Сумятні, звязаныя з ненармальнай выдачай pGALA з дапамогай пратаколу шматланцуговай маршрутызацыі pNetwork, яшчэ не скончыліся. Huobi выклікала спрэчкі ў суполцы, таму што змяніла токен GALA некаторых карыстальнікаў, названых арбітражнай «воўнай вечарынай», на pGALA. Толькі хто ў гэтым пытанні мае рацыю, а хто не?
Сумятні, звязаныя з ненармальнай выдачай pGALA з дапамогай пратаколу шматланцуговай маршрутызацыі pNetwork, яшчэ не скончыліся. Huobi выклікала спрэчкі ў супольнасці віртуальных актываў, таму што змяніла GALA некаторых карыстальнікаў, названых арбітражнай «партыяй воўны», на pGALA. Толькі хто ў гэтым пытанні мае рацыю, а хто не?
Агляд падзеі: pGALA выпусціла больш дзён, Huobi не закрыў выкуп і зняцце своечасова
У 4:00 4 лістапада супольнасць віртуальных актываў пачала распаўсюджваць навіны аб тым, што сеткавая гульнявая платформа Gala Games токен Gala (ланцужок BNB) хутка і рэзка ўпала. Токены pGALA на суму больш за 1 мільярд долараў ЗША, якія паходзяць з пратаколу шматланцуговай маршрутызацыі pNetwork, былі адчаканены з паветра ў ланцужку BNB і прададзены на PancakeSwap. Гэта прывяло да падзення токенаў Gala ў ланцужку BNB з 0.04 да 0.0000045 долараў ЗША.
Пасля карыстальнікі супольнасці выявілі, што паміж токенам Gala ў ланцужку BNB і цэнтралізаванай біржы існуе велізарная розніца ў кошце, і яны ўлілі вялікую колькасць сродкаў, каб купіць токен Gala ў ланцужку BNB, каб папоўніць яго і прадаць на цэнтралізаваны абмен. У той час Binance і іншыя біржы прыпынілі папаўненне Gala ў ланцужку BNB, а канал папаўнення Huobi усё яшчэ быў адкрыты. Карыстальнік завяршыў арбітраж, перамясціўшы цэглу праз Huobi, у выніку чаго Gala на біржы Huobi рэзка знізіўся з 0.04 да 0.0003 долара ЗША.
pNetwork напісаў у твітэры ў 4:28 4 лістапада, што чаканка токенаў pGALA на суму больш за 1 мільярд долараў ЗША з паветра была выклікана няправільнай канфігурацыяй перакрыжаванага моста. У ім гаворыцца, што кантракт pGALA ў ланцужку BNB неабходна паўторна разгарнуць, і ён працуе з камандай Gala Games і PancakeSwap, каб атрымаць баланс уліковых запісаў карыстальнікаў pGALA і аднавіць функцыю дэпазіту і зняцця сродкаў. Пасля разгортвання новага кантракта новыя токены pGALA будуць размешчаны ў суадносінах 1:1.
Зыходзячы з назіранняў групы бяспекі SlowMist, кантрактныя хакеры pGala пераўтварылі большую частку Gala ў 13,000 4.3 BNB, атрымаўшы прыбытак больш чым у 45 мільёна долараў ЗША. У той час у адрасе ўсё яшчэ было XNUMX мільярдаў Gala, але яны не былі абнаяўлены, таму што пул сродкаў быў у асноўным вычарпаны.
Пачынаючы з 9:00 4 лістапада, Huobi выпусціў пяць паслядоўных паведамленняў аб ходзе апрацоўкі анамальных падзей у ланцужку токенаў Gala. У паведамленні гаварылася, што токены Gala будуць выключаны з лістынга, а часовая кропка аварыі будзе вызначана ў якасці раздзяляльнай лініі. Пасля інцыдэнту аперацыя куплі будзе выканана для карыстальнікаў, платформа перайменуе набытыя актывы Gala ў PGALA (PGALA не мае нічога агульнага з арыгінальным токенам Gala, ён належыць да токена мема). Для тых, хто трымаў токены Gala да інцыдэнту, удзельнік праекта Gala пагадзіўся зрабіць поўную кампенсацыю ў выглядзе прапарцыйнага падзення Gala ў ланцужку Ethereum у суадносінах 1:1. У той жа час ён сказаў, што будзе працягваць перамовы з адпаведнымі праектамі ад імя карыстальнікаў, каб кампенсаваць карыстальнікам страты актываў, выкліканыя інцыдэнтам.
