• 手机下载链向财经官方IOS和安卓版APP

      链向财经APP下载

      使用环境
      iOS 9.0及以上
      Android 4.3及以上

    • 链向财经官方微信公众号

      链向财经官方微信公众号

      微信号:chainfor

    • 链向财经官方QQ群

      链向财经官方QQ群

      群号:570828491

    • 意见反馈
    • 回到顶部
    • 12896
    • 评论
    • 喜欢
    • 举报
    千倍币Oyster Pearl崩盘始末 创始人亲手砸盘自毁项目

    01-15 09:51

    标签区块链项目诈骗

    来源:金色财经

    Oyster Pearl的故事应被理解为对所有加密货币项目的一个警示,这些项目可由特定个人访问并集中管理。今天是好人不代表明天也是好人,控制重要合同的秘钥所有权甚至可能做到私下秘密出售。

     

    低调的开始

    Oyster Pearl(PRL)是一个在2017年ICO繁荣时期诞生的项目。它声称结合了ETH和IOTA区块链的概念,提供去中心化匿名文件存储。PRL代币销售开始于2017年10月下旬,3周后相对平静地结束,仅募集了300ETH(当时约9万美元), 以5000 PRL:1 ETH的价格出售了150万PRL。12月17日,随着围绕加密货币的兴趣增长,Oyster团队决定在EtherDelta上分5次卖出2500万个PRL,价格在5美分至9美分之间。他们在几天里筹集了大约175万美元,该项目的市值超过了200万美元。到这个时候,已经向公众出售了代币总供应量的47.1%。

     

     

     

    2018年1月是ICO泡沫最严重的时候,Oyster Pearl的市值超过2.4亿美元。每个PRL的价格超过了4美元,这意味着相对于种子轮投资者价格上涨了66倍,相对于EtherDelta售卖价格上涨了40-80倍,作为主要的山寨币交易所KuCoin的交易量非常大。今天相同的市值可以使其成为排名前30的代币,与ZCash的市值一致。

     

    之后,与其他ICO一样,PRL和ICO市场一起急剧崩溃。当一些无耻骗局项目退出并消失时,Oyster Pearl似乎正在做事。他们在Github上发布了代码,并最终在5月交付了主网。一个重要变化是领导层重大变动:6月9日,当时匿名的CEO和创始人Bruno Block将领导层移交给了前CFO Bill Cordes。

     

    从9月28日到10月29日,PRL从6美分上升到23美分的峰值。它兑BTC的价格接近2018年第一季度的高点,据称是由于即将上线Binance的传言。

     

     

    内部攻击

    在10月30日凌晨,灾难突然发生,数以百万计的PRL在没有任何警告的情况下突然在KuCoin上砸盘。

     

    Bill Cordes疯狂地要求KuCoin关闭所有PRL交易市场,但到关闭它们时,估计已经提出了价值300,000美元的BTC和ETH。

     

     

    利用Oyster Pearl智能合约自成立以来一直存在的后门机制。Bruno Block可以从另一个地址发出“ transferDirector()”调用,重新打开ICO合约创建更多PRL,并将任何ETH移出合约。

     

    1. Oyster智能合约允许合约私钥所有者在任何时候重新开放众筹:

       

     

    2.区块#6605271 –调用openSale()

     

    3.区块#6605281 –从 0x0001ee57bb28415742248d946d35c7f87cfd5a54 向智能合约发送了50 ETH 并创建250,000 PRL:

     

    4.在以下块中继续发送ETH创建新的PRL:

     

    • 6605299 | 50 ETH – 250,000 PRL

       

    • 6605340 | 50 ETH – 250,000 PRL

       

    • 6605366 | 50 ETH – 250,000 PRL

       

    • 6605608 | 73 ETH – 356,000 PRL

       

    • 6606268 | 186 ETH – 930,000 PRL

       

    • 6606409 | 175 ETH – 875,000 PRL

       

    • 6606737 | 173 ETH – 865,000 PRL

       

    5.从KuCoin提取ETH到0x0001ee57bb28415742248d946d35c7f87cfd5a54:

     

    • 6605411 | 65.9985593 ETH

       

    • 6605489 | 61.6195307 ETH

       

    • 6605692 | 24.1050992 ETH

       

    Bruno 还向Oyster Pearl多重签名合同存入100 ETH,试图将注意力转移到Oyster团队身上。

     

