Balancer攻击事件背后：安全团队裁员 以及中心化前端的隐忧

作者：Luccy、Kaori；编译：BlockBeats

9 月 20 日，Balancer 在新一轮进犯中损失达 23.8 万美元，慢雾区情报分析认为此次为 BGPHijacking 进犯，访问该网站链接钱包后会遭受垂钓进犯。随后，慢雾 MistTrack 表明 Balancer 进犯者费用来自网络垂钓安排 Angel Drainer。现在，Balancer 表明前端已恢复安全并从头由 Balancer DAO 操控。

BGPHijacking，也称为 BGP 路由绑架，这是一种前端进犯手法。在 BGPHijacking 进犯中，进犯者经过发送虚假的 BGP 路由更新信息，使其他路由器将流量引向过错的方向，然后实现流量的窃听、篡改或中止。简单地说，网站可以发送垃圾邮件批准交易，然后答应恶意合约搬运用户的一切资金。

这也是与以往进犯事情最大的不同之处——进犯瞄准了 Balancer 前端。

OpCo、Orb Collective，和发展战略改变的价值

值得注意的是，在此次进犯前，Balancer 还有一则重要新闻，4 月 14 日，Balancer 的服务供给商 Balancer OpCo 宣告已辞退了两名工程师并削减了运营预算。

Balancer OpCo 是 Balancer 基金会的全资子公司，为 Balancer 供给办理和运营服务供给商以及前端开发和工程作业流程。从上一年 8 月至本年 6 月，在 Balancer DAO 中涉及 Balancer OpCo 的 7 条提案显现，其中 5 条提案均显现经过，除了团队进行融资外，还另将 25 万 BAL 搬运给 OpCo，以便 OpCo 可以致力于代币的私人出售。现在，为渠道下一年份运转进行融资的提案也在开始评论阶段。

然而，跟着协议将要点转向改进用户界面和营销，Balancer OpCo 人员数量也随之削减。为此，Balancer 将建立一个专门的营销团队 Orb Collective，负责评论 Balancer 怎么与渠道用户合作的机制，经过合作伙伴关系、营销、集成、设计和人员运营作业来促进 Balancer 协议的发展，以扩大 Balancer 协议的全球选用率。上一年 8 月，Orb Collective 正式推出，团队表明新的推行战略还将选用「加密 Twitter 原生声响」。

值得注意的是，本年 4 月，Balancer 管理在提案中更新了 Orb Collective 的财务计划，以续签 Certora 的智能合约审计合同，自 2023 年第二季度开始从 Orb Collective 的预算平分配给 OpCo，目的是确保 Balancer 用户的资金安全。但 Balancer DAO 社区成员以近 80% 的比例否定了 Balancer OpCo Limited 进行智能合约审计的提案，这也是在 7 条提案中唯一被否定的提案。

同月，Coindesk 宣布了一篇名为《DeFi 协议 Balancer 在战略转向之际削减预算和职工人数》的文章，称 Balancer 将做出战略调整。据文章报道，Balancer OpCo 团队在本年 4 月有 20 多人参加的 Discord 电话会议上泄漏，该公司已辞退了两名工程师并削减了运营预算。

Orb Collective 首席履行官 Jeremy Musighi 表明：「咱们为 Balancer 品牌制定了新愿景，对此咱们感到十分兴奋。」「与此一起，咱们一向在对营销团队人员进行一些调整，以确保咱们有合适的人员来履行这一新愿景。」2022 年第三季度，Orb 团队申请了 7.6 万美元的运营预算，想要在社交渠道、播客、社区关系维护等方面为 Balancer 拓展声量。第四季度，预算申请提案宣称由于处于熊市周期，Orb 团队的运营预算只有 4.8 万美元，几乎下降了 50%。

一起，团队表明这是为了变革品牌战略，未来会将要点转向改进其用户界面和营销。这个音讯公布时，Balancer 面临了一些商场压力，或许正是这次前端裁人行动，给进犯者供给了另辟蹊径的机会。

这次 Balancer 的前端遭进犯，很难不将其和智能合约审计提案未经过以及前端人员被裁联系起来。或许战略改变是假，熊市周期资金紧张开源节流是真。

中心化前端的隐忧

除了 Balancer 团队内部的原因，此次进犯相同引起了社区对 DeFi 协议中心化前端的担忧。

DeFi 发展史中，由于前端遭到进犯而形成损失的事情并不多见，2021 年 12 月，去中心化安排 Badger DAO 的网站前端代码里边被注入了一系列的恶意代码，进犯者可以在用户不知情的情况下确认交易将代币转走。2022 年 5 月，Cronos 生态 DEX MM.Finance 遭到前端进犯，黑客利用 DNS 漏洞从用户那里盗取超过 200 万美元的财物。

上一次大规模评论去中心化前端还是由于 Tornado Cash 遭受制裁，前端被封禁。但如今前端还承受着安全压力。针对前端进犯有人认为 ENS 可能是一个解决方案，但 ENS 域名解析是「中心化」的，因而用其抵御「对去中心化的进犯」并不是十分现实。

尽管 DeFi 合约一旦部署不行篡改不行撤回，理论上来说不会遭到人为干涉，但现在绝大多数前端仍是经过传统架构实现，尽管网页本身也在不断在进化和发展，但域名 、 网络服务 、 服务器 、 存储服务等方面都存在许多潜在的要挟，一起针对前端的进犯往往容易被开发者忽视。

作为 DeFi OG 的 Balancer 如今也遭到前端进犯，由此社区呈现了呼吁搭建去中心化前端的声响。不过，这样的声响并不是太多，相比于 Uniswap 和 Tornado Cash 的前端被封禁激起的热度，现在针对黑客进犯前端咱们普通用户需要做些什么，仍需加密职业继续进行探索。

此时快讯

【张智霖到香港警察总部协助JPEX案件调查】9月21日消息，在香港警方拘捕JPEX 11名涉案人员后，张智霖今日早上到香港警察总部协助调查，至下午离开。JPEX曾邀请张智霖、林作、庄思敏等艺人或网红大力宣传，其中JPEX形容张智霖是“香港区品牌大使”。
不过张智霖早前透过公关公司表示，近日才留意到其肖像被JPEX使用，指之前收到邀请拍摄广告，当时JPEX向他们称在海外有注册，亦提供相关证明，故他们安排2022年3月拍摄，但同年5月得知JPEX已受到证监会监管后，曾书面通知JPEX，如未能取得牌照则不能使用其肖像宣传，因此会保留追究权利。

币圈活动网永久会员

收藏 链接