У 12:00 5 лістапада Huobi заявіла, што паўторна пералічыць токены Gala і pGala. Для токена pGala Huobi стварыла механізм спальвання падаткаў і збораў, скарэкціравала камісію за спотавую транзакцыю PGALA да 1.2% у абодвух напрамках і выкарыстала ўвесь даход ад камісіі для выкупу і знішчэння токенаў pGala.
Як паведамляецца на афіцыйным канале pNetwork у Твітэры, на працягу двух дзён у супольнасці не было апублікавана ніякай інфармацыі, за выключэннем паведамлення аб існуючых праблемах, калі адбыўся інцыдэнт. Сутыкаючыся з пастаяннымі пытаннямі з боку супольнасці, pNetwork не апублікаваў аналіз інцыдэнту pGala пасля падзеі да 2:00 6 лістапада.
Згодна са справаздачай аб аналізе, у 1:52 4 лістапада каманда заўважыла памылку канфігурацыі ў міжланцуговым мосце pNetwork GALA. З-за няправільнай канфігурацыі права ўласнасці на разумны кантракт pGALA, разгорнуты на BSC, было таемна перададзена. Агульны фонд склаў 400,000 XNUMX долараў ЗША. У той час зламыснік, які атрымаў права ўласнасці на смарт-кантракт, не рабіў ніякіх атак.
У 3:11 4 лістапада pNetwork звязалася з GalaGames з просьбай прыпыніць перакрыжаваныя ланцуговыя перамычкі і асушыла пул pGALA/BNB PancakeSwap праз аперацыю белага капелюша. Гэта была спроба захаваць сродкі БНБ у пуле, каб пасля таго, як сітуацыя будзе пад кантролем, можна было вярнуць сродкі ўсім яго пастаўшчыкам ліквіднасці.
У 4:13 4 лістапада pNetwork выпусціла дадатковыя 27,814,200,000 27,814,200,000 XNUMX XNUMX незабяспечаных pGALA для асушэння пула pGALA/BNB PancakeSwap. У далейшым было выпушчана дадаткова XNUMX XNUMX XNUMX XNUMX незабяспечаных токенаў pGALA.
Як згадвалася вышэй, у 4:28 4 лістапада GalaGames і pNetwork напісалі твіт, каб паказаць на праблему, нагадваючы карыстальнікам супольнасці не купляць токены Gala ў сетцы BNB. Пасля таго, як адгаворванне аказалася неэфектыўным, у 4:29 4 лістапада pNetwork вырашыла працягваць асушыць пул, каб абараніць карыстальнікаў, якія пераліваюцца ў дадатковы пул сродкаў, ад патэнцыйных зламыснікаў. У 6:16 4 лістападаth, GalaGames і pNetwork вырашылі спыніць асушанне пула патоку. Да гэтага часу pNetwork аднавіла 12977BNB у паводзінах асушальнага пула. У 7:03 4 лістапада Huobi адключыў функцыю папаўнення Gala ў сетцы BNB.
Згодна з аналітычнай справаздачай, апублікаванай pNetwork, згаданы вышэй кантрактны хакер pGala без ведама SlowMist быў афіцыйным pNetwork. Дадатковы выпуск бескарысных токенаў pGala pNetwork быў звязаны з няправільнай канфігурацыяй крос-ланцуговага моста pNetwork GALA, што прывяло да рызыкі ў памеры 400,000 XNUMX долараў ЗША.
Хаотян, спецыяліст па бяспецы блокчейнов, напісаў у твітэры, што камандзе праекта pNetwork не хапае здаровага сэнсу ў дачыненні да бяспекі DeFi, і яна ўліла залішнюю ліквіднасць у экасістэму, не ўхіляючы цалкам магчымыя небяспекі, што было занадта паспешліва і безадказна. Пасля гэтага магчымасць патэнцыйных інсайдэрскіх аперацый не ўлічвалася. Замест гэтага ён стаў пасярэднікам паміж Huobi і GALA, каб ухіліцца ад адказнасці і ўскласці віну. Зразумела і не будзе перабольшаннем сказаць, што гэта быў завадатар.
