布鲁诺和比尔：构建无须信任协议时发生的信任破裂的故事

布鲁诺和比尔：构建无须信任协议时发生的信任破裂的故事

作者：@Hasu &Hedgehog

原文地址：

https://blog.deribit.com/insights/bruno-and-bill-a-story-of-broken-trust-while-building-a-trustless-protocol/

一个火鸡使用“证据”推理的故事：它不知道感恩节，而是根据过去的情况来做出“严谨”的未来预测。然后火鸡越来越肥，在感恩节当天被宰。

今天，我们将向读者讲述一个创始团队成员在启动一年后如何利用特定众包智能合约的故事。这可能会更多地改变您对智能合约空间中信任最小化和隐藏漏洞的思考方式。

卑微的开端

Oyster Pearl（PRL）是一个在2017年ICO繁荣期间诞生的项目。它声称结合了以太坊和IOTA区块链的概念，可以提供去中心化和匿名的文件存储。PRL代币销售开始于2017年10月下旬，相对低调地在三周后结束，仅筹集到300 ETH（当时约为90,000美元）来换取150万PRL，即价格为5000 PRL：1 ETH。12月17日，随着围绕加密货币的普遍乐观情绪开始增长，Oyster团队决定在EtherDelta5个独立的销售面板上卖出2500万个PRL，价格从5美分到9美分不等。在接下来的几天里，他们筹集到了大约175万美元，项目市值超过200万美元。到目前为止，已经向公众出售了代币总供应量的47.1%。

在ICO泡沫最严重的时候，2018年1月，Oyster Pearl市值超过2.4亿美元。每个PRL的价格都超过了4美元，这意味着当时的价格是种子轮价格的66倍，而EtherDelta的卖出价格则达到了40-80倍，主要的山寨币交易所KuCoin上的交易量很是疯狂。今天，如果还保有同样的市值，它将成为排名前30的代币，与ZCash的市值相当。

之后，PRL与其他ICO代币一起开始急剧崩溃，但与当时其他的ICO相比，没有任何异常之处。当一些无耻的骗局项目退出并消失时，Oyster Pearl似乎正在构建中。他们在Github上发布了代码，并最终在5月交付了主网。一个显著的发展是重大的领导层变动：6月9日，当时的匿名CEO和创始人Bruno Block将领导权移交给了前CFO Bill Cordes。

从9月28日到10月29日，PRL从6美分上涨到23美分的峰值。它同BTC的对标价格接近2018年第一季度高点，据称那次上涨是由于即将上架Binance的传言。

内部攻击

在10月30日凌晨，灾难突然发生，数以百万计的PRL在没有任何警告的情况下突然在KuCoin上被清算。

比尔·科德斯（Bill Cordes）疯狂地要求KuCoin关闭所有PRL交易对，但到关闭它们时，估计已经流出了价值300,000美元的BTC和ETH收益。

Oyster Pearl智能合约是通过一种自成立以来就存在的trapdoor机制来运行的。这使得Bruno Block可以从另一个地址发出“transDirector()”调用，以重新打开ICO合约，发行更多PRL，并将使用过的任何ETH移出合约。

1、Oyster智能合约允许合约私钥所有者在任何时候重新开放众包：

2、区块＃6605271- 调用openSale（）：

https://etherscan.io/tx/0xcd51afceea212a962398ede0787bb3fe56e6519bdf651d2d2886d8e4d9f2ce7f

3、区块＃6605281 –从以下位置向智能合约发送了50 ETH

0x0001ee57bb28415742248d946d35c7f87cfd5a54，并创建250,000 PRL

4、在以下块中继续发送ETH以创建新的PRL：

5、从KuCoin提取ETH到：0x0001ee57bb28415742248d946d35c7f87cfd5a54

6605411 | 65.9985593 ETH

6605489 | 61.6195307 ETH

6605692 | 24.1050992 ETH

黑客还向Oyster Pearl Dual Sig合约存入了100 ETH，试图将注意力转移到Oyster团队身上。

黑客的动机

鉴于这种攻击漏洞始终存在，为什么黑客选择等到特定时刻才扣动扳机？毕竟，如果黑客在2018年1月PRL的价格超过4美元时执行相同计划，他的利润将提高20倍。

原因之一是，KuCoin因即将实施强制性KYC政策而导致大撤资的消息迫使了黑客采取行动。从2018年11月1日起，非KYC提款将被限制为2 BTC / 24小时，这将严重限制黑客通过此类攻击获利的能力。

