纽约时报：半年内20亿美元被盗，加密世界面临着“信赖危机”

2022年超过20亿美元的加密货币被黑客入侵，逐渐动摇了人们对被称为DeFi的去中心化金融领域的信心。

Ben Weintraub大学退学后不久就开始了密码货币领域的工作，但有一天醒来后发现了坏消息。

过去几个月，Weintraub和芝加哥大学的两个同学一直在开发一个叫Beanstalk的软件平台。 该平台提供稳定货币，即固定价值为1美元的加密货币。 让他们吃惊的是，Beanstalk一夜之间引起了轰动，吸引了加密货币投机者。 他们认为这是对DeFi实验领域的激动人心的贡献。

然后它崩溃了。 今年四月，一名黑客利用Beanstalk设计的缺陷之一从用户那里窃取了1.8亿美元以上。 这是今年针对DeFi项目的一系列盗窃案之一。

黑客入侵的那天早上，24岁的Weintraub在新泽西州过逾越节，他急急忙忙走进了父母的卧室。

“醒来”，他说“Beanstalk结束了”。

多年黑客一直在威胁加密行业，从在线钱包中窃取比特币，攻击投资者买卖数字货币的交易所。 但是，像Beanstalk这样的DeFi第一个项目的迅速中断带来了新的威胁。

在这些监管松散的项目中，人们可以在没有银行或经纪人的情况下贷款或进行其他交易，并且依赖于由代码管理的系统。 通过DeFi软件，投资者无需透露身份，也无需信用检查即可获得贷款。

随着去年市场暴涨，新兴行业被称为金融的未来，是华尔街的民主替代品，散户交易者可以赚更多的钱。 加密用户委托了数百个DeFi项目约1000亿美元的虚拟货币。

但是，有些软件是建立在错误代码之上的。 根据加密追踪公司Chainalysis的数据，今年上半年从DeFi项目中窃取了22亿美元的加密货币，整个行业进入了黑客损失最严重的一年。

许多盗窃事件都是由为DeFi提供动力的计算机程序“智能合约”的缺陷引起的。 这些程序通常是仓促开发的。 此外，由于智能合约使用了开放源代码，所以它提供了一个可公开的软件库黑客可以策划攻击数字基础设施本身，而不是轻易渗透某人的账户。 这是抢劫个人和清空整个银行金库的区别。

Chainalysis调查副总裁Erin Plante说：“DeFi为黑客引入了新的平台，让他们访问平台。” “这给加密市场带来了巨大的压力，限制了可能的创新。 ”

在加密行业的艰难时期，这些违规行为动摇了人们对DeFi的信心。

今年春天，“史诗”式的崩溃抹去了近万亿美元，使几家知名公司破产。 八月黑客利用编码问题从一家名为Nomad的公司盗走了1.9亿美元。 上周，加密公司Wintermute宣布，DeFi部门遭到黑客攻击，造成1.6亿美元的损失。

追踪被盗密码货币的移动非常简单。 交易被记录在被称为区块链的公共分类帐上，谁都可以对其进行分析以找出踪迹，但要重新获得损失的资金要困难得多。

黑客不得不让很多DeFi初创公司探索预防措施，招募审计员检查代码是否存在漏洞。 即使其他类型的加密公司在经济衰退时期降低了成本，安全和审计公司的业务也大幅增加。

从加密货币诞生之日起，公司就一直在努力解决安全问题。 2014年，第一家主要的比特币交易所Mt. Gox被破坏性攻击摧毁，最终该公司破产，损失了数十亿美元的数字货币。

当时，这个行业规模比较小，并不复杂。 黑客现在可以攻击更广泛的生态系统，包括加密视频游戏、去中心化贷款项目和新奇的令牌。 去年，一名黑客从DeFi平台Poly Network上盗走6亿美元； 在与项目负责人协商后，黑客最终退还了这笔钱。

