Bedrock那次出事,项目方说“帮你把钱取出来”
我最早注意到Bedrock,是因为一个求助帖。
发帖人说他在某条链上用uniBTC套利,结果项目方直接把流动性池撤了,他手里十几万美元的资产没有出口。更绝的是,跨链桥的多签权限也在项目方手里,他要把资产转出去,需要项目方签字批准。
我顺着这个线索往下翻。他发了帖子求助,过了好几天才有官方人员回复,说“正在处理”。又过了一周,还是没动静。他急得不行,在好几个平台来回发帖。最后拖了半个多月,项目才同意让他提走本金,利润还被卡着。@Bedrock
这不是第一次了。2024年9月,Bedrock的uniBTC智能合约被闪电贷攻击,丢了约200万美元。那次运气好,攻击者退回了资金。但问题不在钱,在结构。
一个再质押协议,用户存钱进去,想取出来却要经过项目方的多签。这叫去中心化?用户追问:你们为什么能直接控制跨链桥?没人回答。或者说,回答得很绕——安全性、风控、社区投票,说了一堆,但没解释为什么签名权不在用户手里。
我顺着链上记录看了看那个跨链桥的多签地址。签名者是谁?不知道。更换签名的条件是什么?也不知道。需要几把签名才能动?还是不知道。所有的信息都写着“待披露”。
项目方在安全事件后做了审计、上了监控、发了补偿代币。但这些都没回答那个核心问题:凭什么我的钱,要你批准才能拿出来?
存钱的时候按一下就行。取钱的时候要等人签字。这哪是再质押协议,这是有门卫的存钱罐。