Pretresi zaradi nenormalnega izdajanja pGALA s protokolom za večverižno usmerjanje pNetwork še niso končani. Huobi je povzročil polemiko v skupnosti, ker je spremenil žeton GALA nekaterih uporabnikov, opredeljenih kot arbitražna »volnena zabava«, v pGALA. Le kdo ima v tej zadevi prav in kdo ne?
Pretresi zaradi nenormalnega izdajanja pGALA s protokolom za večverižno usmerjanje pNetwork še niso končani. Huobi je povzročil polemiko v skupnosti virtualnih sredstev, ker je spremenil GALA nekaterih uporabnikov, opredeljenih kot arbitražna "volnena stranka", v pGALA. Le kdo ima v tej zadevi prav in kdo ne?
Pregled dogodka: pGALA je izdala več dni, Huobi ni pravočasno zaključil odkupa in dviga
4. novembra ob 00:4 je skupnost virtualnih sredstev začela širiti novice, da je platforma za verižne igre Gala Games žeton Gala (veriga BNB) hitro in močno padla. Žetoni pGALA v vrednosti več kot 1 milijarde ameriških dolarjev, ki izvirajo iz večverižnega usmerjevalnega protokola pNetwork, so bili v verigi BNB skovani iz nič in prodani na PancakeSwap. To je povzročilo, da so žetoni Gala v verigi BNB neposredno padli z 0.04 USD na 0.0000045 USD.
Kasneje so uporabniki skupnosti odkrili, da obstaja ogromna razlika v ceni med žetonom Gala v verigi BNB in centralizirano borzo, zato so vložili veliko sredstev za nakup žetona Gala v verigi BNB, da bi ga ponovno napolnili in prodali na centralizirana menjava. Takrat so Binance in druge borze začasno ustavile polnjenje Gala v verigi BNB, kanal za ponovno polnjenje Huobi pa je bil še vedno odprt. Uporabnik je zaključil arbitražo s premikanjem kock skozi Huobi, zaradi česar je Gala na borzi Huobi močno padla, z 0.04 USD na 0.0003 USD.
pNetwork je 4. novembra ob 28:4 tvitnil, da je kovanje žetonov pGALA, ki presegajo 1 milijardo ameriških dolarjev iz nič, povzročila napačna konfiguracija navzkrižnega verižnega mostu. Rekel je, da je treba pogodbo pGALA v verigi BNB ponovno uporabiti, in da sodeluje z ekipo Gala Games in PancakeSwap, da bi pridobil stanje na računu uporabnikov pGALA in obnovil funkcijo pologa in dviga. Po uvedbi nove pogodbe bodo novi žetoni pGALA izpuščeni v razmerju 1:1.
Glede na opažanja varnostne skupine SlowMist so pogodbeni hekerji pGala večino Gala pretvorili v 13,000 BNB in ustvarili dobiček v višini več kot 4.3 milijona USD. Takrat je bilo na naslovu še vedno 45 milijard Gala, vendar niso bili unovčeni, ker je bil sklad sklada v bistvu izčrpan.
Od 9:00 4. novembra je Huobi objavil pet zaporednih objav o napredku obravnave neobičajnih dogodkov v verigi žetonov Gala. V obvestilu je navedeno, da bodo žetoni Gala umaknjeni s seznama, časovno vozlišče nesreče pa bo določeno kot ločnica. Po incidentu bo za uporabnike izvedena nakupna operacija, platforma bo preimenovala kupljena sredstva Gala v PGALA (PGALA nima nobene zveze z izvirnim žetonom Gala, pripada žetonu meme). Za tiste, ki so imeli žetone Gala pred incidentom, se je projektna skupina Gala strinjala, da bo plačala celotno odškodnino v obliki sorazmernega padanja Gala v verigi Ethereum v razmerju 1:1. Hkrati je dejal, da se bo še naprej pogajal s povezanimi projekti v imenu uporabnikov, da bi uporabnikom nadomestil izgube sredstev, ki jih je povzročil incident.
