Tulburarea emiterii anormale a pGALA de către protocolul de rutare multi-lanț pNetwork nu sa încheiat încă. Huobi a creat controverse în comunitate, deoarece a schimbat simbolul GALA al unor utilizatori identificați ca „partide de lână” de arbitraj în pGALA. Doar cine are dreptate și cine greșește în această chestiune?
Tulburarea emiterii anormale a pGALA de către protocolul de rutare multi-lanț pNetwork nu sa încheiat încă. Huobi a creat controverse în comunitatea activelor virtuale, deoarece a schimbat GALA unor utilizatori identificați ca „partide de lână” de arbitraj în pGALA. Doar cine are dreptate și cine greșește în această chestiune?
Revizuirea evenimentului: pGALA a emis mai multe zile, Huobi nu a închis răscumpărarea și retragerea la timp
La ora 4:00 pe 4 noiembrie, comunitatea de active virtuale a început să răspândească vestea că platforma de jocuri în lanț Gala Games token Gala (lanțul BNB) a scăzut rapid și brusc. Originar din protocolul de rutare cu mai multe lanțuri pNetwork, jetoanele pGALA în valoare de peste 1 miliard USD au fost bătute din aer pe lanțul BNB și vândute pe PancakeSwap. Acest lucru a făcut ca jetoanele Gala din lanțul BNB să scadă direct de la 0.04 USD la 0.0000045 USD.
Ulterior, utilizatorii comunității au descoperit că există o diferență uriașă de preț între jetonul Gala de pe lanțul BNB și schimbul centralizat și au turnat o sumă mare de fonduri pentru a cumpăra jetonul Gala de pe lanțul BNB pentru a-l reîncărca și a-l vinde pe schimb centralizat. La acel moment, Binance și alte burse suspendaseră reîncărcarea Gala pe lanțul BNB, iar canalul de reîncărcare Huobi era încă deschis. Utilizatorul a finalizat arbitrajul prin mutarea cărămizilor prin Huobi, ceea ce a făcut ca Gala de pe schimbul Huobi să scadă brusc, de la 0.04 USD la 0.0003 USD.
pNetwork a postat pe Twitter la 4:28 pe 4 noiembrie că baterea jetoanelor pGALA care depășesc 1 miliard de dolari SUA din aer a fost cauzată de o configurație greșită a podului cu lanțuri transversale. Ea a spus că contractul pGALA pe lanțul BNB trebuie reimplementat și că lucrează cu echipa Gala Games și PancakeSwap pentru a obține soldul contului utilizatorilor pGALA și a restabili funcția de depunere și retragere. După implementarea noului contract, noile jetoane pGALA vor fi aruncate în aer într-un raport de 1:1.
Pe baza a ceea ce a observat echipa de securitate SlowMist, hackerii contractuali pGala au convertit cea mai mare parte a Galei în 13,000 BNB, obținând un profit de peste 4.3 milioane USD. La acel moment, adresa mai avea 45 de miliarde Gala, dar nu a fost încasată pentru că fondul fondului era practic epuizat.
Începând cu ora 9:00 pe 4 noiembrie, Huobi a lansat cinci anunțuri consecutive privind progresul gestionării evenimentelor anormale din lanțul de jetoane Gala. Anunțul spunea că jetoanele Gala vor fi eliminate, iar nodul temporal al accidentului va fi determinat ca linie de demarcație. După incident, operațiunea de cumpărare va fi executată pentru utilizatori, platforma va redenumi activele Gala achiziționate în PGALA (PGALA nu are nimic de-a face cu jetonul Gala original, aparține unui jeton meme). Pentru cei care dețineau jetoane Gala înainte de incident, partea de proiect Gala a fost de acord să facă o compensație completă sub forma unui airdrop proporțional 1:1 a lui Gala pe lanțul Ethereum. Totodată, a spus că va continua să negocieze cu proiecte aferente în numele utilizatorilor pentru a compensa utilizatorii pentru pierderile de active cauzate de incident.
La ora 12:00 pe 5 noiembrie, Huobi a spus că va re-lista jetoanele Gala și pGala. Pentru jetonul pGala, Huobi a creat un mecanism de ardere a taxelor și a taxelor, a ajustat taxa de tranzacție spot PGALA la 1.2% în ambele direcții și a folosit toate veniturile din comisioane pentru a răscumpăra și distruge jetoanele pGala.
Potrivit canalului oficial Twitter al pNetwork, nicio informație nu a fost dezvăluită comunității timp de două zile, în afară de un anunț care dezvăluie problemele existente atunci când s-a produs incidentul. Confruntat cu întrebări constante din partea comunității, pNetwork nu a lansat analiza post-eveniment a incidentului pGala până la ora 2:00 pe 6 noiembrie.
