后,受伤的投资者向贝尔特需要赔偿,但贝尔特觉得这不是他的错。他一直在和维纳斯争论,到现在为止还没为平台上的用户提出补偿策略。
在这次事件中,贝尔特和稳定币兑换协议埃利普西斯菲之间发生了问题。贝尔特把4贝尔特的资金存放在他的机枪池中,然后用机枪池储存埃利普西斯菲。然而,它没考虑到埃利普西斯菲的稳定币不是1:1,而且存在价格差异。这给黑客提供了发动闪贷攻击的漏洞。同时,埃利普西斯菲也明确表示,错误在于贝尔特的策略。
从早上到目前,贝尔的官方twitter上只发布了两条twitter。中国官方微信群已被炒成一锅粥,投资者情绪激烈。个人投资者表示,一旦解禁,他们将永远退出贝尔特。在电报集团,管理职员说资金是安全的,项目方正在拟定赔偿计划,报告非常快就会公布。
我期望这次贝尔能拿出一个让投资者认可的补偿策略。