Ob 12:00 5. novembra je Huobi dejal, da bo ponovno uvrstil žetone Gala in pGala. Za žeton pGala je Huobi vzpostavil mehanizem za izgorevanje davkov in provizij, prilagodil provizijo za promptno transakcijo PGALA na 1.2 % v obe smeri in uporabil ves prihodek od provizije za ponovni nakup in uničenje žetonov pGala.
Glede na uradni kanal pNetwork na Twitterju dva dni skupnosti ni bila objavljena nobena informacija, razen objave, ki je razkrila obstoječe težave, ko se je zgodil incident. Ker se sooča z nenehnimi vprašanji skupnosti, je pNetwork objavil analizo incidenta pGala po dogodku šele 2. novembra ob 00:6.
Glede na poročilo o analizi je ekipa ob 1:52 4. novembra opazila konfiguracijsko napako v navzkrižnem verižnem mostu pNetwork GALA. Zaradi napačne konfiguracije je bilo na skrivaj prevzeto lastništvo pametne pogodbe pGALA, nameščene na BSC. Skupni sklad je znašal 400,000 ameriških dolarjev. Takrat napadalec, ki je pridobil lastništvo pametne pogodbe, ni izvedel nobenega napada.
3. novembra ob 11:4 je pNetwork stopil v stik z GalaGames, da bi prekinil dejavnosti medverižnega premostitve, in izpraznil bazen pGALA/BNB PancakeSwap prek operacije belega klobuka. To je bil poskus obdržati sredstva BNB v bazenu, tako da bi se lahko sredstva, potem ko je bila situacija pod nadzorom, vrnila vsem njenim ponudnikom likvidnosti.
4. novembra ob 13:4 je pNetwork izdal dodatnih 27,814,200,000 nezavarovanih pGALA, da bi izpraznil nabor pGALA/BNB PancakeSwap. Nato je bilo izdanih dodatnih 27,814,200,000 nezavarovanih žetonov pGALA.
Kot je bilo omenjeno zgoraj, sta GalaGames in pNetwork 4. novembra ob 28:4 tvitnila, da nakažeta težavo, in uporabnike skupnosti opomnila, naj ne kupujejo žetonov Gala v verigi BNB. Potem ko je bilo odvračanje neučinkovito, se je 4. novembra ob 29:4 pNetwork odločil, da bo nadaljeval praznjenje bazena, da bi zaščitil uporabnike, ki se vlagajo v dodani sklad sklada pred morebitnimi napadalci. 6. novembra ob 16th, GalaGames in pNetwork so se odločili, da prenehajo izčrpavati pretočni bazen. Doslej je pNetwork obnovil 12977BNB v vedenju praznjenja bazena. Ob 7:03 4. novembra je Huobi zaustavil funkcijo Gala polnjenja v verigi BNB.
Glede na poročilo o analizi, ki ga je razkril pNetwork, je bil zgoraj omenjeni pogodbeni heker pGala brez vednosti SlowMist uradni pNetwork. Dodatna izdaja ničvrednih žetonov pGala s strani pNetwork je bila posledica napačne konfiguracije navzkrižnega verižnega mostu pNetwork GALA, kar je povzročilo izpostavljenost tveganju v višini 400,000 USD.
Haotian, izvajalec varnosti verige blokov, je tvitnil, da projektna skupina pNetwork ni imela zdrave pameti glede varnosti DeFi in je v ekosistem vbrizgala odvečno likvidnost, ne da bi popolnoma odpravila morebitne nevarnosti, kar je bilo prenagljeno in neodgovorno. Kasneje ni bila upoštevana možnost morebitnih notranjih operacij. Namesto tega je posredoval med Huobi in GALA, da bi se izognil odgovornosti in pripisal krivdo. Razumljivo in ni pretirano reči, da je bil pobudnik.
