منصة التمويل اللامركزية bZX كانت في دائرة الضوء بكثرة هذا العام، وليس فقط للأسباب الصحيحة. بدأت معظم منصات التمويل اللامركزي المشهورة اليوم، بما في ذلك bZX، رحلتها في حوالي عام ٢٠١٨، في نهاية طفرة الطرح الأولي للعملات الرقمية. وفي عام ٢٠١٩، بدأ قطاع التمويل اللامركزي يكتسب زخمًا، على الرغم من أنه كان لا يزال قطاعًا مهمشًا إلى حدٍ ما في الصناعة.

ومع استمرار النمو، بدأت الشكوك في أن الاختراقات الرئيسية، وهو العادي بالنسبة لقطاع الأصول الرقمية، قد فات موعدها. ونظرًا لتعقيد هذه المنصات وحداثتها، كان من المعقول افتراض أنها ليست جميعها منيعة ضد الأخطاء.

يمكن وصف هذا العام بأنه شهادة على القول المأثور "المصائب لا تأتي فرادى". لسوء الحظ بالنسبة لمنصة bZX، أصبحت هي أول منصة تمويل لامركزي رئيسية تعاني من اختراق كبير، في فبراير من عام ٢٠٢٠. كما أصبحت ثاني منصة يتم استغلالها، حيث أدى هجومان متتاليان إلى شل المشروع وإجباره على تفويت غالبية ضجة التمويل اللامركزي.

بينما حذت بعض المنصات الأخرى حذوها، لم تنته مشاكل bZX حقًا: فبعد وقت قصير من إعادة إطلاقها في سبتمبر، تم اختراقها مرة أخرى. وفي حين أنه قد يبدو أنها كانت الضربة الأخيرة للمشروع، إلا أن المؤسس المشارك كايل كيستنر لا يزال متفائلًا بأن المنصة سوف تنتعش مرة أخرى.

حيث قال كيستنر في مقابلة مع كوينتيليغراف: "منذ أن استعدنا المال وأصبحت الأموال آمنة، أصبح لدينا مجموعة كاملة من القيمة الإجمالية مقفلة وكمية ضخمة من حجم التداول". "لم نعد إلى ما كنا عليه تمامًا، لكن أحجام تداولنا كانت تتفجر حقًا."

كرر كيستنر مرات عديدة خلال المقابلة أنه على الرغم من كل هذه الاختراقات، لم تفقد المنصة أموال مستخدميها بشكل قاطع. إذ تم رد أموال الضحايا الأوائل، بينما تم القبض على المخترق وراء هجوم سبتمبر متلبسًا من خلال تحليلات بلوكتشين وأعاد الأموال. ومهما كان الأمر، كانت رحلة كيستنر وفريق bZX هذا العام صاخبة على أقل تقدير.

اللحاق بالركب

كوينتيليغراف: حدث اختراق bZX الأول يوم ١٤ فبراير أثناء غياب الفريق في مؤتمر ETHDenver. كيف علمت بالهجوم؟

كايل كيستنر: كنا في حفلة، وقد كنا نجلس هناك، نتحدث مع ريان [بيركون، الرئيس التنفيذي لشركة تيلور] وكان يخبرني عن كيفية قيامه للتو بوضع بعض المال في فولكروم، وكان يطلعني على أسعار الفائدة. وقد لاحظت أن أسعار الفائدة على إيثريوم كانت مرتفعة بشكل غير طبيعي. وقلت، "أوه، هذا غريب حقًا."

ثم تحدثت إلى توم [الرئيس التنفيذي لشركة bZX] حول هذا الموضوع وشعرت أن هناك شيئًا غريبًا حقًا. في وقتٍ لاحق من الليل تلقينا رسالة من ليف ليفنيف من DappHub، الذي لاحظ معاملة غريبة، والتي كانت في الأساس تلك التي أدت إلى هذه الفائدة الكبيرة جدًا في مجمّع iETH.

وكما تعلمون، كنا نشرب، لذلك كنا بحاجة إلى أن نستيقظ. كانت هذه تجربة مجنونة، كانت الساعة ١١:٣٠ ليلًا، وكنا نحتفل مع بقية العاملين في هذا المجال وفجأة دخلت في هذا الموقف الخطير للغاية. أثناء التحقيق، أدركنا أننا بحاجة إلى إيقاف النظام بأكمله مؤقتًا.

