El 7 de julio, la comunidad originalmente pacífica de Bifrost repentinamente entró en pánico.
Cuando el equipo del proyecto revisó la cuenta del tesoro, descubrieron algunos registros de transferencia inusuales y anormales: los tokens BNC en el tesoro fluían continuamente hacia una dirección privada desconocida a un ritmo de 100 piezas cada vez. Esta dirección parece contener las claves privadas de un script de firmas múltiples que se utiliza para reponer automáticamente las tarifas de transacción de BNC. El equipo del proyecto se dio cuenta de que la tesorería de Bifrost estaba sufriendo un ataque planeado desde hacía mucho tiempo.
Pronto, la noticia se extendió como una plaga por la comunidad. El precio de BNC se desplomó instantáneamente un 20%. En el gráfico de líneas K del intercambio, una enorme vela roja asomó directamente a los ojos del usuario. Y ese terrible número de transferencias siguió aumentando: 100.000, 500.000, 1 millón... Finalmente, cuando la tormenta negra amainó, la tesorería del Bifrost se horrorizó al descubrir que un total de 6.631.252 monedas BNC habían desaparecido.
De repente, la comunidad pacífica cayó repentinamente en el caos. La atmósfera originalmente armoniosa se rompió instantáneamente, reemplazada por oleadas de ansiedad e inquietud. Los usuarios discutieron y difundieron diversas noticias inquietantes. Declaraciones como "robaron el tesoro" y "el precio de la moneda se desplomó" se difundieron por todas partes, provocando un pánico generalizado. La caída del precio de los tokens ha provocado que los corazones de muchos tenedores de divisas toquen fondo...
Respuesta a la crisis: recuperación y reposición de fondos del Tesoro
Ante esta repentina crisis, el equipo del proyecto Bifrost no dudó y puso en marcha inmediatamente un plan de emergencia. Tomaron una decisión rápida e inmediatamente descartaron y reemplazaron la clave privada filtrada, eliminando la posibilidad de que los piratas informáticos siguieran robando fondos del tesoro. Al mismo tiempo, el equipo del proyecto también congeló urgentemente algunas cuentas sospechosas a través del mecanismo de gobernanza y recuperó con éxito 3.351.153 BNC. Esto definitivamente le da a la comunidad un rayo de esperanza.
Sin embargo, la realidad es cruel. Estadísticas posteriores encontraron que todavía había 3.280.099 BNC que no se pudieron recuperar porque fueron intercambiados por DOT o transferidos entre cadenas. Este es un duro golpe para cualquier proyecto. Pero el equipo de Bifrost no se dejó abrumar por las dificultades, sino que demostró una responsabilidad extraordinaria. Para compensar las pérdidas de usuarios y mantener la credibilidad del proyecto, los miembros del equipo expresaron su voluntad de inyectar sus posiciones del BNC en el tesoro nacional. Este movimiento muestra la sinceridad y determinación del equipo de Bifrost.
El trabajo duro vale la pena. Con los esfuerzos conjuntos del equipo, el saldo de la tesorería de Bifrost ha vuelto gradualmente al nivel anterior al incidente. A partir de ahora, Bifrost posee un total de 22.888.508 BNC en la tesorería de las cadenas Kusama y Polkadot. Este número es casi el mismo que antes del incidente. Para aquellos usuarios que todavía tienen dudas, el equipo del proyecto también reveló deliberadamente la dirección de la tesorería e invitó a todos a verificar el saldo de la cuenta en cualquier momento para demostrar que lo que dijo el equipo es cierto.
Con la ayuda del plan de recompra, el precio del BNC se estabiliza y se recupera
Tras la exitosa recuperación y reposición de los fondos del tesoro, el equipo del proyecto Bifrost tomó medidas rápidas para restablecer completamente los servicios que habían sido suspendidos debido a necesidades de emergencia.
Los técnicos trabajaron durante la noche para realizar una auditoría de seguridad integral y reparar las vulnerabilidades del sistema. Como resultado, la funcionalidad de transferencia y cadena cruzada en Bifrost volvió a estar en línea pocas horas después. Los usuarios pueden transferir libremente activos en el ecosistema Bifrost como de costumbre, o transferir tokens a través de cadenas a otras redes. Sin duda, esto dio a la comunidad un rayo de esperanza, y muchos usuarios incluso expresaron sus elogios por la rápida respuesta del equipo del proyecto en las redes sociales.
Pero el equipo de Bifrost no se quedó ahí. Saben que además de restablecer los servicios, también necesitan tomar medidas prácticas para estabilizar el precio del BNC y restaurar la confianza del mercado. Como resultado, el equipo del proyecto anunció una noticia de gran éxito: la tesorería de Bifrost utilizará 10.000 DOT para recomprar BNC a través de Hydration DCA.
