Sumaištis dėl nenormalaus pGALA išleidimo naudojant kelių grandinių maršruto parinkimo protokolą pNetwork dar nesibaigė. „Huobi“ sukėlė nesutarimų bendruomenėje, nes kai kurių vartotojų, kurie buvo pripažinti arbitražo „vilnos vakarėliu“, GALA prieigos raktą pakeitė į pGALA. Tik kas teisus, o kas neteisus šiuo klausimu?
Sumaištis dėl nenormalaus pGALA išleidimo naudojant kelių grandinių maršruto parinkimo protokolą pNetwork dar nesibaigė. „Huobi“ sukėlė ginčų virtualaus turto bendruomenėje, nes kai kurių vartotojų, kurie buvo pripažinti arbitražo „vilnos vakarėliu“, GALA pakeitė į pGALA. Tik kas teisus, o kas neteisus šiuo klausimu?
Įvykio apžvalga: pGALA išleido daugiau dienų, Huobi neuždarė išpirkimo ir atsiėmimo laiku
Lapkričio 4 d., 00:4, virtualaus turto bendruomenė pradėjo skleisti žinią, kad grandininių žaidimų platformos Gala Games token Gala (BNB grandinė) sparčiai ir smarkiai sumažėjo. Kilę iš kelių grandinių maršruto parinkimo protokolo pNetwork, daugiau nei 1 milijardo JAV dolerių vertės pGALA žetonai buvo nukaldinti BNB grandinėje ir parduoti per PancakeSwap. Dėl to BNB grandinės „Gala“ žetonai tiesiogiai sumažėjo nuo 0.04 USD iki 0.0000045 USD.
Vėliau bendruomenės vartotojai sužinojo, kad tarp BNB grandinės ir centralizuotos biržos „Gala“ žetono kainų skirtumas yra didžiulis, ir sukaupė daug lėšų, kad nusipirktų „Gala“ žetoną BNB tinkle, kad būtų galima papildyti ir parduoti jį BNB tinkle. centralizuota mainai. Tuo metu „Binance“ ir kitos biržos buvo sustabdusios „Gala“ papildymą BNB tinkle, o „Huobi“ papildymo kanalas vis dar buvo atidarytas. Naudotojas užbaigė arbitražą perkeldamas plytas per Huobi, todėl „Gala“ Huobi biržoje smarkiai sumažėjo – nuo 0.04 USD iki 0.0003 USD.
Lapkričio 4 d. pNetwork 28:4 tviteryje paskelbė, kad pGALA žetonų, viršijančių 1 milijardą JAV dolerių, nukaldinimą iš oro, sukėlė netinkama kryžminio grandininio tilto konfigūracija. Teigiama, kad reikia iš naujo įdiegti pGALA sutartį BNB grandinėje ir bendradarbiavo su „Gala Games“ komanda ir „PancakeSwap“, kad gautų pGALA vartotojų sąskaitos likutį ir atkurtų indėlių bei išėmimo funkciją. Įdiegus naują sutartį, nauji pGALA žetonai bus nuleidžiami santykiu 1:1.
Remiantis tuo, ką pastebėjo saugos komanda „SlowMist“, „pGala“ sutarčių įsilaužėliai pavertė didžiąją „Gala“ dalį į 13,000 4.3 BNB ir uždirbo daugiau nei 45 mln. Tuo metu adresas vis dar turėjo XNUMX milijardus Gala, tačiau jis nebuvo išgrynintas, nes fondo fondas iš esmės buvo išeikvotas.
Nuo lapkričio 9 d. 00:4 Huobi paskelbė penkis iš eilės pranešimus apie neįprastų įvykių, susijusių su Gala žetonų grandine, eigą. Pranešime buvo teigiama, kad „Gala“ žetonai bus išbraukti, o avarijos laiko mazgas bus nustatytas kaip skiriamoji linija. Po incidento vartotojams bus atlikta pirkimo operacija, platforma pervadins įsigytą Gala turtą į PGALA (PGALA neturi nieko bendra su originaliu Gala žetonu, jis priklauso meme tokenui). Tiems, kurie prieš incidentą turėjo „Gala“ žetonus, „Gala“ projekto šalis sutiko sumokėti visą kompensaciją proporcingu „Gala“ kritimu „Ethereum“ grandinėje 1:1. Kartu ji nurodė, kad ir toliau derėsis su susijusiais projektais vartotojų vardu, siekdama kompensuoti vartotojams dėl incidento sukeltus turto nuostolius.
