作者:Luccy、Kaori;编译:BlockBeats
9 月 20 日,Balancer 在新一轮进犯中损失达 23.8 万美元,慢雾区情报分析认为此次为 BGPHijacking 进犯,访问该网站链接钱包后会遭受垂钓进犯。随后,慢雾 MistTrack 表明 Balancer 进犯者费用来自网络垂钓安排 Angel Drainer。现在,Balancer 表明前端已恢复安全并从头由 Balancer DAO 操控。
BGPHijacking,也称为 BGP 路由绑架,这是一种前端进犯手法。在 BGPHijacking 进犯中,进犯者经过发送虚假的 BGP 路由更新信息,使其他路由器将流量引向过错的方向,然后实现流量的窃听、篡改或中止。简单地说,网站可以发送垃圾邮件批准交易,然后答应恶意合约搬运用户的一切资金。
这也是与以往进犯事情最大的不同之处——进犯瞄准了 Balancer 前端。
OpCo、Orb Collective,和发展战略改变的价值
值得注意的是,在此次进犯前,Balancer 还有一则重要新闻,4 月 14 日,Balancer 的服务供给商 Balancer OpCo 宣告已辞退了两名工程师并削减了运营预算。
Balancer OpCo 是 Balancer 基金会的全资子公司,为 Balancer 供给办理和运营服务供给商以及前端开发和工程作业流程。从上一年 8 月至本年 6 月,在 Balancer DAO 中涉及 Balancer OpCo 的 7 条提案显现,其中 5 条提案均显现经过,除了团队进行融资外,还另将 25 万 BAL 搬运给 OpCo,以便 OpCo 可以致力于代币的私人出售。现在,为渠道下一年份运转进行融资的提案也在开始评论阶段。
然而,跟着协议将要点转向改进用户界面和营销,Balancer OpCo 人员数量也随之削减。为此,Balancer 将建立一个专门的营销团队 Orb Collective,负责评论 Balancer 怎么与渠道用户合作的机制,经过合作伙伴关系、营销、集成、设计和人员运营作业来促进 Balancer 协议的发展,以扩大 Balancer 协议的全球选用率。上一年 8 月,Orb Collective 正式推出,团队表明新的推行战略还将选用「加密 Twitter 原生声响」。
值得注意的是,本年 4 月,Balancer 管理在提案中更新了 Orb Collective 的财务计划,以续签 Certora 的智能合约审计合同,自 2023 年第二季度开始从 Orb Collective 的预算平分配给 OpCo,目的是确保 Balancer 用户的资金安全。但 Balancer DAO 社区成员以近 80% 的比例否定了 Balancer OpCo Limited 进行智能合约审计的提案,这也是在 7 条提案中唯一被否定的提案。
同月,Coindesk 宣布了一篇名为《DeFi 协议 Balancer 在战略转向之际削减预算和职工人数》的文章,称 Balancer 将做出战略调整。据文章报道,Balancer OpCo 团队在本年 4 月有 20 多人参加的 Discord 电话会议上泄漏,该公司已辞退了两名工程师并削减了运营预算。
Orb Collective 首席履行官 Jeremy Musighi 表明:「咱们为 Balancer 品牌制定了新愿景,对此咱们感到十分兴奋。」「与此一起,咱们一向在对营销团队人员进行一些调整,以确保咱们有合适的人员来履行这一新愿景。」2022 年第三季度,Orb 团队申请了 7.6 万美元的运营预算,想要在社交渠道、播客、社区关系维护等方面为 Balancer 拓展声量。第四季度,预算申请提案宣称由于处于熊市周期,Orb 团队的运营预算只有 4.8 万美元,几乎下降了 50%。
一起,团队表明这是为了变革品牌战略,未来会将要点转向改进其用户界面和营销。这个音讯公布时,Balancer 面临了一些商场压力,或许正是这次前端裁人行动,给进犯者供给了另辟蹊径的机会。
这次 Balancer 的前端遭进犯,很难不将其和智能合约审计提案未经过以及前端人员被裁联系起来。或许战略改变是假,熊市周期资金紧张开源节流是真。
中心化前端的隐忧
除了 Balancer 团队内部的原因,此次进犯相同引起了社区对 DeFi 协议中心化前端的担忧。
DeFi 发展史中,由于前端遭到进犯而形成损失的事情并不多见,2021 年 12 月,去中心化安排 Badger DAO 的网站前端代码里边被注入了一系列的恶意代码,进犯者可以在用户不知情的情况下确认交易将代币转走。2022 年 5 月,Cronos 生态 DEX MM.Finance 遭到前端进犯,黑客利用 DNS 漏洞从用户那里盗取超过 200 万美元的财物。
上一次大规模评论去中心化前端还是由于 Tornado Cash 遭受制裁,前端被封禁。但如今前端还承受着安全压力。针对前端进犯有人认为 ENS 可能是一个解决方案,但 ENS 域名解析是「中心化」的,因而用其抵御「对去中心化的进犯」并不是十分现实。
尽管 DeFi 合约一旦部署不行篡改不行撤回,理论上来说不会遭到人为干涉,但现在绝大多数前端仍是经过传统架构实现,尽管网页本身也在不断在进化和发展,但域名 、 网络服务 、 服务器 、 存储服务等方面都存在许多潜在的要挟,一起针对前端的进犯往往容易被开发者忽视。
作为 DeFi OG 的 Balancer 如今也遭到前端进犯,由此社区呈现了呼吁搭建去中心化前端的声响。不过,这样的声响并不是太多,相比于 Uniswap 和 Tornado Cash 的前端被封禁激起的热度,现在针对黑客进犯前端咱们普通用户需要做些什么,仍需加密职业继续进行探索。
此时快讯
【张智霖到香港警察总部协助JPEX案件调查】9月21日消息,在香港警方拘捕JPEX 11名涉案人员后,张智霖今日早上到香港警察总部协助调查,至下午离开。JPEX曾邀请张智霖、林作、庄思敏等艺人或网红大力宣传,其中JPEX形容张智霖是“香港区品牌大使”。
不过张智霖早前透过公关公司表示,近日才留意到其肖像被JPEX使用,指之前收到邀请拍摄广告,当时JPEX向他们称在海外有注册,亦提供相关证明,故他们安排2022年3月拍摄,但同年5月得知JPEX已受到证监会监管后,曾书面通知JPEX,如未能取得牌照则不能使用其肖像宣传,因此会保留追究权利。