风险提示:央行等十部委发布《关于进一步防范和处置虚拟货币交易炒作风险的通知》, 请读者提高风险意识。

Balancer攻击事件背后:安全团队裁员,以及中心化前端的隐忧

也许战略转变是假,熊市周期资金紧张开源节流是真

Luccy、Kaori
Luccy、Kaori
热度 ...

原文作者:Luccy、Kaori

原文来源:BlockBeats

9 月 20 日,Balancer 在新一轮攻击中损失达 23.8 万美元,慢雾区情报分析认为此次为 BGPHijacking 攻击,访问该网站链接钱包后会遭受钓鱼攻击。随后,慢雾 MistTrack 表示 Balancer 攻击者费用来自网络钓鱼组织 Angel Drainer。目前,Balancer 表示前端已恢复安全并重新由 Balancer DAO 控制。

BGPHijacking,也称为 BGP 路由劫持,这是一种前端攻击手段。在 BGPHijacking 攻击中,攻击者通过发送虚假的 BGP 路由更新信息,使其他路由器将流量引向错误的方向,从而实现流量的窃听、篡改或中断。简单地说,网站能够发送垃圾邮件批准交易,从而允许恶意合约转移用户的所有资金。

这也是与以往攻击事件最大的不同之处——攻击瞄准了 Balancer 前端。

OpCo、Orb Collective,和发展战略转变的代价

值得注意的是,在此次攻击前,Balancer 还有一则重要新闻,4 月 14 日,Balancer 的服务提供商 Balancer OpCo 宣布已解雇了两名工程师并减少了运营预算。

Balancer OpCo 是 Balancer 基金会的全资子公司,为 Balancer 提供管理和运营服务提供商以及前端开发和工程工作流程。从去年 8 月至今年 6 月,在 Balancer DAO 中涉及 Balancer OpCo 的 7 条提案显示,其中 5 条提案均显示通过,除了团队进行融资外,还另将 25 万 BAL 转移给 OpCo,以便 OpCo 能够致力于代币的私人销售。目前,为平台下一年份运行进行融资的提案也在初步讨论阶段。

然而,随着协议将重点转向改善用户界面和营销,Balancer OpCo 人员数量也随之减少。为此,Balancer 将建立一个专门的营销团队 Orb Collective,负责讨论 Balancer 如何与平台用户合作的机制,通过合作伙伴关系、营销、集成、设计和人员运营工作来促进 Balancer 协议的发展,以扩大 Balancer 协议的全球采用率。去年 8 月,Orb Collective 正式推出,团队表示新的推广策略还将采用「加密 Twitter 原生声音」。

值得注意的是,今年 4 月,Balancer 治理在提案中更新了 Orb Collective 的财务计划,以续签 Certora 的智能合约审计合同,自 2023 年第二季度开始从 Orb Collective 的预算中分配给 OpCo,目的是保证 Balancer 用户的资金安全。但 Balancer DAO 社区成员以近 80% 的比例否定了 Balancer OpCo Limited 进行智能合约审计的提案,这也是在 7 条提案中唯一被否定的提案。

Balancer

同月,Coindesk 发表了一篇名为《DeFi 协议 Balancer 在战略转向之际削减预算和员工人数》的文章,称 Balancer 将做出战略调整。据文章报道,Balancer OpCo 团队在今年 4 月有 20 多人参加的 Discord 电话会议上透露,该公司已解雇了两名工程师并减少了运营预算。

Orb Collective 首席执行官 Jeremy Musighi 表示:「我们为 Balancer 品牌制定了新愿景,对此我们感到非常兴奋。」「与此同时,我们一直在对营销团队人员进行一些调整,以确保我们有合适的人员来执行这一新愿景。」2022 年第三季度,Orb 团队申请了 7.6 万美元的运营预算,想要在社交平台、播客、社区关系维护等方面为 Balancer 拓展声量。第四季度,预算申请提案声称由于处于熊市周期,Orb 团队的运营预算只有 4.8 万美元,几乎下降了 50%。

