bZX, Le protocole DeFi le plus malchanceux?

Please follow and like us:

La plate-forme de financement décentralisée bZX a souvent été à l’honneur cette année, mais pas pour les bonnes raisons. La plupart des plates-formes DeFi populaires aujourd’hui, y compris bZX, ont commencé leur voyage vers 2018, à la fin du boom initial de l’offre de pièces. En 2019, DeFi a commencé à gagner du terrain, même s’il s’agissait encore d’un secteur quelque peu ignoré de l’industrie.

Au fur et à mesure que la croissance se poursuivait, des soupçons ont commencé à augmenter selon lesquels des hacks majeurs, typiques du secteur des actifs numériques, étaient en retard. En raison de la complexité et de la nouveauté de ces plates-formes, il était raisonnable de supposer qu’elles n’étaient pas toutes insensibles aux bogues.

Cette année peut être caractérisée comme un témoignage du dicton: «Quand il pleut, il pleut.» Malheureusement pour bZX, elle est devenue la première grande plate-forme DeFi à subir un gros piratage, en février 2020. Elle est également devenue la deuxième plate-forme à être exploitée, car deux attaques consécutives ont paralysé le projet et l’ont forcé à manquer. la majorité du boom DeFi.

En relation: Les attaques de prêt flash BZx signalent-elles la fin de DeFi?

Alors que d’autres plates-formes ont emboîté le pas, les malheurs de bZX n’étaient pas vraiment terminés: peu de temps après sa relance en septembre, il a été à nouveau piraté. Bien que cela puisse sembler avoir été le coup final pour le projet, le cofondateur Kyle Kistner reste optimiste quant à la reprise de la plate-forme.

«Depuis que nous avons récupéré l’argent et que les fonds sont en sécurité, nous avons un tas de plus de valeur totale verrouillée et un énorme volume de négociation», a déclaré Kistner dans une interview avec Cointelegraph. «Nous ne sommes pas tout à fait revenus là où nous étions, mais nos volumes de négociation ont vraiment explosé.»

Kistner a répété à plusieurs reprises tout au long de l’interview que malgré tous ces hacks, la plate-forme n’a jamais définitivement perdu l’argent de ses utilisateurs. Les premières victimes ont été remboursées, tandis que le pirate informatique de septembre a été essentiellement pris en flagrant délit grâce à l’analyse de la blockchain et a rendu l’argent. Quoi qu’il en soit, le parcours de Kistner et de l’équipe bZX cette année a été tumultueux, c’est le moins qu’on puisse dire.

Pris avec leurs boissons

Cointelegraph: Le premier piratage bZX a eu lieu le 14 février alors que l’équipe était absente à la conférence ETHDenver. Comment avez-vous appris l’attaque?

Kyle Kistner: Nous étions à cette afterparty, c’était l’happy hour Keep and Compound. Nous sommes assis là, nous parlons avec Ryan [Berkun, CEO of Tellor] et il me racontait comment il venait de mettre de l’argent dans Fulcrum, il me montrait les taux d’intérêt. J’ai remarqué que les taux d’intérêt de l’ETH étaient anormalement élevés. Et je me suis dit: “Oh, c’est vraiment étrange.”

J’ai parlé à Tom [bZX’s CEO] à ce sujet et j’ai eu l’impression que quelque chose était vraiment bizarre à ce sujet. Plus tard dans la nuit, nous avons reçu un message de Lev Livnev de DappHub, qui a remarqué une transaction étrange, qui était essentiellement celle qui a créé ce très grand intérêt pour le pool iETH.

Et vous savez, nous avions bu et nous devions donc dégriser. C’était cette expérience folle, il était 11h30 du soir, nous faisions la fête avec le reste des gens de l’industrie et du coup vous êtes plongé dans cette situation très grave. Au cours de notre enquête, nous avons réalisé que nous devions interrompre l’ensemble du système.

Il n’y avait pas vraiment de bouton de pause conçu sur cette chose, mais nous avons piraté une solution en désactivant la liste blanche d’Oracle. Cela a permis d’éviter de prendre plus d’argent.

Ensuite, j’ai appelé ma femme, je dis: «Je ne sais pas comment je pourrai affronter les gens de l’industrie, retourner à ETHDenver, voir tout le monde là-bas.» J’ai pensé un instant que je ferais peut-être simplement mes valises et que je rentrerais chez moi, mais ma femme m’a dissuadé. Tom était juste assis là, catatonique pendant un petit moment, le tout le submergeant.

Le deuxième hack

Finalement, Kistner et l’équipe se sont regroupés. Ils ont réussi à prendre une chance – le protocole n’a pas automatiquement réparti la perte de plus de 1 100 ETH, d’une valeur d’environ 300 000 $, parmi tous les utilisateurs de la plate-forme. Cela leur a donné une chance de rembourser entièrement l’argent sur toute la ligne et a permis à l’entreprise de continuer. «Cela nous a donné beaucoup de moral», a déclaré Kistner.

