5月30日,BSC上的機槍池+穩定幣兌換平台Belt遭黑客攻擊,損失金額在620萬美元左右,目前平台上的4Belt資金池已經暫停提款和存款,對於本次事件造成投資人的資金損失,官方還未給出補償措施。

這是Belt兩個月以來遭受的第二次打擊,同時也是BSC本月發生的第13次攻擊事件。

Belt上一次被打擊發生在4月21日,Venus突然收取提款費,Belt沒有及時調整策略,致使平台上提供穩定幣LP的投資人都遭受本金損失。此後Belt升級V2,由單策略模型調整為多策略模型,這次受損的是4Belt資金池中的資金,存放在這個資金池的投資人的本金虧損大約在6%。對於上次造成的損失,Belt迄今沒有拿出任何補償方案。

事件發生後,區塊鏈安全公司PeckShield以及The Block研究人員等迅速介入追踪和分析。此次攻擊源於攻擊者通過重複買入賣出BUSD,利用bEllipsisBUSD 策略餘額計算中的漏洞操縱beltBUSD 的價格進行獲利。所有被盜的BUSD 通過1inch v3 轉換為2680個ETH(約600萬美元),再通過Nerve(Anyswap)跨鏈橋將所獲資產分批次轉換為ETH,其中有1463 個ETH 目前還沒有離開跨鏈橋。

BSC官方推特也專門就此事發布推文,認為是有黑客組織盯上了BSC,呼籲BSC上的項目做好安全防範,並與審計公司等加強合作。

隨著BSC上的黑客事件的集中爆發,質疑CeDeFi的聲音再次泛起,同時由於Pancakeswap屢次為閃電貸攻擊提供資金支持,要求關閉閃電貸功能的呼聲也很高。

1

CeDeFi更安全嗎?

在2020年的DeFi熱潮中,以幣安、火幣等為代表的中心化交易所構築的BSC、HECO等DeFi公鏈迅速崛起。相比以太坊的去中心化,這些由交易所支持的公鏈存在中心化的詬病,但也因此更容易贏得散戶的信賴。他們會下意識地認為,項目方跑路可以找這些交易所討說法。當然,這種想法是天真的。

在CoinDesk2021年共識大會上,幣安的一位工作人員就明確表示,BSC 是一種無需准入許可的基礎設施,任何人都可以部署項目。至於黑客利用項目本身漏洞發起攻擊是整個DeFi行業存在的難題,指望BSC回滾是不可能的。

同時,幣安創始人CZ也在接受采訪時表示:

“BSC是獨立的區塊鏈,幣安沒有控制權。儘管幣安確實資助了很多BSC項目,並從中受益,但這些項目都是獨立運行的。如果我跟這些項目方聊,他們確實會和我聊,但我現在基本上不和BSC上的項目方聊了。”

實際上在BSC發展早期,幣安確實有過幫助用戶追回資金的案例。

2020年10月13日,AMM平台Wine Swap在BSC上線,上線一小時內就捲走全部資金,導致用戶損失逾34.5萬美元。在這次事件中,跑路的項目方的一部分資金是通過幣安橋轉移出去的。事後,幣安安全團隊、OTC團隊、財務團隊、BSC團隊以及幣安橋團隊協助用戶追回資金。

這件事象徵意義大於實際意義,一來是涉及金額不大,二來是BSC在發展早期需要樹立安全可靠的品牌形象。隨後關於幣安協助用戶追回被盜資金的案例就鮮有報導,尤其是4月份發生的uranium被攻擊事件,損失金額多達5700萬美元,是BSC迄今損失金額最大的項目。

這也不能怪幣安無所作為,因為在早期,BSC上的資金轉移出來通常需要通過幣安橋或者幣安交易所,幣安很容易對資金鎖定。比如發生在3月的Meerkat Finance捐款跑路事件,幣安安全團隊密切監測資金流向,一旦流向幣安交易平台就會凍結。同時,為了避免資金被轉移到其他區塊鏈,幣安橋一度被關閉。最終在幣安、區塊鏈安全公司以及社區KOL的共同協助下,涉事項目方歸還了資金。

但是,DeFi的發展是飛速的。隨著諸如anyswap、nerve等越來越多的去中心化的跨鏈設施出現,幣安對BSC上的資金掌控變得力不從心,黑客一旦通過這些去中心化的跨鏈協議轉移資金到以太坊,很難追回。

因此,BSC官方今天建議,對這些去中心化的跨鏈協議上引入黑名單機製或者其他方案,應對黑客攻擊。

2

要關閉閃電貸功能嗎?

复盤BSC上出現的閃電貸攻擊,源頭幾乎全部指向pancakeswap的閃電貸功能。

PancakeSwap是Uniswap的分支,並支持Uniswap V2支持的所有功能,其中包括閃電貸。只不過,對於普通用戶而言, 是感知不到這個功能的。

閃電貸是DeFi的一大創新,允許用戶在無任何抵押的前提下借出資金,只要在一個區塊內歸還即可。按照uniswap文檔的介紹,閃電貸的初衷是幫助沒有足夠資金的開發者完成資本套利或者提高借貸協議的槓桿效率。遺憾的是,如今閃電貸成為了黑客空手套白狼的工具,開始變得臭名昭著。

雖然有人呼籲Pancakeswap取消閃電貸功能,但pancakeswap認為,閃電貸本身是中性的,有繼續存在的意義。

3

Belt如何交代?

在上次Venus受手續費事件中,Belt沒有及時調整策略導致用戶資金受損。回顧那次事件,Venus和Belt都有責任,Venus不重視社區合作夥伴,策略調整時只是在推特和電報群發佈公告,而沒有一家家去提前和涉及的項目方打招呼,尤其是Belt這個大客戶。 Belt在Venus官方數次公告後,依然無動於衷,沒有及時調整策略。

事發後,受傷害的投資人找Belt賠償,但Belt認為錯不在自己,和Venus一直扯皮,至今沒有給平台上的用戶拿出補償方案。

這次事件中,問題發生在Belt和穩定幣兌換協議Ellipsisfi之間,Belt把4belt的資金存到自己的機槍池,然後在用機槍池去存在Ellipsisfi,但是沒有考慮到Ellipsisfi的穩定幣並不是1 :1取出,是有價格差的。這給了黑客發起閃電貸攻擊的漏洞。同時,Ellipsisfi也明確表示,錯誤在於Belt 的策略。

從早上到現在,Belt官方推特僅發布了兩條推文。中文官方微信群已經炒成一鍋粥,投資人情緒激烈,個別投資人表示一旦放開提款,將永遠退出Belt。在電報群,管理員表示資金是安全的,項目方正在製定補償計劃,並將很快發布報告。

希望這一次,Belt能拿出讓投資人滿意的補償方案。