7 июля первоначально мирное сообщество Бифрост внезапно впало в панику.
Когда команда проекта проверила счет казначейства, они обнаружили некоторые необычные и аномальные записи о переводах: токены BNC в казначействе постоянно перетекали на незнакомый частный адрес со скоростью 100 штук каждый раз. Судя по всему, этот адрес содержит закрытые ключи для сценария с мультиподписью, используемого для автоматического пополнения комиссий за транзакции BNC. Команда проекта поняла, что казна Бифроста пострадала от давно запланированной атаки.
Вскоре эта новость распространилась по сообществу как чума. Цена BNC мгновенно упала на 20%. На графике K-линии биржи огромная красная свеча ткнулась прямо в глаза пользователю. И это ужасное число переводов продолжало расти: 100 000, 500 000, 1 миллион... Наконец, когда черная буря утихла, казначейство Bifrost с ужасом обнаружило, что в общей сложности пропало 6 631 252 монеты BNC.
Внезапно мирное сообщество внезапно погрузилось в хаос. Первоначально гармоничная атмосфера была мгновенно нарушена, сменившись волнами тревоги и беспокойства. Пользователи обсуждали и распространяли различные тревожные новости, такие как «казначейство было украдено» и «цена валюты рухнула», распространились повсюду, вызвав всеобщую панику. Падение цен на токены привело к тому, что сердца многих держателей валюты упали до дна...
Кризисное реагирование: восстановление и пополнение казначейского фонда
Столкнувшись с этим внезапным кризисом, команда проекта Bifrost не колебалась и немедленно приступила к реализации плана действий в чрезвычайной ситуации. Они приняли оперативное решение и немедленно удалили и заменили утекший закрытый ключ, лишив хакеров возможности продолжать воровать казначейские средства. В то же время команда проекта также срочно заморозила некоторые подозрительные счета через механизм управления и успешно вернула 3 351 153 BNC. Это определенно дает сообществу проблеск надежды.
Однако реальность жестока. Последующая статистика показала, что все еще оставалось 3 280 099 BNC, которые не удалось вернуть, поскольку они были обменены на DOT или переданы через перекрестную цепочку. Это тяжёлый удар по любому проекту. Но команда Бифроста не сломила трудности, а проявила исключительную ответственность. Чтобы восполнить потери пользователей и сохранить доверие к проекту, члены команды выразили готовность вложить свои позиции BNC в национальную казну. Этот шаг показывает искренность и решимость команды Bifrost.
Тяжелая работа окупается. Совместными усилиями команды баланс казны Bifrost постепенно вернулся на уровень, существовавший до инцидента. На данный момент Bifrost владеет в общей сложности 22 888 508 BNC в казначействе сетей Kusama и Polkadot. Это число почти такое же, как и до инцидента. Для тех пользователей, у которых все еще есть сомнения, команда проекта также намеренно раскрыла адрес казначейства и предложила всем проверить баланс счета в любое время, чтобы доказать, что сказанное командой правда.
Благодаря плану обратного выкупа цена BNC стабилизируется и восстанавливается.
Благодаря успешному восстановлению и пополнению казначейских средств команда проекта Bifrost предприняла быстрые действия по полному восстановлению услуг, которые были приостановлены из-за чрезвычайных потребностей.
Технические специалисты работали всю ночь, чтобы провести комплексный аудит безопасности и устранить уязвимости в системе. В результате всего через несколько часов функции передачи и кросс-чейна на Bifrost вернулись в сеть. Пользователи могут свободно передавать активы в экосистеме Bifrost, как обычно, или передавать токены через цепочки в другие сети. Это, несомненно, дало сообществу проблеск надежды, и многие пользователи даже выразили благодарность за быструю реакцию команды проекта в социальных сетях.
Но команда Bifrost не остановилась на достигнутом. Они знают, что помимо восстановления услуг им также необходимо предпринять практические действия по стабилизации цены BNC и восстановлению доверия рынка. В результате команда проекта объявила сенсационную новость: казначейство Bifrost будет использовать 10 000 DOT для выкупа BNC через Hydration DCA.
Это решение вызвало бурные дискуссии в сообществе, и многие пользователи восхитились искренностью команды проекта. Знаете, DOT — самый популярный токен в экосистеме Polkadot, а 10 000 — это огромная сумма. Готовности Bifrost потратить столько DOT на выкуп собственных токенов достаточно, чтобы доказать их твердую уверенность в долгосрочной ценности BNC.
