Mitmeahelalise marsruutimisprotokolli pNetwork poolt pGALA ebanormaalse väljastamise segadus ei ole veel lõppenud. Huobi tekitas kogukonnas poleemikat, kuna muutis mõne arbitraaži "villapeoks" määratletud kasutaja GALA märgi pGALA-ks. Kellel on selles küsimuses õigus ja kes eksib?
Mitmeahelalise marsruutimisprotokolli pNetwork poolt pGALA ebanormaalse väljastamise segadus ei ole veel lõppenud. Huobi tekitas virtuaalsete varade kogukonnas poleemikat, kuna muutis mõne arbitraaži "villapeoks" määratletud kasutaja GALA pGALA-ks. Kellel on selles küsimuses õigus ja kes eksib?
Sündmuse ülevaade: pGALA andis välja rohkem päevi, Huobi ei sulgenud lunastamis- ja väljamakset õigel ajal
4. novembril kell 00 hakkas virtuaalvarade kogukond levitama uudist, et kettmänguplatvormi Gala Games token Gala (BNB kett) on kiiresti ja järsult langenud. Mitmeahelalisest marsruutimisprotokollist pNetwork pärit pGALA žetoone vermiti BNB ketis õhust enam kui 4 miljardi USA dollari väärtuses ja müüdi PancakeSwapis. Selle tulemusel langesid BNB keti Gala žetoonid otse 1 USA dollarilt 0.04 USA dollarile.
Seejärel avastasid kogukonna kasutajad, et BNB ketis oleva Gala märgi ja tsentraliseeritud börsi vahel on tohutu hinnaerinevus ning nad kallasid suurel hulgal raha, et osta BNB ketti Gala token, et seda laadida ja müüa tsentraliseeritud vahetus. Binance ja teised börsid olid selleks ajaks BNB ketis Gala laadimise peatanud ning Huobi laadimiskanal oli endiselt avatud. Kasutaja lõpetas arbitraaži, liigutades telliseid läbi Huobi, mille tulemusel langes Huobi börsi gala järsult, 0.04 USA dollarilt 0.0003 USA dollarile.
pNetwork säutsus 4. novembril kell 28:4, et pGALA žetoonide vermimine, mille väärtus ületab 1 miljard USA dollarit, oli õhust põhjustatud ahelatevahelise silla valest konfiguratsioonist. Ta ütles, et BNB keti pGALA leping tuleb uuesti kasutusele võtta ning ta tegi koostööd Gala Gamesi meeskonna ja PancakeSwapiga, et saada pGALA kasutajate kontojääk ning taastada sissemakse ja väljamakse funktsioon. Pärast uue lepingu kasutuselevõttu lendutatakse uued pGALA märgid vahekorras 1:1.
Turvameeskonna SlowMisti vaatluse põhjal olid pGala lepingulised häkkerid suurema osa galast konverteerinud 13,000 4.3 BNB-ks, saades rohkem kui 45 miljoni USA dollari suuruse kasumi. Tol ajal oli aadressil veel XNUMX miljardit Galat, kuid seda ei sulatatud, sest fondikogum oli põhimõtteliselt ammendunud.
9. novembril kell 00 avaldas Huobi viis järjestikust teadet Gala märgiketi ebanormaalsete sündmuste käsitlemise edenemise kohta. Teates oli kirjas, et Gala märgid eemaldatakse ning eraldusjooneks määratakse õnnetuse ajasõlm. Pärast intsidenti sooritatakse kasutajate jaoks ostuoperatsioon, platvorm nimetab ostetud Gala varad ümber PGALA-ks (PGALA-l pole algse Gala märgiga midagi pistmist, see kuulub meemi märgile). Neile, kes hoidsid enne intsidenti Gala žetoone, nõustus Gala projekti osapool maksma täielikku hüvitist Gala proportsionaalse õhutilgana 4:1 Ethereumi ketti. Samal ajal teatas ta, et jätkab kasutajate nimel läbirääkimisi seotud projektidega, et hüvitada kasutajatele intsidendi põhjustatud varakaod.
