Oyster Pearl 的故事应被理解为对所有加密货币项目的一个警示,这些项目可由特定个人访问并集中管理。_今天是好人不代表明天也是好人,控制重要合同的秘钥所有权甚至可能做到私下秘密出售。_
Oyster Pearl(PRL) 是一个在 2017 年 ICO 繁荣时期诞生的项目。它声称结合了 ETH 和 IOTA 区块链的概念,提供去中心化匿名文件存储。PRL 代币销售开始于 2017 年 10 月下旬,3 周后相对平静地结束,仅募集了 300ETH(当时约 9 万美元), 以 5000 PRL:1 ETH 的价格出售了 150 万 PRL。12 月 17 日,随着围绕加密货币的兴趣增长,Oyster 团队决定在 EtherDelta 上分 5 次卖出 2500 万个 PRL,价格在 5 美分至 9 美分之间。他们在几天里筹集了大约 175 万美元,该项目的市值超过了 200 万美元。到这个时候,已经向公众出售了代币总供应量的 47.1%。
PRL EtherDelta 代币发行。__来源:__Oyster Pearl ETHERDELTA 代币发行接近完成
__
_
__PRL 代币分配。__资料来源:__Oyster Pearl 团队更新 – William Cordes_
2018 年 1 月是 ICO 泡沫最严重的时候,Oyster Pearl 的市值超过 2.4 亿美元。每个 PRL 的价格超过了 4 美元,这意味着相对于种子轮投资者价格上涨了 66 倍,相对于 EtherDelta 售卖价格上涨了 40-80 倍,作为主要的山寨币交易所 KuCoin 的交易量非常大。今天相同的市值可以使其成为排名前 30 的代币,与 ZCash 的市值一致。
之后,与其他 ICO 一样,PRL 和 ICO 市场一起急剧崩溃。当一些无耻骗局项目退出并消失时,Oyster Pearl 似乎正在做事。他们在 Github 上发布了代码,并最终在 5 月交付了主网。一个重要变化是领导层重大变动:6 月 9 日,当时匿名的 CEO 和创始人 Bruno Block 将领导层移交给了前 CFO Bill Cordes。
从 9 月 28 日到 10 月 29 日,PRL 从 6 美分上升到 23 美分的峰值。它兑 BTC 的价格接近 2018 年第一季度的高点,据称是由于即将上线 Binance 的传言。
资料来源:__Coinmarketcap.com
在 10 月 30 日凌晨,灾难突然发生,数以百万计的 PRL 在没有任何警告的情况下突然在 KuCoin 上砸盘。
Bill Cordes 疯狂地要求 KuCoin 关闭所有 PRL 交易市场,但到关闭它们时,估计已经提出了价值 300,000 美元的 BTC 和 ETH。
KuCoin 的 PRL/BTC 价格图表。____资料来源:__https : //twitter.com/Tadleer/status/1057653185333116929
__
利用 Oyster Pearl 智能合约自成立以来一直存在的后门机制。Bruno Block 可以从另一个地址发出“ transferDirector ()”调用,重新打开 ICO 合约创建更多 PRL,并将任何 ETH 移出合约。
区块#6605271 –调用 openSale ()
区块#6605281 –从 0x0001ee57bb28415742248d946d35c7f87cfd5a54 向智能合约发送了 50 ETH 并创建 250,000 PRL:
在以下块中继续发送 ETH 创建新的 PRL:
6605299 | 50 ETH – 250,000 PRL
6605340 | 50 ETH – 250,000 PRL
6605366 | 50 ETH – 250,000 PRL
6605608 | 73 ETH – 356,000 PRL
6606268 | 186 ETH – 930,000 PRL
6606409 | 175 ETH – 875,000 PRL
6606737 | 173 ETH – 865,000 PRL
6605411 | 65.9985593 ETH
