Le protocole DeFi le plus malchanceux? Un regard personnel sur l’année tumultueuse de bZX

Le protocole DeFi le plus malchanceux? Un regard personnel sur l’année tumultueuse de bZX

Everex crypto

La plate-forme financière décentralisée bZX a souvent été à l’honneur cette année, mais pas pour les bonnes raisons. La plupart des plates-formes DeFi populaires aujourd’hui, y compris bZX, ont commencé leur voyage vers 2018, à la fin du boom initial de l’offre de coins. En 2019, DeFi a commencé à gagner du terrain, même s’il s’agissait encore d’un secteur quelque peu ignoré de l’industrie.

Au fur et à mesure que la croissance se poursuivait, des soupçons ont commencé à augmenter selon lesquels des hacks majeurs, typiques du secteur des actifs numériques, étaient en retard. En raison de la complexité et de la nouveauté de ces plates-formes, il était raisonnable de supposer qu’elles n’étaient pas toutes insensibles aux bogues.

Cette année peut être caractérisée comme un témoignage du dicton: «Quand il pleut, il pleut.» Malheureusement pour bZX, elle est devenue la première grande plate-forme DeFi à subir un gros piratage, en février 2020. Elle est également devenue la deuxième plate-forme à être exploitée, car deux attaques consécutives ont paralysé le projet et l’ont forcé à manquer. la majorité du boom DeFi.

En relation: Les attaques de prêt flash BZx signalent-elles la fin de DeFi?

Alors que d’autres plates-formes ont emboîté le pas, les problèmes de bZX n’étaient pas vraiment terminés: peu de temps après sa relance en septembre, il a de nouveau été piraté. Bien que cela puisse sembler avoir été le coup final pour le projet, le cofondateur Kyle Kistner reste optimiste quant à la reprise de la plate-forme.

«Depuis que nous avons récupéré l’argent et que les fonds sont en sécurité, nous avons encore beaucoup plus de valeur totale verrouillée et un énorme volume de négociation», a déclaré Kistner dans une interview avec Crypto. “Nous ne sommes pas tout à fait revenus là où nous étions, mais nos volumes de négociation ont vraiment explosé.”

Kistner a répété à plusieurs reprises tout au long de l’interview que malgré tous ces hacks, la plate-forme n’a jamais définitivement perdu l’argent de ses utilisateurs. Les premières victimes ont été remboursées, tandis que le hacker de septembre a été essentiellement pris en flagrant délit grâce à l’analyse de la blockchain et a rendu l’argent. Quoi qu’il en soit, le parcours de Kistner et de l’équipe bZX cette année a été pour le moins tumultueux.

Pris avec leurs boissons

Crypto: Le premier piratage bZX a eu lieu le 14 février alors que l’équipe était absente à la conférence ETHDenver. Comment avez-vous appris l’attaque?

Kyle Kistner: Nous étions à cette afterparty, c’était l’happy hour Keep and Compound. Nous sommes assis là, nous parlons avec Ryan [Berkun, CEO of Tellor] et il me racontait comment il venait de mettre de l’argent dans Fulcrum, il me montrait les taux d’intérêt. J’ai remarqué que les taux d’intérêt de l’ETH étaient anormalement élevés. Et je me suis dit: “Oh, c’est vraiment étrange.”

J’ai parlé à Tom [bZX’s CEO] à ce sujet et je me sentais comme quelque chose de vraiment bizarre à ce sujet. Plus tard dans la nuit, nous avons reçu un message de Lev Livnev de DappHub, qui a remarqué une transaction étrange, qui était essentiellement celle qui a créé ce très grand intérêt pour le pool iETH.

Et vous savez, nous avions bu et nous devions donc dégriser. C’était cette expérience folle, il était 11h30 du soir, nous faisions la fête avec le reste des gens de l’industrie et tout à coup vous vous retrouvez plongé dans cette situation très grave. Au cours de notre enquête, nous avons réalisé que nous devions interrompre l’ensemble du système.