Удзельнік праекта Gala, які з'яўляецца непасрэдна звязаным бокам паміж pNetwork і цэнтралізаванай біржай, не змог дакладна перадаць інфармацыю (каманда GALA пацвердзіла, што Binance закрыла дэпазіт і вывад сродкаў GALA ў ланцужку BNB, але не пацвердзіла закрыццё біржы дэпазіт і зняцце сродкаў з док-групай Huobi Global). Паводзіны pNetwork вельмі шкодныя для карыстальнікаў, што паказвае, што каманда Gala не ўспрымае ўладальнікаў токенаў сур'ёзна.
У той жа час карыстальнікі пачалі перамяшчаць блокі для арбітражу, пакуль Huobi не адключыў гала-папаўненне ў ланцужку BNB на тэрмін да 3 гадзін, што паказала, што меры бяспекі і кіравання рызыкамі платформы Huobi недастатковыя.
pNetwork і Huobi звяртаюцца ў суд, Huobi абяцае выплаціць карыстальнікам 6 мільёнаў долараў
Апошні інцыдэнт з дадатковай эмісіяй pGala паўплываў на супольнасць рознымі спосабамі. Некаторыя карыстальнікі атрымалі значную прыбытак ад арбітражу, а іншыя панеслі страты. Згодна з дадзенымі на Lookonchain, праз 406 хвілін пасля атакі GALA адрас Smart Money набыў 120,380 мільёнаў GALA з пула PancakeSwap за 20 5.79 долараў ЗША і зарабіў 675,000 мільёна долараў ЗША і XNUMX XNUMX долараў ЗША ад Huobi і Binance адпаведна. Тады ўзнікае пытанне, да каго могуць звярнуцца пацярпелыя ў выпадку фінансавых страт.
Закранаючы гэтую праблему, Huobi выступіў з заявай вечарам 6 лістапада 2022 г. У заяве Huobi заявіў, што паводзіны pNetwork былі не меркаванай аперацыяй у белым капелюшы, як яна заяўляла, а зламыснай хакерскай атакай, праведзенай з мэтай атрымання прыбытку.
Па-першае, Huobi заявіў, што хоць pNetwork і выкарыстоўваў уласны адналінейны кантактны канал для сувязі з біржай, але паведамленне не паказвае, што pNetwork рыхтуецца атакаваць уразлівасці, не кажучы ўжо пра тое, што pNetwork выпусціць вялікую колькасць у 55.6 мільярда токенаў GALA. на рынак на працягу 50 хвілін. Гэта дзеянне прывяло да сур'ёзных наступстваў, бо ні ў чым не вінаватыя карыстальнікі і біржы панеслі вялікія страты.
Згодна з аналізам Slowmist, няправільная канфігурацыя крос-ланцуговага моста, згаданая pNetwork вышэй, была фактычна зроблена ўладальнікам прыватнага ключа з правамі адміністратара для кантракту проксі-сервера pGALA, які быў прасачаны на Github, і гэты адрас уладальніка быў зламысна заменены 70 дзён таму, што прывяло да таго, што кантракт pGALA стаў уразлівым і падвяргаўся рызыцы нападу. pNetwork наўмысна схаваў гэты факт ад Huobi.
Акрамя таго, згодна са справаздачай аб аналізе пасля падзеі, апублікаванай pNetwork, супольнасці публічна нагадвалі не купляць токены Gala ў сетцы BNB. У прыватнасці, каманда pNetwork папрасіла карыстальнікаў не перамяшчаць токены для арбітражу, назіраючы за вялікімі розніцамі ў цэнах паміж сеткай і біржамі.
Калі б кан'юнктурныя інвестары праігнаравалі напамін pNetwork і скарысталіся пераходам на арбітраж і добра зарабілі? Калі б каманда pNetwork была індывідуальным інвестарам, ці дазволілі б яны прапусціць магчымасць арбітражу?
Па-другое, Huobi лічыць, што няма доказаў таго, што хто-небудзь будзе выкарыстоўваць уразлівасць у pNetwork для правядзення атакі, і менавіта pNetwork імкнулася выкарыстаць гэтую ўразлівасць для атрымання прыбытку. Уразлівасць існавала 67 дзён, што было дастаткова часу для ацэнкі патэнцыйных рашэнняў бяспекі, але каманда pNetwork вырашыла актыўна выкарыстаць уразлівасць на працягу 50 хвілін і выпусціць 55.6 мільярда токенаў для асушэння пулу ліквіднасці.