Stran projekta Gala, kot neposredno povezana stranka med pNetwork in centralizirano borzo, ni uspela natančno prenesti informacij (ekipa GALA je potrdila, da je Binance zaprl polog in dvig GALA v verigi BNB, ni pa potrdil zaprtja borze polog in dvig s priklopno ekipo Huobi Global). Ravnanje pNetwork je izjemno škodljivo za uporabnike, kar kaže na to, da ekipa Gala imetnikov žetonov ne jemlje resno.
Hkrati so uporabniki začeli premikati opeke za arbitražo, dokler Huobi ni zaustavil Gala polnjenja v verigi BNB za do 3 ure, kar je pokazalo, da varnostni ukrepi in ukrepi za obvladovanje tveganj platforme Huobi niso zadostni.
pNetwork in Huobi na sodišču, Huobi obljublja, da bo uporabnikom plačal 6 milijonov dolarjev
Zadnji incident z dodatno izdajo pGala je vplival na skupnost na različne načine. Nekateri uporabniki so z arbitražo izdatno zaslužili, medtem ko so drugi utrpeli izgube. Po podatkih na Lookonchain je naslov Smart Money kupil 406 milijonov GALA iz sklada PancakeSwap za 120,380 USD 20 minut po napadu GALA in zaslužil 5.79 milijona USD oziroma 675,000 USD od Huobija oziroma Binance. Postavlja se vprašanje, na koga se oškodovanci lahko obrnejo v primeru finančne škode.
V zvezi s to težavo je Huobi izdal izjavo 6. novembra 2022 zvečer. V izjavi je Huobi navedel, da vedenje pNetwork ni domnevna operacija belih klobukov, za katero trdi, da je, ampak zlonamerni hekerski napad, izveden zaradi dobička.
Prvič, Huobi je izjavil, da čeprav je pNetwork za komunikacijo z borzo uporabljal lasten kontaktni kanal z eno linijo, vendar sporočilo ni nakazovalo, da se pNetwork pripravlja na napad na ranljivosti, kaj šele, da bi pNetwork izdal veliko količino 55.6 milijarde žetonov GALA na trg v 50 minutah. To dejanje je imelo resne posledice, saj so nedolžni uporabniki in borze utrpeli velike izgube.
Glede na analizo Slowmista je napačno konfiguracijo navzkrižnega verižnega mostu, ki ga je omenil pNetwork zgoraj, dejansko izvedel lastnik zasebnega ključa z skrbniškimi pravicami za pogodbo proxy pGALA, ki je pricurljala na Github, in ta naslov lastnika je bil zlonamerno zamenjan pred 70 dnevi, zaradi česar je pogodba pGALA ranljiva in v nevarnosti, da jo bodo napadli. pNetwork je Huobiju to dejstvo namenoma prikril.
Poleg tega je bila glede na poročilo o analizi po dogodku, ki ga je objavil pNetwork, skupnost javno opozorjena, naj ne kupuje žetonov Gala v verigi BNB. Natančneje, ekipa pNetwork je zahtevala, da uporabniki ne premikajo žetonov za arbitražo, ko so opazili velike razlike v cenah med verigo in borzami.
Ali so oportunistični vlagatelji prezrli opomin pNetwork in izkoristili spremembo za arbitražo in izdatno zaslužili? Če bi bila ekipa pNetwork posamezen vlagatelj, ali bi izpustili možnost arbitraže?
Drugič, Huobi meni, da ni dokazov, da bi kdor koli izkoristil ranljivost v pNetwork za napad, pNetwork sam pa je bil TISTI, ki je želel izkoristiti to ranljivost za dobiček. Ranljivost je obstajala 67 dni, kar je bilo dovolj časa za oceno možnih varnostnih rešitev, vendar se je ekipa pNetwork nestrpno odločila, da bo aktivno izkoristila ranljivost v 50 minutah in izdala 55.6 milijarde žetonov za izčrpavanje likvidnostnega sklada.
