Суматоха от аномальной выдачи pGALA многоцепочечным протоколом маршрутизации pNetwork еще не закончилась. Huobi вызвал споры в сообществе, потому что изменил токен GALA некоторых пользователей, идентифицированных как арбитражная «партия шерсти», на pGALA. Вот только кто прав, а кто виноват в этом вопросе?
Суматоха от аномальной выдачи pGALA многоцепочечным протоколом маршрутизации pNetwork еще не закончилась. Huobi вызвал споры в сообществе виртуальных активов, потому что он изменил GALA некоторых пользователей, идентифицированных как арбитражная «партия шерсти», на pGALA. Вот только кто прав, а кто виноват в этом вопросе?
Обзор события: pGALA выдал больше дней, Huobi не закрыл выкуп и вывод вовремя
В 4:00 4 ноября сообщество виртуальных активов начало распространять новости о том, что токен Gala игровой платформы Gala Games (сеть BNB) стремительно и резко упал. Токены pGALA на сумму более 1 миллиарда долларов США, основанные на многоцепочечном протоколе маршрутизации pNetwork, были отчеканены из воздуха в цепочке BNB и проданы на PancakeSwap. Это привело к тому, что токены Gala в цепочке BNB упали с 0.04 доллара США до 0.0000045 доллара США.
Впоследствии пользователи сообщества обнаружили огромную разницу в цене между токеном Gala в цепочке BNB и на централизованной бирже, и они вложили большое количество средств в покупку токена Gala в цепочке BNB, чтобы перезарядить и продать его на бирже. централизованный обмен. В то время Binance и другие биржи приостановили пополнение Gala в цепочке BNB, а канал пополнения Huobi все еще был открыт. Пользователь завершил арбитраж, переместив кирпичи через Huobi, в результате чего Gala на бирже Huobi резко упал с 0.04 доллара США до 0.0003 доллара США.
pNetwork написал в Твиттере в 4:28 4 ноября, что чеканка токенов pGALA, превышающая 1 миллиард долларов США из воздуха, была вызвана неправильной конфигурацией моста между цепями. Он сказал, что контракт pGALA в сети BNB необходимо повторно развернуть, и он работал с командой Gala Games и PancakeSwap, чтобы получить баланс счета пользователей pGALA и восстановить функцию депозита и вывода средств. После развертывания нового контракта новые токены pGALA будут раздаваться по воздуху в соотношении 1:1.
Основываясь на том, что наблюдала команда безопасности SlowMist, хакеры по контракту с pGala конвертировали большую часть Gala в 13,000 4.3 BNB, получив прибыль в размере более 45 миллиона долларов США. В то время на адресе все еще было XNUMX миллиардов Гала, но они не были обналичены, потому что пул средств был в основном истощен.
С 9:00 4 ноября Huobi выпустила пять последовательных объявлений о ходе обработки аномальных событий в цепочке токенов Gala. В объявлении говорилось, что токены Gala будут исключены из листинга, а в качестве разделительной линии будет определен временной узел аварии. После инцидента для пользователей будет выполнена операция покупки, платформа переименует купленные активы Gala в PGALA (PGALA не имеет ничего общего с исходным токеном Gala, он принадлежит токену мема). Для тех, у кого были токены Gala до инцидента, проектная группа Gala согласилась выплатить полную компенсацию в виде пропорционального раздачи Gala 1:1 в сети Ethereum. В то же время он заявил, что продолжит переговоры с соответствующими проектами от имени пользователей, чтобы компенсировать пользователям потери активов, вызванные инцидентом.
В 12:00 5 ноября Huobi заявила, что проведет повторный листинг токенов Gala и pGala. Для токена pGala Huobi создала механизм сжигания налогов и сборов, скорректировала комиссию за спотовую транзакцию PGALA до 1.2% в обоих направлениях и использовала весь доход от комиссий для выкупа и уничтожения токенов pGala.
Согласно официальному каналу pNetwork в Твиттере, в течение двух дней сообществу не сообщалось никакой информации, кроме объявления о существующих проблемах, когда произошел инцидент. Столкнувшись с постоянными вопросами со стороны сообщества, pNetwork не публиковала пост-анализ инцидента pGala до 2:00 6 ноября.
