La piattaforma di finanza decentralizzata bZX è stata spesso sotto i riflettori quest’anno, solo non per i giusti motivi. La maggior parte delle piattaforme DeFi oggi popolari, inclusa bZX, hanno iniziato il loro viaggio intorno al 2018, alla fine del boom iniziale dell’offerta di monete. Nel 2019, DeFi ha iniziato a guadagnare terreno, sebbene fosse ancora un settore in qualche modo ignorato del settore.

Man mano che la crescita continuava, iniziarono a sorgere i sospetti che i principali attacchi, tipici del settore degli asset digitali, fossero in ritardo. A causa della complessità e della novità di queste piattaforme, era ragionevole presumere che non tutte fossero impermeabili ai bug.

Quest’anno può essere definito come una testimonianza del detto: “Quando piove, diluvia”. Sfortunatamente per bZX, è diventata la prima grande piattaforma DeFi a subire un grosso hack, nel febbraio del 2020. È diventata anche la seconda piattaforma ad essere sfruttata, poiché due attacchi back-to-back hanno paralizzato il progetto e lo hanno costretto a perdere la maggior parte del boom della DeFi.

Relazionato: Gli attacchi di prestito flash BZx segnalano la fine della DeFi?

Mentre alcune altre piattaforme seguirono l’esempio, i guai di bZX non erano veramente finiti: poco dopo il suo rilancio a settembre, è stato violato ancora una volta. Sebbene possa sembrare il colpo finale per il progetto, il co-fondatore Kyle Kistner rimane ottimista sul fatto che la piattaforma si riprenderà.

“Da quando abbiamo riavuto indietro i soldi e i fondi sono al sicuro, abbiamo bloccato un intero gruppo in più di valore totale e un volume di scambi enorme”, ha detto Kistner in un’intervista a Cointelegraph. “Non siamo ancora del tutto tornati al punto in cui eravamo, ma i nostri volumi di scambio sono davvero esplosi.”

Kistner ha ribadito molte volte durante l’intervista che, nonostante tutti questi hack, la piattaforma non ha mai perso definitivamente i soldi dei suoi utenti. Le prime vittime sono state rimborsate, mentre l’hacker di settembre è stato sostanzialmente colto in flagrante attraverso l’analisi blockchain e ha restituito i soldi. Comunque sia, il viaggio di Kistner e del team bZX quest’anno è stato tumultuoso, per non dire altro.

Preso con i loro drink

Cointelegraph: Il primo hack di bZX è avvenuto il 14 febbraio mentre il team era assente alla conferenza ETHDenver. Come hai saputo dell’attacco?

Kyle Kistner: Eravamo a questo afterparty, era l’happy hour di Keep and Compound. Siamo seduti lì, stiamo parlando con Ryan [Berkun, CEO of Tellor] e mi raccontava di come aveva appena messo dei soldi in Fulcrum, mi mostrava i tassi di interesse. Ho notato che i tassi di interesse per ETH erano anormalmente alti. E io ho risposto “Oh, è davvero strano”.

Ho parlato con Tom [bZX’s CEO] su di esso e ho sentito come se qualcosa fosse davvero strano al riguardo. Più tardi nella notte abbiamo ricevuto un messaggio da Lev Livnev da DappHub, che ha notato una strana transazione, che è stata fondamentalmente quella che ha creato questo interesse molto alto sul pool iETH.

E sai, avevamo bevuto e quindi dovevamo smaltire la sbornia. È stata questa esperienza folle, erano le 11:30 di notte, stavamo festeggiando con il resto della gente del settore e all’improvviso ti trovi in ​​questa situazione molto grave. Mentre stavamo indagando, ci siamo resi conto che dobbiamo mettere in pausa l’intero sistema.

Non c’era davvero un pulsante di pausa progettato su questa cosa, ma abbiamo hackerato insieme una soluzione disabilitando la whitelist di Oracle. Questo ha funzionato per evitare che venissero presi più soldi.

Poi ho chiamato mia moglie, le ho detto “Non so come potrò affrontare le persone del settore, torna a ETHDenver, vedo tutti lì”. Per un momento ho pensato che forse avrei solo fatto le valigie e tornato a casa, ma mia moglie mi ha convinto a non farlo. Tom era solo seduto lì, catatonico per un po ‘, l’intera faccenda inondava lui.

Il secondo hack

Alla fine Kistner e il team si sono raggruppati. Sono riusciti a prendere una fortuna: il protocollo non ha diffuso automaticamente la perdita di oltre 1.100 ETH, del valore di circa $ 300.000, tra tutti gli utenti della piattaforma. Questo ha dato loro la possibilità di restituire completamente il denaro e ha permesso all’attività di continuare. “Questo ci ha dato un sacco di morale”, ha detto Kistner.

Quando il team si è presentato all’ETHDenver il giorno successivo, Kistner ha detto che “le persone si stavano congratulando con noi. C’era molto supporto, la gente diceva: “Siamo costruttori, voi costruttori, siamo tutti coinvolti in questo insieme” “.

CT: E poi è avvenuto il secondo attacco. Come l’hai scoperto?

KK: Siamo appena arrivati ​​in questo ristorante. Eravamo al ritiro sci in Colorado, abbiamo contribuito a organizzarlo e ne siamo rimasti davvero entusiasti. Abbiamo ordinato tutto questo cibo e Tom sta guardando il suo telefono: gli piace solo eseguire le diverse transazioni che sono sul sistema, soprattutto se qualcosa sembra strano o strano. Quindi ha guardato questa transazione e sembrava davvero strana perché aveva dei contratti cancellati e aveva un prestito flash e aveva fondamentalmente piccoli importi che venivano richiamati ripetutamente più e più volte.