12. novembril kell 00 teatas Huobi, et paneb Gala ja pGala märgid uuesti nimekirja. pGala märgi jaoks oli Huobi loonud maksude ja lõivude põletamise mehhanismi, korrigeerinud PGALA spot tehingutasu mõlemas suunas 5% peale ning kasutanud kogu tasutulu pGala žetoonide tagasiostmiseks ja hävitamiseks.
PNetworki ametliku Twitteri kanali andmetel ei avaldatud kogukonnale kahe päeva jooksul teavet, välja arvatud teade, mis avalikustas intsidendi toimumise ajal olemasolevad probleemid. Seistes silmitsi kogukonna pidevate küsimustega, avaldas pNetwork pGala juhtumi sündmusejärgse analüüsi alles 2. novembril kell 00.
Analüüsiaruande kohaselt märkas meeskond 1. novembril kell 52:4 konfiguratsiooniviga GALA pNetwork cross-chain sillal. Vale konfiguratsiooni tõttu võeti BSC-s juurutatud nutilepingu pGALA omandiõigus salaja üle. Fondi kogusumma oli 400,000 XNUMX USA dollarit. Nutilepingu omandiõiguse saanud ründaja toona ühtegi rünnakut ei käivitanud.
3. novembril kell 11 võttis pNetwork ühendust GalaGamesiga, et peatada ahelatevahelise silla tegevused, ja tühjendas pGALA/BNB PancakeSwap basseini valge mütsi toimingu kaudu. Sellega üritati BNB vahendeid kogumis hoida, et pärast olukorra kontrolli alla saamist saaks raha tagastada kõigile oma likviidsuse pakkujatele.
4. novembril kell 13 väljastas pNetwork täiendava 4 27,814,200,000 27,814,200,000 XNUMX tagatiseta pGALA-d, et tühjendada pGALA/BNB PancakeSwap bassein. Seejärel väljastati veel XNUMX XNUMX XNUMX XNUMX tagamata pGALA märki.
Nagu eespool mainitud, säutsusid GalaGames ja pNetwork 4. novembril kell 28:4 probleemile viitamiseks, tuletades kogukonna kasutajatele meelde, et nad ei ostaks BNB keti Gala märke. Pärast seda, kui heidutus oli ebatõhus, otsustas pNetwork 4. novembril kell 29:4 jätkata basseini tühjendamist, et kaitsta lisatud fondi kogumisse sisenevaid kasutajaid potentsiaalsete ründajate eest. 6. novembril kell 16:4th, GalaGames ja pNetwork otsustasid vookogumi tühjendamise peatada. Seni on pNetwork tühjendusbasseini käitumises taastanud 12977BNB. 7. novembril kell 03:4 lülitas Huobi BNB ketis Gala laadimisfunktsiooni välja.
pNetworki avalikustatud analüüsiaruande kohaselt oli ülalmainitud pGala lepinguline häkker ilma SlowMisti teadmata ametlik pNetwork. pNetworki täiendav väärtusetute pGala žetoonide väljastamine oli tingitud GALA pNetworki ahelaülese silla valest konfiguratsioonist, mis põhjustas 400,000 XNUMX USA dollari suuruse riski.
Plokiahela turvalisuse praktik Haotian säutsus, et pNetworki projektimeeskonnal puudus DeFi turvalisuse osas terve mõistus ja ta süstis ökosüsteemi liigset likviidsust ilma võimalikke ohte täielikult kõrvaldamata, mis oli liiga kiirustav ja vastutustundetu. Hiljem ei arvestatud võimalike siseringitehingute võimalusega. Selle asemel vahendas see Huobi ja GALA vahel, et vältida vastutust ja süüdistada. On arusaadav ja mitte liialdus väita, et see oli õhutaja.