Что еще более важно, выбор метода выкупа Hydration DCA также отражает профессионализм и мудрость команды. По сравнению с единовременным крупным выкупом, стратегия постепенного выкупа может повысить цены BNC, избегая при этом чрезмерных рыночных колебаний. Это, несомненно, поможет восстановить доверие пользователей и будет способствовать устойчивому росту цен на BNC.
Совместными усилиями команды Bifrost этот кризис удалось наконец предотвратить. Услуги вернулись в нормальное русло, доверие пользователей постепенно восстановилось, а цены на BNC вернулись к восходящей траектории. Как видите, Бифрост обладает не только отличной технической силой, но и чувством ответственности и действия. Этот кризис сделал проект более зрелым и заслуживающим доверия.
Ключ к вопросам сообщества: MPC и казначейская безопасность
Когда фурор утих, некоторые внимательные члены сообщества начали задавать вопросы. Они не могли этого понять: поскольку кошелек Bifrost находится в совместном управлении нескольких сторон (MPC), как могла произойти утечка закрытого ключа, что привело к массовому оттоку казначейских средств? Этот вопрос действительно попал в самую точку и затронул суть дела.
Столкнувшись со всеобщими сомнениями, руководитель проекта Bifrost Лурпис немедленно предоставил объяснение в своем личном Твиттере. Оказывается, сама казна Bifrost децентрализована и не опирается на единый приватный ключ. Но проблема в том, что казна тоже программируется. Этот инцидент произошел именно из-за скрипта, используемого для автоматического пополнения комиссий за транзакции BNC.
Лурпис далее пояснил, что скрипту были предоставлены специальные разрешения на манипулирование казначейскими активами. Если кто-то получит закрытый ключ сценария с мультиподписью, он сможет воспользоваться лазейкой и использовать определенный метод для одновременной передачи 100 BNC из казначейства. Из этого можно сделать вывод, что информатор очень глубоко понимает внутреннюю работу Бифроста, поэтому ему удалось так умело совершить кражу.
Лурпис также откровенно признал, что Bifrost действительно не хватает частоты вызовов скриптов и ограничений по квотам. Если бы мы могли быть более строгими в этих деталях, этого инцидента можно было бы избежать. Он сказал, что это был болезненный, но ценный урок для команды. Далее они будут делать выводы из одного примера, всесторонне рассматривать и оптимизировать различные скрипты, затыкать лазейки в исходниках и усиливать безопасность казны.
Расследование инцидентов: Привлечение к ответственности за кражу закрытого ключа
Что касается причины инцидента, команда Bifrost заявила, что расследование все еще ведется. Хотя заключения пока нет, сообщество руководства проекта заверило, что как только причина и объект утечки закрытого ключа будут выяснены, они обязательно подадут в суд и не потерпят этого.
Успокоив всех, команда проекта также особо подчеркнула, что этот инцидент на самом деле был вызван утечкой закрытого ключа оффчейн-скрипта и не затрагивал безопасность самих активов и кода в цепочке Bifrost. Хотя под цепью что-то пошло не так, цепь все равно оставалась устойчивой, как скала.
Но опять же, не следует недооценивать скрытые опасности оффчейн-скриптов. Команда Bifrost заявила, что воспримет это как урок, сделает выводы из одного примера и всесторонне разберется с существующими скриптами и механизмами управления закрытыми ключами. Они заткнут любые лазейки, где бы они ни находились, чтобы гарантировать, что каждый риск будет пресечен в зародыше. . Поскольку безопасность блокчейна является немаловажным вопросом, ее необходимо строго охранять как внутри цепочки, так и за ее пределами.
Этот инцидент, несомненно, стал сигналом тревоги для Бифроста, но он также укрепил их решимость улучшить свою систему безопасности. Я считаю, что после этого процесса «очистки и исцеления» защита Бифроста станет еще более нерушимой. За этим стоит очень ответственное отношение участников проекта к пользовательским активам и забота о доверительном фундаменте блокчейна. Такой Бифрост естественно более достоин всеобщего доверия.
Старый Кот (Твиттер): https://x.com/readonlm
Ссылки по теме Бифроста:
Сайт: https://bifrost.finance
Твиттер: https://twitter.com/Bifrost
Dapp: https://app.bifrost.io