Il n’y avait pas vraiment de bouton de pause conçu pour ce problème, mais nous avons piraté une solution en désactivant la liste blanche d’oracle. Cela a permis d’éviter de prendre plus d’argent.

Ensuite, j’ai appelé ma femme, je dis: «Je ne sais pas comment je pourrai affronter les gens de l’industrie, redescendre à ETHDenver, voir tout le monde là-bas.» J’ai pensé pendant un moment que je ferais peut-être mes valises et que je rentrerais à la maison, mais ma femme m’a dissuadé. Tom était juste assis là, catatonique pendant un petit moment, le tout le submergeant.

Le deuxième hack

Finalement, Kistner et l’équipe se sont regroupés. Ils ont réussi à prendre une chance – le protocole n’a pas automatiquement réparti la perte de plus de 1100 ETH, d’une valeur d’environ 300000 $, parmi tous les utilisateurs de la plate-forme. Cela leur a donné une chance de rembourser entièrement l’argent sur toute la ligne et a permis à l’entreprise de continuer. «Cela nous a donné beaucoup de moral», a déclaré Kistner.

Lorsque l’équipe s’est présentée à ETHDenver le lendemain, Kistner a déclaré que «les gens nous félicitaient en fait. Il y avait beaucoup de soutien, les gens disaient: “Nous sommes des bâtisseurs, vous êtes des bâtisseurs, nous sommes tous dans le même bateau.” “

CT: Et puis la deuxième attaque s’est produite. Comment l’avez-vous appris?

KK: Nous venions d’arriver dans ce restaurant. Nous étions à la retraite de ski dans le Colorado, nous avons aidé à l’organiser et nous en étions vraiment excités. Nous avons commandé toute cette nourriture, et Tom regarde son téléphone – il aime simplement passer par les différentes transactions qui sont sur le système, surtout si quelque chose semble bizarre ou étrange. Il a donc regardé cette transaction et cela avait l’air vraiment étrange parce qu’il y avait des contrats supprimés et qu’il y avait un prêt flash et il y avait essentiellement de petits montants appelés à plusieurs reprises encore et encore.

Nous avons donc examiné cette transaction et il nous a fallu environ deux secondes pour dire “Ok, quelqu’un a été piraté.” Cela ne semble pas du tout correct. Nous savions que cela impliquait notre système.

Donc la nourriture est arrivée, c’était comme une centaine de dollars de nourriture pour trois personnes. Au moment où il est arrivé sur la table, je me suis levé et j’ai dit: «Puis-je payer la facture?» et leur a remis la carte. Tom était déjà en train de sprinter à la maison et nous venons tous de réserver, nous avons tous commencé à courir dans la neige et, vous savez, c’était un jogging de sept minutes du restaurant à notre place.

Nous avons occupé nos stations de combat, mis le système en pause, commencé à trier et diagnostiquer le problème. […] À ce stade, nous nous sommes dit: “ nous savons comment gérer cela, s’il y a de l’argent pris, ce n’est pas la fin du monde. ” Malheureusement, comme la foudre a frappé deux fois, une grande partie de la bonne volonté que les gens nous accordaient auparavant avait été substantielle. érodé.

Réfléchir à ce qui n’a pas fonctionné

Les deux hacks ont forcé l’équipe à fermer et à reconstruire le protocole. Depuis lors, d’autres projets ont également vu des vulnérabilités exploitées, mais aucun n’a eu plusieurs hacks sur une courte période.

CT: Le nombre de brèches subies par bZX soulève des questions sur les pratiques du projet. Serait-ce juste de la malchance ou y a-t-il quelque chose de plus profond en jeu?

