BXH被盗1.4亿美元,其CEO王小彬如何自证清白?

图片
不同于以往被盗事件,外界普遍质疑这次是BXH监守自盗,就连BXH此前聘请的安全审计机构都没直接否认“监守自盗”的疑点。
文 | 董宇佳
最近,多链部署的去中心化交易协议BXH遭受了严重攻击,被盗超1.4亿美元,包含4000ETH和300BTC。这是DeFi史上被盗金额第二大的安全事件。
不同于以往被盗事件,外界普遍质疑这次是BXH监守自盗,就连BXH此前聘请的安全审计机构都没直接否认“监守自盗”的疑点。
而BXH创始人兼CEO王小彬则多次发声,极力撇清自己的嫌疑,声称自己已经报警处理,并指出有可能是团队内部某个成员泄露管理密钥所致。
面对重重疑点,《区块链日报》采访了王小彬以及其他当事方,试图还原BXH被盗事件的全貌。
目前可以确认的是,BXH被盗是由密钥泄露引起的,但是密钥为何会泄露?团队中嫌疑最大的那个成员是谁?王小彬始终未能正面回答。
DeFi史上第二大安全事件

10月30日,BXH在推特上表示,协议在币安智能链(BSC)上的资产遭受黑客攻击,但在火币生态链(HECO)、OEC和以太坊上的资产都处于安全状态。不过出于安全考虑,官方暂时暂停了存取款服务。
据悉,此次BXH至少被盗走4000ETH和300BTC,损失价值现已超1.4亿美元的加密资产。
11月3日凌晨,BXH CEO王小彬在朋友圈称,此前悬赏100万美金特招白帽联盟的奖励将提高至1000万美金。
他写道:“只要对找出凶手和找回资产提供帮助的第三方机构、个人都可以均分这个奖金池。奖励资金先在找回的资产里面出,之后由我们项目方独立承担。”
11月11日晚,他再在朋友圈发出一篇写给BXH盗币黑客的文章,喊话黑客在2021年11月底前把剩余的资产打回BXH的合约地址上。
王小彬在接受《区块链日报》记者采访时表示,从目前BXH团队联合派盾的初步安全调查来看,黑客团队在境内的可能性更大。团队仍在继续追踪被盗资金。
据慢雾MistTrack 11月3日发布的消息,BXH于BSC被盗的ETH、BTC类资产已全部跨链转至相应链,初始黑客获利地址仍有15546 BNB和价值超3376万美元的代币。但截至发稿,并未更新BXH被盗资金的最新流向。
同时,王小彬也对记者表示,正在测试ETH链上的服务,测试完毕后将会开放。OEC服务已于北京时间11月8日20时重启,而HECO将按先前公告的11月17日开放,11月25日前出具BSC链开放时间和资产处理赔付方案。
由于被盗事件发生后,BXH关闭了其在多条链上的服务功能,导致依赖BXH流动性的第三方机枪池应用CoinWind关闭了充提功能,另一个机枪池Earn DeFi也因CoinWind的暂停而关了充提功能。
DeFi领域迄今为止遭遇了多次攻击。8月10日,DeFi平台Poly Network表示其遭到攻击,黑客窃取了大约6亿美元的加密货币,这是DeFi史上最大金额的攻击事件。不过,黑客在第二天就返还了部分加密货币。8月23日,官方称已重新控制了被盗的6.1亿美元。
10月27日,CREAM Finance遭受的攻击使其损失了1.3亿美元,这在当时是DeFi受到的第二大攻击。但此次BXH遭受攻击的损失超过了1.3亿美元,将成为新的第二大攻击事件。
疑点重重 

尽管BXH团队声称,正在联合BSC团队和安全风控合作伙伴PerkShield派盾处理此事,但社交媒体上也有不少人怀疑此次是BXH团队监守自盗。
北京时间事发当日傍晚,BXH的官方审计机构之一慢雾科技发布了公告,表示黑客在10月27日13时(UTC)部署了攻击合约 0x8877,接着在29日08时(UTC),BXH项目管理钱包地址0x5614通过grantRole赋予攻击合约0x8877管理权限。30日03时(UTC)攻击者通过攻击合约0x8877的权限从BXH策略池资金库中将其管理的资产转出。30日04时(UTC)0x5614暂停了资金库。
“因此,BXH本次被盗是由于其管理权限被恶意的修改,导致攻击者利用此权限转移了项目资产。”11月1日下午,派盾发推称BXH被盗事件确认由一个泄漏的管理密钥引发,该密钥被用于耗尽已部署的BSC strategies中的大部分资金。目前,派盾方面仍在调查被盗资金下落。
派盾官方对《区块链日报》记者表示:“派盾对安全事件进行分析和定位后得到了该结论。”但至于管理密钥如何泄露的,派盾拒绝进一步回答。
密钥究竟是如何泄露的?这是本次事件最大的疑点。
王小彬向《区块链日报》记者否认了自己的嫌疑,他提到有两种可能。黑客也许是闯入了私钥持有人的计算机,也有很大的可能性与BXH内部技术人员和外部合作单位有一定的关系。
BXH团队只有一个人知道私钥。”王小彬进一步说道,“但光有私钥是没有用的,还要对我们的系统有所了解,会写策略合约。由于代码本身不是开源的,熟悉代码的范围并不广,因此我们选择了报警。”
记者追问唯一知道密钥的员工是谁,王小彬表述不能对外告知,但“警方知道(这个人名字)”。
他说,目前警察正在BXH的运营团队驻地,针对每一个员工进行盘问审查。《区块链日报》记者对此暂时无法证实。
 