Gala projekti osapool kui pNetworki ja tsentraliseeritud börsi vahel otseselt seotud osapool ei suutnud teavet täpselt edastada (GALA meeskond kinnitas, et Binance sulges GALA deposiidi ja väljavõtmise BNB ketis, kuid ei kinnitanud sisse- ja väljamaksmine Huobi Globali dokkimismeeskonnaga). pNetworki käitumine on kasutajatele äärmiselt kahjulik, mis näitab, et Gala meeskond ei võta žetoonide omanikke tõsiselt.
Samal ajal hakkasid kasutajad arbitraažiks telliseid liigutama, kuni Huobi sulges BNB ketis Gala laadimise kuni 3 tunniks, mis näitas, et Huobi platvormi turva- ja riskijuhtimismeetmed on ebapiisavad.
pNetwork ja Huobi lähevad kohtusse, Huobi lubab kasutajatele maksta 6 miljonit dollarit
Viimane pGala lisaväljastamise juhtum mõjutas kogukonda mitmel viisil. Mõned kasutajad teenisid arbitraažist märkimisväärset kasumit, samas kui teised said kahju. Lookonchaini andmetel ostis Smart Money aadress PancakeSwap-fondist 406 miljonit GALAt 120,380 20 USA dollari eest 5.79 minutit pärast GALA rünnakut ning teenis Huobilt ja Binance'ilt vastavalt 675,000 miljonit USA dollarit ja XNUMX XNUMX USA dollarit. Seejärel tekib küsimus, kelle poole saavad kannatanud rahalise kahju korral pöörduda.
Seda probleemi käsitledes tegi Huobi avalduse 6. novembri 2022 õhtul. Avalduses väitis Huobi, et pNetworki käitumine ei olnud väidetav valge mütsi operatsioon, vaid pahatahtlik häkkerite rünnak, mille eesmärk oli kasu saada.
Esiteks väitis Huobi, et kuigi pNetwork kasutas keskjaamaga suhtlemiseks oma üherealist kontaktikanalit, kuid sõnum ei viidanud sellele, et pNetwork valmistuks turvaaukude ründamiseks, rääkimata sellest, et pNetwork väljastaks suurel hulgal 55.6 miljardit GALA-märki. turule 50 minuti jooksul. See tegevus tõi kaasa tõsised tagajärjed, sest süütud kasutajad ja börsid kandsid suuri kahjusid.
Slowmisti analüüsi kohaselt teostas ülalpool pNetworki mainitud ahelaülese silla vale konfiguratsiooni tegelikult Githubis lekkinud pGALA puhverserveri lepingu administraatoriõigustega privaatvõtme omanik ja see omaniku aadress oli pahatahtlikult asendati 70 päeva tagasi, mistõttu pGALA leping on haavatav ja rünnata. pNetwork oli seda fakti Huobi eest tahtlikult varjanud.
Lisaks tuletati pNetworki avaldatud sündmusejärgse analüüsi aruande kohaselt kogukonnale avalikult meelde, et ta ei ostaks BNB keti Gala märke. Täpsemalt oli pNetworki meeskond nõudnud, et kasutajad ei liigutaks žetoone arbitraaži eesmärgil, kui nad on jälginud suuri hinnaerinevusi keti ja börside vahel.
Kas oportunistlikud investorid olid pNetworki meeldetuletust eiranud ja kasutasid muudatust arbitraaži ja ilusa kasumi suunas? Kui pNetworki meeskond oleks olnud üksikinvestor, kas nad oleksid lasknud arbitraaživõimalusel mööda minna?
Teiseks usub Huobi, et puuduvad tõendid selle kohta, et keegi kasutaks pNetworki haavatavust rünnaku käivitamiseks, ja just pNetwork ise tahtis seda haavatavust kasumi teenimiseks ära kasutada. Haavatavus on eksisteerinud 67 päeva, mis oli piisav aeg potentsiaalsete turvalahenduste hindamiseks, kuid pNetworki meeskond oli innukalt otsustanud haavatavust 50 minuti jooksul aktiivselt ära kasutada ja likviidsusbasseini tühjendamiseks välja anda 55.6 miljardit tokenit.
