bancor交易所(能够紧急冻结250万被盗BNT的Bancor，同样能将手伸向你的钱包？)

日期：2023年04月21日 13:29 浏览量：1

在黑客的屡屡光顾下，2018上半年约有价值7.31亿美元（折合人民币48亿元）的数字货币被盗，以三倍多的数值完胜2017年全年总被盗数额。而下半年才刚开始，币圈又传来一家数字货币交易平台被攻击的新闻，不过这次的主人公是——去中心化交易平台Bancor。

北京时间7月9日下午四点左右，Bancor官方推特发文表示，其网页客户端目前已下线进行维护。随后不到三小时左右，Bancor再次发文补充道，平台出现安全漏洞，目前技术部门正在维护。他们承诺会尽快给出详细报告；同时强调，用户的钱包并没有受到影响。

截图自：Twitter

消息发布后，BNT应声下跌，三小时内下滑10%至2.51美元（数据源自：Coinmarketcap）；而其平台主页则一直停留在正在维护的界面。

1.被盗BNT已紧急冻结，ETH、Pundi X去向仍在追查中

经过接近十小时的沉默之后，Bancor再次在推特上发声，简要的公布了此次漏洞事件的始末。Bancor承认，UTC时间0:00平台出现安全漏洞，当时一个用于升级某些智能合约的钱包遭受攻击，储存在里面的24984个ETH（折合1200万美元）以及2.3亿Pundi X（价值约100万美元）和价值约1000万美元的BNT被盗出。

截图自：Twitter

而第一时间Bancor团队已经识别出黑客的地址，并使用Bancor协议中的内置机制及时将被盗的250万BNT冻结，有效阻止了黑客将BNT卷走；不过ETH以及其他被盗币种则流失在外。针对此，Bancor目前已联合数十家加密货币交易所，共同追踪这些被盗资金，并设法阻碍黑客清算变现。

部分被盗出的ETH，目前还未被转出；且地址已被标记为“诈骗账号”

另外Bancor平台一再强调的是，他们是去中心化的交易平台；并没有在热钱包中代表用户持有任何数字货币。而且目前来说并无其他已知钱包或智能合约漏洞的出现，为此用户的资金是安全的。

截图自：Twitter

不过相较于用户资金是否安全这一问题，在Bancor官方推特的评论区里面，大家更为关注的是平台可以冻结BNT这件事。

2.冻结做法惹争议，去中心化属性遭质疑

根据Bancor的说法，冻结代币是协议的内置功能，可以在极端情况下对相关代币进行冻结，从而让系统能够更好地从安全漏洞中恢复。

评论区的网友们对此解释并不买账，他们纷纷对冻结功能提出质疑，认为Bancor拥有这项权利有悖去中心化的概念。

截图自：Bancor官方推特评论区

莱特币创始人李启威也转推批评道，一个试图打造去中心化交易所的项目，不应该设计这样的机制，让用户资金可以轻易遭到窃取或者被冻结。“这不能被称作是去中心化的交易所”。

截图自：Twitter

在一番争论之下，去年六月比特币开发者Udi Wetheimer发布的名为《Bancor Unchained：All Your Token are Belong to us》的文章再次被翻出。

3.ICO阶段的遗留机制，是安全保障还是定时炸弹？

该文章对Bancor众筹阶段设置的“隐藏硬顶”等机制提出质疑之外，还指出Bancor项目中存在的后门，而其中之一就是我们提到代币冻结机制。

据哈希派从文中了解到，为了让ICO阶段能够顺利进行，Bancor团队在他们的众筹合约给自己留有可以冻结代币的权限；使得团队能够在ICO结束后立即冻结BNT的使用，并待平台主要产品正式上线后，再重新解冻代币。而出于某些原因的考虑，这项由团队控制的功能在后来的升级中被保留下来，一直延续至今，并在最近的攻击中派上用场。

虽说冻结功能在此次事件中起到一定的拦截和补救作用，但其隐藏的安全问题也同样无法被忽略。即使Bancor声明只会在特殊极端情况下使用此项功能，而我们也有理由相信团队不会不顾社区发展进行滥用；但不代表攻击者不会。

如果有一天团队的密钥被盗，Bancor社区或许会翻天。因为拥有密钥不仅意味着攻击者能够冻结代币，同时他们也将掌握Wetheimer文章中提到的代币新建及销毁权限。