被爆挪用 18 億美元資產，幣安是否能夠對此坦白？_BIN

原文標題：BinanceCan’tKeepItsStoryStraightonMisplaced$1.8BUSDC

作者：CoindeskDavidZ.Morris

編譯：LinnLiu，比推BitpushNews

福布斯根據最近進行的一項詳細調查，對幣安對客戶資產和穩定幣抵押品的管理和保管提出了重大疑問。在調查中福布斯提到了一些鏈上交易的性質和意圖，并對此做出了許多可能的解釋。但到目前為止，幣安并未對這些鏈上交易提供一個清晰的回應。幣安的這種做法無法重振人們對于加密行業的信心。尤其是在FTX破產之后，人們不再輕易信任擁有鏈下資產負債表的中心化平臺。

福布斯本周報道說，在2022年8月17日，價值17.8億美元的資金從幣安錢包中轉移出來，用于支持幣安穩定幣，尤其是Circle的USDC的包裝版本b-USDC。根據福布斯的鏈上分析，其中12億美元被發送給了交易公司Cumberland?DRW，其他款項則流向了現已倒閉的對沖基金AlamedaResearch、Tron創始人孫宇晨和加密基礎設施和服務公司AmberGroup。幣安并未對上述事實提出異議。根據調查顯示最重要的是，這些資金的外流并沒有伴隨著b-USDC代幣流通供應量的相應減少。

FTX希望迪拜子公司從美國破產程序中移除:金色財經報道，根據周四的法庭文件，FTX希望將其迪拜子公司排除在美國的清算程序之外。去年11月，FTX在美國申請破產時，已經為全球102家關聯實體啟動了破產法第11章。FTX迪拜成立于2022年2月，由該公司的歐洲子公司所有，是參與訴訟的實體之一。

但FTX迪拜在向阿拉伯聯合酋長國(UAE)申請破產之前沒有開展任何業務，因此“沒有恢復運營的合理可能性”。有關此事的聽證會定于8月23日舉行。[2023/8/3 16:15:56]

在周三上午發布更有針對性和更詳細的報道之前，幣安給出了許多不同的、甚至是相互矛盾的解釋。由此也可以看出，幣安對此事的回應也繼續保持了其以往在面對密切的調查時的自我防御的態度。

最糟糕的情況

安全團隊：發現Circom驗證庫漏洞CVE-2023-33252:金色財經報道，Beosin 發現Circom 驗證庫漏洞CVE-2023-33252，提醒zk項目方注意相關風險。Circom是基于Rust開發的零知識證明電路編譯器，該團隊同時開發了SnarkJS庫用于實現證明系統，包括：可信設置、零知識證明的生成和驗證等，支持Groth16、PLONK、FFLONK算法。

此前，Beosin 安全研究人員在?SnarkJS 0.6.11及之前的版本的庫中發現了一個嚴重漏洞，當該庫在驗證證明時未對參數進行完整的合法性檢查，使得攻擊者可以偽造出多個證明通過校驗，實現雙花攻擊。Beosin在提了這個漏洞以后，第一時間聯系項目方并協助修復，目前該漏洞已修復完成。Beosin提醒所有使用了SnarkJS庫的zk項目方可將SnarkJS更新到 0.7.0版本！以確保安全性。

同時針對此漏洞，Beosin安全團隊提醒zk項目方，在進行proof驗證時，應充分考慮算法設計在實際實現時，由于代碼語言屬性導致的安全風險。目前Beosin已將漏洞提交 CVE漏洞披露平臺（Common Vulnerabilities and Exposures）并獲取認可。[2023/5/25 10:39:47]

隨著越來越多的證據表明Binance的資產管理實踐過去存在問題。幣安也已經承認，其某些時期內，并未能以隔離和透明的方式為b-USDC提供1:1資金支持。

安全團隊：建議用戶取消不同鏈上Sushiswap RouteProcessor2合約的授權:金色財經報道，據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示，2023年4月9日，

Sushiswap項目遭到攻擊，部分授權用戶資產已被轉移。

根本原因是由于合約的值lastCalledPool重置在校驗之前，導致合約中針對pool的檢查失效，從而允許攻擊者swap時指定惡意pool轉出授權用戶資金，以其中0xea3480f1f1d1f0b32283f8f282ce16403fe22ede35c0b71a732193e56c5c45e8為例：

1.攻擊者在約30天前創建了惡意pool合約

2.調用SushiSwap的路由函數processRoute進行swap，指定了創建的惡意合約為pool合約

3.最后在swap后惡意合約調用uniswapV3SwapCallback，指定tokenIn為WETH，from地址為受害者用戶地址(sifuvision.eth)，從而利用受害用戶對路由合約的授權轉移走資金。

建議用戶取消不同鏈上Sushiswap RouteProcessor2合約的授權。[2023/4/9 13:53:15]

幣安首席執行官趙長鵬甚至宣稱福布斯報告不過是“FUD”，目的是為了引起人們的恐慌。然而，這種本能的否認缺都忽視了一個簡單的現實：無法為人們做出清晰的回應才更容易造成恐慌。

代幣化投資組合協議PieDAO收購加密指數項目BasketDAO:金色財經消息，代幣化投資組合協議PieDAO宣布收購加密指數項目BasketDAO。Basket DAO Index（BDI）持有者可以選擇在6月29日至7月21日期間換取PieDAO的DeFi代幣。BasketDAO在去年下半年遭到黑客攻擊，之后BasketDAO團隊決定退出該項目。[2022/7/1 1:43:06]