Ekipa pNetwork je morda želela rešiti težavo, toda ker ni bilo nobenih napadov, odkar je bila ranljivost odkrita pred 67 dnevi, bi lahko ekipa mirno pripravila bolj celovito rešitev namesto tiste, ki bi ogrozila trg .
Poleg tega je bil Gala v verigi BNB prvotno žeton za preslikavo zastave. Glede na pretekle izkušnje lahko ekipa v celoti nadomesti žetonsko pogodbo in zavrže žetonsko pogodbo s tveganji. Če bi bila pNetwork's transparentna glede svojih namenov, bi skupnost lahko razumela in poudarila. Težave ni bilo treba reševati s črpanjem sredstev iz likvidnostnega sklada z dodatno izdajo – dejanje, ki je izjemno tvegano in za trg škodljivo.
Tretjič, Huobi meni, da je argument pNetwork, da je bila dodatna izdaja do 55.6 milijarde žetonov za arbitražo likvidnostnega sklada v vrednosti približno 400,000 ameriških dolarjev, ki je bil v nevarnosti, da bo napaden, neutemeljen. Huobi verjame, da je bil namen pNetworka izkoristiti tržne turbulence, da je pNetwork uporabljal »white hat attack« kot krinko za izvajanje hekerskih napadov, da bi se izognil pravnim sankcijam.
Poleg tega je uradno poročilo o analizi pNetwork razkrilo, da bo 12,977 BNB (v vrednosti približno 4.5 milijona ameriških dolarjev) v sredstvih, ki jih je izterjal združenje, vrnjenih nekorporativnim imetnikom, ki so zastavili dpGALA, v posnetku, ki je bil posnet 16. novembra ob 00:7, 2022. Takšna dejanja se ne ujemajo s trditvami, da je šlo za napad z belim klobukom.
Vendar je pNetwork v svojem poročilu o analizi po dogodku omenil, da je bilo dvakrat izdanih skupno 55.6 milijarde Gala žetonov. Glede na ceno GALA 0.04 USD v tistem trenutku je bilo 55.6 milijarde Gala žetonov vrednih 2.2 milijarde USD. pNetwork's je izdal dodatne Gala žetone v vrednosti 2.2 milijarde USD za likvidnostni sklad s potencialnim tveganjem 400,000 USD. Skupnost bi težko razumela logiko takšnega ravnanja. Poleg tega metoda zasebnega izdajanja dodatnih žetonov ni v skladu z duhom verige blokov.
V zvezi s Huobijevo izjavo je pNetwork uradno tvitnil, da obsoja Huobijeve lažne obtožbe zoper pNetwork in bo sprejel ustrezne pravne ukrepe za nasprotovanje Huobijevim trditvam. pNetwork je dejal, da obstajajo dokazi, ki dokazujejo, da so bila njihova dejanja izvedena v dobri veri in da so bila vsa dejanja vnaprej dogovorjena z GalaGames.
V odgovor na odgovor pNetwork je Huobi za PANews povedal, da je bil odgovor pNetwork napačen in šibak. Huobi je ugovarjal, da je pNetwork izkoristil vrzel v žetonu GALA z izdajo velikega števila žetonov, popolnoma prikril svoje napadalno vedenje pred borzo in se z borzo obrnil šele v eni uri. Med napadom je bilo z izkoriščanjem pogodbenih vrzeli izdanih 55.6 milijarde žetonov. V tem obdobju borza ni imela časa za odgovor, niti pNetwork z borzo ni potrdil, ali so bili sprejeti ustrezni ukrepi za zagotovitev varnosti sredstev. Huobi Global je sprožil pravne postopke in namerava pNetwork prevzeti pravno odgovornost za svoja dejanja.