Согласно отчету об анализе, в 1:52 4 ноября команда заметила ошибку конфигурации в кроссчейн-мосте GALA pNetwork. Из-за неправильной конфигурации право собственности на смарт-контракт pGALA, развернутый на BSC, было тайно передано. Фондовый пул составлял 400,000 XNUMX долларов США. В то время злоумышленник, получивший право собственности на смарт-контракт, не запускал никаких атак.
В 3:11 4 ноября pNetwork связалась с GalaGames, чтобы приостановить действия по межсетевому мосту, и опустошила пул pGALA/BNB PancakeSwap посредством операции «белая шляпа». Это была попытка сохранить средства BNB в пуле, чтобы после того, как ситуация была взята под контроль, средства можно было вернуть всем его поставщикам ликвидности.
В 4:13 4 ноября pNetwork выпустила дополнительные 27,814,200,000 27,814,200,000 XNUMX XNUMX незащищенных pGALA для слива пула pGALA/BNB PancakeSwap. Впоследствии было выпущено еще XNUMX XNUMX XNUMX XNUMX незащищенных токенов pGALA.
Как упоминалось выше, в 4:28 4 ноября GalaGames и pNetwork написали в Твиттере, чтобы указать на проблему, напомнив пользователям сообщества не покупать токены Gala в цепочке BNB. После того, как отговаривание оказалось неэффективным, в 4:29 4 ноября pNetwork решила продолжить опустошение пула, чтобы защитить пользователей, вливающихся в добавленный пул средств, от потенциальных злоумышленников. В 6:16 4 ноябряth, GalaGames и pNetwork решили прекратить истощение пула потоков. На данный момент pNetwork восстановила 12977BNB в режиме слива пула. В 7:03 4 ноября Huobi отключил функцию пополнения Gala в сети BNB.
Согласно аналитическому отчету, опубликованному pNetwork, хакер по контракту pGala, упомянутый выше без ведома SlowMist, был официальным pNetwork. Дополнительная эмиссия pNetwork бесполезных токенов pGala была вызвана неправильной конфигурацией кроссчейн-моста GALA pNetwork, что привело к риску в размере 400,000 XNUMX долларов США.
Хаотянь, специалист по безопасности блокчейна, написал в Твиттере, что команде проекта pNetwork не хватало здравого смысла в отношении безопасности DeFi, и она влила избыточную ликвидность в экосистему, не устранив полностью потенциальные опасности, что было слишком поспешным и безответственным. После этого возможность потенциальных инсайдерских операций не учитывалась. Вместо этого он выступил посредником между Huobi и GALA, чтобы снять с себя ответственность и возложить вину. Понятно и не будет преувеличением сказать, что это был зачинщик.
Сторона проекта Gala, как непосредственно связанная сторона между pNetwork и централизованной биржей, не смогла точно передать информацию (команда GALA подтвердила, что Binance закрыла ввод и вывод GALA в цепочке BNB, но не подтвердила закрытие депозит и вывод средств с помощью стыковочной команды Huobi Global). Поведение pNetwork крайне вредно для пользователей, что показывает, что команда Gala не воспринимает держателей токенов всерьез.
В то же время пользователи начали перемещать кирпичи для арбитража, пока Huobi не отключил пополнение Gala в цепочке BNB на срок до 3 часов, что показало, что меры безопасности и управления рисками платформы Huobi недостаточны.
pNetwork и Huobi подадут в суд, Huobi обещает выплатить пользователям $6 млн
Последний инцидент с дополнительным выпуском pGala по-разному затронул сообщество. Некоторые пользователи получили хорошую прибыль от арбитража, в то время как другие понесли убытки. Согласно данным Lookonchain, адрес Smart Money купил 406 миллионов GALA из пула PancakeSwap за 120,380 20 долларов США через 5.79 минут после атаки GALA и заработал 675,000 миллиона долларов США и XNUMX XNUMX долларов США от Huobi и Binance соответственно. Тогда возникает вопрос, к кому могут обратиться потерпевшие в случае финансовых потерь.
Решая эту проблему, Huobi опубликовала заявление вечером 6 ноября 2022 года. В заявлении Huobi заявила, что поведение pNetwork не было предполагаемой операцией белых шляп, как она утверждала, а злонамеренной хакерской атакой, проведенной с целью получения прибыли.
