免责声明：本文旨在传递更多市场信息，不构成任何投资建议。文章仅代表作者观点，不代表火星财经官方立场。 　　

　　

　　边肖：记得要集中注意力。 　　

　　

　　来源：真聪 　　

　　

　　牡蛎珍珠的故事应该理解为对所有加密货币项目的警告，加密货币项目可以由特定个人访问，并进行集中管理。今天你是个好人，不代表明天你也会是个好人。控制着一个重要合同的密钥的所有权，甚至可能被私下出售。 　　

　　

　　低调开始 　　

　　

　　牡蛎珍珠(PRL)是2017年ICO热潮中诞生的项目。它声称结合了ETH和IOTA区块链的概念来提供分散的匿名文件存储。PRL代币的销售从2017年10月下旬开始，3周后相对平静地结束。只筹集了300ETH(当时约9万美元)，以5000 PRL:1 ETH的价格卖出了150万PRL。12月17日，随着人们对加密货币的兴趣越来越大，Oyster团队决定在EtherDelta上分5次出售2500万PRL，价格从5美分到9美分不等。他们在几天内筹集了大约175万美元，项目的市值超过了200万美元。到这个时候，代币供应总量的47.1%已经卖给了公众。 　　

　　

　　 2018年1月是ICO泡沫最严重的时候，牡蛎珍珠市值超过2.4亿美元。每个PRL的价格超过4美元，意味着投资人的价格相对于种子轮上涨了66倍，EtherDelta的售价上涨了40-80倍。主要的假币交易所KuCoin，交易量非常大。今天同样的市值可以让它成为前30的token，和ZCash的市值是一致的。 　　

　　

　　之后和其他ICO一样，PRL和ICO市场一起大幅崩盘。当一些无耻的骗局项目退出，销声匿迹的时候，牡蛎珍珠似乎在做着什么。他们在Github上发布了代码，最终于5月份交付给了主网。一个重要的变化是领导层的重大变动：6月9日，时任匿名CEO兼创始人的布鲁诺布洛克(Bruno Block)将领导权交给了前首席财务官比尔科德斯(Bill Cordes)。 　　

　　

　　从9月28日到10月29日，PRL从6美分涨到了23美分的峰值。其对BTC的价格接近2018年第一季度的高点，据称是由于币安即将上线的传言。 　　

　　

　　内部攻击 　　

　　

　　10月30日凌晨，灾难突然发生，数百万辆PRL毫无征兆地砸在了KuCoin上。 　　

　　

　　比尔科德斯疯狂地要求库科恩关闭所有的PRL交易市场，但当他们关闭时，估计价值30万美元的BTC和ETH已经提出。 　　

　　

　　利用牡蛎珍珠智能合约成立以来一直存在的借壳机制。Bruno Block可以从另一个地址发出“transferDirector”调用，重新打开ICO合同以创建更多PRL，并将任何ETH移出合同。 　　

　　

　　1.Oyster智能合约允许合约私钥的所有者随时重新开启众筹： 　　

　　

　　2.第6605271块致电openSale 　　

　　

　　3.块# 6605281从0x 0001 e 57 bb 28415742248d 946d 35 C7 f 87 cf D5 a 54，50 ETH发送到智能合同，并创建了250，000 PRL: 　　

　　

　　4.继续在下面的块中发送ETH以创建新的PRL: 　　

　　

　　6605299 | 50 ETH250，000 PRL 　　

　　

　　6605340 | 50 ETH250，000 PRL 　　

　　

　　6605366 | 50 ETH250，000 PRL 　　

　　

　　6605608 | 73 ETH356000 PRL 　　

　　

　　6606268 | 186 ETH930，000 PRL 　　

　　

　　6606409 | 175 ETH875000 PRL 　　

　　

　　6606737 | 173 ETH865，000 PRL 　　

　　

　　5.从KuCoin提取ETH到0x 0001 ee 57 bb 28415742248d 946d 35 C7 f 87 CFD 5 a 54: 　　

　　