Lorsque l’équipe s’est présentée à ETHDenver le lendemain, Kistner a déclaré que «les gens nous félicitaient en fait. Il y avait beaucoup de soutien, les gens disaient: ‘Nous sommes des constructeurs, vous êtes des constructeurs, nous sommes tous dans le même bateau.’ »

CT: Et puis la deuxième attaque s’est produite. Comment l’avez-vous appris?

KK: Nous venions d’arriver dans ce restaurant. Nous étions à la retraite de ski dans le Colorado, nous avons aidé à l’organiser et nous en étions vraiment excités. Nous avons commandé toute cette nourriture et Tom regarde son téléphone – il aime simplement passer en revue les différentes transactions qui sont sur le système, surtout si quelque chose semble bizarre ou étrange. Il a donc regardé cette transaction et cela avait l’air vraiment étrange parce qu’il y avait des contrats supprimés et qu’il y avait un prêt flash et il y avait essentiellement de petits montants appelés à plusieurs reprises encore et encore.

Nous avons donc examiné cette transaction et il nous a fallu environ deux secondes pour dire «Ok, quelqu’un a été piraté». Cela ne semble pas du tout correct. Nous savions que cela impliquait notre système.

Donc la nourriture est arrivée, c’était comme une centaine de dollars de nourriture pour trois personnes. Au moment où il est arrivé sur la table, je me suis levé et j’ai dit: «Puis-je payer la facture?» et leur a remis la carte. Tom était déjà en train de sprinter à la maison et nous venons tout juste de réserver, nous avons tous commencé à courir dans la neige et, vous savez, c’était un jogging de sept minutes du restaurant à notre place.

Nous avons occupé nos postes de combat, mis le système en pause, commencé à trier et diagnostiquer le problème. […] À ce stade, nous nous sommes dit «nous savons comment gérer cela, s’il y a de l’argent pris, ce n’est pas la fin du monde». Malheureusement, comme la foudre a frappé deux fois, une grande partie de la bonne volonté que les gens nous accordaient auparavant s’était considérablement érodée.

Réfléchir à ce qui n’a pas fonctionné

Les deux hacks ont forcé l’équipe à fermer et à reconstruire le protocole. Depuis lors, d’autres projets ont également vu des vulnérabilités exploitées, mais aucun n’a eu plusieurs hacks sur une courte période.

CT: Le nombre de brèches subies par bZX soulève des questions sur les pratiques du projet. Serait-ce juste de la malchance ou y a-t-il quelque chose de plus profond en jeu?

KK: Ce n’est pas une coïncidence. Il y a donc deux choses: premièrement, nous avons commis une erreur et nous avons eu un auditeur de sécurité qui n’a pas complètement fait [their job]. Il y a un problème que j’essaie de résoudre ici – en gros, il y a un certain nombre de facteurs qui expliquent pourquoi nous avons eu Kyber comme oracle [the primary vulnerability resulting in the second hack].

C’était une vulnérabilité conceptuelle qu’un auditeur aurait vraiment dû détecter, mais nous n’aurions pas dû l’utiliser. Nous savions que Kyber n’était pas optimal, mais nous avons refusé obstinément de centraliser l’oracle. Nous n’avions pas Chainlink, que nous pouvions simplement brancher à l’époque, donc la seule autre option était de centraliser l’oracle.

Maintenant, le premier hack était essentiellement un bug de type typo. Je pense que cela était dû au fait que les processus appropriés n’étaient pas en place. […] Nous étions une petite entreprise. Nous n’étions pas soutenus par toute une série de fonds de capital-risque, comme beaucoup d’autres protocoles de prêt. Maintenant, nous sommes, nous sommes une entreprise beaucoup plus grande et beaucoup plus mature.

Les auditeurs ne sont pas les mêmes

L’audit des contrats intelligents est considéré comme une étape cruciale avant le lancement du protocole. Les protocoles non audités sont considérés comme moins sûrs, à tel point que le créateur de Yearn Finance dit qu’il a délibérément atténué l’enthousiasme pour son projet en retenant le fait que le protocole a été audité.

CT: Que s’est-il donc passé exactement avec l’audit de votre code par ZK Labs?

KK: J’ai l’impression que quelqu’un a besoin de connaître cette histoire. Nous étions donc nouveaux et nous étions plutôt verts pour l’industrie. Nous venions de construire cette version de notre protocole, c’était comme au début de 2018. Nous venons de mettre nos trucs sur le testnet, mais nous ne connaissions pas vraiment les auditeurs de sécurité dans l’espace.

Nous avons donc posé des questions et nous avons d’abord été référés au groupe Acacia. […] Ils ont examiné la question et ils ont essentiellement dit: «Nous sommes hors de notre portée ici.» Nous avons donc dû trouver un auditeur différent et finalement nous avons trouvé ZK Labs. Nous pensions que ZK Labs était très réputé. […] Matthew DiFerrante [ZK Labs founder] était associé à la Fondation Ethereum, il y avait travaillé comme ingénieur en sécurité.