关于【Balancer攻击事件背后:安全团队裁员,以及中心化前端的隐忧】的延伸阅读

  • Aura Finance:在 Optimism 上推动 LST 流动性增长的新策略

    Aura Finance 是一个连接并建立在 Balancer 协议之上的流动性层。

  • DWF Ventures:Ton 生态全解析

    Notcoin和其他小程序在加密迷你应用程序时代广受欢迎,其中@ton_blockchain通过Telegram拥有强大的分销渠道。该平台类似于微信小游戏,用户可以轻松访问和互动。著名的点击赚钱游戏@thenotcoin已吸引了数千万用户,DeFi在过去两个月迅速崛起,@ton_blockchainDeFi TVL增长了13倍,超过4亿美元。领先的DEX包括@ston_fi和@dedust_io,流动质押平台@tonstakers和@bemo_finance表现突出,@Tether_to的合作伙伴关系扩展了@ton_blockchain上的USDT,并推动了Telegram上的支付。生态系统得到了@ton_starter启动平台和2.5亿美元的TON生态系统基金的支持。

同时,团队表示这是为了改革品牌战略,未来会将重点转向改善其用户界面和营销。这个消息公布时,Balancer 面临了一些市场压力,也许正是这次前端裁员行动,给攻击者提供了另辟蹊径的机会。

这次 Balancer 的前端遭攻击,很难不将其和智能合约审计提案未通过以及前端人员被裁联系起来。也许战略转变是假,熊市周期资金紧张开源节流是真。

中心化前端的隐忧

除了 Balancer 团队内部的原因,此次攻击同样引起了社区对 DeFi 协议中心化前端的担忧。

DeFi 发展史中,由于前端受到攻击而造成损失的事件并不多见,2021 年 12 月,去中心化组织 Badger DAO 的网站前端代码里面被注入了一系列的恶意代码,攻击者可以在用户不知情的情况下确认交易将代币转走。2022 年 5 月,Cronos 生态 DEX MM.Finance 遭到前端攻击,黑客利用 DNS 漏洞从用户那里窃取超过 200 万美元的资产。

上一次大规模讨论去中心化前端还是因为 Tornado Cash 遭受制裁,前端被封禁。但如今前端还承受着安全压力。针对前端攻击有人认为 ENS 可能是一个解决方案,但 ENS 域名解析是「中心化」的,因此用其抵御「对去中心化的攻击」并不是非常现实。

尽管 DeFi 合约一旦部署不可篡改不可撤回,理论上来说不会受到人为干预,但目前绝大多数前端仍是通过传统架构实现,虽然网页自身也在不断在进化和发展,但域名 、 网络服务 、 服务器 、 存储服务等方面都存在很多潜在的威胁,同时针对前端的攻击往往容易被开发者忽视。

Balancer

作为 DeFi OG 的 Balancer 如今也受到前端攻击,由此社区出现了呼吁搭建去中心化前端的声音。不过,这样的声音并不是太多,相比于 Uniswap 和 Tornado Cash 的前端被封禁激起的热度,目前针对黑客攻击前端我们普通用户需要做些什么,仍需加密行业持续进行探索。

免责声明:本文仅代表作者个人观点,不代表链观CHAINLOOK立场,不承担法律责任。文章及观点也不构成投资意见。请用户理性看待市场风险,以及遵守所在国家和地区的相关法律法规。
图文来源:Luccy、Kaori,如有侵权请联系删除。转载或引用请注明文章出处!

标签:

分享至
https://www.chainlook.cn/toutiao/1695271809.html

下一篇:

Alameda 前员工回忆:一次「胖手指」交易导致的数千万美元亏损

比特币闪崩事件一直是公众心目中的一个谜。你将知道了谁该为此负责,以及幕后发生了什么。

免责声明:
链观CHAINLOOK作为区块链技术应用与Web3行业研究的智库媒体,旨在为中国区块链专家、学者们提供最新的行业资讯信息与数据样本,用于区块链技术研究与创新。本站所发布的文章仅代表作者的个人观点,不代表链观CHAINLOOK官方立场,本站所发布的区块链行业研究报告与数据分析成果是通过人工智能算法对数据内容进行分析与归纳生成,不代表任何投资暗示与建议,链观CHAINLOOK不承担法律责任。

风险提示:
虚拟货币不具有法定货币等同的法律地位,参与虚拟货币投资交易存在法律风险,链观CHAINLOOK坚决反对各类代币炒作,请读者提高风险意识,理性看待区块链技术应用及市场风险。

© 链观CHAINLOOK All Rights Reserved. 京ICP备18054193号-5