لم يكن هناك حقًا زر إيقاف مؤقت مصمم لهذا الشيء، لكننا وجدنا حلًا سريعًا معًا من خلال تعطيل قائمة أوراكل البيضاء. وقد نجح هذا في منع أخذ المزيد من الأموال.

ثم اتصلت بزوجتي، وقلت "لا أعرف كيف سأكون قادرًا على مواجهة الناس في الصناعة، والعودة إلى ETHDenver، ورؤية الجميع هناك." اعتقدت للحظة أنني ربما سأحزم حقائبي وأعود إلى المنزل، لكن زوجتي أخرجتني من ذلك. كان توم جالسًا هناك، متخشبًا قليلًا، وكان لا زال يستوعب الأمر.

الاختراق الثاني

في النهاية، أعاد كيستنر والفريق تجميع صفوفهم. وتمكنوا من الحصول على ضربة حظ - لم ينشر البروتوكول تلقائيًا خسارة أكثر من ١١٠٠ إيثريوم، بقيمة حوالي ٣٠٠٠٠٠ دولار، بين جميع مستخدمي المنصة. وقد منحهم ذلك فرصة لإعادة الأموال بالكامل على طول الخط وسمح للشركة بالاستمرار. قال كيستنر: "لقد منحنا هذا الكثير من الروح المعنوية".

وعندما ظهر الفريق في ETHDenver في اليوم التالي، قال كيستنر إن "الناس كانوا في الواقع يهنئوننا. كان هناك الكثير من الدعم، وكان الناس يقولون، "نحن منشئون وأنتم منشئون، ونحن جميعًا في هذا القارب معًا."

كوينتيليغراف: ثم حدث الهجوم الثاني. كيف بلغك الأمر؟

كايل كيستنر: كنا قد وصلنا للتو إلى أحد المطاعم. كنا في منتجع التزلج في كولورادو، وساعدنا في تنظيمه وكنا متحمسين جدًا له. لقد طلبنا الكثير من الطعام، وكان توم ينظر إلى هاتفه - فهو يحب فقط مراقبة المعاملات المختلفة الموجودة على النظام، خاصةً لملاحظة إذا كان أي شيء يبدو غريبًا. لذلك نظر إلى هذه المعاملة الواحدة وبدا الأمر غريبًا حقًا لأنه تم حذف عقود ولديها قرض سريع وكان يتم استدعاء مبالغ صغيرة بشكل متكرر مرارًا وتكرارًا.

لذلك نظرنا إلى تلك المعاملة واستغرق الأمر منا حوالي ثانيتين لنقول "حسنًا، تم اختراق شخص ما". الأمر لا يبدو صحيحًا على الإطلاق. ,كنا نعلم أنه يشمل نظامنا.

وهكذا وصل الطعام، كان طعامًا ثمنه مائة دولار لثلاثة أشخاص. لحظة وصوله على الطاولة، نهضت وقلت، "هل يمكنني دفع الفاتورة؟" وأعطيتهم البطاقة. كان توم بالفعل يركض بسرعة إلى المنزل وقد تبعناه جميعًا، بدأنا جميعًا في الركض عبر الثلج، وقد استغرق الأمر سبع دقائق لنجري من المطعم إلى مكاننا.

قمنا بإدارة محطات عملياتنا، وأوقفنا النظام مؤقتًا، وبدأنا في فرز المشكلة وتشخيصها. [...] عند هذه النقطة كنا نتعامل بموقف: "نحن نعرف كيف نتعامل مع هذا، إذا كان هناك بعض الأموال التي تم أخذها فهي ليست نهاية العالم." لسوء الحظ، نظرًا لأنها كانت المرة الثانية التي نتعرض فيها للهجوم، فقد تناقصت الكثير من النوايا الحسنة التي كان الناس يمنحونها إلينا من قبل.

التفكير في الخطأ الذي حدث

أجبر الاختراقان الفريق على إغلاق البروتوكول وإعادة بناءه. ومنذ ذلك الحين، شهدت مشاريع أخرى استغلال الثغرات الأمنية أيضًا، ولكن لم تحدث عمليات اختراق متعددة خلال فترة قصيرة.

كوينتيليغراف: إن عدد المخالفات التي تعرضت لها bZX يثير تساؤلات حول ممارسات المشروع. هل يمكن أن يكون ذلك مجرد سوء حظ، أم أن هناك شيئًا أعمق حول الأمر؟

كايل كيستنر: إنها ليست مصادفة. إذًا، هناك شيئان: الأول هو أننا ارتكبنا خطأ، وكان لدينا مدقق أمان من النوع الذي لم يقم [بعمله] تمامًا. وهناك مشكلة واحدة أحاول الوصول إليها هنا - في الأساس، هناك عدد من العوامل التي تفسر لماذا كنا نستخدم كايبر كمنصة أوراكل [نقطة الضعف الأساسية التي أدت إلى الاختراق الثاني].