Võimalik, et pNetworki meeskond tahtis probleemi lahendada, kuid kuna haavatavuse avastamisest alates 67 päeva tagasi polnud rünnakuid toimunud, oleks meeskond võinud turu ohtu seadva lahenduse asemel rahulikult välja pakkuda terviklikuma lahenduse. .
Lisaks oli BNB keti Gala algselt pandi kaardistamise märk. Varasemate kogemuste kohaselt saab meeskond tokenlepingu täielikult asendada ja riskidega märgilepingust loobuda. Kui pNetwork oleks olnud oma kavatsuste osas läbipaistev, oleks kogukond saanud aru ja rõhutada. Probleemi ei olnud vaja lahendada likviidsuskogumi varade tühjendamisega täiendava emissiooni kaudu – see on äärmiselt riskantne ja turgu kahjustav tegevus.
Kolmandaks usub Huobi, et pNetworki väide, et kuni 55.6 miljardi žetoonide lisaemissioon oli umbes 400,000 XNUMX USA dollari väärtuses likviidsuskogumi vahekohtunik, mida ähvardas rünnata, on alusetu. Huobi usub, et pNetworki eesmärk oli turu turbulentsist kasu saada, et pNetwork kasutas "valge mütsi rünnakut" varjundina häkkimisrünnakute läbiviimiseks, et vältida juriidilisi sanktsioone.
Peale selle avalikustati pNetworki ametlikus analüüsiaruandes, et 12,977 4.5 BNB (väärtuses umbes 16 miljonit USA dollarit) varade kogum tagastatakse juriidilise isiku õigusteta omanikele, kes olid dpGALA pantinud, 00. novembril kell 7. 2022. Sellised teod ei paista vastavat väidetele, nagu oleks tegemist olnud valge mütsi rünnakuga.
Kuid pNetwork mainis oma sündmusejärgses analüüsiaruandes, et kokku on kaks korda välja antud 55.6 miljardit Gala žetoone. Vastavalt GALA hinnale, mis oli tol hetkel 0.04 USA dollarit, oli 55.6 miljardi Gala žetoonide väärtus 2.2 miljardit USA dollarit. pNetwork's oli väljastanud täiendavaid Gala tokeneid 2.2 miljardi USA dollari väärtuses likviidsusfondi jaoks, mille potentsiaalne risk on 400,000 XNUMX USA dollarit. Kogukonnal oleks raske mõista sellise tegevuse loogikat. Pealegi ei ole täiendavate žetoonide privaatne väljastamise meetod kooskõlas plokiahela mõttega.
Huobi avalduse kohta säutsus pNetwork ametlikult Twitteris, et mõistab hukka Huobi valesüüdistused pNetworki vastu ja võtab Huobi väidete vastu võitlemiseks asjakohased õiguslikud meetmed. pNetwork ütles, et on tõendeid selle kohta, et tema tegevus oli heas usus ja kõik toimingud olid GalaGamesiga eelnevalt kokku lepitud.
Vastuseks pNetworki vastusele ütles Huobi PANewsile, et pNetworki vastus oli vale ja nõrk. Huobi väitis vastu, et pNetwork kasutas ära GALA märgi lünka, väljastades suure hulga žetoone, varjas oma ründekäitumist börsi eest täielikult ja võttis börsiga ühendust vaid tunni jooksul. Rünnaku ajal anti lepinguaukude ära kasutades välja 55.6 miljardit märgi. Sel perioodil ei antud börsile aega vastata, samuti ei kinnitanud pNetwork börsiga, kas varade turvalisuse tagamiseks on võetud asjakohaseid meetmeid. Huobi Global on algatanud juriidilised protseduurid ja kavatseb pNetwork kanda oma tegevuse eest juriidilist vastutust.