Conform raportului de analiză, la ora 1:52 pe 4 noiembrie, echipa a observat o eroare de configurare în podul de lanț încrucișat pNetwork al GALA. Din cauza unei configurări greșite, proprietatea asupra contractului inteligent pGALA implementat pe BSC fusese preluată în secret. Fondul de fond a fost de 400,000 USD. La acel moment, atacatorul care a obținut dreptul de proprietate asupra contractului inteligent nu a lansat niciun atac.
La 3:11 pe 4 noiembrie, pNetwork a contactat GalaGames pentru a suspenda activitățile podurilor cu lanțuri încrucișate și a drenat piscina pGALA/BNB PancakeSwap prin operațiunea de pălărie albă. Aceasta a fost o încercare de a menține fondurile BNB în pool, astfel încât, după ce situația a fost sub control, fondurile să poată fi returnate tuturor furnizorilor săi de lichidități.
La ora 4:13, pe 4 noiembrie, pNetwork a emis un număr suplimentar de 27,814,200,000 de pGALA nesecurizate pentru a goli pool-ul pGALA/BNB PancakeSwap. Ulterior, au fost emise alte 27,814,200,000 de jetoane pGALA nesecurizate.
După cum s-a menționat mai sus, la ora 4:28 pe 4 noiembrie, GalaGames și pNetwork au postat pe Twitter pentru a indica problema, reamintindu-le utilizatorilor comunității să nu cumpere jetoane Gala din lanțul BNB. După ce descurajarea a fost ineficientă, la ora 4:29 pe 4 noiembrie, pNetwork a ales să continue să epuizeze fondul pentru a proteja utilizatorii care se revarsă în fondul adăugat de potențialii atacatori. La 6:16 pe 4 noiembrieth, GalaGames și pNetwork au ales să oprească drenarea bazinului de curgere. Până acum, pNetwork a recuperat 12977BNB în comportamentul piscinei de scurgere. La 7:03 pe 4 noiembrie, Huobi a oprit funcția de reîncărcare Gala de pe lanțul BNB.
Conform raportului de analiză dezvăluit de pNetwork, hackerul contractual pGala menționat mai sus fără știrea lui SlowMist era pNetwork-ul oficial. Emiterea suplimentară de către pNetwork de token-uri pGala fără valoare s-a datorat unei configurări greșite a podului încrucișat pNetwork a GALA, care a cauzat o expunere la risc de 400,000 USD.
Haotian, un practicant de securitate blockchain, a postat pe Twitter că echipa de proiect pNetwork nu avea bun simț în ceea ce privește securitatea DeFi și a injectat lichiditate în exces în ecosistem fără a elimina complet pericolele potențiale, ceea ce a fost prea grăbit și iresponsabil. Ulterior, nu a fost luată în considerare posibilitatea unor potențiale operațiuni din interior. În schimb, a mediat între Huobi și GALA pentru a se eschiva de responsabilitate și a atribui vina. Este de înțeles și nu este o exagerare să spui că a fost instigatorul.
Partea din proiect Gala, ca parte direct legată între pNetwork și schimbul centralizat, nu a reușit să transmită informațiile cu acuratețe (echipa GALA a confirmat că Binance a închis depunerea și retragerea GALA pe lanțul BNB, dar nu a confirmat închiderea depunere și retragere cu echipa de andocare a Huobi Global). Comportamentul pNetwork este extrem de nociv pentru utilizatori, ceea ce arată că echipa Gala nu ia în serios deținătorii de token-uri.
În același timp, utilizatorii au început să mute cărămizi pentru arbitraj până când Huobi a oprit reîncărcarea Gala pe lanțul BNB timp de până la 3 ore, ceea ce a arătat că măsurile de securitate și de gestionare a riscurilor ale platformei Huobi sunt insuficiente.
pNetwork și Huobi să meargă în instanță, Huobi promite să plătească utilizatorilor 6 milioane dolari
Cel mai recent incident de emitere suplimentară pGala a afectat comunitatea în diferite moduri. Unii utilizatori au profitat considerabil prin arbitraj, în timp ce alții au suferit pierderi. Potrivit datelor despre Lookonchain, o adresă Smart Money a achiziționat 406 milioane GALA din grupul PancakeSwap pentru 120,380 USD la 20 de minute după atacul GALA și a câștigat 5.79 milioane USD și, respectiv, 675,000 USD de la Huobi și Binance. Se pune atunci întrebarea la cine se pot adresa victimele în cazul pierderilor financiare.
Rezolvând această problemă, Huobi a emis o declarație în seara zilei de 6 noiembrie 2022. În declarație, Huobi a declarat că comportamentul pNetwork nu a fost presupusa operațiune de pălărie albă pe care a pretins a fi, ci un atac rău intenționat al hackerilor efectuat în scop de profit.
