Em 7 de julho, a comunidade originalmente pacífica de Bifrost entrou repentinamente em pânico.
Quando a equipe do projeto verificou a conta do tesouro, descobriu alguns registros de transferência incomuns e anormais: os tokens BNC no tesouro fluíam continuamente para um endereço privado desconhecido a uma taxa de 100 peças de cada vez. Este endereço parece conter as chaves privadas de um script de múltiplas assinaturas usado para reabastecer automaticamente as taxas de transação do BNC. A equipe do projeto percebeu que o tesouro da Bifrost estava sofrendo um ataque planejado há muito tempo.
Logo, a notícia se espalhou como uma praga pela comunidade. O preço do BNC despencou instantaneamente 20%. No gráfico da linha K da bolsa, uma enorme vela vermelha atingiu diretamente os olhos do usuário. E esse terrível número de transferências continuou a aumentar: 100.000, 500.000, 1 milhão... Finalmente, quando a tempestade negra passou, o tesouro da Bifrost ficou horrorizado ao descobrir que um total de 6.631.252 moedas BNC haviam desaparecido.
De repente, a comunidade pacífica caiu no caos. A atmosfera originalmente harmoniosa foi instantaneamente quebrada, substituída por ondas de ansiedade e desconforto. Os usuários discutiram e espalharam várias notícias perturbadoras. Declarações como “o tesouro foi roubado” e “o preço da moeda desabou” se espalharam por toda parte, provocando pânico generalizado. A queda vertiginosa do preço dos tokens fez com que os corações de muitos detentores de moeda chegassem ao fundo do poço...
Resposta à crise: recuperação e reposição de fundos do Tesouro
Perante esta crise repentina, a equipa do projeto Bifrost não hesitou e lançou imediatamente um plano de emergência. Eles tomaram uma decisão imediata e imediatamente descartaram e substituíram a chave privada vazada, eliminando a possibilidade de hackers continuarem a roubar fundos do tesouro. Ao mesmo tempo, a equipa do projecto também congelou urgentemente algumas contas suspeitas através do mecanismo de governação e recuperou com sucesso 3.351.153 BNC. Isso definitivamente dá à comunidade um vislumbre de esperança.
Contudo, a realidade é cruel. Estatísticas subsequentes descobriram que ainda havia 3.280.099 BNC que não puderam ser recuperados porque foram trocados por DOT ou transferidos entre cadeias. Este é um duro golpe para qualquer projeto. Mas a equipa Bifrost não se deixou dominar pelas dificuldades, mas demonstrou uma responsabilidade extraordinária. Para compensar as perdas dos utilizadores e manter a credibilidade do projecto, os membros da equipa manifestaram a sua vontade de injectar as suas posições do BNC no tesouro nacional. Este movimento mostra a sinceridade e determinação da equipe Bifrost.
O trabalho duro compensa. Com os esforços conjuntos da equipe, o equilíbrio do tesouro da Bifrost voltou gradativamente ao nível anterior ao incidente. A partir de agora, a Bifrost detém um total de 22.888.508 BNC no tesouro das redes Kusama e Polkadot. Este número é quase o mesmo de antes do incidente. Para os usuários que ainda têm dúvidas, a equipe do projeto também divulgou deliberadamente o endereço da tesouraria e convidou todos a verificarem o saldo da conta a qualquer momento para comprovar que o que a equipe disse é verdade.
Com a ajuda do plano de recompra, o preço do BNC se estabiliza e se recupera
Com a recuperação e reposição bem sucedidas dos fundos do tesouro, a equipa do projecto Bifrost tomou medidas rápidas para restaurar totalmente os serviços que tinham sido suspensos devido a necessidades de emergência.
Os técnicos trabalharam durante a noite para realizar uma auditoria de segurança abrangente e reparos de vulnerabilidades no sistema. Como resultado, a funcionalidade de transferência e cross-chain no Bifrost voltou a ficar online poucas horas depois. Os usuários podem transferir livremente ativos no ecossistema Bifrost, como de costume, ou transferir tokens entre cadeias para outras redes. Isto sem dúvida deu à comunidade um vislumbre de esperança, e muitos usuários até expressaram seus elogios pela resposta rápida da equipe do projeto nas redes sociais.
Mas a equipe Bifrost não parou por aí. Eles sabem que além de restaurar os serviços, também precisam de tomar medidas práticas para estabilizar o preço do BNC e restaurar a confiança do mercado. Como resultado, a equipe do projeto anunciou uma notícia de grande sucesso: o tesouro da Bifrost usará 10.000 DOT para recomprar BNC por meio do Hydration DCA.