    Bruno 的动机

    这个漏洞始终存在,为什么Bruno选择等到那时候发起攻击?毕竟,如果Bruno在2018年1月PRL的价格超过4美元时执行了相同的计划,那么他的利润将增加20倍。

     

    一种说法是,KuCoin即将实施大笔取款的强制性KYC政策的消息迫使 Bruno 采取行动。在2018年11月1日,未经KYC验证的提款申请将被限制为2 BTC / 24小时,这将严重限制Bruno的攻击套现能力。

     

    另一个理由是,他与团队中的其他成员发生了冲突,现在想报复他们。这是 Bruno 本人对他这样做的原因的解释:

     

     

    尽管Oyster坚持认为智能合约通过包括Quantstamp在内的多次审核,但他们仍因所谓的技术原因而保留了合约的管理权限。这就是Bruno最终用来接管ICO合同并转移代币的原因。

     

     

    有人可能想知道,这个漏洞究竟是如何通过三次独立审计的,或者为什么社区对这种中心化程度没有保持警惕。归根结底,他们信任了团队,审计团队本身之间也有冲突。

     

    那后来这个项目怎么样了?令人惊讶的是,它仍然在继续其愿景。Oyster团队决定分叉为Opacity(OPQ),这是一种今天仍在KuCoin上市的代币,其市值为200万美元,是一款功能强大的云存储产品。Binance上市是不可能实现了,对项目声誉造成的损害是永久的和不可逆转的。Bruno Block似乎仍在致力于开发他对Oyster的最初构想。他在Telegram中很少发布更新,最后一次更新是在2019年12月6日。

     

    思考

    Oyster Pearl的故事应被理解为对所有加密货币项目的一个警示,这些项目可由特定个人访问并集中管理。今天是好人不代表明天也是好人,控制重要合同的秘钥所有权甚至可能做到私下秘密出售。当投资者不阅读代码,审计人员由于利益关系经常忽略一些漏洞,团队成员也过于轻视自己中心化的问题, 开源代码就很容易受到攻击 。

     

    在过去的一年中,DeFi领域的快速增长同样伴随着炒作。然而,在最大的DeFi项目中也发现了严重的漏洞:

     

    • Compound:Ameen Soleimani指出,如果管理员私钥被泄露,则平台上的所有资金都将被盗。

       

    • Maker:Micah Zoltu指出,持有40,000 MKR的人可以窃取系统中的所有ETH抵押品。

       

    • DyDx:用户指出,DyDx将用户的单抵押Dai(SAI)强制转换为多抵押Dai(DAI)意味着所有资金都是托管的,如果他们愿意他们可以将用户的余额转换为无价值的代币。

       

    这三者的共同点是,他们假设控制者是善良的,通过协议之外的激励措施,控制者不想看到项目失败。但是话又说回来,Bill一定以为Bruno永远不会出卖自己的项目,他为自己的天真付出了代价。尽管当一切顺利时,团队不会有危险,但是这种机制的存在意味着这些项目始终有金融灾难的隐患。想象下Taleb的火鸡形象:一只火鸡一天比一天吃的饱,一天比一天胖,直到有一个感恩节,它被宰杀成一顿丰盛的大餐。

     

    在建立无需信任协议的过程中,我们应该对实际上在假定信任的地方进行严格审查。鼓励平台隐藏这些漏洞,就相当于鼓励有恶意的人在适当的条件下利用这些漏洞,当前这些风险被低估了,只有在攻击发生后人们才会意识到这些。

     

    原文链接:https://blog.deribit.com/insights/bruno-and-bill-a-story-of-broken-trust-while-building-a-trustless-protocol/
    原文作者:Su Zhu & Hedgehog
    翻译:SHOU

     

    已有0人喜欢

    本文经授权发布,不代表链向财经立场。如若转载请标注文章来源:链向财经(www.chainfor.com)

    为了您能更及时的获取到最新热门资讯,请关注链向财经微信公众号:LXcaijing

    发表评论
    请先 注册 / 登录 后参与评论
    已有0发布
      已查看全部
      举报
      • 内容涉嫌抄袭,代表月亮消灭他/她
      • 发布不实消息,画个圈圈诅咒他/她
      • 诱导投资,放毛毛,揍他/她
      • 侵犯名誉、隐私,这个借一步说话
      • 其他
      具体描述(选填):
      取消提交