再質押專案Prisma遭洗門風,駭客要求團隊直播道歉、公開真實身份
Prisma (白帽) 駭客表示,DeFi 有如此多漏洞完全是開發者的問題,而 Prisma 團隊顯然毫無歉意,他要求團隊針對代碼漏洞道歉並公開團隊真實身份,雙方仍透過區塊訊息交流且僵持不下。
Prisma 遭駭千萬美元
流動性再質押代幣 (LRT) 專案 Prisma Finance 在 18 日遇駭,損失超過 1,000 萬美元。團隊隨即關閉合約、提醒用戶取消錢包的相關授權,同時也與駭客協商中。
Prisma 攻擊者自喻為白帽駭客,聲稱將返還多數資金,但也對協議開出許多條件。
廣告 - 內文未完請往下捲動
(Prisma Finance 合約已關閉,團隊:請用戶取消相關授權)
Prisma 駭客:合約出問題,專案方的責任呢?
鏈上訊息顯示,駭客在 29 日向團隊提出許多問題,但似乎沒有獲得滿意回答:
-
合約部署前是否有審計?
-
你們是怎麼看待「智能合約」這個詞?
-
出現此類情況,開發商的責任是什麼?
駭客表示:
我這樣做不是為了任何目的,而是為了提高大家認真看待智能合約審計、開發者的工作態度,以及專案方自身的責任感。
Prisma 官方回覆:
我們理解開發者有責任盡最大努力確保合約無漏洞,我們一直認真看待合約的審計責任,然而,審計過程中遺漏了部分代碼,一旦資金歸還,我們將檢討事發經過。
駭客:Prisma 團隊毫無悔意
駭客對於官方的回覆提出三點錯誤:
-
沒有誠意:不早點回訊息,問東答西。
-
沒有感恩:對白帽駭客並未心懷感激,對用戶的等待也未表達感謝。
-
沒有悔恨:沒有向用戶道歉,也沒有具體改善措施。
駭客指出 Prisma 十幾個小時才回覆區塊訊息,他也對 Prisma 提到的「漏洞利用」、「攻擊」等辭彙很不滿。
他要求團隊召開線上說明會,所有成員需出示身份證件,並向所有用戶道歉、解釋協議代碼的具體漏洞,以及未來的改善措施。
最後儘管官方刪除了「漏洞利用」、「攻擊」等字詞,駭客仍嚴厲反駁稱 Prisma 團隊回覆的訊息,並沒有涵蓋他之前提到的三點錯誤:
親愛的 Prisma 團隊,你們再次忽略我要求的三個要素,不要試圖逃避錯誤、卸責,如果我不駭,其他駭客可能就出手了。換個說法,此漏洞在某種情況是協議的完美後門,任何專業開發者都不會犯這種錯。其他親愛的用戶請放心,如果我是黑客,我早就閃了,我並沒有受益於攻擊 Prisma,我不希望 DeFi 再發生這樣的蠢事,我只想讓犯錯的人承擔起責任,而不是指責別人。