　　6605411 | 65.9985593 ETH 　　

　　

　　6605489 | 61.6195307 ETH 　　

　　

　　6605692 | 24.105 　　

0992 ETH

　　

Bruno 还向Oyster Pearl多重签名合同存入100 ETH，试图将注意力转移到Oyster团队身上。

　　

Bruno 的动机

　　

这个漏洞始终存在，为什么Bruno选择等到那时候发起攻击？毕竟，如果Bruno在2018年1月PRL的价格超过4美元时执行了相同的计划，那么他的利润将增加20倍。

　　

一种说法是，KuCoin即将实施大笔取款的强制性KYC政策的消息迫使 Bruno 采取行动。在2018年11月1日，未经KYC验证的提款申请将被限制为2 BTC / 24小时，这将严重限制Bruno的攻击套现能力。

　　

另一个理由是，他与团队中的其他成员发生了冲突，现在想报复他们。这是 Bruno 本人对他这样做的原因的解释：

　　

尽管Oyster坚持认为智能合约通过包括Quantstamp在内的多次审核，但他们仍因所谓的技术原因而保留了合约的管理权限。这就是Bruno最终用来接管ICO合同并转移代币的原因。

　　

有人可能想知道，这个漏洞究竟是如何通过三次独立审计的，或者为什么社区对这种中心化程度没有保持警惕。归根结底，他们信任了团队，审计团队本身之间也有冲突。

　　

那后来这个项目怎么样了？令人惊讶的是，它仍然在继续其愿景。Oyster团队决定分叉为Opacity(OPQ)，这是一种今天仍在KuCoin上市的代币，其市值为200万美元，是一款功能强大的云存储产品。Binance上市是不可能实现了，对项目声誉造成的损害是永久的和不可逆转的。Bruno Block似乎仍在致力于开发他对Oyster的最初构想。他在Telegram中很少发布更新，最后一次更新是在2019年12月6日。

　　

思考

　　

Oyster Pearl的故事应被理解为对所有加密货币项目的一个警示，这些项目可由特定个人访问并集中管理。今天是好人不代表明天也是好人，控制重要合同的秘钥所有权甚至可能做到私下秘密出售。当投资者不阅读代码，审计人员由于利益关系经常忽略一些漏洞，团队成员也过于轻视自己中心化的问题， 开源代码就很容易受到攻击 。

　　

在过去的一年中，DeFi领域的快速增长同样伴随着炒作。然而，在最大的DeFi项目中也发现了严重的漏洞：

　　

Compound：Ameen Soleimani指出，如果管理员私钥被泄露，则平台上的所有资金都将被盗。

　　

Maker：Micah Zoltu指出，持有40,000 MKR的人可以窃取系统中的所有ETH抵押品。

　　

DyDx：用户指出，DyDx将用户的单抵押Dai(SAI)强制转换为多抵押Dai(DAI)意味着所有资金都是托管的，如果他们愿意他们可以将用户的余额转换为无价值的代币。

　　

这三者的共同点是，他们假设控制者是善良的，通过协议之外的激励措施，控制者不想看到项目失败。但是话又说回来，Bill一定以为Bruno永远不会出卖自己的项目，他为自己的天真付出了代价。尽管当一切顺利时，团队不会有危险，但是这种机制的存在意味着这些项目始终有金融灾难的隐患。想象下Taleb的火鸡形象：一只火鸡一天比一天吃的饱，一天比一天胖，直到有一个感恩节，它被宰杀成一顿丰盛的大餐。

　　

在建立无需信任协议的过程中，我们应该对实际上在假定信任的地方进行严格审查。鼓励平台隐藏这些漏洞，就相当于鼓励有恶意的人在适当的条件下利用这些漏洞，当前这些风险被低估了，只有在攻击发生后人们才会意识到这些。

　　

原文链接：https://blog.deribit.com/insights/bruno-and-bill-a-story-of-broken-trust-while-building-a-trustless-protocol/

　　

原文作者：Su Zhu & Hedgehog

　　

翻译：SHOU