尽管Oyster团队坚持认为智能合约已经通过了包括Quantstamp在内的多次审核，但由于涉及技术原因，他们仍然保留了该合约的后门权限。 这就是黑客最终接管ICO合约并发起攻击的原因。

有人可能想知道，该漏洞如何通过了三个独立方的审核，或者为什么社区对这种中心化漏洞没有保持更高的警惕。归根结底，信任被寄托在团队身上，而团队本身也开始相互对抗。

那么项目之后发生了什么？令人惊讶的是，它仍然在执行任务。Oyster团队决定采用Opacity（OPQ），这是一种今天仍在KuCoin上市的代币，其市值为200万美元，并且具有可运行的云存储产品。Binance上币从未实现，对项目声誉造成的损害被证明是永久且不可逆转的。就其创始人而言，似乎还在继续致力于实现他对Oyster项目的最初构想。他在Telegram中发布了更新，最近一次更新于2019年12月6日发布。

摘要

Oyster Pearl的故事应被理解为是对所有加密货币项目的警告，这些项目具有可由特定个人访问的中心化管理权限功能。今天的好人可能明天就不是了，重要智能合约钥匙的所有权甚至可能会在受影响方不知情的情况下被出售。当投资者不阅读代码，审计师过于矛盾以致无法指出漏洞，团队成员过于轻视自己的中心化漏洞时，开源代码就容易受到攻击。

在过去的一年中，DeFi领域的快速增长伴随着相当数量的炒作。但是，最大的DeFi项目中的严重漏洞还是被发现了：

●Compound：Ameen Soleimani指出，如果管理员私钥被泄露，那么平台上的所有资金都将被耗尽。

●Maker: Micah Zoltu指出，持有40,000 MKR的某人可以窃取系统中所有ETH抵押品。

●Dydx：用户指出，Dydx将用户的单抵押Dai（SAI）强制转换为多抵押Dai（DAI），意味着所有资金都是被托管的，因为可能随后他们就会将用户的余额转换为毫无价值的代币.

这三者的共同点是，他们假设仁慈的大户参与者，通过协议之外的激励措施，不想看到项目失败。但是话又说回来，比尔一定以为布鲁诺永远不会出卖自己的项目，他为自己的天真付出了代价。尽管当事情进展顺利时，团队总是会消除危险，但是这种机制的存在意味着，这些项目始终是远离金融灾难的风暴之夜。塔莱布（Taleb）的火鸡形象浮现在脑海：火鸡一天天吃饱了，越来越肥，直到感恩节这一天它被宰杀，成为一顿丰盛的晚宴。

在建立无信任协议的过程中，我们应该对还没有被完全信任的地方进行严格审查。鼓励平台隐藏这些漏洞，鼓励恶意行为者在适当的条件下利用这些漏洞，这可能意味着当前风险被低估了，并且只有在攻击结束后才会更加明显。

（本文为翻译转载，仅代表原作者个人观点。原文地址：

https://blog.deribit.com/insights/bruno-and-bill-a-story-of-broken-trust-while-building-a-trustless-protocol/）

EOS Cannon往期好文精选

1、2020年加密货币展望（下）

2、比特币安全与出块补贴奖励关系模型（Part 6）

3、绿币（Vertcoin）遭受51％攻击——区块链安全案例研究

4、一些有关以太坊的数字-2019年

5、从来就没有真正的郁金香狂热

6、北美的比特币挖矿现状：新世界中的新淘金热（下）

7、莱特币的 EB MimbleWimble 提议可以使比特币的隐私受益吗？

EOS Cannon

社群官网：https://eoscannon.io

官方twitter：https://twitter.com/cannon_eos

—-

编译者/作者：等风的小胖

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。