Oyster Pearl的故事应被理解为对所有加密货币项目的一个警示,这些项目可由特定个人访问并集中管理。今天是好人不代表明天也是好人,控制重要合同的秘钥所有权甚至可能做到私下秘密出售。
低调的开始
Oyster Pearl(PRL)是一个在2017年ICO繁荣时期诞生的项目。它声称结合了ETH和IOTA区块链的概念,提供去中心化匿名文件存储。PRL代币销售开始于2017年10月下旬,3周后相对平静地结束,仅募集了300ETH(当时约9万美元), 以5000 PRL:1 ETH的价格出售了150万PRL。12月17日,随着围绕加密货币的兴趣增长,Oyster团队决定在EtherDelta上分5次卖出2500万个PRL,价格在5美分至9美分之间。他们在几天里筹集了大约175万美元,该项目的市值超过了200万美元。到这个时候,已经向公众出售了代币总供应量的47.1%。
2018年1月是ICO泡沫最严重的时候,Oyster Pearl的市值超过2.4亿美元。每个PRL的价格超过了4美元,这意味着相对于种子轮投资者价格上涨了66倍,相对于EtherDelta售卖价格上涨了40-80倍,作为主要的山寨币交易所KuCoin的交易量非常大。今天相同的市值可以使其成为排名前30的代币,与ZCash的市值一致。
之后,与其他ICO一样,PRL和ICO市场一起急剧崩溃。当一些无耻骗局项目退出并消失时,Oyster Pearl似乎正在做事。他们在Github上发布了代码,并最终在5月交付了主网。一个重要变化是领导层重大变动:6月9日,当时匿名的CEO和创始人Bruno Block将领导层移交给了前CFO Bill Cordes。
从9月28日到10月29日,PRL从6美分上升到23美分的峰值。它兑BTC的价格接近2018年第一季度的高点,据称是由于即将上线Binance的传言。
内部攻击
在10月30日凌晨,灾难突然发生,数以百万计的PRL在没有任何警告的情况下突然在KuCoin上砸盘。
Bill Cordes疯狂地要求KuCoin关闭所有PRL交易市场,但到关闭它们时,估计已经提出了价值300,000美元的BTC和ETH。
利用Oyster Pearl智能合约自成立以来一直存在的后门机制。Bruno Block可以从另一个地址发出“ transferDirector()”调用,重新打开ICO合约创建更多PRL,并将任何ETH移出合约。
1.Oyster智能合约允许合约私钥所有者在任何时候重新开放众筹:
2.区块#6605271 –调用openSale()
3.区块#6605281 –从 0x0001ee57bb28415742248d946d35c7f87cfd5a54 向智能合约发送了50 ETH 并创建250,000 PRL:
4.在以下块中继续发送ETH创建新的PRL:
-
6605299 | 50 ETH – 250,000 PRL
-
6605340 | 50 ETH – 250,000 PRL
-
6605366 | 50 ETH – 250,000 PRL
-
6605608 | 73 ETH – 356,000 PRL
-
6606268 | 186 ETH – 930,000 PRL
-
6606409 | 175 ETH – 875,000 PRL
-
6606737 | 173 ETH – 865,000 PRL
5.从KuCoin提取ETH到0x0001ee57bb28415742248d946d35c7f87cfd5a54:
-
6605411 | 65.9985593 ETH
-
6605489 | 61.6195307 ETH
-
6605692 | 24.1050992 ETH
Bruno 还向Oyster Pearl多重签名合同存入100 ETH,试图将注意力转移到Oyster团队身上。
Bruno 的动机
这个漏洞始终存在,为什么Bruno选择等到那时候发起攻击?毕竟,如果Bruno在2018年1月PRL的价格超过4美元时执行了相同的计划,那么他的利润将增加20倍。
一种说法是,KuCoin即将实施大笔取款的强制性KYC政策的消息迫使 Bruno 采取行动。在2018年11月1日,未经KYC验证的提款申请将被限制为2 BTC / 24小时,这将严重限制Bruno的攻击套现能力。
另一个理由是,他与团队中的其他成员发生了冲突,现在想报复他们。这是 Bruno 本人对他这样做的原因的解释:
尽管Oyster坚持认为智能合约通过包括Quantstamp在内的多次审核,但他们仍因所谓的技术原因而保留了合约的管理权限。这就是Bruno最终用来接管ICO合同并转移代币的原因。
有人可能想知道,这个漏洞究竟是如何通过三次独立审计的,或者为什么社区对这种中心化程度没有保持警惕。归根结底,他们信任了团队,审计团队本身之间也有冲突。
那后来这个项目怎么样了?令人惊讶的是,它仍然在继续其愿景。Oyster团队决定分叉为Opacity(OPQ),这是一种今天仍在KuCoin上市的代币,其市值为200万美元,是一款功能强大的云存储产品。Binance上市是不可能实现了,对项目声誉造成的损害是永久的和不可逆转的。Bruno Block似乎仍在致力于开发他对Oyster的最初构想。他在Telegram中很少发布更新,最后一次更新是在2019年12月6日。
思考
Oyster Pearl的故事应被理解为对所有加密货币项目的一个警示,这些项目可由特定个人访问并集中管理。今天是好人不代表明天也是好人,控制重要合同的秘钥所有权甚至可能做到私下秘密出售。当投资者不阅读代码,审计人员由于利益关系经常忽略一些漏洞,团队成员也过于轻视自己中心化的问题, 开源代码就很容易受到攻击 。
在过去的一年中,DeFi领域的快速增长同样伴随着炒作。然而,在最大的DeFi项目中也发现了严重的漏洞:
-
Compound:Ameen Soleimani指出,如果管理员私钥被泄露,则平台上的所有资金都将被盗。
-
Maker:Micah Zoltu指出,持有40,000 MKR的人可以窃取系统中的所有ETH抵押品。
-
DyDx:用户指出,DyDx将用户的单抵押Dai(SAI)强制转换为多抵押Dai(DAI)意味着所有资金都是托管的,如果他们愿意他们可以将用户的余额转换为无价值的代币。
这三者的共同点是,他们假设控制者是善良的,通过协议之外的激励措施,控制者不想看到项目失败。但是话又说回来,Bill一定以为Bruno永远不会出卖自己的项目,他为自己的天真付出了代价。尽管当一切顺利时,团队不会有危险,但是这种机制的存在意味着这些项目始终有金融灾难的隐患。想象下Taleb的火鸡形象:一只火鸡一天比一天吃的饱,一天比一天胖,直到有一个感恩节,它被宰杀成一顿丰盛的大餐。
在建立无需信任协议的过程中,我们应该对实际上在假定信任的地方进行严格审查。鼓励平台隐藏这些漏洞,就相当于鼓励有恶意的人在适当的条件下利用这些漏洞,当前这些风险被低估了,只有在攻击发生后人们才会意识到这些。
原文链接:
原文作者:Su Zhu & Hedgehog
翻译:SHOU
本文来自,仅作分享,存在异议请联系平台删除。本文观点不代表刺猬财经 - 刺猬区块链资讯站立场。