Zhaojun被中国警方带走,才发现CEO 一个人在表演「女巫」

正在查看 3 条回复
  • 作者
    帖子
    • #6112 回复
      tianya005
      参与者
      积分: 52
      Rank: 币圈新韭菜

      $100 亿的桥,运行在一个人的电脑 ——回首 Multichain CEO 被捕之殇

       

      Multichain 事件似乎还历历在目。8个月过去了,比特币再创新高,牛市下群体多巴胺的疯狂刺激,似乎掩盖了过往的伤痛。 但是人们,似乎并没有吸取「多签」黑盒子的安全教训,让其成为了「房间里的大象」。

      回顾 2023 年 5 月,Multichain 部分跨链路由无法使用,机构砸盘、代币暴跌。加密圈内一时间盛传「CEO 被抓」。随后,其联合创始人 Alfred Xu 在社群「辟谣」道,目前团队健全,主业务正常,路由恢复会自动到账,团队正常工作。 次月,Multichain 发推承认,团队无法联系 CEO Zhaojun,失去了「必要的」服务器访问权限。时间来到 7 月,大量 Multichain 的资金被转移,直接流出损失近 3 亿。 而其间接影响可能更是无法估量。

      采用了 Multichain 作为生态的主要跨链桥的 Fantom 在上一轮牛市风光无限,就 Multichain 的巅峰 TVL 就曾经突破过 $10B。事件发生后,桥接合约发行的稳定币出现了大幅脱锚,多个项目受影响停运倒闭。这给 Fantom 带来了沉重的打击,TVL 一蹶不振,至今牛市来临也尚难以恢复。截至 OneKey 撰文时,DefiLlama显示其 TVL 仅为 $113M,沦为「鬼城」,令人唏嘘。 此后 OneKey 再也没有找到更多关于 Multichain 的新闻,Foresight News 的新闻时间线(https://foresightnews.pro/timeline/detail/157…)似乎永远地停止在那个牛来前的酷暑 7 月。 不过,其实在 2023 年 9 月 29 日,Multichain 前工程师突然宣布了 Value Router@ValueRouter这个新跨链桥项目的启动。然而,这个项目最后一条停留在了 11 月,再无音讯,似乎已经是停止开发。 原因 根据 Multichain 在推特发的最后一条公告,其 CEO Zhaojun 于 5 月 21 日在家中被中国警方带走,此后与 Multichain 全球团队失去联系。

      Image
      我们现在仍然能在 Multichain 的文档中找到其宣称的安全技术:https://docs.multichain.org/getting-started/security/security-model… 乍一看,独立运行和维护分布式验证节点、密码学家学术联盟,甚至长期合作的第三方审计,安全无懈可击。 然而,自项目成立以来,所有的运营资金和投资人的投资,其实都在 Zhaojun 一个人的控制之下。这也意味着团队的所有资金和服务器的使用权都在 Zhaojun 和警方手中。实际上这些 MPC 节点服务器与其他普通服务器没有区别,实际上是在 Zhaojun 的个人云服务器账户下运行。简单理解,就是所有的钥匙,都在他一个人手上。 于是,最坏的事情发生了,Zhaojun 及其家人被控制后,团队中的任何成员都无法访问 Zhaojun 的个人云服务器账户,因此任何人都无法登录这些 MPC 服务器,只能眼睁睁看着用户的资产被转移。 教训 安全技术 ≠ 安全实践。 举个例子,你或许知道使用硬件钱包可以防止私钥被黑客盗取。但你可能不知道,其主要原因是,私钥是在硬件钱包离线产生,可以在不联网的环境中被记录。所以黑客除非物理攻击,拿不到你的私钥或助记词。 但是假如你随手把私钥记载于常用电脑的「私钥.txt」中,那这和使用热钱包并无区别。这样使用硬件钱包并没有给你带来更多的安全保障,只是在自欺欺人。

      这教训不仅是对于加密用户,对于项目方也是一样的。显然,Multichain 的 MPC 去中心化节点运营,也是自欺欺人。其宣称的「独立」节点根本不存在,是 CEO 一个人在表演「女巫」。而这一切,用户毫不知情,甚至是被欺骗。 这里引用 0xLoki 在 ForesightNews 发表的观点:Multichain 的 MPC 方案本质上是一个「黑盒子」,而出现这个「黑盒子」的原因是 Multichain 既是服务的构建者,也是服务的使用者,这种属性的集中会带来不透明性与作恶空间。

      解决这个问题的方法就是引入一个完全中立、不涉及利益冲突的第三方主体,也就是使用一个具备足够公信力的第三方 MPC 服务代替自建的 MPC 服务。 我们当然相信 Web3 的未来是多链与多层的,这一轮牛市,我们看到多少的互操作协议、ETH L2 和 BTC L2 迎来狂热的掘金者。 但是回看 Multichain 之当我们再去认真审视,可能不禁又会捏一把冷汗。 最后,让我们留下两道「送命题」: 有多少的 L2 / 桥的安全本质上就是一个「黑盒子」的多签? 如果采用多签,是否有足够透明的去中心化措施(社会关系、地理、密码学灯),避开各种极端情况的影响(例如地缘政治),从而防止单点故障?

    • #6113 回复
      tianya005
      参与者
      积分: 52
      Rank: 币圈新韭菜

      梳理完 Multichain 多灾多难的时间线后,心里只有一种淡淡的伤感。 红衫、币安、三箭投资,阵容豪华,终是败在人性。

    • #6114 回复
      tianya005
      参与者
      积分: 52
      Rank: 币圈新韭菜

      多签就是一个笑话。想想自己要花自己的钱时,还要别人来帮你打开钱包的锁才能花钱。这钱还是你自己的吗?

    • #6223 回复
      777979wo
      参与者
      积分: 49
      Rank: 币圈新韭菜

      币圈就是黑暗森林,骗子强盗数不胜数

正在查看 3 条回复
回复至:Zhaojun被中国警方带走,才发现CEO 一个人在表演「女巫」
您的信息:




分享给他人