背后的Balancer攻击事件:安全团队裁员和中心化前端的隐忧。

Balancer攻击事件:团队裁员和中心化前端的隐忧。

DeFi巨头Balancer遭受前端攻击:BGPHijacking可能成为新常态

作者:Luccy、Kaori;编译:BlockBeats

9月20日,Balancer在一场新的攻击中损失了约23.8万美元。慢雾区情报分析认为,这次攻击采用了BGPHijacking技术,即通过发送虚假的BGP路由更新信息,将流量引向错误的方向,从而实现攻击者篡改、窃听或中断流量的目的。与以往不同的是,这次攻击针对了Balancer的前端,用户在访问链接钱包时会遭受钓鱼攻击。随后,慢雾的MistTrack团队表示,Balancer的攻击者资金来自网络钓鱼组织“Angel Drainer”。目前,Balancer表示其前端已恢复安全,并重新由Balancer DAO控制。

BGPHijacking、Balancer OpCo和战略转变的代价

BGPHijacking,又称BGP路由劫持,是一种前端攻击手段。在BGPHijacking攻击中,攻击者发送虚假的BGP路由更新信息,使其他路由器将流量引向错误的方向,从而实现攻击者对流量的窃听、篡改或中断。简单来说,攻击者可以发送虚假的邮件审批交易,从而将用户的资金转移到恶意合约中。

这次攻击的最大不同之处是,它针对了Balancer的前端。

值得注意的是,在此次攻击之前,Balancer还发生了一项重要的事件。4月14日,Balancer的服务提供商Balancer OpCo宣布解雇了两名工程师,并减少了运营预算。

Balancer OpCo是Balancer基金会的全资子公司,为Balancer提供管理和运营服务,包括前端开发和工程工作流程。从去年8月到今年6月,Balancer DAO审议了与Balancer OpCo相关的7项提案,其中有5项被批准。除了向团队提供资金以外,还将250,000 BAL转移到OpCo,以支持其进行代币的私募销售。目前,关于Balancer平台在下一年运营所需资金的提案正在初步讨论阶段。

然而,随着协议重点转向改善用户界面和营销,Balancer OpCo的人员数量也随之减少。因此,Balancer将建立一个专门的营销团队——Orb Collective,其职责是讨论如何与平台用户合作的机制,并通过合作伙伴关系、营销、集成、设计和人员运营工作来促进Balancer协议的发展,从而扩大Balancer协议的全球采用率。去年8月,Orb Collective正式推出,团队表示新的推广策略还将使用”加密Twitter原生声音”。

值得注意的是,今年4月,Balancer治理中更新了Orb Collective的财务计划,将从2023年第二季度开始,将资金从Orb Collective的预算中分配给OpCo,以保证Balancer用户的资金安全。然而,Balancer DAO社区的成员以近80%的比例否决了Balancer OpCo Limited进行智能合约审计的提案,这也是7项提案中唯一被否决的提案。

同月,Coindesk发表了一篇名为《DeFi协议Balancer在战略转向之际削减预算和员工人数》的文章,称Balancer将进行战略调整。据报道,Balancer OpCo团队在今年4月的Discord电话会议上透露,已解雇了两名工程师,并减少了运营预算。

Orb Collective首席执行官Jeremy Musighi表示:“我们为Balancer品牌制定了新的愿景,对此我们感到非常兴奋。”“与此同时,我们一直在对营销团队人员进行一些调整,以确保我们有合适的人员来执行这一新愿景。”2022年第三季度,Orb团队申请了76,000美元的运营预算,以在社交平台、播客、社区关系维护等方面为Balancer扩大影响力。在第四季度,预算申请提案声称由于处于熊市周期,Orb团队的运营预算只有48,000美元,几乎下降了50%。

同时,团队表示,这是为了改革品牌战略,并将重点转向改善用户界面和营销。这个消息公布时,Balancer面临着一些市场压力,也许正是这次对前端的裁员行动,为攻击者提供了另辟蹊径的机会。

这次Balancer前端的被攻击,很难不将其与智能合约审计提案未通过以及前端人员被裁联系起来。也许战略转变只是建立在资金紧张的熊市周期上的纯属口号,而裁减工作人员则是减少成本的必然产物。

中心化前端的隐忧

除了Balancer团队内部的原因,此次攻击同样引发了社区对DeFi协议中心化前端的担忧。

在DeFi发展史上,因前端受到攻击而导致损失的事件并不多见。但是在2021年12月,去中心化组织Badger DAO的网站前端代码被注入一系列恶意代码,攻击者可以在用户不知情的情况下将代币转移走。2022年5月,Cronos生态的去中心化交易所MM.Finance遭到前端攻击,黑客利用DNS漏洞窃取了超过200万美元的资产。

上一次大规模讨论去中心化前端问题还是因为Tornado Cash遭受制裁,前端被封禁。然而如今,前端仍然面临着安全压力。有人认为,ENS可能是解决前端攻击的一个方案,但ENS域名解析是“中心化”的,因此无法完全抵御“对去中心化的攻击”。

尽管DeFi合约一旦部署就不可篡改和撤回,理论上不会受到人为干预,但目前绝大多数前端仍然采用传统架构实现,尽管网页本身也在不断进化和发展,但域名、网络服务、服务器、存储服务等方面都存在潜在的威胁,同时开发者也容易忽视前端的安全问题。

作为DeFi行业的重要参与者,Balancer如今也遭遇了前端攻击,这引起了社区对搭建去中心化前端的呼声。然而,相比于Uniswap和Tornado Cash前端被封禁引发的广泛讨论,目前关于普通用户在黑客攻击前端问题上应该采取什么措施的声音相对较少。对于这个问题,加密行业仍需要持续探索。