千倍币Oyster Pearl崩盘始末 创始人亲手砸盘自毁项目

Oyster Pearl的故事应被理解为对所有加密货币项目的一个警示，这些项目可由特定个人访问并集中管理。 今天是好人不代表明天也是好人，控制重要合同的秘钥所有权甚至可能做到私下秘密出售。

低调的开始

Oyster Pearl(PRL)是一个在2017年ICO繁荣时期诞生的项目。它声称结合了ETH和IOTA区块链的概念，提供去中心化匿名文件存储。PRL代币销售开始于2017年10月下旬，3周后相对平静地结束，仅募集了300ETH(当时约9万美元)， 以5000 PRL:1 ETH的价格出售了150万PRL。12月17日，随着围绕加密货币的兴趣增长，Oyster团队决定在EtherDelta上分5次卖出2500万个PRL，价格在5美分至9美分之间。他们在几天里筹集了大约175万美元，该项目的市值超过了200万美元。到这个时候，已经向公众出售了代币总供应量的47.1％。

2018年1月是ICO泡沫最严重的时候，Oyster Pearl的市值超过2.4亿美元。每个PRL的价格超过了4美元， 这意味着相对于种子轮投资者价格上涨了66倍，相对于EtherDelta售卖价格上涨了40-80倍， 作为主要的山寨币交易所KuCoin的交易量非常大。今天相同的市值可以使其成为排名前30的代币，与ZCash的市值一致。

之后，与其他ICO一样，PRL和ICO市场一起急剧崩溃。 当一些无耻骗局项目退出并消失时，Oyster Pearl似乎正在做事。他们在Github上发布了代码，并最终在5月交付了主网。一个重要变化是领导层重大变动：6月9日，当时匿名的CEO和创始人Bruno Block将领导层移交给了前CFO Bill Cordes。

从9月28日到10月29日，PRL从6美分上升到23美分的峰值。它兑BTC的价格接近2018年第一季度的高点，据称是由于即将上线Binance的传言。

内部攻击

在10月30日凌晨，灾难突然发生，数以百万计的PRL在没有任何警告的情况下突然在KuCoin上砸盘。

Bill Cordes疯狂地要求KuCoin关闭所有PRL交易市场，但到关闭它们时， 估计已经提出了价值300,000美元的BTC和ETH。

利用Oyster Pearl智能合约自成立以来一直存在的后门机制。Bruno Block可以从另一个地址发出“ transferDirector（）”调用，重新打开ICO合约创建更多PRL，并将任何ETH移出合约。

1. Oyster智能合约允许合约私钥所有者在任何时候重新开放众筹：

2.区块＃6605271 –调用openSale（）

3.区块＃6605281 –从 0x0001ee57bb28415742248d946d35c7f87cfd5a54 向智能合约发送了50 ETH 并创建250,000 PRL：

4.在以下块中继续发送ETH创建新的PRL：

• 6605299 | 50 ETH – 250,000 PRL

• 6605340 | 50 ETH – 250,000 PRL

• 6605366 | 50 ETH – 250,000 PRL

• 6605608 | 73 ETH – 356,000 PRL

• 6606268 | 186 ETH – 930,000 PRL

• 6606409 | 175 ETH – 875,000 PRL

• 6606737 | 173 ETH – 865,000 PRL

5.从KuCoin提取ETH到0x0001ee57bb28415742248d946d35c7f87cfd5a54：

• 6605411 | 65.9985593 ETH

• 6605489 | 61.6195307 ETH

• 6605692 | 24.1050992 ETH

Bruno 还向Oyster Pearl多重签名合同存入100 ETH，试图将注意力转移到Oyster团队身上。

Bruno 的动机

这个漏洞始终存在，为什么Bruno选择等到那时候发起攻击？毕竟，如果Bruno在2018年1月PRL的价格超过4美元时执行了相同的计划，那么他的利润将增加20倍。

一种说法是，KuCoin即将实施大笔取款的强制性KYC政策的消息迫使 Bruno 采取行动。在2018年11月1日，未经KYC验证的提款申请将被限制为2 BTC / 24小时，这将严重限制Bruno的攻击套现能力。

另一个理由是，他与团队中的其他成员发生了冲突，现在想报复他们。 这是 Bruno 本人对他这样做的原因的解释：

尽管Oyster坚持认为智能合约通过包括Quantstamp在内的多次审核，但他们仍因所谓的技术原因而保留了合约的管理权限。这就是Bruno最终用来接管ICO合同并转移代币的原因。

有人可能想知道，这个漏洞究竟是如何通过三次独立审计的，或者为什么社区对这种中心化程度没有保持警惕。 归根结底，他们信任了团队，审计团队本身之间也有冲突。

那后来这个项目怎么样了？令人惊讶的是，它仍然在继续其愿景。Oyster团队决定分叉为Opacity(OPQ)，这是一种今天仍在KuCoin上市的代币，其市值为200万美元，是一款功能强大的云存储产品。Binance上市是不可能实现了， 对项目声誉造成的损害是永久的和不可逆转的。 Bruno Block似乎仍在致力于开发他对Oyster的最初构想。他在Telegram中很少发布更新，最后一次更新是在2019年12月6日。

思考

Oyster Pearl的故事应被理解为对所有加密货币项目的一个警示，这些项目可由特定个人访问并集中管理。 今天是好人不代表明天也是好人，控制重要合同的秘钥所有权甚至可能做到私下秘密出售。 当投资者不阅读代码，审计人员由于利益关系经常忽略一些漏洞，团队成员也过于轻视自己中心化的问题， 开源代码就很容易受到攻击 。

在过去的一年中，DeFi领域的快速增长同样伴随着炒作。然而，在最大的DeFi项目中也发现了严重的漏洞：

• Compound：Ameen Soleimani指出，如果管理员私钥被泄露，则平台上的所有资金都将被盗。

• Maker：Micah Zoltu指出，持有40,000 MKR的人可以窃取系统中的所有ETH抵押品。

• DyDx：用户指出，DyDx将用户的单抵押Dai(SAI)强制转换为多抵押Dai(DAI)意味着所有资金都是托管的，如果他们愿意他们可以将用户的余额转换为无价值的代币。

这三者的共同点是，他们假设控制者是善良的，通过协议之外的激励措施，控制者不想看到项目失败。但是话又说回来，Bill一定以为Bruno永远不会出卖自己的项目，他为自己的天真付出了代价。 尽管当一切顺利时，团队不会有危险，但是这种机制的存在意味着这些项目始终有金融灾难的隐患。 想象下Taleb的火鸡形象：一只火鸡一天比一天吃的饱，一天比一天胖，直到有一个感恩节，它被宰杀成一顿丰盛的大餐。

在建立无需信任协议的过程中，我们应该对实际上在假定信任的地方进行严格审查。 鼓励平台隐藏这些漏洞，就相当于鼓励有恶意的人在适当的条件下利用这些漏洞， 当前这些风险被低估了，只有在攻击发生后人们才会意识到这些。

原文链接：https://blog.deribit.com/insights/bruno-and-bill-a-story-of-broken-trust-while-building-a-trustless-protocol/

原文作者：Su Zhu & Hedgehog

翻译：SHOU