لقد كانت ثغرة مفاهيمية كان من المفترض أن يكتشفها المدقق حقًا، لكن ما كان ينبغي لنا أن نستخدم هذه المنصة. فقد كان لدينا فهم أن كايبر لم تكن مثالية، لكننا رفضنا بعناد نوعًا ما إضفاء الطابع المركزي على منصة اوراكل. لم يكن لدينا تشين لينك، والذي كان بإمكاننا توصيله ببساطة في ذلك الوقت، لذا كان الخيار الآخر الوحيد هو جعل منصة أوراكل مركزية.

الآن، كان الاختراق الأول في الأساس خطأ مطبعي. أعتقد أن هذا كان بسبب عدم تطبيق العمليات المناسبة. [...] فقد كنا شركة صغيرة. ولم نكن مدعومين بمجموعة كاملة من أموال الاستثمار، مثل الكثير من بروتوكولات الإقراض الأخرى. لكنا الآن شركة أكبر بكثير وأكثر نضجًا.

ليس كل المدققين سواء

تعتبر مراجعة العقود الذكية خطوة حيوية قبل إطلاق البروتوكول. إذ تعتبر البروتوكولات غير المدققة أقل أمانًا، لدرجة أن منشئ واي إيرن فاينانس قال إنه قلل من الإثارة حول مشروعه عمدًا من خلال حجب حقيقة أن البروتوكول قد تم تدقيقه.

كوينتيليغراف: إذًا ما الذي حدث بالضبط مع تدقيق التعليمات البرمجية الخاصة بكم بواسطة زي كيه لابز؟

كايل كيستنر: أشعر أنني أحتاج إلى مشاركة هذه القصة، إذ يلزم أن تُعرف. لقد كنا جددًا وكنا نحافظ على البيئة في الصناعة. وكنا قد قمنا للتو ببناء هذا الإصدار كواحد من بروتوكولنا، كان ذلك في بداية عام ٢٠١٨ تقريبًا. قمنا بوضع أشياءنا على شبكة الاختبار، لكننا لم نعرف حقًا مدققي الأمن في المجال.

لذلك سألنا عن الأمر وتم إحالتنا أولًا إلى مجموعة أكاسيا. [...] وقد قاموا باستكشاف النظام وقالوا بصراحة، "إن هذا يتجاوز قدراتنا الآن." لذلك كنا بحاجة إلى إيجاد جهة تدقيق مختلفة، وفي النهاية وجدنا زي كيه لابز. كنا نظن أن زي كيه لابز شركة مرموقة وحسنة السمعة. [...] حيث كان ماثيو ديفيرانت [مؤسس زي كيه لابز] مرتبطًا بمؤسسة إيثريوم، وكان يعمل مهندسًا أمنيًا هناك.

وما لم أكن أعرفه هو أنه وراء الكواليس، فإن كل مدققي الأمن الآخرين في المجال لم يحبوا ماثيو حقًا. حيث شعروا أنه كان غير محترف للغاية ولا يقوم بعمل جيد. [...] كان يبدو أنه رجل ذكي، على ما أعتقد، ولكن يبدو أنه واجه صعوبة كبيرة في التعامل مع عبء العمل.

قمنا بتدقيق بروتوكولنا بواسطتهم، وكان من الواضح تمامًا أنه لا يوجد في الواقع سوى ماثيو ديفيرانت الذي يقوم بالتدقيق. لقد كلفنا الأمر حوالي ٥٠٠٠٠ دولار، والتي كانت بالنسبة لنا - شركة ناشئة في مهدها بالكامل - مبلغ ضخم جدًا من المال.

لكننا بذلنا قصارى جهدنا لجمع الأموال والقيام بكل ما في وسعنا - وقد فعلنا ذلك. لقد جمعنا خمسين ألفًا من أجل هذا التدقيق، لكن شعرنا وكأننا نُخدع بطريقة ما. [...] جهزنا كل أشيائنا له في بداية شهر مارس، ولكن لم يتم الانتهاء من العمل الفعل إلا قرب سبتمبر - وفقط بعد الكثير من سحب المشاحنات والصراخ.

