Превирањата од ненормалното издавање на pGALA од протоколот за рутирање со повеќе синџири pNetwork сè уште не е завршена. Huobi создаде контроверзии во заедницата бидејќи го смени токенот GALA на некои корисници идентификувани како арбитражна „волнена забава“ во pGALA. Само кој е во право, а кој греши во ова прашање?
Превирањата од ненормалното издавање на pGALA од протоколот за рутирање со повеќе синџири pNetwork сè уште не е завршена. Huobi создаде контроверзии во заедницата на виртуелни средства бидејќи ја смени GALA на некои корисници идентификувани како арбитражна „волнена забава“ во pGALA. Само кој е во право, а кој греши во ова прашање?
Преглед на настанот: pGALA издаде повеќе денови, Huobi не го затвори откупот и повлекувањето на време
Во 4:00 часот на 4-ти ноември, заедницата за виртуелни средства почна да шири вести дека платформата за верижни игри Gala Games токен Гала (синџир BNB) брзо и нагло се намалила. Потекнувајќи од протоколот за рутирање со повеќе синџири pNetwork, pGALA токени во вредност од повеќе од 1 милијарда американски долари беа исковани од тенок воздух на синџирот BNB и продадени на PancakeSwap. Ова предизвика Гала токените на ланецот BNB директно да паднат од 0.04 УСД на 0.0000045 УСДXNUMX.
Последователно, корисниците на заедницата открија дека постои огромна разлика во цената помеѓу токенот Гала на синџирот BNB и централизираната размена, и вложија голема сума средства за да го купат токенот Гала на синџирот BNB за да го надополнат и продадат на централизирана размена. Во тоа време, Binance и другите берзи го суспендираа надополнувањето на Gala на ланецот BNB, а каналот за полнење Huobi сè уште беше отворен. Корисникот ја заврши арбитражата со поместување на цигли низ Huobi, предизвикувајќи гала на централата Huobi нагло да се намали, од 0.04 УСД на 0.0003 УСД.
pNetwork твитна во 4:28 на 4-ти ноември дека ковањето на токени pGALA кои надминуваат 1 милијарда американски долари од воздух е предизвикано од погрешна конфигурација на мостот со вкрстени синџири. Тој рече дека договорот pGALA на синџирот BNB треба повторно да се распореди и дека работи со тимот на Gala Games и PancakeSwap за да се добие состојбата на сметката на корисниците на pGALA и да се врати функцијата за депозит и повлекување. По распоредувањето на новиот договор, новите pGALA токени ќе се испуштаат во сооднос 1:1.
Врз основа на она што го забележа безбедносниот тим SlowMist, хакерите со договор на pGala го претворија најголемиот дел од Галата во 13,000 BNB, остварувајќи профит од повеќе од 4.3 милиони американски долари. Во тоа време, адресата сè уште имаше 45 милијарди Гала, но таа не беше инкасирана бидејќи фондот на фондот беше во основа исцрпен.
Од 9:00 часот на 4-ти ноември, Huobi објави пет последователни објави за напредокот во справувањето со абнормални настани на синџирот на токени Гала. Во соопштението беше наведено дека Гала токените ќе бидат отстранети од списокот, а како линија на поделба ќе биде одреден временскиот јазол на несреќата. По инцидентот, операцијата за купување ќе биде извршена за корисниците, платформата ќе ги преименува купените Gala средства во PGALA (PGALA нема никаква врска со оригиналниот Gala токен, тој припаѓа на мем-токен). За оние кои држеле Гала токени пред инцидентот, партијата на проектот Гала се согласи да направи целосна компензација во форма на пропорционален пад на Гала од 1:1 на ланецот Ethereum. Во исто време, тој рече дека ќе продолжи да преговара со поврзани проекти во име на корисниците за да се компензира корисниците за загубите на средства предизвикани од инцидентот.
Во 12:00 часот на 5-ти ноември, Huobi рече дека повторно ќе ги наведе Gala и pGala токените. За токенот pGala, Huobi воспостави механизам за согорување на даноци и такси, ја прилагоди таксата за трансакцијата на PGALA на 1.2% во двете насоки и ги искористи сите приходи од надоместоци за повторно купување и уништување на pGala токени.
Според официјалниот Твитер канал на pNetwork, два дена не биле објавени никакви информации до заедницата, освен објавата за откривање на постоечките проблеми кога се случил инцидентот. Соочени со постојани прашања од заедницата, pNetwork не ја објави анализата по настанот на инцидентот pGala до 2:00 часот на 6-ти ноември.