Poleg tega je 9. novembra 2022 zvečer Justin Sun, član globalnega svetovalnega odbora Huobi, na dogodku TS »Entry Full Moon, Brother Sun's Work Report«, ki ga vodi PANews, dejal, da je med incidentom GALA okreval sredstva so bila vredna približno 4 milijone ameriških dolarjev, ki so se vrnila v verigi.
6 milijonov ameriških dolarjev sredstev bo usmerjenih v odškodnino za airdrop uporabnikom, ki so utrpeli izgube, preostala sredstva pa bodo uporabljena za ponovni nakup in uničenje žetonov PGALA. Vsa nadomestila pNetwork bodo uporabljena za nadomestilo uporabnikom, ki so utrpeli izgube na platformi.
Razmislek: Okrepiti je treba varnostne mehanizme zgodnjega opozarjanja
Ta incident so povzročili inženirji pNetwork, ki so pustili ključ v pogodbi, kar je ogrozilo varnost. pNetwork se je odločil premagati to varnostno tveganje z izdajo dodatnih žetonov GALA za izčrpavanje likvidnostnega sklada. Takšna rešitev je bila izjemno tvegana, Huobi pa zaradi slabe komunikacije ni pravočasno zaprl pologov in dvigov GALA, kar je povzročilo velik udarec.
Projekta pNetwork in Gala sta v veliki meri odgovorna za ta incident, ki je povzročil izgubo uporabnikov in erozijo zaupanja v skupnosti. pNetwork se je jasno zavedal, da je ta ranljivost obstajala dva meseca in ni bila izkoriščena, vendar ni skrbno razmislil o celoviti rešitvi. Namesto tega je izbral visoko tvegano rešitev, ki je kršila duh verige blokov in je verjetno povzročila veliko škodo uporabnikom. Kot insajder se je udeleženec projekta Gala odločil, da bo aktivno omogočil to visoko tvegano vedenje, namesto da bi raziskal glavni vzrok in zagotovil izvedljivo rešitev.
Vendar pa so bili varnostni odzivi v sili in sistemi za nadzor tveganj na platformi Huobi izjemno neučinkoviti. Ko bi videli razliko v ceni v verigi, bi se uporabniki v skupnosti zagotovo zavedali možnosti arbitraže. Kako bi lahko Huobi, kot borza prve stopnje, ne vedel?
Čeprav torej komunikacija s pNetwork ni bila učinkovita, bi Huobi imel dovolj časa, da ustavi funkcijo polnjenja, da bi zmanjšal število prizadetih uporabnikov.
Uporabnik, ki je utrpel izgubo, se lahko za rešitev glede zmanjšanja izgube obrne le na pNetwork, glavno odgovorno stranko, ki je povzročila incident. To je varnostna kriza, ki jo povzroča vrzel v pametni pogodbi, vendar je bolj pomembna kot katera koli vrzel v kodi, zato bi morale biti udeleženke projekta blockchain pozorne nanjo.
Kot je dejal Hao Tian, izvajalec varnosti blockchain: Varnostna podjetja, ki so specializirana za zgodnje opozarjanje in odkrivanje varnostnih incidentov, so bila kolektivno odsotna na tem gala dogodku. Varnostne revizije in storitve lahko preverijo napake kode, vendar se je težko boriti proti morebitni krizi »nesreče, ki jo povzroči človek«, ki jo povzročijo ekološki udeleženci v industriji, željni dobička od hitrega zaslužka.
Disclaimer: To je sporočilo za javnost. Coinpedia ne podpira nobene vsebine, točnosti, kakovosti, oglaševanja, izdelkov ali drugih materialov na tej strani in zanje ni odgovorna. Bralci bi morali opraviti lastno raziskavo, preden sprejmejo kakršne koli ukrepe v zvezi s podjetjem.
Vir: https://coinpedia.org/press-release/with-an-additional-us2-billion-issued-for-us400000-who-will-take-responsibility-for-the-loss-of-users-in- gala-incident/