KK: Ce n’est pas une coïncidence. Il y a donc deux choses: premièrement, nous avons commis une erreur et nous avons eu un auditeur de sécurité qui n’a pas complètement fait [their job]. Il y a un problème que j’essaie de résoudre ici – en gros, il y a un certain nombre de facteurs qui expliquent pourquoi nous avons eu Kyber comme oracle [the primary vulnerability resulting in the second hack].

C’était une vulnérabilité conceptuelle qu’un auditeur aurait dû détecter, mais nous n’aurions pas dû l’utiliser. Nous avions compris que Kyber n’était pas optimal, mais nous avons refusé obstinément de centraliser l’oracle. Nous n’avions pas Chainlink, que nous pouvions simplement brancher à l’époque, donc la seule autre option était de centraliser l’oracle.

Maintenant, le premier hack était essentiellement un bug de type typo. Je pense que cela était dû au fait que les processus appropriés n’étaient pas en place. […] Nous étions une petite entreprise. Nous n’étions pas soutenus par toute une série de fonds de capital-risque, comme beaucoup d’autres protocoles de prêt. Maintenant, nous sommes, nous sommes une entreprise beaucoup plus grande et beaucoup plus mature.

Les auditeurs ne sont pas les mêmes

L’audit des contrats intelligents est considéré comme une étape cruciale avant le lancement du protocole. Les protocoles non audités sont considérés comme moins sûrs, à tel point que le créateur de Yearn Finance dit qu’il a délibérément atténué l’enthousiasme pour son projet en retenant le fait que le protocole a été audité.

CT: Que s’est-il donc passé exactement avec l’audit de votre code par ZK Labs?

KK: J’ai l’impression que quelqu’un a besoin de connaître cette histoire. Nous étions donc nouveaux et nous étions plutôt verts pour l’industrie. Nous venions de construire cette version de notre protocole, c’était comme au début de 2018. Nous venons de mettre nos affaires sur le testnet, mais nous ne connaissions pas vraiment les auditeurs de sécurité dans l’espace.

Nous avons donc posé des questions et nous avons d’abord été référés au groupe Acacia. […] Ils ont examiné la question et ont dit en gros: “Nous sommes hors de notre portée ici.” Nous avons donc dû trouver un auditeur différent et finalement nous avons trouvé ZK Labs. Nous pensions que ZK Labs était très réputé. […] Matthew DiFerrante [ZK Labs founder] était associé à la Fondation Ethereum, il y avait travaillé comme ingénieur en sécurité.

Maintenant, ce que je ne savais pas, c’est que dans les coulisses, tous les autres auditeurs de sécurité de l’espace n’aimaient pas vraiment Matthew. Ils avaient l’impression qu’il n’était pas professionnel et ne faisait pas du bon travail. […] Il semble être un gars intelligent, je suppose, mais il semblait qu’il avait beaucoup de difficulté à gérer la charge de travail.

Nous avons fait vérifier notre protocole par eux, et il était assez clair qu’il n’y avait en fait que Matthew DiFerrante qui faisait l’audit. Il nous a facturé environ 50 000 $, ce qui pour nous – une entreprise complètement amorcée – était comme une énorme et énorme somme d’argent.

Mais nous avons fait de notre mieux pour collecter des fonds et faire ce que nous pouvions – et nous l’avons fait. Nous avons recueilli cinquante mille personnes pour cette vérification, mais nous avions l’impression que nous étions en quelque sorte bousculés. […] Nous avions nos affaires prêtes pour lui vers le début du mois de mars, mais c’était plus près de septembre que cela a été fait – et seulement après beaucoup d’arrachements de dents et de cris.

Lorsque nous avons examiné l’audit, nous avons trouvé ces fautes de frappe – il y avait un endroit où il y avait le nom de Chainlink au lieu du nôtre. Il n’a pas remplacé les noms. Et nous étions comme, «Combien de temps avez-vous passé à auditer cela? L’avez-vous vraiment vérifié ou avons-nous été victime d’une arnaque par ZK Labs? »