Во-первых, Huobi заявил, что, хотя pNetwork действительно использовала свой собственный однолинейный контактный канал для связи с биржей, но в сообщении не указывалось, что pNetwork готовится атаковать уязвимости, не говоря уже о том, что pNetwork выпустит большое количество токенов GALA в размере 55.6 млрд. на рынок в течение 50 минут. Эта акция привела к серьезным последствиям, так как невинные пользователи и биржи понесли большие убытки.
Согласно анализу Slowmist, неправильная настройка межсетевого моста, упомянутого pNetwork выше, на самом деле была выполнена владельцем закрытого ключа с административными правами для прокси-контракта pGALA, который просочился на Github, и этот адрес владельца был был злонамеренно заменен 70 дней назад, в результате чего контракт pGALA стал уязвимым и подвержен риску атаки. pNetwork намеренно скрыл этот факт от Huobi.
Кроме того, согласно отчету об анализе событий, опубликованному pNetwork, сообществу публично напомнили не покупать токены Gala в сети BNB. В частности, команда pNetwork потребовала, чтобы пользователи не перемещали токены для арбитража, наблюдая большие различия в ценах между сетью и биржами.
Неужели оппортунистические инвесторы проигнорировали напоминание pNetwork и ухватились за изменение к арбитражу и хорошей прибыли? Если бы команда pNetwork была индивидуальным инвестором, упустили бы они возможность арбитража?
Во-вторых, Huobi считает, что нет никаких доказательств того, что кто-либо может использовать уязвимость в pNetwork для проведения атаки, и именно pNetwork стремилась использовать эту уязвимость для получения прибыли. Уязвимость существовала в течение 67 дней, что было достаточным временем для оценки потенциальных решений безопасности, но команда pNetwork с готовностью решила активно использовать уязвимость в течение 50 минут и выпустить 55.6 миллиарда токенов для истощения пула ликвидности.
Команда pNetwork, возможно, стремилась решить проблему, но, поскольку с момента обнаружения уязвимости 67 дней назад не было никаких атак, команда могла спокойно предложить более комплексное решение, а не то, которое подвергало бы рынок риску. .
Более того, Gala в сети BNB изначально был токеном для картирования залогов. По прошлому опыту команда может полностью заменить токен-контракт и отказаться от токен-контракта с рисками. Если бы pNetwork была прозрачна в своих намерениях, сообщество смогло бы понять и подчеркнуть. Не было необходимости решать проблему слива активов в пуле ликвидности за счет допэмиссии – крайне рискованного и вредного для рынка действия.
В-третьих, Huobi считает, что аргумент pNetwork о том, что дополнительная эмиссия до 55.6 млрд токенов была направлена на арбитраж пула ликвидности на сумму около 400,000 XNUMX долларов США, который подвергался риску атаки, является необоснованным. Huobi считает, что намерение pNetwork состояло в том, чтобы извлечь выгоду из турбулентности рынка, что pNetwork использовала «белую атаку» как прикрытие для проведения хакерских атак, чтобы избежать юридических санкций.
Кроме того, официальный аналитический отчет pNetwork показал, что активы в размере 12,977 4.5 BNB (на сумму около 16 миллионов долларов США), возвращенные пулом, будут возвращены некорпоративным держателям, которые заложили dpGALA, на снимке, сделанном в 00:7 2022 ноября. XNUMX. Такие действия, похоже, не соответствуют утверждениям о том, что это была атака в белых шляпах.
Тем не менее, pNetwork упомянул в своем отчете об анализе событий, что в общей сложности 55.6 миллиарда токенов Gala были выпущены дважды. Согласно цене GALA в 0.04 доллара США на тот момент, 55.6 миллиарда токенов Gala стоили до 2.2 миллиарда долларов США. pNetwork выпустил дополнительные токены Gala на сумму 2.2 миллиарда долларов США для пула ликвидности с потенциальным риском в 400,000 XNUMX долларов США. Сообществу было бы трудно понять логику такого курса действий. Более того, метод частной эмиссии дополнительных токенов не соответствует духу блокчейна.
