Die "institutionelle Sicherheit" von Bedrock ist lächerlicher als die Sicherheitstür meines Hauses – der Türrahmen ist aus Pappe, der Schlüssel hängt draußen.
Ganz ehrlich, als ich das erste Mal die vier Worte auf der Webseite gesehen habe, dachte ich, das wäre ein vorübergehendes PPT-Slogan von irgendeinem Amateurteam. Nach einer Überprüfung der Blockchain-Daten stellte sich heraus, dass der Angriff auf uniBTC im September 2024 so einfach war, dass man sich fragt, wie das passieren konnte. Die Logik zur Berechnung des ETH- und BTC-Wechselkurses war einfach vertauscht. Solche Fehler würden in einer Abschlussarbeit einer Blockchain-Gruppe zurückgegeben werden müssen. Bedrock hingegen lief über ein halbes Jahr auf der Hauptnetz, ohne dass ein einziger Unit-Test es aufgehalten hätte.

Was mich noch mehr frösteln lässt, ist nicht nur der schlechte Code – in dieser Branche gibt es viele Projekte mit schlechtem Code – sondern wer die Fehler gefunden hat. Ein ehemaliger Mitarbeiter von FuzzLand, der sich als MEV-Entwickler ausgab, schlich sich ins interne Netzwerk und warf ein bösartiges Rust-Paket in die Arbeitsstation. $BR 's Sicherheits-Scan-Tool? Drei Wochen, Anzahl der Alarmmeldungen: null. Dieser Typ saß einfach an seinem Arbeitsplatz, trank seinen Kaffee, hörte sich die Rückblicksitzung des Sicherheitsteams zu den Sicherheitslücken an und sammelte alle Informationen, bevor er zuschlug. Du sprichst von „Zero Trust Architecture“? Wurde bei der Einstellung der Mitarbeiter auch nur eine ordentliche Hintergrundprüfung gemacht? Gab es keine Überwachung des internen Verkehrs auf anomales Verhalten? Das ist nicht institutionell, das ist „Hausflur-Level“ – jeder kann rein, und die Überwachungskameras sind gefälscht.

Ich habe die Masche von Bedrock satt: Problem aufgetreten → Verträge stoppen → Code reparieren → Chainlink PoR integrieren → Entschädigungsankündigung herausgeben. Dieses Skript wurde in den letzten zwei Jahren mindestens zweimal durchgespielt. Der TVL ist von 240 Millionen auf 535 Millionen gestiegen, das Geld ist gewachsen, aber nicht die Sicherheit. Jedes Mal, wenn sie ein Leck stopfen, fühlt es sich an, als würden sie ein Pflaster auf ein leckendes Schiff kleben, ohne sich um das große Loch am Schiffsrumpf zu kümmern – ihre eigene interne Zugriffsverwaltung, die Whitelist für Lieferkettenpakete und die Echtzeit-Eindringungserkennung – niemand hat jemals erwähnt, dass man das schweißen sollte.

Ich werde auf zwei Dinge achten: Erstens, dass die Webseite sechs Monate lang keine Sicherheitsankündigungen hat (sag mir nicht, dass „reguläre Updates“ auch als Vorfälle zählen); zweitens, dass sie die Überwachungsprotokolle des internen Netzwerks und den Prozess der Hintergrundüberprüfung für Mitarbeiter veröffentlichen, damit ich verstehe, ob da wirklich was dran ist. Bis dahin betrachte ich die vier Worte „institutionelle Sicherheit“ als einen kalten Witz – nach dem Lachen blättere ich um. #bedrock $BR @Bedrock