Магчыма, каманда pNetwork імкнулася вырашыць праблему, але паколькі нападаў не было з таго часу, як уразлівасць была выяўлена 67 дзён таму, каманда магла спакойна прыдумаць больш поўнае рашэнне замест таго, якое паставіла б пад пагрозу рынак .
Больш за тое, Gala ў ланцужку BNB першапачаткова быў токенам для адлюстравання закладу. Згодна з мінулым вопытам, каманда можа цалкам замяніць кантракт на токен і адмовіцца ад кантракта з токенам з рызыкай. Калі б pNetwork была празрыстай адносна сваіх намераў, супольнасць змагла б зразумець і падкрэсліць. Не трэба было вырашаць праблему шляхам выцягвання актываў з пулу ліквіднасці шляхам дадатковай эмісіі - дзеяння, якое вельмі рызыкоўна і шкодна для рынку.
Па-трэцяе, Huobi лічыць, што аргумент pNetwork аб тым, што дадатковы выпуск да 55.6 мільярда токенаў меў на мэце арбітражны пул ліквіднасці на суму каля 400,000 XNUMX долараў ЗША, які быў пад пагрозай нападу, беспадстаўны. Huobi лічыць, што pNetwork мела на мэце атрымаць прыбытак ад турбулентнасці рынку, што pNetwork выкарыстоўвала «атаку белага капелюша» як маску для правядзення хакерскіх нападаў, каб пазбегнуць юрыдычных санкцый.
Акрамя таго, афіцыйная аналітычная справаздача pNetwork паказала, што 12,977 4.5 BNB (коштам каля 16 мільёна долараў ЗША) у актывах, вернутых пулам, будуць вернутыя неправамоцным уладальнікам, якія ўзялі заклад dpGALA, на здымку, зробленым у 00:7 2022 лістапада, XNUMX г. Такія дзеянні, здаецца, не адпавядаюць сцвярджэнням, што гэта была атака белых капелюшоў.
Тым не менш, pNetwork згадвае ў сваім справаздачы аб аналізе пасля падзеі, што ў агульнай складанасці 55.6 мільярда токенаў Gala было выпушчана двойчы. Згодна з цаной GALA ў 0.04 долара ЗША на той момант, 55.6 мільярда токенаў Gala каштавалі 2.2 мільярда долараў ЗША. Кампанія pNetwork's выпусціла дадатковыя токены Gala на суму 2.2 мільярда долараў ЗША для пулу ліквіднасці з патэнцыйнай рызыкай у 400,000 XNUMX долараў ЗША. Супольнасці было б цяжка зразумець логіку такіх дзеянняў. Больш за тое, метад прыватнай эмісіі дадатковых токенаў не адпавядае духу блокчейна.
Адносна заявы Huobi pNetwork афіцыйна напісаў у твітэры, што асуджае ілжывыя абвінавачванні Huobi супраць pNetwork і прыме адпаведныя судовыя меры, каб супрацьстаяць прэтэнзіям Huobi. pNetwork заявіла, што ёсць доказы таго, што яе дзеянні былі праведзены добрасумленна, і ўсе дзеянні былі ўзгоднены з GalaGames загадзя.
У адказ на адказ pNetwork Хуобі сказаў PANews, што адказ pNetwork быў ілжывым і слабым. Huobi запярэчыў, што pNetwork выкарыстаў шчыліну ў токене GALA, выпусціўшы вялікую колькасць токенаў, цалкам схаваў сваю атакуючую паводзіны ад біржы і звязаўся з біржай толькі на працягу гадзіны. Падчас атакі было выпушчана 55.6 мільярда токенаў з выкарыстаннем шчылін у кантрактах. На працягу гэтага перыяду біржы не было дадзена часу на адказ, а таксама pNetwork не пацвердзіла з біржай, ці былі прыняты адпаведныя меры для забеспячэння бяспекі актываў. Huobi Global запусціла судовыя працэдуры і мае намер панесці юрыдычную адказнасць за свае дзеянні pNetwork.
Акрамя таго, увечары 9 лістапада 2022 г. Джасцін Сан, член Глабальнага кансультатыўнага камітэта Huobi, заявіў на мерапрыемстве TS "Entry Full Moon, Brother Sun's Work Report", якое праводзіцца PANews, што падчас інцыдэнту GALA аднавіўся сродкі складалі каля 4 мільёнаў долараў ЗША, якія вярнуліся па ланцужку.
Сродкі ў памеры 6 мільёнаў долараў ЗША будуць накіраваныя на кампенсацыю за аірдроп карыстальнікам, якія панеслі страты, а астатнія сродкі будуць выкарыстаны для выкупу і знішчэння токенаў PGALA. Уся кампенсацыя ад pNetwork будзе выкарыстоўвацца для кампенсацыі карыстальнікам, якія панеслі страты на платформе.
Адлюстраванне: неабходна ўзмацніць механізмы бяспекі ранняга папярэджання
Гэты інцыдэнт быў выкліканы тым, што інжынеры pNetwork пакінулі ключ у кантракце, што паставіла пад пагрозу бяспеку. pNetwork вырашыла пераадолець гэтую рызыку бяспекі, выпусціўшы дадатковыя токены GALA для асушэння пулу ліквіднасці. Такое рашэнне было надзвычай рызыкоўным, і з-за дрэннай камунікацыі Huobi не закрыў своечасова дэпазіты і зняцце сродкаў GALA, што выклікала маштабны ўдар.
Праекты pNetwork і Gala нясуць вялікую адказнасць за гэты інцыдэнт, які прывёў да страт карыстальнікаў і падрыву даверу ў супольнасці. Кампанія pNetwork дакладна ўсведамляла, што гэтая ўразлівасць існавала два месяцы і не была выкарыстана, але не разглядала комплекснае рашэнне. Замест гэтага ён абраў высокарызыкоўнае рашэнне, якое парушала дух блокчейна і магло нанесці шырокамаштабную шкоду карыстальнікам. Як інсайдэр, удзельнік праекта Gala вырашыў актыўна ўключыць гэта высокарызыкоўнае паводзіны замест таго, каб даследаваць першапрычыну і прапанаваць жыццяздольнае рашэнне.
Аднак сістэмы рэагавання на надзвычайныя сітуацыі бяспекі і кантролю за рызыкамі на платформе Huobi былі надзвычай неэфектыўнымі. Убачыўшы розніцу ў кошце ў ланцужку, карыстальнікі ў суполцы напэўна даведаюцца аб магчымасці арбітражу. Як Huobi, як біржа першага ўзроўню, магла не ведаць?
Такім чынам, хаця сувязь з pNetwork была неэфектыўнай, у Huobi было б дастаткова часу, каб спыніць функцыю папаўнення, каб паменшыць колькасць пацярпелых карыстальнікаў.
Карыстальнік, які панёс страты, можа звярнуцца толькі да pNetwork, галоўнай адказнай асобы, якая ініцыявала інцыдэнт, каб знайсці рашэнне адносна скарачэння страт. Гэта крызіс бяспекі, выкліканы шчылінай у смарт-кантракце, але ён больш актуальны, чым любая шчыліна ў кодзе, і ўдзельнікам праекта блокчейн варта звярнуць на гэта ўвагу.
Як сказаў Хао Цянь, спецыяліст па бяспецы блокчэйнаў: ахоўныя кампаніі, якія спецыялізуюцца на ранніх папярэджаннях і выяўленні інцыдэнтаў бяспекі, калектыўна адсутнічалі на гэтым гала-мерапрыемстве. Аўдыты бяспекі і паслугі могуць правяраць дэфекты кода, але цяжка змагацца з патэнцыйнай «тэхнагеннай катастрофай», выкліканай экалагічнымі ўдзельнікамі галіны, якія жадаюць атрымаць прыбытак ад хуткіх грошай.
Адмова ад адказнасці: Гэта паведамленне для прэсы. Coinpedia не падтрымлівае і не нясе адказнасці за любы змест, дакладнасць, якасць, рэкламу, прадукты ці іншыя матэрыялы на гэтай старонцы. Чытачы павінны правесці ўласнае даследаванне, перш чым рабіць якія-небудзь дзеянні, звязаныя з кампаніяй.
Крыніца: https://coinpedia.org/press-release/with-an-additional-us2-billion-issued-for-us400000-who-will-take-responsibility-for-the-loss-of-users-in- гала-інцыдэнт/