Според извештајот за анализа, во 1:52 часот на 4-ти ноември, тимот забележал грешка во конфигурацијата во мостот со вкрстени синџири pNetwork на GALA. Поради погрешна конфигурација, сопственоста на паметниот договор pGALA распореден на BSC беше тајно преземена. Фондот на фондот изнесуваше 400,000 УСД. Во тоа време, напаѓачот кој ја добил сопственоста на паметниот договор не извршил никакви напади.
Во 3:11 на 4-ти ноември, pNetwork контактираше со GalaGames за да ги прекине активностите на мостот со вкрстени синџири и го исцеди базенот pGALA/BNB PancakeSwap преку операцијата со бела капа. Ова беше обид да се задржат средствата на БНБ во базенот, за откако ситуацијата ќе се стави под контрола, средствата да се вратат на сите нејзини даватели на ликвидност.
Во 4:13 на 4-ти ноември, pNetwork издаде дополнителни 27,814,200,000 необезбедени pGALA за да се исцеди базенот pGALA/BNB PancakeSwap. Последователно, беа издадени дополнителни 27,814,200,000 необезбедени pGALA токени.
Како што споменавме погоре, во 4:28 на 4-ти ноември, GalaGames и pNetwork твитнаа за да укажат на проблемот, потсетувајќи ги корисниците на заедницата да не купуваат Гала токени на ланецот BNB. Откако одвраќањето беше неефикасно, во 4:29 на 4-ти ноември, pNetwork избра да продолжи со празнење на базенот со цел да ги заштити корисниците што се влеваат во додадениот фонд на фондови од потенцијални напаѓачи. Во 6:16 часот на 4 ноемвриth, GalaGames и pNetwork избраа да престанат да го трошат базенот за проток. Досега, pNetwork има повратено 12977BNB во однесувањето на базенот за одвод. Во 7:03 на 4-ти ноември, Huobi ја исклучи функцијата за полнење Гала на ланецот BNB.
Според извештајот за анализа објавен од pNetwork, хакерот со договор со pGala споменат погоре без знаење на SlowMist бил официјалниот pNetwork. Дополнителното издавање на безвредни pGala токени од страна на pNetwork се должи на погрешна конфигурација на мостот со вкрстен синџир pNetwork на GALA, што предизвика изложеност на ризик од 400,000 УСД.
Хаотиан, практичар за безбедност на блокчејн, твитна дека тимот на проектот pNetwork нема здрав разум во однос на безбедноста на DeFi и инјектира вишок ликвидност во екосистемот без целосно да ги елиминира потенцијалните опасности, што беше премногу избрзано и неодговорно. Потоа, не беше земена предвид можноста за потенцијални инсајдерски операции. Наместо тоа, посредуваше помеѓу Хуоби и ГАЛА за да ја избегне одговорноста и да ја префрли вината. Разбирливо е и не е претерување да се каже дека тоа бил поттикнувачот.
Страната на проектот Гала, како директно поврзана страна помеѓу pNetwork и централизираната размена, не успеа точно да ги пренесе информациите (тимот на GALA потврди дека Binance го затвори депозитот и повлекувањето на GALA на синџирот BNB, но не го потврди затворањето на депонирање и повлекување со докинг тимот на Huobi Global). Однесувањето на pNetwork е исклучително штетно за корисниците, што покажува дека тимот на Гала не ги сфаќа сериозно носителите на токени.
Во исто време, корисниците почнаа да преместуваат цигли за арбитража додека Huobi не го затвори Gala полнењето на ланецот BNB до 3 часа, што покажа дека мерките за безбедност и управување со ризик на платформата Huobi се недоволни.
pNetwork и Huobi да одат на суд, Huobi ветува дека ќе им плати на корисниците 6 милиони долари
Последниот инцидент со дополнително издавање на pGala влијаеше на заедницата на различни начини. Некои корисници богато профитираа преку арбитража, додека други претрпеа загуби. Според податоците на Lookonchain, адресата на Smart Money купила 406 милиони ГАЛА од базенот PancakeSwap за 120,380 УСД 20 минути по нападот на ГАЛА, и заработила 5.79 милиони американски долари и 675,000 УСД од Huobi и Binance соодветно. Тогаш се поставува прашањето кому жртвите можат да се обратат во случај на финансиски загуби.
Во врска со ова прашање, Huobi издаде изјава вечерта на 6-ти ноември 2022 година. Во изјавата, Huobi наведе дека однесувањето на pNetwork не е наводната операција со бела капа за која се тврди дека е, туку злонамерен хакерски напад спроведен за профит.