6605489 | 61.6195307 ETH
6605692 | 24.1050992 ETH
Bruno 还向 Oyster Pearl 多重签名合同存入 100 ETH,试图将注意力转移到 Oyster 团队身上。
这个漏洞始终存在,为什么 Bruno 选择等到那时候发起攻击?毕竟,如果 Bruno 在 2018 年 1 月 PRL 的价格超过 4 美元时执行了相同的计划,那么他的利润将增加 20 倍。
一种说法是,KuCoin 即将实施大笔取款的强制性 KYC 政策的消息迫使 Bruno 采取行动。在 2018 年 11 月 1 日,未经 KYC 验证的提款申请将被限制为 2 BTC / 24 小时,这将严重限制 Bruno 的攻击套现能力。
另一个理由是,他与团队中的其他成员发生了冲突,现在想报复他们。这是 Bruno 本人对他这样做的原因的解释:
资料来源:__电报群
尽管 Oyster 坚持认为智能合约通过包括 Quantstamp 在内的多次审核,但他们仍因所谓的技术原因而保留了合约的管理权限。这就是 Bruno 最终用来接管 ICO 合同并转移代币的原因。
资料来源:__Twitter
有人可能想知道,这个漏洞究竟是如何通过三次独立审计的,或者为什么社区对这种中心化程度没有保持警惕。归根结底,他们信任了团队,审计团队本身之间也有冲突。
那后来这个项目怎么样了?令人惊讶的是,它仍然在继续其愿景。Oyster 团队决定分叉为 Opacity(OPQ),这是一种今天仍在 KuCoin 上市的代币,其市值为 200 万美元,是一款功能强大的云存储产品。Binance 上市是不可能实现了,对项目声誉造成的损害是永久的和不可逆转的。Bruno Block 似乎仍在致力于开发他对 Oyster 的最初构想。他在 Telegram 中很少发布更新,最后一次更新是在 2019 年 12 月 6 日。
Oyster Pearl 的故事应被理解为对所有加密货币项目的一个警示,这些项目可由特定个人访问并集中管理。 今天是好人不代表明天也是好人,控制重要合同的秘钥所有权甚至可能做到私下秘密出售。当投资者不阅读代码,审计人员由于利益关系经常忽略一些漏洞,团队成员也过于轻视自己中心化的问题, 开源代码就很容易受到攻击 。
在过去的一年中,DeFi 领域的快速增长同样伴随着炒作。然而,在最大的 DeFi 项目中也发现了严重的漏洞:
Compound:Ameen Soleimani 指出,如果管理员私钥被泄露,则平台上的所有资金都将被盗。
Maker:Micah Zoltu 指出,持有 40,000 MKR 的人可以窃取系统中的所有 ETH 抵押品。
DyDx:用户指出,DyDx 将用户的单抵押 Dai(SAI) 强制转换为多抵押 Dai(DAI) 意味着所有资金都是托管的,如果他们愿意他们可以将用户的余额转换为无价值的代币。
这三者的共同点是,他们假设控制者是善良的,通过协议之外的激励措施,控制者不想看到项目失败。但是话又说回来,Bill 一定以为 Bruno 永远不会出卖自己的项目,他为自己的天真付出了代价。尽管当一切顺利时,团队不会有危险,但是这种机制的存在意味着这些项目始终有金融灾难的隐患。想象下 Taleb 的火鸡形象:一只火鸡一天比一天吃的饱,一天比一天胖,直到有一个感恩节,它被宰杀成一顿丰盛的大餐。
在建立无需信任协议的过程中,我们应该对实际上在假定信任的地方进行严格审查。鼓励平台隐藏这些漏洞,就相当于鼓励有恶意的人在适当的条件下利用这些漏洞,当前这些风险被低估了,只有在攻击发生后人们才会意识到这些。
原文链接:https://blog.deribit.com/insights/bruno-and-bill-a-story-of-broken-trust-while-building-a-trustless-protocol/
原文作者:Su Zhu & Hedgehog
翻译:SHOU
声明:本内容为作者独立观点,不代表 CoinVoice 立场,且不构成投资建议,请谨慎对待,如需报道或加入交流群,请联系微信:VOICE-V。
简介:找加密领域里的智慧和圣杯
评论0条