Esta decisão gerou discussões acaloradas na comunidade e muitos usuários admiraram a sinceridade da equipe do projeto. Você sabe, DOT é o token mais popular no ecossistema Polkadot e 10.000 é uma quantia enorme. A disposição da Bifrost de gastar tanto DOT para recomprar seus próprios tokens é suficiente para provar sua firme confiança no valor de longo prazo do BNC.
Mais importante ainda, a escolha do método de recompra da Hydration DCA também reflete o profissionalismo e a sabedoria da equipe. Em comparação com uma grande recompra única, uma estratégia de recompra gradual pode impulsionar os preços do BNC, evitando flutuações excessivas do mercado. Isto irá, sem dúvida, ajudar a reconstruir a confiança dos utilizadores e promover um aumento constante nos preços do BNC.
Com os esforços conjuntos da equipe Bifrost, esta crise foi finalmente evitada. Os serviços voltaram ao normal, a confiança dos utilizadores foi gradualmente reconstruída e os preços do BNC regressaram a uma trajetória ascendente. Como você pode ver, a Bifrost não só possui excelente solidez técnica, mas também possui senso de responsabilidade e ação. Esta crise tornou o projeto mais maduro e confiável.
A chave por trás das questões comunitárias: MPC e segurança do tesouro
À medida que o furor diminuía, alguns membros atentos da comunidade começaram a fazer perguntas. Eles não conseguiam descobrir: como a carteira da Bifrost é cogerida por várias partes (MPC), como a chave privada poderia vazar, levando a uma saída massiva de fundos do tesouro? Esta questão realmente acertou em cheio e atingiu o cerne da questão.
Diante das dúvidas de todos, o líder do projeto Bifrost, Lurpis, imediatamente deu uma explicação através de seu Twitter pessoal. Acontece que o próprio tesouro da Bifrost é descentralizado e não depende de uma única chave privada. Mas o problema é que a tesouraria também é programável. Este incidente aconteceu justamente por causa de um script usado para reabastecer automaticamente as taxas de transação do BNC.
Lurpis explicou ainda que o script recebeu permissões especiais para manipular ativos do tesouro. Contanto que alguém obtenha a chave privada com múltiplas assinaturas do script, ele poderá explorar a brecha e usar um método específico para transferir 100 BNCs do tesouro por vez. Pode-se inferir disso que o vazador tem um conhecimento muito profundo do funcionamento interno do Bifrost, e é por isso que ele foi capaz de realizar o roubo com tanta habilidade.
Lurpis também admitiu francamente que o Bifrost carece em termos de frequência de chamadas de script e limites de cota. Se pudéssemos ser mais rigorosos nestes detalhes, este incidente poderia ter sido evitado. Ele disse que esta foi uma lição dolorosa, mas valiosa para a equipe. Em seguida, eles farão inferências a partir de um exemplo, revisarão e otimizarão de forma abrangente vários scripts, preencherão lacunas na fonte e fortalecerão a segurança do tesouro.
Investigação de Incidentes: Buscando responsabilidade por roubo de chave privada
Quanto à causa do incidente, a equipe da Bifrost disse que ainda está investigando. Embora ainda não haja uma conclusão, a comunidade de direção do projeto garantiu que, uma vez descobertos a causa e o objeto do vazamento da chave privada, eles certamente tomarão medidas legais e não irão tolerá-lo.
Ao mesmo tempo que tranquilizou a todos, a equipe do projeto também enfatizou especificamente que este incidente foi na verdade causado pelo vazamento da chave privada do script fora da cadeia e não envolveu a segurança dos ativos e do próprio código na cadeia Bifrost. Embora algo tenha dado errado sob a corrente, a corrente ainda estava estável como uma rocha.
Mas, novamente, os perigos ocultos dos scripts fora da cadeia não devem ser subestimados. A equipe da Bifrost afirmou que tomará isso como uma lição, tirará conclusões de um exemplo e classificará de forma abrangente o script existente e os mecanismos de gerenciamento de chave privada. Eles preencherão quaisquer lacunas onde quer que existam para garantir que todos os riscos sejam eliminados pela raiz. . Como a segurança do blockchain não é pouca coisa, ele deve ser estritamente protegido dentro e fora da cadeia.
Este incidente sem dúvida soou o alarme para a Bifrost, mas também reforçou a sua determinação em melhorar o seu sistema de segurança. Acredito que após esse processo de “raspagem e cura”, a defesa de segurança da Bifrost se tornará ainda mais inquebrável. Por trás disso está a atitude altamente responsável da parte do projeto em relação aos ativos dos usuários e seu cuidado com a base de confiança no blockchain. Esse Bifrost é naturalmente mais digno da confiança de todos.
Gato Velho (Twitter): https://x.com/readonlm
Links relacionados ao Bifrost:
Site: https://bifrost.finance
Twitter: https://twitter.com/Bifrost
Dapp: https://app.bifrost.io