Như đã được báo cáo trong tuần này, một địa chỉ liên quan đến việc khai thác FTX đã chuyển tiền thông qua một số dự án xuyên chuỗi.
Trong khi hầu hết số tiền đã được chuyển qua Thorchain, một số trong số đó đã được chuyển qua tBTC. Trong quá trình này, hai lỗi đã được phát hiện.
Không có lỗi nào khiến tiền của người dùng gặp rủi ro. Bản đầu tiên đã được vá và phát hành ngày hôm qua, trong khi bản thứ hai yêu cầu sự thảo luận và đồng thuận của cộng đồng.
Lỗi đầu tiên - vectơ từ chối dịch vụ
Vào thứ Bảy, ngày 30 tháng 9, một địa chỉ liên kết với FTX đã yêu cầu đổi 76,81431578 BTC.
Trong tBTC ngày nay, bất kỳ người dùng nào có số dư tBTC L1 đều có thể yêu cầu đổi thưởng. Sau một thời gian, một nhà bảo trì ngoài chuỗi được ủy quyền bởi Threshold DAO trong
Điều phối viên Ví
hợp đồng xác minh yêu cầu quy đổi, nhắc người ký coi yêu cầu quy đổi là hợp lệ. Nếu 51 trong số 100 người ký cho một ví cụ thể đồng ý, họ sẽ cùng ký và giải phóng số tiền đó trên chuỗi khối Bitcoin.
Sau một thời gian, yêu cầu đổi thưởng này đã được người duy trì quy đổi chấp thuận. Ít nhất 51 người ký trong ví liên quan đã đồng ý và việc mua lại đã hoàn tất.
9 giờ sau, một địa chỉ khác liên quan đến việc khai thác FTX đã yêu cầu một lần đổi quà khác – lần này là 76,62186419 BTC.
Ít lâu sau, một điều khó tin đã xảy ra.
Một bên thứ ba không xác định đã gửi giao dịch BTC đến hai trong số các ví đằng sau tBTC.
Bây giờ, điều này xảy ra mọi lúc - xét cho cùng, tBTC được tạo ra bằng cách gửi BTC. Nhưng thay vì giao dịch gửi tiền thông thường, các giao dịch này được thực hiện thủ công theo cách mà các khách hàng ký tBTC nghĩ rằng ví đang “bận” chuyển tiền và không thể đáp ứng yêu cầu đổi quà. Người duy trì phê duyệt chờ đợi ví không còn "bận" nữa - điều này chưa bao giờ xảy ra.
Thực tế, các giao dịch BTC này đã chặn tất cả các khoản quy đổi tBTC chưa thanh toán.
Chúng tôi không biết ai đã gửi những giao dịch này. Nhưng dù họ là ai, họ cũng đủ hiểu biết để buộc tạm dừng cầu nối tBTC, đốt cháy một hoạt động khai thác 0 ngày đơn giản trong quy trình và ngăn chặn việc mua lại liên quan đến FTX thứ hai được phê duyệt.
Đây là một cái mới đối với tôi. Không có đội mũ trắng nào đưa ra lời giải thích nào - nhưng thời điểm thật đáng kinh ngạc.
Tại thời điểm này, các hệ thống cảnh báo và giám sát được những người đóng góp trên DAO sử dụng đang hoạt động mạnh mẽ. Nhóm phát triển Keep đã bắt đầu chuẩn bị một bản vá để khắc phục tình trạng từ chối dịch vụ vào cuối tuần qua.
Đến lúc đó, chúng tôi cũng hiểu rằng một trong những khoản quy đổi bị chặn có liên quan đến FTX.
Lỗi thứ hai - lỗi thiết kế cơ chế đổi quà
Lỗi thứ hai trở nên rõ ràng hơn khi chúng tôi chuẩn bị bản vá đầu tiên.
Ngưỡng DAO có thể ủy quyền cho nhiều địa chỉ người phê duyệt trong
Điều phối viên Ví
hợp đồng.
