Ieri bZx ha pubblicato un post sul blog ufficiale in cui spiega cosa è successo a causa dell’attacco subito e fa mea culpa.
Il lungo post si intitola infatti “Mea Culpa: A New Beginning” e si conclude dicendo:
“Abbiamo imparato la lezione e ci dispiace. Saremo migliori e faremo meglio. Alla community vogliamo dire che abbiamo un grande amore e speriamo di riconquistare quell’amore attraverso le nostre azioni. Questo progetto è molto personale per le persone che ci lavorano, realizzato con ogni grammo d’amore che abbiamo. Mentre andiamo avanti, vogliamo ricordare alla comunità il valore del calore e della compassione nel consentire agli sviluppatori di sviluppare appassionatamente, anche se siamo tenuti a rendere conto”.
Il post è un vero e proprio report completo di tutte le principali vulnerabilità rilevate all’interno del protocollo con una descrizione dell’ultimo attacco e le decisioni prese per mitigare i rischi per la sicurezza in futuro.
Nonostante i due hack subiti il progetto sta andando avanti, tanto che ad esempio su defipulse.com risulta ancora decimo assoluto per fondi immobilizzati, con quasi 9 milioni di dollari, davanti persino a Lightning Network.
Inoltre, il team di bZx conferma che le modifiche oggetto di audit sono state apportate ed i trader ora possono chiudere le loro posizioni. Resta da vedere, dopo che le posizioni saranno chiuse, se ne verranno aperte delle altre e quindi se il progetto potrà veramente continuare ad andare avanti grazie alle nuove modifiche.
Il team ammette anche che sono andati persi dei fondi, ma sostengono lo stesso che il denaro degli utenti sia al sicuro perché la società e le parti interessate del protocollo stanno assorbendo le perdite.
Il team annuncia anche che saranno apportate delle modifiche al modo in cui il fondo assicurativo acquisisce valore al fine di accelerare la sua capacità di coprire per intero la perdita, visto che allo stato attuale si prevede che possa essere assorbita solo nel 2285.
Il fondo assicurativo attualmente riceve entrate dal 10% degli interessi pagati dai mutuatari, ma verranno introdotti due nuovi ulteriori flussi di entrate: entrate commerciali e arbitraggio.
Il post spiega anche per filo e per segno tutte le azioni compiute dagli attaccanti, in buona parte in realtà già note, e rivela che la vulnerabilità che lo ha consentito è frutto di un aggiornamento del protocollo pubblicato ad inizio gennaio che aggiungeva una funzione di prestiti flash con sole 40 righe di codice.
Il codice non fu verificato e conteneva una funzione che consentiva chiamate arbitrarie che consentivano l’approvazione di un’indennità di token sul proprio wallet.
Ritenendo che tale vulnerabilità non venisse scoperta in tempi brevi, bZx ha deciso di non interrompere il servizio con l’idea di pubblicare la patch entro la fine di febbraio. Invece, nella prima metà di febbraio è stata scoperta ed utilizzata per sferrare due attacchi.
In particolare bZx rivela di essere stato contattato il 20 gennaio per una richiesta di bounty da parte degli attaccanti.
Pur accettando di pagare, decisero di non pagare immediatamente l’intera ricompensa, ringraziando per la scoperta di un exploit così serio. Hanno provato quindi a negoziare. Ammettono che questo si è rivelato poi essere un grave errore, di cui si assumono la responsabilità.
Inoltre, il team ammette che sia stato “negligente” aggiungere i prestiti flash alla mainnet senza un controllo, e che mancava un limite al protocollo in linea con la propria capacità di finanziare adeguate misure di sicurezza.
BZx rivela nel post anche quali cambiamenti hanno apportato e come intendono gestire emergenze di questo genere in futuro, ma non è detto che ciò sia sufficiente per recuperare la fiducia degli utenti.
Anzi, in un mondo che si basa su protocolli decentralizzati che dovrebbero essere trustless, il fatto che il corretto funzionamento di un codice sia affidato alla fiducia nei confronti di chi lo ha sviluppato getta molte ombre sul futuro di questo progetto.
