TMT观察网_独特视角观察TMT行业

在黑客的屢屢光顧下，2018上半年約有價值7.31億美元（折合人民幣48億元）的數字貨幣被盜，以三倍多的數值完勝2017年全年總被盜數額。而下半年才剛開始，幣圈又傳來一家數字貨幣交易平臺被攻擊的新聞，不過這次的主人公是——去中心化交易平臺Bancor。

北京時間7月9日下午四點左右，Bancor官方推特發文表示，其網頁客戶端目前已下線進行維護。隨后不到三小時左右，Bancor再次發文補充道，平臺出現安全漏洞，目前技術部門正在維護。他們承諾會盡快給出詳細報告；同時強調，用戶的錢包并沒有受到影響。

截圖自：Twitter

消息發布后，BNT應聲下跌，三小時內下滑10%至2.51美元（數據源自：Coinmarketcap）；而其平臺主頁則一直停留在正在維護的界面。

1.被盜BNT已緊急凍結，ETH、Pundi X去向仍在追查中

經過接近十小時的沉默之后，Bancor再次在推特上發聲，簡要的公布了此次漏洞事件的始末。Bancor承認，UTC時間0:00平臺出現安全漏洞，當時一個用于升級某些智能合約的錢包遭受攻擊，儲存在里面的24984個ETH（折合1200萬美元）以及2.3億Pundi X（價值約100萬美元）和價值約1000萬美元的BNT被盜出。

截圖自：Twitter

而第一時間Bancor團隊已經識別出黑客的地址，并使用Bancor協議中的內置機制及時將被盜的250萬BNT凍結，有效阻止了黑客將BNT卷走；不過ETH以及其他被盜幣種則流失在外。針對此，Bancor目前已聯合數十家加密貨幣交易所，共同追蹤這些被盜資金，并設法阻礙黑客清算變現。

部分被盜出的ETH，目前還未被轉出；且地址已被標記為“詐騙賬號”

另外Bancor平臺一再強調的是，他們是去中心化的交易平臺；并沒有在熱錢包中代表用戶持有任何數字貨幣。而且目前來說并無其他已知錢包或智能合約漏洞的出現，為此用戶的資金是安全的。 

截圖自：Twitter

不過相較于用戶資金是否安全這一問題，在Bancor官方推特的評論區里面，大家更為關注的是平臺可以凍結BNT這件事。

2.凍結做法惹爭議，去中心化屬性遭質疑

根據Bancor的說法，凍結代幣是協議的內置功能，可以在極端情況下對相關代幣進行凍結，從而讓系統能夠更好地從安全漏洞中恢復。

評論區的網友們對此解釋并不買賬，他們紛紛對凍結功能提出質疑，認為Bancor擁有這項權利有悖去中心化的概念。

截圖自：Bancor官方推特評論區

萊特幣創始人李啟威也轉推批評道，一個試圖打造去中心化交易所的項目，不應該設計這樣的機制，讓用戶資金可以輕易遭到竊取或者被凍結。“這不能被稱作是去中心化的交易所”。

截圖自：Twitter

在一番爭論之下，去年六月比特幣開發者Udi Wetheimer發布的名為《Bancor Unchained：All Your Token are Belong to us》的文章再次被翻出。

3.ICO階段的遺留機制，是安全保障還是定時炸彈？

該文章對Bancor眾籌階段設置的“隱藏硬頂”等機制提出質疑之外，還指出Bancor項目中存在的后門，而其中之一就是我們提到代幣凍結機制。

據哈希派從文中了解到，為了讓ICO階段能夠順利進行，Bancor團隊在他們的眾籌合約給自己留有可以凍結代幣的權限；使得團隊能夠在ICO結束后立即凍結BNT的使用，并待平臺主要產品正式上線后，再重新解凍代幣。而出于某些原因的考慮，這項由團隊控制的功能在后來的升級中被保留下來，一直延續至今，并在最近的攻擊中派上用場。

雖說凍結功能在此次事件中起到一定的攔截和補救作用，但其隱藏的安全問題也同樣無法被忽略。即使Bancor聲明只會在特殊極端情況下使用此項功能，而我們也有理由相信團隊不會不顧社區發展進行濫用；但不代表攻擊者不會。

如果有一天團隊的密鑰被盜，Bancor社區或許會翻天。因為擁有密鑰不僅意味著攻擊者能夠凍結代幣，同時他們也將掌握Wetheimer文章中提到的代幣新建及銷毀權限。

截圖自：Github

既然如此，為什么團隊要給自己留有如此大的權力？為了操控社區？Bancor團隊早前邀請兩名以太坊安全主管撰寫的質檢報告或許能給我們一個答案。

Martin Holst Swende在報告中寫道，Bancor的安全模式是基于中心化信任實現的，合同所有者可以在很大程度上控制平臺的資產。而由于Bancor協議過于復雜，涉及大量具有相互作用的合同，出現漏洞的幾率相對提高。所以說擁有這些中心化權利在一定程度上是具有意義的，至少在其早期發展階段。

但不管出于什么理由，讓用戶將自己手中部分資產所有權讓渡給團隊，聽起來都不會是一件愉快的事情。這種“去中心化”,就顯得不是那么誠懇了。