În primul rând, Huobi a declarat că, deși pNetwork a folosit propriul canal de contact cu o singură linie pentru a comunica cu schimbul, dar mesajul nu a indicat că pNetwork se pregătește să atace vulnerabilități, cu atât mai puțin că pNetwork va emite o cantitate mare de 55.6 miliarde de jetoane GALA. in piata intr-un spatiu de 50 de minute. Această acțiune a avut consecințe grave, deoarece utilizatorii și schimburile nevinovate au suferit pierderi mari.
Conform analizei de la Slowmist, configurarea greșită a punții cross-chain menționată de pNetwork mai sus a fost de fapt efectuată de proprietarul cheii private cu drepturi administrative pentru contractul de proxy pGALA care fusese scurs pe Github, iar această adresă de proprietar fusese înlocuit cu răutate în urmă cu 70 de zile, rezultând că contractul pGALA este vulnerabil și riscă să fie atacat. pNetwork i-a ascuns în mod deliberat acest fapt lui Huobi.
În plus, conform raportului de analiză post-eveniment lansat de pNetwork, comunității i s-a reamintit public să nu cumpere jetoane Gala de pe lanțul BNB. Mai exact, echipa pNetwork a cerut utilizatorilor să nu mute token-uri pentru arbitraj, la observarea diferențelor mari de preț dintre lanț și schimburi.
Investitorii oportuniști ignoraseră mementoul pNetwork și profitaseră de schimbarea către arbitraj și profit? Dacă echipa pNetwork ar fi fost un investitor individual, ar fi lăsat să treacă oportunitatea de arbitraj?
În al doilea rând, Huobi consideră că nu există nicio dovadă că cineva ar exploata vulnerabilitatea din pNetwork pentru a lansa un atac și pNetwork însuși a fost dornic să exploateze această vulnerabilitate pentru profit. Vulnerabilitatea a existat de 67 de zile, ceea ce a reprezentat un timp suficient pentru a evalua potențialele soluții de securitate, dar echipa pNetwork a ales cu nerăbdare să exploateze în mod activ vulnerabilitatea în 50 de minute și să emită 55.6 miliarde de jetoane pentru a scurge fondul de lichiditate.
Este posibil ca echipa pNetwork să fi fost dornică să rezolve problema, dar pentru că nu au existat atacuri de când vulnerabilitatea a fost descoperită în urmă cu 67 de zile, echipa ar fi putut să vină cu o soluție mai cuprinzătoare în loc de una care să pună piața în pericol. .
Mai mult, Gala de pe lanțul BNB a fost inițial un simbol pentru maparea gajului. Conform experienței anterioare, echipa poate înlocui complet contractul cu simboluri și poate renunța la contractul cu simboluri cu riscuri. Dacă pNetwork ar fi fost transparent cu privire la intențiile sale, comunitatea ar fi fost capabilă să înțeleagă și să sublinieze. Nu a fost nevoie să se rezolve problema prin drenarea activelor din fondul de lichiditate prin emitere suplimentară – o acțiune extrem de riscantă și dăunătoare pieței.
În al treilea rând, Huobi consideră că argumentul pNetwork conform căruia emiterea suplimentară de până la 55.6 miliarde de jetoane a fost de a arbitra un fond de lichiditate în valoare de aproximativ 400,000 USD care risca să fie atacat este nefondat. Huobi crede că intenția pNetwork a fost de a profita de turbulențele pieței, că pNetwork folosea „atacul cu pălărie albă” ca pretext pentru a efectua atacuri de hacking pentru a evita sancțiunile legale.
Mai mult, raportul de analiză oficial al pNetwork a dezvăluit că cele 12,977 BNB (în valoare de aproximativ 4.5 milioane USD) în active recuperate de pool vor fi returnate deținătorilor neîncorporați care aveau gaj dpGALA, într-un instantaneu care a fost făcut la 16:00 pe 7 noiembrie, 2022. Asemenea acțiuni nu par să corespundă afirmațiilor că ar fi fost un atac de pălărie albă.
Cu toate acestea, pNetwork a menționat în raportul său de analiză post-eveniment că un total de 55.6 miliarde de jetoane Gala au fost emise de două ori. Conform prețului GALA de 0.04 USD la acel moment, 55.6 miliarde de jetoane Gala aveau o valoare de 2.2 miliarde USD. pNetwork a emis jetoane Gala suplimentare în valoare de 2.2 miliarde USD pentru un grup de lichidități cu un risc potențial de 400,000 USD. Ar fi dificil pentru comunitate să înțeleagă logica din spatele unui astfel de curs de acțiune. Mai mult, metoda de emitere privată a jetoanelor suplimentare nu este în conformitate cu spiritul blockchain-ului.