Прво, Huobi изјави дека додека pNetwork користел сопствен канал за контакт со една линија за да комуницира со размената, но пораката не означува дека pNetwork се подготвува да нападне пропусти, а камоли дека pNetwork ќе издаде голема количина од 55.6 милијарди GALA токени на пазарот во простор од 50 минути. Оваа акција резултираше со сериозни последици, бидејќи невините корисници и размена претрпеа големи загуби.
Според анализата на Slowmist, погрешната конфигурација на мостот со вкрстени синџири споменат од pNetwork погоре, всушност била извршена од сопственикот на приватниот клуч со административни права за договорот за прокси pGALA што беше објавен на Github, а оваа адреса на сопственикот беше злонамерно заменет пред 70 дена, што резултираше со pGALA договорот да биде ранлив и со ризик да биде нападнат. pNetwork намерно го сокри овој факт од Huobi.
Дополнително, според извештајот за анализа по настанот објавен од pNetwork, заедницата била јавно потсетена да не купува Гала токени на синџирот BNB. Поточно, тимот на pNetwork побара од корисниците да не преместуваат токени за арбитража откако ќе ги забележат големите разлики во цените помеѓу синџирот и размената.
Дали опортунистичките инвеститори го игнорираа потсетникот на pNetwork и ја искористија промената во арбитража и огромно профитирање? Ако тимот на pNetwork беше индивидуален инвеститор, дали ќе ја испуштише можноста за арбитража?
Второ, Huobi верува дека нема докази дека некој би ја искористил ранливоста во pNetwork за да започне напад, а самата pNetwork беше КОЈ сакаше да ја искористи оваа ранливост за профит. Ранливоста постоеше 67 дена, што беше доволно време за да се проценат потенцијалните безбедносни решенија, но тимот на pNetwork со нетрпение избра активно да ја искористи ранливоста во рок од 50 минути и да издаде 55.6 милијарди токени за да го исцеди базенот за ликвидност.
Тимот на pNetwork можеби сакаше да го реши проблемот, но бидејќи немаше напади откако беше откриена ранливоста пред 67 дена, тимот можеше мирно да дојде до посеопфатно решение наместо такво што ќе го доведе пазарот во ризик. .
Покрај тоа, Гала на синџирот BNB првично беше знак за мапирање на залог. Според досегашното искуство, тимот може целосно да го замени токен-договорот и да го отфрли токен-договорот со ризици. Доколку pNetwork's беа транспарентни за своите намери, заедницата ќе можеше да ги разбере и нагласи. Немаше потреба да се реши проблемот со одведување на средствата во базенот на ликвидност преку дополнителна емисија – акција која е исклучително ризична и штетна за пазарот.
Трето, Huobi верува дека аргументот на pNetwork дека дополнителното издавање до 55.6 милијарди токени било за арбитража на базен за ликвидност во вредност од околу 400,000 УСД што бил во опасност да биде нападнат е неоснован. Huobi верува дека намерата на pNetwork била да профитира од турбуленциите на пазарот, дека pNetwork го користел „нападот со бела капа“ како маска за да изврши хакерски напади за да избегне правни санкции.
Понатаму, официјалниот извештај за анализа на pNetwork откри дека средствата од 12,977 BNB (во вредност од околу 4.5 милиони американски долари) повратени од базенот ќе бидат вратени на неинкорпорираните Сопственици кои дале залог dpGALA, во снимката што е направена во 16:00 часот на 7-ми ноември. 2022. Се чини дека ваквите дејствија не одговараат на тврдењата дека станува збор за напад со бела капа.
Сепак, pNetwork во својот извештај за анализа по настанот спомена дека вкупно 55.6 милијарди Гала токени биле издадени двапати. Според цената на ГАЛА од 0.04 УСД во тој момент, 55.6 милијарди Гала токени вредеа до 2.2 милијарди УСД. pNetwork's издаде дополнителни Гала токени во вредност од 2.2 милијарди УСД за базен за ликвидност со потенцијален ризик од 400,000 УСД. Би било тешко за заедницата да ја разбере логиката зад таквиот курс на дејствување. Покрај тоа, методот на приватно издавање дополнителни токени не е во согласност со духот на блокчејнот.
