Balancer攻擊事件背後:除了安全團隊裁員,更應關注中心化前端的隱憂撰稿:Luccy、Kaori,BlockBeats

編輯:Jack,BlockBeats

9 月20 日,Balancer 在新一輪攻擊中損失達23.8 萬美元,慢霧區情報分析認為這次為BGPHijacking 攻擊,造訪該網站連結錢包後會遭受釣魚攻擊。隨後,慢霧MistTrack 表示Balancer 攻擊者費用來自網路釣魚組織Angel Drainer。目前,Balancer 表示前端已恢復安全並重新由Balancer DAO 控制。

BGPHijacking,也稱為BGP 路由劫持,這是一種前端攻擊手段。在BGPHijacking 攻擊中,攻擊者透過發送虛假的BGP 路由更新訊息,使其他路由器將流量引向錯誤的方向,從而實現流量的竊聽、篡改或中斷。簡單地說,網站能夠發送垃圾郵件批准交易,從而允許惡意合約轉移用戶的所有資金。

這也是與以往攻擊事件最大的不同之處——攻擊瞄準了Balancer 前端。

OpCo、Orb Collective,與發展策略轉變的代價

值得注意的是,在這次攻擊前,Balancer 還有一則重要新聞,4 月14 日,Balancer 的服務提供商Balancer OpCo 宣布已解雇了兩名工程師並減少了營運預算。

Balancer OpCo 是Balancer 基金會的全資子公司,為Balancer 提供管理和營運服務提供者以及前端開發和工程工作流程。從去年8 月至今年6 月,在Balancer DAO 中涉及Balancer OpCo 的7 條提案顯示,其中5 項提案均顯示通過,除了團隊進行融資外,還另將25 萬BAL 轉移給OpCo,以便OpCo 能夠致力於代幣的私人銷售。目前,為平台下一年運作進行融資的提案也在初步討論階段。

然而,隨著協議將重點轉向改善用戶介面和行銷,Balancer OpCo 人員數量也隨之減少。為此,Balancer 將建立一個專門的行銷團隊Orb Collective,負責討論Balancer 如何與平台用戶合作的機制,透過合作夥伴關係、行銷、整合、設計和人員營運工作來促進Balancer 協議的發展,以擴大Balancer 協議的全球採用率。去年8 月,Orb Collective 正式推出,團隊表示新的推廣策略也將採用「加密Twitter 原生聲音」。

值得注意的是,今年4 月,Balancer 治理在提案中更新了Orb Collective 的財務計劃,以續簽Certora 的智能合約審計合同,自2023 年第二季度開始從Orb Collective 的預算中分配給OpCo,目的是確保Balancer 用戶的資金安全。但Balancer DAO 社群成員以近80% 的比例否定了Balancer OpCo Limited 進行智慧合約審計的提案,這也是在7 項提案中唯一被否定的提案。

Balancer攻擊事件背後:除了安全團隊裁員,更應關注中心化前端的隱憂

同月,Coindesk 發表了一篇名為《 DeFi 協議Balancer 在戰略轉向之際削減預算和員工人數》的文章,稱Balancer 將做出策略調整。根據文章報導,Balancer OpCo 團隊在今年4 月有20 多人參加的Discord 電話會議上透露,該公司已解雇了兩名工程師並減少了營運預算。

Orb Collective 執行長Jeremy Musighi 表示:「我們為Balancer 品牌制定了新願景,對此我們感到非常興奮。」「與此同時,我們一直在對行銷團隊人員進行一些調整,以確保我們有合適的人員來執行這個新願景。」2022 年第三季度,Orb 團隊申請了7.6 萬美元的營運預算,想要在社交平台、播客、社區關係維護等方面為Balancer 拓展聲量。第四季度,預算申請提案聲稱由於熊市週期,Orb 團隊的營運預算只有4.8 萬美元,幾乎下降了50%。

同時,團隊表示這是為了改革品牌策略,未來將重點轉向改善其使用者介面和行銷。當這個消息公佈時,Balancer 面臨了一些市場壓力,也許正是這次前端裁員行動,為攻擊者提供了另闢蹊徑的機會。

這次Balancer 的前端遭攻擊,很難不將其和智能合約審計提案未通過以及前端人員被裁聯繫起來。也許策略轉變是假,熊市週期資金緊張開源節流是真。

中心化前端的隱憂

除了Balancer 團隊內部的原因,這次攻擊也引起了社群對DeFi 協定中心化前端的擔憂。

DeFi 發展史中,由於前端受到攻擊而造成損失的事件並不多見,2021 年12 月,去中心化組織Badger DAO 的網站前端代碼裡面被注入了一系列的惡意代碼,攻擊者可以在用戶不知情的情況下確認交易將代幣轉走。 2022 年5 月,Cronos 生態DEX MM.Finance 遭到前端攻擊,駭客利用DNS 漏洞從用戶竊取超過200 萬美元的資產。

上一次大規模討論去中心化前端還是因為Tornado Cash 遭受制裁,前端被封鎖。但如今前端仍承受安全壓力。針對前端攻擊有人認為ENS 可能是解決方案,但ENS 網域解析是「中心化」的,因此用其抵禦「去中心化的攻擊」並不是非常現實。

儘管DeFi 合約一旦部署不可篡改不可撤回,理論上不會受到人為幹預,但目前絕大多數前端仍是透過傳統架構實現,雖然網頁本身也在不斷進化和發展,但網域名稱、 網路服務、 伺服器、 儲存服務等方面都存在著許多潛在的威脅,同時針對前端的攻擊往往容易被開發者忽略。

Balancer攻擊事件背後:除了安全團隊裁員,更應關注中心化前端的隱憂

身為DeFi OG 的Balancer 如今也受到前端攻擊,因此社群出現了呼籲搭建去中心化前端的聲音。不過,這樣的聲音並不是太多,相較於Uniswap 和Tornado Cash 的前端被封鎖激起的熱度,目前針對駭客攻擊前端我們普通用戶需要做些什麼,仍需加密產業持續進行探索。