Что касается заявления Huobi, pNetwork официально написал в Твиттере, что осуждает ложные обвинения Huobi против pNetwork и примет соответствующие юридические меры, чтобы опровергнуть претензии Huobi. pNetwork заявила, что есть доказательства того, что ее действия проводились добросовестно, и все действия были заранее согласованы с GalaGames.
В ответ на ответ pNetwork Хуоби сказал PANews, что ответ pNetwork был ложным и слабым по своей природе. Huobi возразил, что pNetwork воспользовалась лазейкой в токене GALA, выпустив большое количество токенов, полностью скрыла свое поведение от биржи и связалась с биржей только в течение часа. Во время атаки было выпущено 55.6 млрд токенов с использованием лазеек в контрактах. В течение этого периода у биржи не было времени на ответ, и pNetwork не подтвердила бирже, были ли приняты соответствующие меры для обеспечения безопасности активов. Huobi Global инициировала юридические процедуры и намерена, чтобы pNetwork несла юридическую ответственность за свои действия.
Кроме того, вечером 9 ноября 2022 года Джастин Сан, член Глобального консультативного комитета Huobi, заявил на мероприятии TS «Вход в полнолуние, рабочий отчет Brother Sun», проведенном PANews, что во время инцидента с GALA восстановленный средства на сумму около 4 миллионов долларов США, которые вернулись в сеть.
Средства в размере 6 миллионов долларов США будут направлены на компенсацию раздачи пользователям, понесшим убытки, а оставшиеся средства будут использованы для выкупа и уничтожения токенов PGALA. Вся компенсация от pNetwork будет использована для компенсации пользователям, которые понесли убытки на платформе.
Отражение: необходимо усилить механизмы безопасности раннего предупреждения
Этот инцидент был вызван тем, что инженеры pNetwork оставили ключ в контракте, что поставило под угрозу безопасность. pNetwork решила преодолеть эту угрозу безопасности, выпустив дополнительные токены GALA для истощения пула ликвидности. Такое решение было крайне рискованным, и из-за плохой связи Huobi вовремя не закрыл ввод и вывод GALA, что нанесло масштабный удар.
Проекты pNetwork и Gala несут основную ответственность за этот инцидент, который привел к потерям пользователей и подрыву доверия в сообществе. В pNetwork четко знали, что эта уязвимость существовала в течение двух месяцев и не использовалась, но тщательно не рассматривали комплексное решение. Вместо этого было выбрано решение с высокой степенью риска, которое нарушало дух блокчейна и могло нанести масштабный ущерб пользователям. Как инсайдер, проектная группа Gala решила активно поддерживать такое рискованное поведение вместо того, чтобы исследовать первопричину и предлагать жизнеспособное решение.
Однако системы аварийного реагирования и контроля рисков на платформе Huobi оказались крайне неэффективными. Увидев разницу в цене в цепочке, пользователи сообщества обязательно узнают о возможности арбитража. Как Huobi, как биржа первого уровня, могла не знать?
Поэтому, хотя связь с pNetwork не была эффективной, у Huobi было достаточно времени, чтобы остановить функцию пополнения, чтобы уменьшить количество затронутых пользователей.
Пользователь, понесший убытки, может только обратиться к pNetwork, основной ответственной стороне, спровоцировавшей инцидент, для достижения решения относительно сокращения потерь. Это кризис безопасности, вызванный лазейкой в смарт-контракте, но он более актуален, чем любая лазейка в коде, и участники блокчейн-проекта должны обратить на это внимание.
Как сказал Хао Тянь, специалист по безопасности блокчейна: «Компании по обеспечению безопасности, которые специализируются на раннем предупреждении и обнаружении инцидентов безопасности, коллективно отсутствовали на этом гала-мероприятии. Аудиты и службы безопасности могут проверять наличие дефектов кода, но трудно бороться с потенциальным кризисом «техногенной катастрофы», созданным экологическими участниками отрасли, стремящимися быстро получить прибыль.
Предупреждение: Это сообщение для прессы. Coinpedia не поддерживает и не несет ответственности за любой контент, точность, качество, рекламу, продукты или другие материалы на этой странице. Читатели должны провести собственное исследование, прежде чем предпринимать какие-либо действия, связанные с компанией.
Источник: https://coinpedia.org/press-release/with-an-additional-us2-billion-issued-for-us400000-who-will-take-responsibility-for-the-loss-of-users-in- гала-инцидент/