Thật không may, tính đến hôm nay, chỉ có một ủy quyền đến một địa chỉ duy nhất của người bảo trì — một điểm lỗi duy nhất. Ngày nay, địa chỉ đó được kiểm soát bởi một công ty thuộc sở hữu của Hoa Kỳ, không được phép phê duyệt việc mua lại liên quan đến FTX.
Sửa chữa thiết kế cơ chế
Chỉ có một người phê duyệt được ủy quyền duy nhất với 25 triệu USD TVL là một sự giám sát. Tuy nhiên, vấn đề lớn hơn là bản thân thiết kế cơ chế.
Bất kỳ hệ thống nào dựa vào sự chấp thuận rõ ràng về việc quy đổi đều chắc chắn sẽ gặp phải một vấn đề khác như thế này. Khi giao thức lần đầu tiên được xuất xưởng, lý do cơ bản cho cơ chế phê duyệt là tốc độ và sự thân thiện với người dùng - các lựa chọn thay thế có nghĩa là trải nghiệm người dùng kém hơn.
Tôi không tin rằng hệ thống hiện tại đã có sự đánh đổi đúng đắn.
Có hai cách tiếp cận rõ ràng để khắc phục lỗ hổng này
Chuyển từ luồng dựa trên phê duyệt sang luồng dựa trên quyền phủ quyết
Xóa tất cả đánh giá quy đổi ở cấp độ giao thức
Tôi tin rằng thiết kế cơ chế an toàn nhất trong tương lai là cái mà tôi gọi là "sự chuộc lỗi lạc quan". Thay vì danh sách các địa chỉ hoàn tất việc quy đổi, chúng tôi có một danh sách các địa chỉ có thể phủ quyết việc quy đổi - tương tự như vai trò của Người giám hộ trong việc đúc tiền lạc quan.
Với cơ chế này, tất cả các khoản quy đổi đều hợp lệ theo mặc định. Nếu việc mua lại bị phủ quyết do nghi ngờ có vụ hack cầu, việc đổi quà có thể bị trì hoãn. Nếu nó bị phủ quyết bởi đủ người giám hộ, nó có thể rơi vào cuộc bỏ phiếu của người nắm giữ mã thông báo. Nếu quyền phủ quyết được giữ nguyên bởi phiếu bầu của chủ sở hữu mã thông báo, việc quy đổi tBTC bị từ chối có thể tự động được trả lại cho người dùng quy đổi.
Nhược điểm là cơ chế giả định này yêu cầu độ trễ bổ sung cho mỗi lần quy đổi. Tuy nhiên, theo thời gian, độ trễ đó có thể giảm xuống chỉ còn 15 phút và hoàn toàn được miễn cho các giao dịch nhỏ.
Cuối cùng, nếu và khi cộng đồng đánh giá hệ thống an toàn mà không cần thời gian xem xét quy đổi, thì điều đó có thể loại bỏ hoàn toàn sự chậm trễ, chuyển đổi suôn sẻ từ phương pháp đầu tiên sang phương pháp thứ hai. Trên thực tế, tôi nghĩ rằng một lịch trình rõ ràng để loại bỏ đánh giá đổi thưởng sẽ giúp tạo dựng niềm tin trong cộng đồng.
Tuy nhiên, lỗi thiết kế cơ chế này đã được giải quyết, chúng tôi đã học được rất nhiều điều từ trải nghiệm này — và tôi rất vui vì chúng tôi đã học được điều đó trong tuần này thay vì gấp 10 lần kể từ đây.
Tiếp theo là gì?
DAO và cộng đồng có quyền đưa ra quyết định.
Cho dù cộng đồng quyết định thêm địa chỉ người phê duyệt khác, nâng cấp hợp đồng lên cơ chế kiểu "lạc quan" hay nghiên cứu và xem xét các lựa chọn khác, với tư cách là nhóm nhà phát triển, chúng tôi luôn sẵn sàng tư vấn và giúp xây dựng một địa chỉ mạnh mẽ, an toàn hơn. và tương lai trung lập của tài chính cùng nhau.