今年黑客攻击造成的损失要大得多。 三月朝鲜政府赞助的团体从RoninNetwork上窃取了6亿2000万美元的数字货币。 RoninNetwork是一种支持视频游戏Axie Infinity的DeFi平台。 几乎在同一时间，一名黑客利用DeFi项目Wormhole的软件漏洞卷走了3.2亿美元。

前F.B.I .代理人、网络安全公司NAXO的代理人Chris Tarbell说：“很多人正在流入具有已知漏洞的平台，在目标丰富的环境中犯罪分子会投机取巧。”

Wormhole黑客利用一种新的加密技术元素(称为交叉链桥)的漏洞，允许投资者往返于构建在不同块链上的数字货币。 一些DeFi平台将促进这些转变，以帮助利用交易机会，例如，大量拥有以太网的交易者可能希望在另一个区块链上使用APP，而不是通过销售以太网购买另一个令牌。

流经这些链桥的大量加密货币将它们作为有价值的目标。 据Chainalysis报道今年有10起黑客攻击涉及跨链项目，造成了13亿美元的损失。

加密安全公司Halborn的创始人Steve Walbroehl说，这项技术“非常复杂，复杂性是安全的敌人”。

Beanstalk并不是作为链桥建设的，但代码中还存在其他漏洞。

项目的内部动作几乎都很奇怪，很难理解。 这份概述其机制的白皮书由61页的照片、表格和数学方程式(以及来自亚历山大汉密尔顿书信的引用)组成。

平台指南中题为“—Beanstalk原生利率”的文章被称为“农民年鉴”，其中，来自Bean的Pods数量取决于播种时的温度。

本质上是，Beanstalk可以通过在软件系统中存储数千万美元的虚拟货币来产生利息并维护稳定的货币价值，称为Bean。

这个项目不是传统的第一家公司。 就像很多加密货币的创始人一样，Weintraub和他的合作者——25岁的Brendan Sanderson和24岁的Michael Montoya——对他们的身份保密，自称Publius这是对《联邦党人文集》作者的敬意。

此软件于2021年8月发行时，存入加密货币的用户同意在Dao (decentralizedautomaticorganization，简称Dao )中更改软件

Beanstalk的集体统治最终导致了它的毁灭。 4月，一名黑客从另一个DeFi项目Aave那里借了10亿美元的加密货币。 这笔交易是所谓的电击信贷——的电击过程，在这个过程中，加密用户在不提供任何抵押品的情况下借入资金，进行交易，然后立即偿还贷款，保留一系列几乎同时交易产生的所有利润。

Weintraub和他的合作伙伴设计的代码没有阻止使用闪电贷款接管平台的机制。 因此，黑客用这10亿美元获得了Beanstalk DAO的巨额股份，完全控制了软件的管理。 然后呢，黑客将人均资金——共计约2亿美元——转移出Beanstalk系统。

发生了恐慌。 “我今天失去了100万美元。 都是Bean令牌”有一个Beanstalk用户在YouTube上主张。

一些用户怀疑Weintraub和其他创始人在这次攻击背后的——是典型的“Rug Pull”也就是说，一群开发者拿着投资者的资金跑。

Weintraub说：“我觉得这像是死了一样。”

最终，他和其他创始人决定继续这个项目。 他们向联邦调查局报告了盗窃事件。 我在和Beanstalk爱好者打电话找出路。 在

聊天论坛Discord月的帖子中，他们首次透露了自己的身份。 这是冒险的行动。 虽然项目不是传统业务但是，它可能容易受到用户诉讼和监督审查的影响。

最近几个月，Beanstalk DAO重新启动了这个项目，并招募了一家区块链分析公司来帮助追踪丢失的加密货币。 该组织还聘请安全公司Halborn审查代码以消除漏洞。 Beanstalk上个月正式重新开放。

这种卷土重来的努力在加密领域越来越普遍。

“我们对社区如此透明，这是一个实验，”Weintraub说。 “我们都在一起解决这个问题，取得进步”。

被盗资金依然下落不明。