Во врска со изјавата на Huobi, pNetwork официјално твитна дека ги осудува лажните обвинувања на Huobi против pNetwork и ќе преземе соодветни правни мерки за да се спротивстави на тврдењата на Huobi. pNetwork рече дека има докази кои докажуваат дека нејзините дејства биле спроведени со добра волја и дека сите дејства биле однапред договорени со GalaGames.
Како одговор на одговорот на pNetwork, Huobi изјави за PANews дека одговорот на pNetwork е лажен и слаб по природа. Huobi возврати дека pNetwork ја искористил дупката во токен GALA со издавање голем број токени, целосно го сокрил своето нападно однесување од размената и ја контактирал размената само во рок од еден час. За време на нападот, беа издадени 55.6 милијарди токени со искористување на дупките во договорот. Во овој период, на размената не ѝ беше дадено време да одговори, ниту пак pNetwork потврди со размената дали се преземени соодветни мерки за да се обезбеди сигурност на средствата. Huobi Global започна правни процедури и има намера pNetwork да сноси правна одговорност за своите постапки.
Дополнително, вечерта на 9 ноември 2022 година, Џастин Сан, член на Глобалниот советодавен комитет на Хуоби, на настанот на ТС „Влез полна месечина, извештај за работата на брат Сонце“ што го одржа PANews рече дека за време на инцидентот во ГАЛА, закрепнатите средствата беа во вредност од околу 4 милиони американски долари, кои беа вратени на синџир.
Средствата од 6 милиони американски долари ќе бидат насочени кон компензација за „аердроп“ на корисниците кои претрпеле загуби, а преостанатите средства ќе бидат искористени за повторно купување и уништување на PGALA токените. Сите компензации од pNetwork ќе се користат за компензација на корисниците кои претрпеле загуби на платформата.
Рефлексија: Треба да се зајакнат безбедносните механизми за рано предупредување
Овој инцидент беше предизвикан од тоа што инженерите на pNetwork го оставија клучот во договорот, што ја загрози безбедноста. pNetwork избра да го надмине овој безбедносен ризик со издавање дополнителни GALA токени за да се исцеди базенот за ликвидност. Таквото решение беше крајно ризично, а поради лошата комуникација, Huobi навреме не ги затвори депозитите и повлекувањата на GALA, што предизвика големо влијание.
Проектите pNetwork и Gala се главно одговорни за овој инцидент, што доведе до загуби на корисниците и ерозија на довербата во заедницата. pNetwork беа јасно свесни дека оваа ранливост постоела два месеци и не била експлоатирана, но не размислувале внимателно за сеопфатно решение. Наместо тоа, избра решение со висок ризик што го нарушува духот на блокчејнот и веројатно ќе предизвика штета од големи размери на корисниците. Како инсајдер, партијата на проектот Гала избра активно да го овозможи ова високо ризично однесување наместо да ја истражи основната причина и да обезбеди одржливо решение.
Сепак, безбедносните системи за одговор при итни случаи и контрола на ризикот на платформата Huobi беа крајно неефикасни. Кога ќе ја видат разликата во цената на синџирот, корисниците во заедницата дефинитивно би биле свесни за можноста за арбитража. Како може Huobi, како првостепена размена, да не знае?
Затоа, иако комуникацијата со pNetwork не беше ефикасна, Huobi ќе имаше доволно време да ја запре функцијата за полнење со цел да го намали бројот на засегнати корисници.
Корисникот кој претрпел загуби може само да пристапи кон pNetwork, главната одговорна страна што го започна инцидентот, за да постигне решение за намалување на загубите. Ова е безбедносна криза предизвикана од дупка во паметниот договор, но таа е порелевантна од која било дупка во кодот и страните во блокчејн проектот треба да обрнат внимание на тоа.
Како што рече Хао Тиан, практичар за безбедност на блокчејн: Безбедносните компании кои се специјализирани за рани предупредувања и откривања во безбедносни инциденти беа колективно отсутни на овој Гала настан. Безбедносните ревизии и услуги можат да проверат дали има дефекти во кодот, но тешко е да се бориме против потенцијалната криза предизвикана од „човечки катастрофи“ создадена од еколошки учесници во индустријата кои сакаат да профитираат од брзата пари.
Општи услови: Ова е соопштение за печатот. Coinpedia не поддржува или е одговорна за каква било содржина, точност, квалитет, рекламирање, производи или други материјали на оваа страница. Читателите треба да направат сопствено истражување пред да преземат какви било активности поврзани со компанијата.
Извор: https://coinpedia.org/press-release/with-an-additional-us2-billion-issued-for-us400000-who-will-take-responsibility-for-the-loss-of-users-in- гала-инцидент/