Quindi abbiamo esaminato quella transazione e ci sono voluti circa due secondi per dire “Ok, qualcuno è stato violato”. Questo non sembra affatto giusto. Sapevamo che coinvolgeva il nostro sistema.

Quindi il cibo è arrivato, era come un centinaio di dollari di cibo per tre persone. Nel momento in cui è arrivato sul tavolo, mi sono alzato e ho detto: “Posso pagare il conto?” e porse loro la carta. Tom stava già correndo verso casa e abbiamo appena prenotato, abbiamo appena iniziato a correre nella neve e, sai, sono stati sette minuti di jogging dal ristorante a casa nostra.

Abbiamo presidiato le nostre postazioni di combattimento, messo in pausa il sistema, iniziato a valutare e diagnosticare il problema. […] A quel punto ci siamo detti “sappiamo come gestirlo, se vengono presi dei soldi non è la fine del mondo”. Sfortunatamente, poiché i fulmini hanno colpito due volte, molta della benevolenza che le persone ci offrivano prima era stata sostanzialmente erosa.

Riflettendo su cosa è andato storto

I due hack hanno costretto il team a chiudere e ricostruire il protocollo. Da allora, anche altri progetti hanno visto le vulnerabilità sfruttate, ma nessuno ha subito più attacchi in un breve lasso di tempo.

CT: Il numero di violazioni subite da bZX solleva interrogativi sulle pratiche del progetto. Potrebbe essere solo sfortuna o c’è qualcosa di più profondo in gioco?

KK: Non è una coincidenza. Quindi ci sono due cose: una è che abbiamo commesso un errore e abbiamo avuto un revisore della sicurezza che non lo ha fatto completamente [their job]. C’è un problema a cui sto cercando di arrivare qui – fondamentalmente ci sono una serie di fattori che sono entrati nel motivo per cui avevamo Kyber come oracolo [the primary vulnerability resulting in the second hack].

Era una vulnerabilità concettuale che in realtà un auditor avrebbe dovuto intercettare, ma non avremmo dovuto usarla. Sapevamo che Kyber non era ottimale, ma ci siamo quasi ostinatamente rifiutati di centralizzare l’oracolo. Non avevamo Chainlink, che potevamo semplicemente collegare in quel momento, quindi l’unica altra opzione era centralizzare l’oracolo.

Ora, il primo hack era fondamentalmente un bug a livello di errore di battitura. Penso che ciò sia dovuto alla mancanza di processi adeguati. […] Eravamo una piccola azienda. Non eravamo sostenuti da un sacco di soldi di rischio, come molti altri protocolli di prestito. Ora lo siamo, siamo un’azienda molto più grande e molto più matura.

I revisori non sono la stessa cosa

L’audit degli smart contract è considerato un passaggio cruciale prima del lancio del protocollo. I protocolli non certificati sono considerati meno sicuri, tanto che il creatore di Yearn Finance lo dice intenzionalmente smorzato l’eccitazione per il suo progetto negando il fatto che il protocollo è stato verificato.

CT: Quindi cosa è successo esattamente con l’audit del tuo codice da parte di ZK Labs?

KK: Mi sento come se qualcuno avesse bisogno di conoscere questa storia. Quindi eravamo nuovi ed eravamo una specie di verde per l’industria. Avevamo appena costruito questa versione, una del nostro protocollo, era come l’inizio del 2018. Abbiamo appena messo le nostre cose su testnet, ma non conoscevamo veramente i revisori della sicurezza nello spazio.

Quindi abbiamo chiesto in giro e prima ci siamo riferiti al gruppo Acacia. […] L’hanno individuato e in pratica hanno detto: “Siamo fuori dalla nostra profondità qui”. Quindi dovevamo trovare un auditor diverso e alla fine abbiamo trovato ZK Labs. Abbiamo pensato che ZK Labs fosse super rispettabile. […] Matthew DiFerrante [ZK Labs founder] era associato alla Fondazione Ethereum, vi aveva lavorato come ingegnere della sicurezza.

Quello che non sapevo è che dietro le quinte, a tutti gli altri auditor della sicurezza nello spazio non piaceva molto Matthew. Si sentivano come se fosse molto poco professionale e non stesse facendo un buon lavoro. […] Sembra un ragazzo intelligente, immagino, ma sembrava che avesse molte difficoltà a gestire il carico di lavoro.

Abbiamo fatto controllare il nostro protocollo da loro, ed era abbastanza chiaro che in realtà c’è solo Matthew DiFerrante a fare l’auditing. Ci ha fatto pagare circa $ 50.000, che per noi – un’azienda completamente avviata – era come un’enorme, enorme somma di denaro.

Ma abbiamo fatto del nostro meglio per raccogliere fondi e fare ciò che potevamo, e lo abbiamo fatto. Abbiamo raccolto cinquantamila per questo audit, ma sembrava che in qualche modo ci stessero prendendo in giro. […] Avevamo le nostre cose pronte per lui intorno all’inizio di marzo, ma era più vicino a settembre che era stato effettivamente fatto – e solo dopo un sacco di denti che tiravano e urlavano.

Quando abbiamo esaminato l’audit, abbiamo trovato questi errori di battitura: c’era un punto in cui c’era il nome di Chainlink invece del nostro. Non ha sostituito i nomi. E ci siamo detti, “Quanto tempo hai impiegato per audire questo? Hai davvero controllato o siamo stati truffati da ZK Labs? “