Balancer攻擊事件背後:安全團隊裁員和中心化前端的隱憂

2023-09-21 16:09:38

原文作者:Luccy、Kaori,BlockBeats

原文編輯:Jack,BlockBeats

9 月 20 日, Balancer 在新一輪攻擊中損失達 23.8 萬美元,慢霧區情報分析認為此次為 BGPHijacking 攻擊,訪問該網站鏈接錢包後會遭受釣魚攻擊。隨後,慢霧 MistTrack 表示 Balancer 攻擊者費用來自網絡釣魚組織 Angel Drainer。目前,Balancer 表示前端已恢復安全並重新由 Balancer DAO 控制。

BGPHijacking,也稱為 BGP 路由劫持,這是一種前端攻擊手段。在 BGPHijacking 攻擊中,攻擊者通過發送虛假的 BGP 路由更新信息,使其他路由器將流量引向錯誤的方向,從而實現流量的竊聽、篡改或中斷。簡單地說,網站能夠發送垃圾郵件批准交易,從而允許惡意合約轉移用戶的所有資金。

這也是與以往攻擊事件最大的不同之處——攻擊瞄准了 Balancer 前端。

OpCo、Orb Collective ,和發展战略轉變的代價

值得注意的是,在此次攻擊前,Balancer 還有一則重要新聞, 4 月 14 日,Balancer 的服務提供商 Balancer OpCo 宣布已解僱了兩名工程師並減少了運營預算。

Balancer OpCo 是 Balancer 基金會的全資子公司,為 Balancer 提供管理和運營服務提供商以及前端开發和工程工作流程。從去年 8 月至今年 6 月,在 Balancer DAO 中涉及 Balancer OpCo 的 7 條提案顯示,其中 5 條提案均顯示通過,除了團隊進行融資外,還另將 25 萬 BAL 轉移給 OpCo,以便 OpCo 能夠致力於代幣的私人銷售。目前,為平臺下一年份運行進行融資的提案也在初步討論階段。

然而,隨着協議將重點轉向改善用戶界面和營銷,Balancer OpCo 人員數量也隨之減少。為此,Balancer 將建立一個專門的營銷團隊 Orb Collective,負責討論 Balancer 如何與平臺用戶合作的機制,通過合作夥伴關系、營銷、集成、設計和人員運營工作來促進 Balancer 協議的發展,以擴大 Balancer 協議的全球採用率。去年 8 月,Orb Collective 正式推出,團隊表示新的推廣策略還將採用「加密 Twitter 原生聲音」。

值得注意的是,今年 4 月,Balancer 治理在提案中更新了 Orb Collective 的財務計劃,以續籤 Certora 的智能合約審計合同,自 2023 年第二季度开始從 Orb Collective 的預算中分配給 OpCo,目的是保證 Balancer 用戶的資金安全。但 Balancer DAO 社區成員以近 80% 的比例否定了 Balancer OpCo Limited 進行智能合約審計的提案,這也是在 7 條提案中唯一被否定的提案。

同月,Coindesk 發表了一篇名為《 DeFi 協議 Balancer 在战略轉向之際削減預算和員工人數 》的文章,稱 Balancer 將做出战略調整。據文章報道,Balancer OpCo 團隊在今年 4 月有 20 多人參加的 Discord 電話會議上透露,該公司已解僱了兩名工程師並減少了運營預算。

Orb Collective 首席執行官 Jeremy Musighi 表示:「我們為 Balancer 品牌制定了新愿景,對此我們感到非常興奮。」「與此同時,我們一直在對營銷團隊人員進行一些調整,以確保我們有合適的人員來執行這一新愿景。」 2022 年第三季度,Orb 團隊申請了 7.6 萬美元的運營預算,想要在社交平臺、播客、社區關系維護等方面為 Balancer 拓展聲量。第四季度,預算申請提案聲稱由於處於熊市周期,Orb 團隊的運營預算只有 4.8 萬美元,幾乎下降了 50% 。

同時,團隊表示這是為了改革品牌战略,未來會將重點轉向改善其用戶界面和營銷。這個消息公布時,Balancer 面臨了一些市場壓力,也許正是這次前端裁員行動,給攻擊者提供了另闢蹊徑的機會。

這次 Balancer 的前端遭攻擊,很難不將其和智能合約審計提案未通過以及前端人員被裁聯系起來。也許战略轉變是假,熊市周期資金緊張开源節流是真。

中心化前端的隱憂

除了 Balancer 團隊內部的原因,此次攻擊同樣引起了社區對 DeFi 協議中心化前端的擔憂。

DeFi 發展史中,由於前端受到攻擊而造成損失的事件並不多見, 2021 年 12 月,去中心化組織 Badger DAO 的網站前端代碼裏面被注入了一系列的惡意代碼,攻擊者可以在用戶不知情的情況下確認交易將代幣轉走。2022 年 5 月, Cronos 生態 DEX MM.Finance 遭到前端攻擊,黑客利用 DNS 漏洞從用戶那裏竊取超過 200 萬美元的資產。

上一次大規模討論去中心化前端還是因為 Tornado Cash 遭受制裁,前端被封禁。但如今前端還承受着安全壓力。針對前端攻擊有人認為 ENS 可能是一個解決方案,但 ENS 域名解析是「中心化」的,因此用其抵御「對去中心化的攻擊」並不是非常現實。

盡管 DeFi 合約一旦部署不可篡改不可撤回,理論上來說不會受到人為幹預,但目前絕大多數前端仍是通過傳統架構實現,雖然網頁自身也在不斷在進化和發展,但域名 、 網絡服務 、 服務器 、 存儲服務等方面都存在很多潛在的威脅,同時針對前端的攻擊往往容易被开發者忽視。

作為 DeFi OG 的 Balancer 如今也受到前端攻擊,由此社區出現了呼籲搭建去中心化前端的聲音。不過,這樣的聲音並不是太多,相比於 Uniswap 和 Tornado Cash 的前端被封禁激起的熱度,目前針對黑客攻擊前端我們普通用戶需要做些什么,仍需加密行業持續進行探索。

鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。

推薦文章

比特幣跌破9.5萬、以太坊失守3300美元,本週聖誕節市場避險情緒濃厚

比 特幣週六最高從 92,268 美元反彈到 9.95 萬美元之後,又開始一波震盪下跌,撰稿當下最...

Joe
2 2小時前

加密貨幣交易中的心理關口:恐懼與貪婪如何影響市場?

在加密貨幣市場中,交易心態對行為有著深遠的影響,這大大影響著價格波動和交易決策。本文源自 Abdu...

白話區塊鏈
2 2小時前

為慶祝聖誕,Elfbird精靈鳥推出限量版聖誕鳥

在衆多加密貨幣大幅下跌之際,Elfbird 精靈鳥以其優異玩法設計和豐厚收益仍然吸引了許多玩家參與...

星球日報
2 2小時前

Web3.0安全开發實踐:探索比特幣DeFi生態中的PSBT

近年來,部分籤名比特幣交易(PSBT)在比特幣生態系統中獲得了顯著關注。隨着如Ordinal和基於...

CertiK
2 2小時前

24H熱門幣種與要聞 | Michael Saylor發布數字資產框架提案;Azuki疑似即將發幣(12.23)

24 H 熱門幣種 1、CEX 熱門幣種 CEX 成交額 Top 10 及 24 小時漲跌幅: B...

星球日報
2 2小時前

從銘文賽道看AI Agent敘事:有哪些潛在發展演變邏輯和投資機會?

原文作者:Haotian 可能大家都感覺這一輪 AI Agent 敘事推進像極了 23 年以來的銘...

星球日報
2 2小時前