图片
警方调证函
当问及报警证据时,王小彬向记者出示了一份湖南衡阳公安局石鼓分局的《调取证据通知书》。上面显示,警方调取的是“1030非法获取计算机信息系统案”,调取内容是BXH平台(bxh.com)合约代码、服务器电子数据。
记者追问王小彬出示报警回执或者立案通知书,他回应“没有报案回执”。但他表示,BXH前端运营的团队包括掌控私钥的成员都在国内。
微博博主“密码朋克Crypto”11月1日发表长文章《1.3亿美金不翼而飞?BXH被盗事件似乎另有隐情》,从攻击者创建攻击合约、修改权限、升级业务逻辑合约、调用0x2295合约的0x000155d0函数,以及withdraw提取五方面进行了流程分析。 
图片
但由于BXH并没有真正开源合约代码,所以该博主称:“此次的分析只能通过反编译出的部分合约和逻辑分析进行推理,不能保证完全准确。”
不过,该博主进一步补充道,从此次攻击者获取了管理员私钥,以及可以构建出BXH升级合约这两点来看,攻击者很有可能是与项目方熟悉或阅读过合约真正部署时源码的人。这一点与BXH官方认为的可能性一致。
今年8月份,Cobo联合创始人神鱼就已在知识星球上提醒过BXH项目合约存在的风险,他提到:“部分合约未开源,且未开源的合约会带来的风险还非常大”。
被盗事件发生后,不乏有BXH监守自盗的议论,甚至有社区成员直指是王小彬个人所为。对此,王小彬矢口否认,坚称自己不会做有损团队和平台的事。
“单币机枪池更像是一个商业银行,用户把资产存在这里,我拿用户的资产去投资来赚利差。那么大的资金体量每年的利润也不小,我把资产盗走干什么?”他说道。
王小彬如何自证清白? 

今年,BXH先后向慢雾科技和灵踪科技申请对BXHash和BXHashV2这两个项目代码进行安全审计。
慢雾安全团队于今年3月8日在收到审计申请后,对BXHash系统进行了安全审计。审计结果显示,该项目存在管理员权限过大的中危漏洞。
 
图片
不过,报告中表示项目方已将migrator设置为0地址(销毁权限),并提到项目方“后续将通过DAO社区自治来转移owner权限”。
报告出炉到事发的半年多时间里,BXH官方是否移除上述权限。王小彬表示,该报告是针对双币流动性挖矿的合约,权限本身已移除。
他说:“现在BXH在任何一条链上的双币流动性挖矿池都没有问题的,这次出事的是机枪池平台。”
不过,他指的机枪池平台在7月16日已通过灵踪科技的安全审计。报告显示,该项目代码的致命风险、高危风险、中度风险、低风险均为0。
“不是说所有经过审计的合约就是安全的。”对于为何审计时未查出任何风险的项目反而出事,王小彬说:“这个本身就是一个道高一尺魔高一丈的游戏。这一次我觉得更多的是疏忽导致的,而不是技术。”
在这之后的一个月内,BXH多链流动性质押总额突破10亿美元,并于8月10日登陆OKEx Chain,8月26日登陆以太坊主链。
10月25日,被盗事发的五天前,BXH才正式登陆BSC,然而却正好是BSC上的资产遭受攻击。
一位自称是受害者的网友在推特上发表了多条帖子,“如果能找到黑客追回我质押的资产,我再(在官方的基础上)加100ETH奖励。”
他解释自己一直在BSC上挖矿,在“看到BXH上的BTC、ETH年化最高后,头脑发热去了BXH”。
综合各方消息,目前可以判断的是,BXH被盗事件确认是由私钥泄漏引发。虽然舆论直指王小彬监守自盗,他本人矢口否认,但是他在私钥管理上存在失误和漏洞是毋庸置疑的。
当问及为什么不对合约采用多签,王小彬强调本身是有这样计划的。“团队在上个月的内部讨论中就已准备在一个月内采用多签的方式,并且开源,但是近期工作过于频繁(耽误了)”。
“不过,即便是多签也依然可能会被盗。”他继续说道,“基于私钥完全只由一个人掌管,再加上不开源的系统,我们认为安全系数已经非常高了,因此没有采用多签。”
据加密资产存管服务商安全鹭的说法,去中心化协议面临着合约漏洞风险以及私钥的安全管理问题,因此需要更加重视单私钥管理中带来的安全风险,应尽快把Owner私钥升级为多签管理的方式,避免私钥单点风险。
11月3日,BXH发布了最新公告表示将在警方完成初步调查取证以后优先开放没有被盗的三条主链,并承诺未来重新开放的合约将会采用开源和多签的透明策略。
至于被盗资金的赔付问题,王小彬对记者透露BXH预计会在11月25日出台赔付方案。
针对此案,《区块链日报》记者也正联系衡阳警方,试图获取更多可以披露的信息。

本文来自区块链日报,本文观点不代表格时财经立场,转载请联系原作者;如有侵权,请联系编辑删除。

免责声明:作为区块链信息平台,本站所提供的资讯信息不代表任何投资暗示。鉴于中国尚未出台数字资产相关政策及法规,请中国大陆用户谨慎进行数字货币投资。

分享本页
返回顶部