Maintenant, ce que je ne savais pas, c’est que dans les coulisses, tous les autres auditeurs de sécurité de l’espace n’aimaient pas vraiment Matthew. Ils avaient l’impression qu’il n’était pas professionnel et ne faisait pas du bon travail. […] Il semble être un gars intelligent, je suppose, mais il semblait qu’il avait beaucoup de difficulté à gérer la charge de travail.

Nous avons fait vérifier notre protocole par eux, et il était assez clair qu’il n’y avait en fait que Matthew DiFerrante qui faisait l’audit. Il nous a facturé environ 50 000 $, ce qui pour nous – une entreprise complètement amorcée – était comme une énorme et énorme somme d’argent.

Mais nous avons fait de notre mieux pour collecter des fonds et faire ce que nous pouvions – et nous l’avons fait. Nous avons recueilli cinquante mille personnes pour cette vérification, mais nous avions l’impression que nous étions en quelque sorte bousculés. […] Nous avions préparé nos affaires pour lui vers le début du mois de mars, mais c’était plus près de septembre que cela avait été fait – et seulement après beaucoup d’arrachements de dents et de cris.

Lorsque nous avons examiné l’audit, nous avons trouvé ces fautes de frappe – il y avait un endroit où il y avait le nom de Chainlink au lieu du nôtre. Il n’a pas remplacé les noms. Et nous étions comme, «Combien de temps avez-vous passé à auditer cela? L’avez-vous vraiment vérifié ou avons-nous été victime d’une arnaque par ZK Labs? »

 

C’était un peu la question dans notre esprit. Il a fait des suggestions utiles, il a remarqué qu’il y avait un bug critique. Ce n’est pas comme s’il n’avait rien fait du tout, mais nous sommes repartis sans être du tout convaincus par l’audit.

Kistner a ajouté que d’autres sociétés de sécurité comme OpenZeppelin ou Trail of Bits auraient coûté à l’entreprise environ 200 000 $, «Et nous n’avions pas cela [money]. »

Les audits de code sont-ils surestimés?

Le troisième hack de BZX est intervenu juste après deux audits majeurs de Certik et PeckShield, qui semblent avoir laissé passer un bug subtil à travers leurs filets. Des plates-formes comme Aave et Compound ont également souffert de vulnérabilités au lancement, a-t-il déclaré, malgré le fait qu’elles aient été largement auditées.

CT: Pensez-vous toujours que les audits ajoutent de la valeur?

KK: Les audits sont excellents. Si vous regardez Compound, Aave ou autres, il y a pas mal de vulnérabilités sérieuses qui ont été découvertes à la suite des audits. S’ils ne les traversaient pas, il y aurait juste beaucoup plus de vulnérabilités.

Vous ne pouvez pas vous attendre à deux ou trois audits pour trouver chaque bogue. Les gens doivent comprendre cela. C’est à cela que servent les primes de bogues – lorsque le code est audité publiquement, il y a tellement plus d’yeux.

La lueur d’espoir de ces expériences

Suite aux premiers incidents, bZX a remanié l’entreprise et ses pratiques de sécurité. Sa valeur totale verrouillée a rebondi après septembre, atteignant plus de 20 millions de dollars. Bien que ce soit loin de certains des protocoles plus importants, le chiffre est toujours remarquable compte tenu de l’année tumultueuse du projet et du manque de subventions directes pour mettre des actifs dans le protocole.

En relation: L’agriculture à rendement alimente le buzz autour de DeFi, mais les fondamentaux sont à la traîne

Kistner a déclaré que l’équipe «a probablement [negative] publicité en une meilleure reconnaissance et une plus grande utilisation du protocole dans son ensemble. » Le temps leur a également permis de trouver «quelque chose que les gens aiment vraiment», a-t-il ajouté. L’équipe se concentre sur une perspective à long terme, et sa torsion sur l’agriculture de rendement comprend une période d’acquisition, qui est considérée comme un mécanisme qui décourage les capitaux à court terme de se joindre.

Dans le même temps, Kistner estime que l’expérience a permis à bZX d’éviter de devenir un projet mené par une entreprise. «Nous nous considérons plus comme un non-conformiste, plus comme un protocole de type étranger.»

Interrogé sur les investissements que la société a reçus depuis, il a déclaré que «c’était un très petit tour» et qu’ils «n’ont renoncé à aucun capital ni contrôle».

En fin de compte, le jury n’est toujours pas sur la question de savoir si bZX peut rattraper le terrain perdu. Les hacks ont porté des coups paralysants qui auraient pu facilement entraîner la mort du projet, mais l’équipe a persévéré et rebondit. L’histoire de bZX, quelle que soit son évolution, reste un avertissement important pour les autres projets et les utilisateurs de DeFi: il y a beaucoup plus à faire dans la création d’un produit sûr au-delà du simple paiement de l’argent aux auditeurs.

Crédit: Lien source

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *