Otrasy spojené s abnormálnym vydávaním pGALA viacreťazcovým smerovacím protokolom pNetwork sa ešte neskončili. Huobi vyvolal v komunite kontroverziu, pretože zmenil token GALA niektorých používateľov označených ako arbitrážna „vlnená párty“ na pGALA. Kto má v tejto veci pravdu a kto sa mýli?
Otrasy spojené s abnormálnym vydávaním pGALA viacreťazcovým smerovacím protokolom pNetwork sa ešte neskončili. Huobi vyvolal kontroverziu v komunite virtuálnych aktív, pretože zmenil GALA niektorých používateľov označených ako arbitrážna „vlnená párty“ na pGALA. Kto má v tejto veci pravdu a kto sa mýli?
Preskúmanie udalosti: pGALA vydala viac dní, Huobi neuzavrel spätné odkúpenie a výber včas
4. novembra o 00:4 začala komunita virtuálnych aktív šíriť správy, že reťazová herná platforma Gala Games token Gala (reťazec BNB) rapídne a prudko klesla. Tokeny pGALA v hodnote viac ako 1 miliardy USD, pochádzajúce z viacreťazcového smerovacieho protokolu pNetwork, boli vyrazené zo vzduchu v reťazci BNB a predávané na PancakeSwap. To spôsobilo, že tokeny Gala v reťazci BNB klesli priamo z 0.04 USD na 0.0000045 USD.
Následne používatelia komunity zistili, že medzi tokenom Gala v reťazci BNB a centralizovanou burzou je obrovský cenový rozdiel a naliali veľké množstvo prostriedkov na nákup tokenu Gala v reťazci BNB, aby ho dobili a predali na centralizovanú výmenu. V tom čase Binance a ďalšie burzy pozastavili dobíjanie Gala na reťazci BNB a kanál dobíjania Huobi bol stále otvorený. Používateľ dokončil arbitráž presunom tehál cez Huobi, čo spôsobilo, že Gala na burze Huobi prudko klesla z 0.04 USD na 0.0003 USD.
pNetwork tweetoval 4. novembra o 28:4, že razba tokenov pGALA presahujúca 1 miliardu USD z ničoho nič bola spôsobená nesprávnou konfiguráciou krížového mostíka. Uviedlo, že zmluvu pGALA v reťazci BNB je potrebné znova nasadiť a spolupracuje s tímom Gala Games a PancakeSwap na získaní zostatku na účte používateľov pGALA a obnovení funkcie vkladu a výberu. Po nasadení novej zmluvy budú nové tokeny pGALA vypustené v pomere 1:1.
Na základe toho, čo pozoroval bezpečnostný tím SlowMist, zmluvní hackeri pGala premenili väčšinu Gala na 13,000 4.3 BNB, čím dosiahli zisk viac ako 45 milióna USD. V tom čase mala adresa ešte XNUMX miliárd Gala, no neinkasovala sa, pretože fond fondov bol v podstate vyčerpaný.
Od 9:00 dňa 4. novembra Huobi zverejnil päť po sebe nasledujúcich oznámení o postupe pri riešení abnormálnych udalostí v reťazci tokenov Gala. V oznámení sa uvádzalo, že žetóny Gala budú vyradené zo zoznamu a ako deliaca čiara bude určený časový uzol nehody. Po incidente sa pre používateľov vykoná operácia nákupu, platforma premenuje zakúpené aktíva Gala na PGALA (PGALA nemá nič spoločné s pôvodným tokenom Gala, patrí k meme tokenu). Pre tých, ktorí boli držiteľmi tokenov Gala pred incidentom, strana projektu Gala súhlasila s poskytnutím plnej kompenzácie vo forme proporcionálneho airdropu Gala na reťazci Ethereum v pomere 1:1. Zároveň uviedla, že bude pokračovať v rokovaniach so súvisiacimi projektmi v mene používateľov s cieľom odškodniť používateľov za straty na majetku spôsobené incidentom.
12. novembra o 00:5 Huobi povedal, že znovu zaradí tokeny Gala a pGala. Pre token pGala spoločnosť Huobi nastavila mechanizmus spaľovania daní a poplatkov, upravila poplatok za spotovú transakciu PGALA na 1.2 % v oboch smeroch a všetky príjmy z poplatkov použila na spätné odkúpenie a zničenie tokenov pGala.
Podľa oficiálneho twitterového kanála pNetwork neboli komunite počas dvoch dní zverejnené žiadne informácie, okrem oznámenia odhaľujúceho existujúce problémy, keď k incidentu došlo. Tvárou v tvár neustálym otázkam zo strany komunity spoločnosť pNetwork nezverejnila analýzu incidentu pGala po udalosti až do 2. novembra o 00:6.
Podľa správy o analýze si tím 1. novembra o 52:4 všimol chybu konfigurácie v krížovom reťazovom moste pNetwork spoločnosti GALA. V dôsledku nesprávnej konfigurácie bolo tajne prevzaté vlastníctvo inteligentnej zmluvy pGALA nasadenej na BSC. Fond fondu predstavoval 400,000 XNUMX USD. Útočník, ktorý získal vlastníctvo smart kontraktu, v tom čase žiadne útoky nespustil.
3. novembra o 11:4 pNetwork kontaktoval GalaGames, aby pozastavil aktivity cross-chain bridge a vyprázdnil fond pGALA/BNB PancakeSwap cez operáciu white hat. Išlo o pokus udržať prostriedky BNB v poole, aby po zvládnutí situácie mohli byť prostriedky vrátené všetkým jej poskytovateľom likvidity.
4. novembra o 13:4 spoločnosť pNetwork vydala ďalších 27,814,200,000 27,814,200,000 XNUMX XNUMX nezabezpečených pGALA na vyčerpanie fondu pGALA/BNB PancakeSwap. Následne bolo vydaných ďalších XNUMX XNUMX XNUMX XNUMX nezabezpečených tokenov pGALA.
Ako bolo spomenuté vyššie, 4. novembra o 28:4 GalaGames a pNetwork tweetovali, aby naznačili problém a pripomenuli používateľom komunity, aby nekupovali tokeny Gala v reťazci BNB. Po tom, čo bolo odrádzanie neúčinné, 4. novembra o 29:4 sa pNetwork rozhodol pokračovať vo vypúšťaní fondu, aby ochránil používateľov, ktorí prúdia do fondu pridaného fondu, pred potenciálnymi útočníkmi. 6. novembra o 16:4th, GalaGames a pNetwork sa rozhodli zastaviť vypúšťanie prietokového bazéna. Doposiaľ pNetwork obnovil 12977BNB v správaní odvodňovacieho bazéna. 7. novembra o 03:4 Huobi vypol funkciu Gala dobíjania na reťazci BNB.
Podľa správy o analýze zverejnenej spoločnosťou pNetwork bol hacker zmluvy pGala uvedený vyššie bez vedomia spoločnosti SlowMist oficiálnou sieťou pNetwork. Dodatočné vydávanie bezcenných tokenov pGala spoločnosťou pNetwork bolo spôsobené nesprávnou konfiguráciou krížového reťazového mosta pNetwork spoločnosti GALA, čo spôsobilo vystavenie riziku vo výške 400,000 XNUMX USD.
Haotian, odborník na bezpečnosť blockchainu, na Twitteri napísal, že projektovému tímu pNetwork chýba zdravý rozum, pokiaľ ide o bezpečnosť DeFi, a vlial do ekosystému prebytočnú likviditu bez úplného odstránenia potenciálnych rizík, čo bolo príliš unáhlené a nezodpovedné. Potom sa nepočítalo s možnosťou potenciálnych vnútorných operácií. Namiesto toho to bolo sprostredkovateľom medzi Huobi a GALA, aby sa vyhli zodpovednosti a prisúdili vinu. Je pochopiteľné a nie prehnané povedať, že to bol podnecovateľ.
Strana projektu Gala, ako priamo spriaznená strana medzi pNetwork a centralizovanou burzou, neposkytla informácie presne (tím GALA potvrdil, že Binance uzavrela vklad a výber GALA v reťazci BNB, ale nepotvrdila uzavretie burzy vklad a výber s dokovacím tímom Huobi Global). Správanie spoločnosti pNetwork je pre používateľov mimoriadne škodlivé, čo ukazuje, že tím Gala neberie držiteľov tokenov vážne.
Zároveň používatelia začali presúvať tehly na arbitráž, kým Huobi nevypol Gala dobíjanie na reťazci BNB až na 3 hodiny, čo ukázalo, že opatrenia na zabezpečenie a riadenie rizík platformy Huobi sú nedostatočné.
pNetwork a Huobi, aby sa obrátili na súd, Huobi sľubuje zaplatiť používateľom 6 miliónov dolárov
Najnovší incident s dodatočným vydaním pGala ovplyvnil komunitu rôznymi spôsobmi. Niektorí používatelia bohato profitovali z arbitráže, zatiaľ čo iní utrpeli straty. Podľa údajov na Lookonchain, adresa Smart Money kúpila 406 miliónov GALA z fondu PancakeSwap za 120,380 20 USD 5.79 minút po útoku GALA a zarobila 675,000 milióna USD a XNUMX XNUMX USD od spoločností Huobi a Binance. Vzniká teda otázka, na koho sa môžu obete obrátiť v prípade finančných strát.
Na vyriešenie tohto problému spoločnosť Huobi vydala vyhlásenie večer 6. novembra 2022. Vo vyhlásení Huobi uviedla, že správanie spoločnosti pNetwork nebolo údajnou operáciou bieleho klobúka, za ktorú sa vydávalo, ale zákerným hackerským útokom vykonaným za účelom zisku.
Po prvé, Huobi uviedol, že aj keď pNetwork používal svoj vlastný jednolinkový kontaktný kanál na komunikáciu s burzou, správa nenaznačovala, že pNetwork sa pripravuje na útok na zraniteľné miesta, nehovoriac o tom, že pNetwork vydá veľké množstvo 55.6 miliárd GALA tokenov. na trh v priebehu 50 minút. Táto akcia mala vážne následky, keďže nevinní používatelia a burzy utrpeli veľké straty.
Podľa analýzy od Slowmist nesprávnu konfiguráciu cross-chain bridge spomínanú pNetwork v skutočnosti vykonal vlastník súkromného kľúča s administrátorskými právami pre zmluvu pGALA proxy, ktorá unikla na Github, a táto adresa vlastníka bola zlomyseľne nahradený pred 70 dňami, čo má za následok, že zmluva pGALA je zraniteľná a hrozí jej napadnutie. pNetwork túto skutočnosť pred Huobi zámerne zatajil.
Okrem toho, podľa správy o analýze po udalosti, ktorú zverejnila pNetwork, komunite bolo verejne pripomenuté, aby nenakupovala tokeny Gala v reťazci BNB. Konkrétne tím pNetwork požiadal, aby používatelia nepremiestňovali tokeny na arbitráž pri pozorovaní veľkých cenových rozdielov medzi reťazcom a burzami.
Ignorovali oportunní investori pripomenutie pNetwork a chopili sa zmeny na arbitráž a veľkolepý zisk? Ak by bol tím pNetwork individuálnym investorom, nechali by si prejsť arbitrážnou príležitosťou?
Po druhé, Huobi verí, že neexistuje žiadny dôkaz, že by niekto zneužil zraniteľnosť v pNetwork na spustenie útoku, a bola to samotná pNetwork, KTORÁ sa snažila využiť túto zraniteľnosť na zisk. Zraniteľnosť existuje už 67 dní, čo bolo dostatočné množstvo času na vyhodnotenie potenciálnych bezpečnostných riešení, ale tím pNetwork sa dychtivo rozhodol túto zraniteľnosť aktívne využiť do 50 minút a vydať 55.6 miliardy tokenov na vyčerpanie zásoby likvidity.
Tím pNetwork mohol byť dychtivý vyriešiť problém, ale keďže od objavenia zraniteľnosti pred 67 dňami nedošlo k žiadnym útokom, tím mohol pokojne prísť s komplexnejším riešením namiesto riešenia, ktoré by ohrozilo trh. .
Navyše, Gala na reťazci BNB bol pôvodne token na mapovanie zástavy. Podľa doterajších skúseností môže tím úplne nahradiť tokenovú zmluvu a zahodiť tokenovú zmluvu s rizikami. Ak by boli pNetwork transparentné o svojich zámeroch, komunita by to bola schopná pochopiť a zdôrazniť. Nebolo potrebné riešiť problém odčerpaním aktív z fondu likvidity prostredníctvom dodatočnej emisie, čo je mimoriadne riskantné a trh škodlivé.
Po tretie, Huobi sa domnieva, že argument pNetwork, že dodatočná emisia až 55.6 miliárd tokenov mala rozhodnúť o fonde likvidity v hodnote približne 400,000 XNUMX USD, ktorý bol vystavený riziku napadnutia, je neopodstatnený. Huobi sa domnieva, že zámerom pNetwork bolo profitovať z turbulencií na trhu, že pNetwork používal „útok bielym klobúkom“ ako zásterku na vykonávanie hackerských útokov, aby sa vyhli právnym sankciám.
Okrem toho oficiálna analytická správa pNetwork odhalila, že 12,977 4.5 BNB (v hodnote približne 16 milióna USD) v aktívach získaných z fondu bude vrátených neregistrovaným majiteľom, ktorí prisľúbili dpGALA, v snímke, ktorá bola urobená o 00:7 2022. novembra, XNUMX. Zdá sa, že takéto činy nezodpovedajú tvrdeniam, že išlo o útok bielym klobúkom.
Spoločnosť pNetwork však vo svojej správe o analýze po udalostiach uviedla, že celkovo bolo dvakrát vydaných 55.6 miliárd tokenov Gala. Podľa GALA ceny 0.04 USD v tom čase malo 55.6 miliardy tokenov Gala hodnotu 2.2 miliardy USD. Spoločnosť pNetwork's vydala dodatočné tokeny Gala v hodnote 2.2 miliardy USD pre fond likvidity s potenciálnym rizikom 400,000 XNUMX USD. Pre komunitu by bolo ťažké pochopiť logiku takéhoto konania. Navyše, metóda súkromného vydávania dodatočných tokenov nie je v súlade s duchom blockchainu.
Čo sa týka Huobiho vyhlásenia, pNetwork oficiálne tweetoval, že odsúdil Huobiho nepravdivé obvinenia proti pNetwork a podnikne príslušné právne kroky, aby čelil Huobiho tvrdeniam. Spoločnosť pNetwork uviedla, že existujú dôkazy, ktoré dokazujú, že jej konanie bolo vykonané v dobrej viere a že všetky kroky boli vopred dohodnuté s GalaGames.
V reakcii na odpoveď pNetwork Huobi povedal PANews, že odpoveď pNetwork bola falošná a slabá. Huobi kontroval, že pNetwork zneužil medzeru v tokenoch GALA vydaním veľkého počtu tokenov, úplne zatajil svoje útočné správanie pred burzou a kontaktoval burzu len v priebehu jednej hodiny. Počas útoku bolo vydaných 55.6 miliardy tokenov využitím medzier v zmluvách. Počas tohto obdobia burza nedostala žiadny čas na odpoveď a ani pNetwork burze nepotvrdila, či boli prijaté príslušné opatrenia na zaistenie bezpečnosti aktív. Spoločnosť Huobi Global odštartovala právne postupy a plánuje, že pNetwork bude niesť právnu zodpovednosť za svoje činy.
Navyše, večer 9. novembra 2022, Justin Sun, člen Huobi Global Advisory Committee, povedal na podujatí TS „Entry Full Moon, Work Report Brother Sun's Work Report“, ktoré organizovalo PANews, že počas incidentu GALA sa zotavil finančné prostriedky mali hodnotu približne 4 milióny USD, ktoré sa vrátili v reťazci.
Finančné prostriedky vo výške 6 miliónov USD budú smerované na kompenzáciu za výsadok používateľom, ktorí utrpeli straty, a zvyšné prostriedky sa použijú na spätné odkúpenie a zničenie tokenov PGALA. Všetky kompenzácie od pNetwork sa použijú na kompenzáciu používateľov, ktorí utrpeli straty na platforme.
Úvaha: Je potrebné posilniť bezpečnostné mechanizmy včasného varovania
Tento incident bol spôsobený tým, že inžinieri pNetwork nechali kľúč v zmluve, čo ohrozilo bezpečnosť. Spoločnosť pNetwork sa rozhodla prekonať toto bezpečnostné riziko vydaním dodatočných tokenov GALA na vyčerpanie fondu likvidity. Takéto riešenie bolo mimoriadne riskantné a spoločnosť Huobi v dôsledku zlej komunikácie včas nezastavila vklady a výbery GALA, čo spôsobilo rozsiahly dopad.
Projekty pNetwork a Gala sú vo veľkej miere zodpovedné za tento incident, ktorý viedol k stratám používateľov a narušeniu dôvery v komunitu. Spoločnosť pNetwork si bola jasne vedomá toho, že táto zraniteľnosť existovala dva mesiace a nebola zneužitá, ale dôkladne nezvažovala komplexné riešenie. Namiesto toho zvolila vysoko rizikové riešenie, ktoré porušilo ducha blockchainu a pravdepodobne spôsobilo používateľom rozsiahle škody. Ako insider sa skupina projektu Gala rozhodla aktívne umožniť toto vysoko rizikové správanie namiesto vyšetrovania základnej príčiny a poskytnutia životaschopného riešenia.
Bezpečnostné núdzové systémy a systémy kontroly rizík na platforme Huobi však boli mimoriadne neúčinné. Pri pohľade na cenový rozdiel v reťazci by používatelia v komunite určite vedeli o možnosti arbitráže. Ako môže Huobi, ako prvotriedna burza, nevedieť?
Preto, hoci komunikácia s pNetwork nebola efektívna, Huobi by mal dostatok času na zastavenie funkcie dobíjania, aby sa znížil počet dotknutých používateľov.
Používateľ, ktorý utrpel stratu, sa môže obrátiť na pNetwork, hlavnú zodpovednú stranu, ktorá incident spustila, aby dosiahol riešenie týkajúce sa zníženia strát. Ide o bezpečnostnú krízu spôsobenú medzerou v inteligentnej zmluve, ale je relevantnejšia ako akákoľvek medzera v kóde a účastníci blockchainového projektu by jej mali venovať pozornosť.
Ako povedal Hao Tian, odborník na bezpečnosť blockchainu: Bezpečnostné spoločnosti, ktoré sa špecializujú na včasné varovania a detekcie bezpečnostných incidentov, na tomto gala podujatí kolektívne chýbali. Bezpečnostné audity a služby môžu kontrolovať chyby kódu, ale je ťažké bojovať proti potenciálnej kríze „katastrofy spôsobenej človekom“, ktorú vytvorili ekologickí účastníci odvetvia, ktorí túžia zarobiť si na rýchlom zisku.
disclaimer: Toto je tlačová správa. Coinpedia nepodporuje ani nezodpovedá za žiadny obsah, presnosť, kvalitu, reklamu, produkty alebo iné materiály na tejto stránke. Čitatelia by si mali urobiť vlastný prieskum predtým, ako podniknú akékoľvek kroky súvisiace so spoločnosťou.
Zdroj: https://coinpedia.org/press-release/with-an-additional-us2-billion-issued-for-us400000-who-will-take-responsibility-for-the-loss-of-users-in- gala-incident/