Lumida首席執行官兼聯合創始人RamAhluwalia周二在CoinDesk的“先行者”計劃中提出了一種對福布斯調查結果最不利的解釋，即幣安進行了某種形式的再抵押。也就是說，支持b-USDC的資金被借給交易對手或以其他方式置于風險之中。基于這種可能性，福布斯將其調查結果與導致FTX崩潰的不良做法進行了比較。

加密貨幣交易所FTX正為收購Robinhood的交易尋求途徑:6月28日消息，據知情人士稱，加密貨幣交易所FTX的CEO正在為與美股經紀商Robinhood的交易尋求途徑。FTX正在內部考慮如何收購這家經紀商，Robinhood還沒有收到FTX的正式收購意向。目前還沒有做出最終決定，FTX可以選擇不進行交易。FTX的CEO周一稱，“我們對Robinhood的業務前景以及我們與他們合作的潛在方式感到興奮。盡管如此，目前沒有與Robinhood進行積極的并購對話。”Robinhood公司的發言人拒絕發表評論。（金十）[2022/6/28 1:35:15]

研究公司ChainArgos在1月2日發布的一份報告聲稱，“有人在大約100天內收到了大約10億美元的貸款”，雖然目前還不清楚到底發生了什么。但這筆金額非常大，從而引起了人們對異常活動的關注。

福布斯報道中暗示的另一種理論，即交易的凈效應不是高風險再抵押，而是將USDC換成?Paxos?發行的?BUSD。這將使Binance能夠收取包括美國國債在內的所產生的不斷上漲的利息。這將意味著b-USDC在某些時候實際上是由BUSD而不是USDC支持的。

自相矛盾的辯論

Binance強烈否認發生了再質押事件，但其最初提供的解釋與實際情況嚴重不符。福布斯在調查過程中采訪了幣安首席戰略官PatrickHillmann，他的說法表明，鏈上錢包僅僅是“容器”，而內部賬本才是真正跟蹤幣安擁有或托管的資產的地方。

另一位Binance發言人周二在向CoinDesk發表的聲明中寫道，“根據特定產品的條款，Binance不會在未經同意的情況下投資或以其他方式部署用戶資產。”這與Hillmann在接受福布斯采訪時的說法相矛盾。發言人在此處指的是“在隔離賬戶中”“持有”客戶資產，而不是在內部分類賬上跟蹤它們。

與此同時，幣安首席執行官趙長鵬在Twitter上反駁了福布斯的調查結果，他的解釋與其團隊此前提供的解釋不同。Binance發言人告訴CoinDesk，這些交易是“內部再平衡”的一部分，但趙長鵬將其描述為“我們的客戶已經完成的一些舊的區塊鏈交易，我們的用戶可以隨時自由提取資產”，他繼續說道，“他們的提款變成了‘收到數億轉移的抵押品’。”這個解釋不完全讓人信服，因為將這些描述為“區塊鏈交易”聽起來像是在暗示它們的交易并沒有經過幣安，這也與將交易描述為“內部再平衡”相矛盾。此外，趙長鵬的描述表明，僅CumberlandDSW就擁有或管理著價值12億美元的USDC。

與上述解釋相比，一個更合理的推論是，Cumberland的大筆交易似乎代表了一段時間內大量客戶操作的區塊鏈上的對賬，這既是“再平衡”，也是“客戶提現”。然而，在幣安的回應中，并沒有明確提出這種說法。

在福布斯的文章中，趙寫道：“我的華裔身份又被提起了，好像這很重要。”趙在過去因為他是華裔而成為歧視的目標，特別是在試圖在他和中國政府之間建立聯系時。福布斯的文章恰如其分地稱他為“加拿大華人”，并且在介紹他時只用了一次“China”或“Chinese”等字樣未在該作品中出現。這樣看來，趙似乎想利用對福布斯的投訴來分散人們對于實際調查結果的注意力。

異想天開和互相指責

經過三種不同的描述后，幣安在3月1日終于發布了一篇名為“幣安錢包之間的資產如何移動及其原因”的博客文章，對福布斯調查結果給出了一個單一的解釋：這些資產移動僅僅是機構客戶從幣安平臺提取自己的資產。雖然這種說法仍然不能很清楚的解釋資金移動的具體原因，但它沒有反駁福布斯和其他人的核心發現。該文章沒有提供太多細節，因此需要進一步審查。

該博客文章重申了Hillmann最初的觀點，即幣安管理的區塊鏈賬戶所顯示的并不一定對應于真實的客戶余額。例如，用于支持b-USDC的資產可能只是在幣安的區塊鏈托管系統的其他地方持有，而非錨定錢包。該文章提到了“龐大的熱錢包、冷錢包和存款錢包網絡”，以及“資金在錢包之間的移動可能有多種目的”，這意味著資金在幣安的各個賬戶之間移動并不意味著其所有者已經提取了這些資產。

該文章也對Binance對于福布斯調查所做出的回應進行了分析，并指出了Binance賬戶管理和資產認證方面的不清晰解釋，以及其對媒體和監管的不一致態度。由于Binance回應不夠清晰，已經導致了Binance的資產和客戶實質性的流失，需要更加透明和明確的解釋來恢復市場的信心。

Tags：BIN福布斯FTXUSDRobbin HoodSBLAND Vault (NFTX)USDJ

SOL