În ceea ce privește declarația lui Huobi, pNetwork a postat oficial pe Twitter că a condamnat acuzațiile false ale lui Huobi împotriva pNetwork și va lua măsurile legale corespunzătoare pentru a contracara pretențiile lui Huobi. pNetwork a spus că există dovezi care dovedesc că acțiunile sale au fost efectuate cu bună-credință și că toate acțiunile au fost convenite în prealabil cu GalaGames.
Ca răspuns la răspunsul pNetwork, Huobi a spus PANews că răspunsul pNetwork a fost fals și slab în natură. Huobi a replicat că pNetwork a exploatat lacuna token-ului GALA emitând un număr mare de jetoane, și-a ascuns complet comportamentul de atac de la schimb și a contactat schimbul doar în spațiul de o oră. În timpul atacului, au fost emise 55.6 miliarde de jetoane prin exploatarea lacunelor contractuale. În această perioadă, bursa nu a avut timp să răspundă și nici pNetwork nu a confirmat cu bursa dacă au fost luate măsuri relevante pentru a asigura securitatea activelor. Huobi Global a demarat procedurile legale și intenționează ca pNetwork să poarte responsabilitatea legală pentru acțiunile sale.
În plus, în seara zilei de 9 noiembrie 2022, Justin Sun, membru al Comitetului Consultativ Global Huobi, a declarat în cadrul evenimentului TS „Entry Full Moon, Brother Sun’s Work Report” susținut de PANews că în timpul incidentului GALA, cei recuperați fondurile erau în valoare de aproximativ 4 milioane USD, care s-au întors în lanț.
Fonduri de 6 milioane USD vor fi direcționate către compensații prin airdrop pentru utilizatorii care au suferit pierderi, iar fondurile rămase vor fi folosite pentru a răscumpăra și distruge jetoanele PGALA. Toate compensațiile de la pNetwork vor fi folosite pentru a compensa utilizatorii care au suferit pierderi pe platformă.
Reflecție: Mecanismele de siguranță de avertizare timpurie trebuie consolidate
Acest incident a fost cauzat de inginerii pNetwork care au lăsat cheia în contract, ceea ce a compromis securitatea. pNetwork a ales să depășească acest risc de securitate prin emiterea de jetoane GALA suplimentare pentru a scurge fondul de lichiditate. O astfel de soluție era extrem de riscantă și, din cauza comunicării slabe, Huobi nu a oprit la timp depozitele și retragerile GALA, ceea ce a provocat un impact la scară largă.
Proiectele pNetwork și Gala sunt responsabile major pentru acest incident, care a dus la pierderea utilizatorilor și la erodarea încrederii în comunitate. pNetwork știa clar că această vulnerabilitate exista de două luni și nu a fost exploatată, dar nu a luat în considerare cu atenție o soluție cuprinzătoare. În schimb, a ales o soluție cu risc ridicat care a încălcat spiritul blockchain-ului și era probabil să provoace daune pe scară largă utilizatorilor. În calitate de insider, grupul de proiect Gala a ales să activeze în mod activ acest comportament cu risc ridicat în loc să investigheze cauza principală și să ofere o soluție viabilă.
Cu toate acestea, sistemele de răspuns la situații de urgență și de control al riscurilor de pe platforma Huobi au fost extrem de ineficiente. Când văd diferența de preț pe lanț, utilizatorii din comunitate ar fi cu siguranță conștienți de oportunitatea de arbitraj. Cum ar putea Huobi, ca schimb de prim nivel, să nu știe?
Prin urmare, deși comunicarea cu pNetwork nu a fost eficientă, Huobi ar fi avut suficient timp pentru a opri funcția de reîncărcare pentru a reduce numărul de utilizatori afectați.
Un utilizator care a suferit pierderi nu poate decât să se adreseze pNetwork, principala parte responsabilă care a declanșat incidentul, pentru a ajunge la o soluție privind reducerea pierderilor. Aceasta este o criză de securitate cauzată de o lacună în contractul inteligent, dar este mai pertinentă decât orice lacună de cod, iar părțile din proiectul blockchain ar trebui să-i acorde atenție.
Așa cum a spus Hao Tian, un practicant de securitate blockchain: Companiile de securitate specializate în avertismente timpurii și detectări în incidente de securitate au lipsit în mod colectiv de la acest eveniment de gală. Auditurile și serviciile de securitate pot verifica defecte ale codului, dar este dificil să lupți împotriva potențialei crize „dezastre provocate de om” creată de participanții ecologici din industrie dornici să profite de un dolar rapid.
Avertisment: Acesta este un comunicat de presă. Coinpedia nu susține și nu este responsabilă pentru niciun conținut, acuratețe, calitate, publicitate, produse sau alte materiale de pe această pagină. Cititorii ar trebui să facă propriile cercetări înainte de a lua orice acțiune legată de companie.
Sursa: https://coinpedia.org/press-release/with-an-additional-us2-billion-issued-for-us400000-who-will-take-responsibility-for-the-loss-of-users-in- incidentul-de-gala/