عندما نظرنا إلى التدقيق، وجدنا بعض الأخطاء المطبعية - كان هناك مكان يوجد به اسم تشين لينك بدلًا من اسمنا. حتى إنه لم يستبدل الأسماء!! وكان لسان حالنا يقول، "كم من الوقت قضيت في تدقيق هذا؟ هل قمت بتدقيق هذا حقًا أم تم خداعنا من قبل زي كيه لابز؟"

كانت هذه هي نوعية الأسئلة التي دارت في أذهاننا. ثم قام بتقديم بعض الاقتراحات التي كانت مفيدة، ولاحظ وجود خطأ فادح. ليس الأمر وكأنه لم يفعل أي شيء على الإطلاق، لكننا خرجنا غير مقتنعين بالتدقيق على الإطلاق.

أضاف كيستنر أيضًا أن شركات الأمان الأخرى مثل أوبن زيبلين أو تريل اوف بيتس كانت ستكلف الشركة حوالي ٢٠٠٠٠٠ دولار، "ولم يكن لدينا هذا [المال]".

هل عمليات تدقيق التعليمات البرمجية مبالغ فيها؟

جاء الاختراق الثالث لـ BZX مباشرة بعد عمليتي تدقيق كبيرتين أجرتهما سيرتيك وبيك شيلد، والتي يبدو أنهما سمحتا لخلل خفي بالمرور عبر شبكتهما. كما أوضح أن منصات مثل آيف وكومباوند قد عانتا أيضًا من نقاط ضعف عند الإطلاق، على الرغم من حقيقة أنهما خضعتا للتدقيق على نطاق واسع.

كوينتيليغراف: هل ما زلت تعتقد أن عمليات التدقيق تضيف قيمة؟

كايل كيستنر: إن عمليات التدقيق رائعة. إذا نظرت إلى كومباوند أو آيف أو غيرهما، فهناك عدد غير قليل من نقاط الضعف الخطيرة التي تم العثور عليها نتيجة لعمليات التدقيق. وإذا لم يمرا بها، كانت ستوجد الكثير من نقاط الضعف.

لا يمكن أن تتوقع من عمليتي تدقيق أو ثلاث أن تعثر على كل الأخطاء. ويحتاج الناس لفهم ذلك. هذا هو الغرض من مكافآت الأخطاء - عندما يتم تدقيق التعليمات البرمجية علنًا، فهناك الكثير من العيون.

الجانب المشرق لهذه التجارب

بعد الحوادث الأولية، أصلحت bZX الشركة وجميع ممارساتها الأمنية. وقد انتعشت القيمة الإجمالية التي تم قفلها بعد سبتمبر، لتصل إلى أكثر من ٢٠ مليون دولار. وفي حين أن هذا بعيد كل البعد عن بعض البروتوكولات الأكبر، إلا أن الرقم لا يزال ملحوظًا نظرًا للسنة المضطربة للمشروع ونقص الدعم المباشر لوضع الأصول في البروتوكول.

حيث قال كيستنر إن الفريق "ربما استثمر الدعاية [السلبية] في الانتشار بشكل أفضل والحصول على استخدام أكبر للبروتوكول بشكل عام." وأضاف أن الوقت سمح لهم أيضًا بالعثور على "شيء يحبه الناس حقًا". يركز الفريق على منظور طويل الأجل، ويتضمن تطوره في مجال توليد العائدات فترة الاستحقاق، والتي يُنظر إليها على أنها آلية تثني رأس المال قصير الأجل عن الانضمام.

وفي الوقت نفسه، يعتقد كيستنر أن التجربة سمحت لـ bZX بتجنب التحول إلى مشروع يقوده الاستثمار. "نحن نرى أنفسنا كمشروع مستقل من نوعه، بروتوكول خارج عن الركب بعض الشيء."

وعندما سئل عن الاستثمارات التي تلقتها الشركة منذ ذلك الحين، قال إنها "كانت جولة صغيرة جدًا" وأنهم "لم يتخلوا عن أي ملكية أو سيطرة."

في النهاية، لا تزال هيئة المحلفين غير متأكدة مما إذا كان بإمكان bZX تعويض خسائره. إذ وجهت الاختراقات ضربات مدمرة كان من الممكن أن تؤدي بسهولة إلى وفاة المشروع، لكن الفريق ثابر واستعاد عافيته. وتظل قصة bZX، مهما تطورت، تحذيرًا مهمًا للمشاريع الأخرى ومستخدمي التمويل اللامركزي: هناك الكثير مما يجري في إنشاء منتج آمن يتجاوز مجرد دفع الأموال لجهات التدقيق.