Lisaks ütles Huobi globaalse nõuandekomitee liige Justin Sun 9. novembri õhtul 2022 PANewsi korraldatud TS-i üritusel “Entry Full Moon, Brother Sun’s Work Report”, et GALA intsidendi ajal toibusid rahalised vahendid olid väärt umbes 4 miljonit USA dollarit, mis olid ahelasse tagasi pöördunud.
6 miljonit USA dollarit suunatakse kahju kandnud kasutajatele lennupiletite hüvitamiseks ning ülejäänud raha kasutatakse PGALA žetoonide tagasiostmiseks ja hävitamiseks. Kogu pNetworki hüvitist kasutatakse platvormil kahju kandnud kasutajate hüvitamiseks.
Peegeldus: Varajase hoiatamise ohutusmehhanisme tuleb tugevdada
Selle intsidendi põhjustas pNetworki inseneride jätmine lepingusse võtme, mis seadis ohtu turvalisuse. pNetwork otsustas sellest turvariskist üle saada, väljastades likviidsusbasseini tühjendamiseks täiendavad GALA märgid. Selline lahendus oli äärmiselt riskantne ning kehva side tõttu ei sulgenud Huobi õigel ajal GALA sisse- ja väljamakseid, mis põhjustas ulatusliku mõju.
Projektid pNetwork ja Gala on selle juhtumi eest peamiselt vastutavad, mis tõi kaasa kasutajate kaotuse ja kogukonna usalduse vähenemise. pNetwork oli selgelt teadlik, et see haavatavus oli eksisteerinud kaks kuud ja seda ei kasutatud ära, kuid ei kaalunud põhjalikult terviklikku lahendust. Selle asemel valis see kõrge riskiga lahenduse, mis rikkus plokiahela mõtet ja põhjustas kasutajatele tõenäoliselt ulatuslikku kahju. Insaiderina otsustas Gala projekti osapool seda kõrge riskiga käitumist aktiivselt lubada, selle asemel et uurida algpõhjust ja pakkuda elujõulist lahendust.
Huobi platvormi turvahädadele reageerimise ja riskijuhtimise süsteemid olid aga äärmiselt ebaefektiivsed. Keti hinnaerinevust nähes oleksid kogukonna kasutajad arbitraaživõimalusest kindlasti teadlikud. Kuidas Huobi esimese järgu vahetusmehena ei tea?
Seega, kuigi suhtlus pNetworkiga ei olnud tõhus, oleks Huobil olnud piisavalt aega laadimisfunktsiooni peatamiseks, et vähendada mõjutatud kasutajate arvu.
Kahju kandnud kasutaja saab kahju vähendamise osas lahenduse leidmiseks pöörduda ainult pNetworki, peamise vastutaja poole, kes intsidendi käivitas. Tegemist on nutilepingu lüngast põhjustatud turvakriisiga, kuid see on asjakohasem kui mis tahes koodilünk ja plokiahela projekti osapooled peaksid sellele tähelepanu pöörama.
Nagu ütles plokiahela turvalisuse praktik Hao Tian: sellel galaüritusel ei osalenud ühiselt turvaettevõtted, kes on spetsialiseerunud turvaintsidentide varajasele hoiatamisele ja avastamisele. Turvaauditite ja -teenuste abil saab kontrollida koodivigu, kuid raske on võidelda võimaliku inimtegevusest tingitud katastroofi kriisiga, mille tekitavad tööstuse ökoloogilised osalejad, kes soovivad kiiret raha teenida.
Lahtiütlus: See on pressiteate postitus. Coinpedia ei toeta ega vastuta selle lehe sisu, täpsuse, kvaliteedi, reklaamide, toodete või muude materjalide eest. Lugejad peaksid enne ettevõttega seotud toimingute tegemist ise uurima.
Allikas: https://coinpedia.org/press-release/with-an-additional-us2-billion-issued-for-us400000-who-will-take-responsibility-for-the-loss-of-users-in- the-gala-intsident/