Esta decisión provocó acaloradas discusiones en la comunidad y muchos usuarios admiraron la sinceridad del equipo del proyecto. Ya sabes, DOT es el token más popular en el ecosistema de Polkadot y 10,000 es una cantidad enorme. La voluntad de Bifrost de gastar tanto DOT para recomprar sus propios tokens es suficiente para demostrar su firme confianza en el valor a largo plazo de BNC.
Más importante aún, la elección del método de recompra de Hydration DCA también refleja la profesionalidad y la sabiduría del equipo. En comparación con una gran recompra única, una estrategia de recompra gradual puede impulsar los precios del BNC y al mismo tiempo evitar fluctuaciones excesivas del mercado. Sin duda, esto ayudará a reconstruir la confianza de los usuarios y promoverá un aumento constante de los precios del BNC.
Gracias a los esfuerzos conjuntos del equipo de Bifrost, esta crisis finalmente se evitó. Los servicios han vuelto a la normalidad, la confianza de los usuarios se ha ido recuperando gradualmente y los precios del BNC han vuelto a una trayectoria ascendente. Como puede ver, Bifrost no sólo tiene una excelente solidez técnica, sino que también tiene sentido de responsabilidad y acción. Esta crisis ha hecho que el proyecto sea más maduro y confiable.
La clave detrás de las preguntas de la comunidad: MPC y seguridad del tesoro
Cuando el furor disminuyó, algunos miembros atentos de la comunidad comenzaron a hacer preguntas. No podían entenderlo: dado que la billetera de Bifrost es cogestionada por múltiples partes (MPC), ¿cómo podría filtrarse la clave privada, lo que provocaría una salida masiva de fondos del tesoro? Esta pregunta realmente dio en el clavo y tocó el meollo de la cuestión.
Ante las dudas de todos, el líder del proyecto Bifrost, Lurpis, inmediatamente brindó una explicación a través de su Twitter personal. Resulta que la propia tesorería de Bifrost está descentralizada y no depende de una única clave privada. Pero el problema es que la tesorería también es programable. Este incidente ocurrió precisamente debido a un script utilizado para reponer automáticamente las tarifas de transacción del BNC.
Lurpis explicó además que el guión recibió permisos especiales para manipular activos del tesoro. Siempre que alguien obtenga la clave privada de firmas múltiples del script, puede aprovechar la laguna jurídica y utilizar un método específico para transferir 100 BNC de la tesorería a la vez. De esto se puede inferir que el filtrador tiene un conocimiento muy profundo del funcionamiento interno de Bifrost, razón por la cual pudo realizar el robo con tanta habilidad.
Lurpis también admitió francamente que Bifrost carece de frecuencia de llamadas de script y límites de cuota. Si pudiéramos ser más rigurosos en estos detalles, tal vez se podría evitar este incidente. Dijo que ésta era una lección dolorosa pero valiosa para el equipo. A continuación, sacarán inferencias de un ejemplo, revisarán y optimizarán exhaustivamente varios scripts, solucionarán las lagunas de la fuente y fortalecerán la seguridad de la tesorería.
Investigación de incidentes: búsqueda de responsabilidad por robo de clave privada
En cuanto a la causa del incidente, el equipo de Bifrost dijo que todavía están investigando. Aunque aún no hay una conclusión, la comunidad directora del proyecto aseguró que una vez que se descubra la causa y el objeto de la filtración de la clave privada, definitivamente tomarán acciones legales y no lo tolerarán.
Si bien tranquilizó a todos, el equipo del proyecto también enfatizó específicamente que este incidente en realidad fue causado por la filtración de la clave privada del script fuera de la cadena y no involucró la seguridad de los activos ni el código en sí en la cadena Bifrost. Aunque algo salió mal debajo de la cadena, la cadena seguía tan estable como una roca.
Pero, de nuevo, no se deben subestimar los peligros ocultos de los scripts fuera de la cadena. El equipo de Bifrost declaró que tomarán esto como una lección, sacarán inferencias de un ejemplo y clasificarán de manera integral los scripts existentes y los mecanismos de administración de claves privadas. Taparán cualquier laguna dondequiera que exista para garantizar que todos los riesgos se eliminen de raíz. . Dado que la seguridad de la cadena de bloques no es un asunto menor, debe protegerse estrictamente tanto dentro como fuera de la cadena.
Este incidente sin duda hizo sonar la alarma para Bifrost, pero también reforzó su determinación de mejorar su sistema de seguridad. Creo que después de este "raspado y curación de huesos", la defensa de seguridad de Bifrost se volverá aún más irrompible. Detrás de esto está la actitud altamente responsable del grupo del proyecto hacia los activos de los usuarios y su preocupación por la base de confianza en la cadena de bloques. Este tipo de Bifrost es, naturalmente, más digno de la confianza de todos.
Gato Viejo (Twitter): https://x.com/readonlm
Enlaces relacionados con Bifrost:
Sitio web: https://bifrost.finance
Twitter: https://twitter.com/Bifrost
Aplicación descentralizada: https://app.bifrost.io