Lapkričio 12 d., 00:5, Huobi pasakė, kad iš naujo įtrauks į sąrašą Gala ir pGala žetonus. Dėl pGala žetono Huobi sukūrė mokesčių ir rinkliavų deginimo mechanizmą, pakoregavo PGALA neatidėliotinų sandorių mokestį iki 1.2% abiem kryptimis ir panaudojo visas mokesčių pajamas, kad atpirktų ir sunaikintų pGala žetonus.
Anot oficialaus „pNetwork“ „Twitter“ kanalo, dvi dienas bendruomenei nebuvo paskelbta jokia informacija, išskyrus pranešimą, kuriame buvo atskleistos esamos problemos, kai įvyko incidentas. Susidūręs su nuolatiniais bendruomenės klausimais, pNetwork išleido pGala incidento analizę po įvykio iki lapkričio 2 d., 00 val.
Remiantis analizės ataskaita, lapkričio 1 d., 52:4, komanda pastebėjo konfigūracijos klaidą GALA pNetwork kryžminės grandinės tilte. Dėl netinkamos konfigūracijos BSC įdiegtos pGALA išmaniosios sutarties nuosavybės teisė buvo slapta perimta. Fondo fondas siekė 400,000 XNUMX JAV dolerių. Tuo metu išmaniosios sutarties nuosavybę gavęs užpuolikas jokių atakų neėmė.
Lapkričio 3 d. 11:4 pNetwork susisiekė su GalaGames, kad sustabdytų kryžminio grandininio tilto veiklą ir ištuštino pGALA/BNB PancakeSwap baseiną per baltos kepurės operaciją. Taip buvo bandoma BNB lėšas išlaikyti fonde, kad suvaldžius situaciją, lėšos būtų grąžintos visiems jo likvidumo tiekėjams.
Lapkričio 4 d. 13:4 pNetwork išleido papildomus 27,814,200,000 27,814,200,000 XNUMX XNUMX neužtikrintų pGALA, kad nutekėtų pGALA/BNB PancakeSwap baseinas. Vėliau buvo išduoti papildomi XNUMX XNUMX XNUMX XNUMX neužtikrintų pGALA žetonų.
Kaip minėta pirmiau, lapkričio 4 d., 28:4, „GalaGames“ ir „pNetwork“ paskelbė „Twitter“, nurodydami problemą, primindami bendruomenės vartotojams, kad jie nepirktų „Gala“ žetonų BNB grandinėje. Po to, kai atgrasymas buvo neveiksmingas, lapkričio 4 d., 29:4, pNetwork pasirinko toliau ištuštinti telkinį, kad apsaugotų vartotojus, patenkančius į pridėtą fondą, nuo galimų užpuolikų. Lapkričio 6 d., 16 valth, „GalaGames“ ir „pNetwork“ nusprendė sustabdyti srauto baseino ištuštinimą. Iki šiol pNetwork atgavo 12977BNB ištekėjimo baseine. Lapkričio 7 d., 03 val., „Huobi“ išjungė „Gala“ įkrovimo funkciją BNB grandinėje.
Remiantis pNetwork atskleista analizės ataskaita, pirmiau minėtas pGala sutarties įsilaužėlis be SlowMist žinios buvo oficialus pNetwork. „pNetwork“ papildomai išleido beverčius „pGala“ žetonus dėl netinkamos GALA „pNetwork“ kryžminės grandinės tilto konfigūracijos, dėl kurios rizika susidarė 400,000 XNUMX USD.
Haotianas, blokų grandinės saugumo specialistas, tviteryje paskelbė, kad pNetwork projekto komandai trūko sveiko proto DeFi saugumo atžvilgiu ir į ekosistemą įpurškė perteklinį likvidumą visiškai nepašalindamas galimų pavojų, o tai buvo pernelyg skubota ir neatsakinga. Vėliau nebuvo atsižvelgta į galimų viešai neatskleistų operacijų galimybę. Vietoj to, ji tarpininkavo tarp Huobi ir GALA, siekdama išsisukti nuo atsakomybės ir priskirti kaltę. Suprantama ir neperdėta sakyti, kad tai buvo kurstytojas.
Projekto „Gala“ šalis, kaip tiesiogiai susijusi šalis tarp pNetwork ir centralizuotos biržos, nesugebėjo tiksliai perteikti informacijos (GALA komanda patvirtino, kad „Binance“ uždarė GALA įnešimą ir išėmimą BNB tinkle, tačiau nepatvirtino, kad bus uždaryta įnešimas ir išėmimas su „Huobi Global“ prijungimo komanda). „pNetwork“ elgesys yra labai žalingas vartotojams, o tai rodo, kad „Gala“ komanda rimtai nežiūri į žetonų turėtojus.
Tuo pačiu metu vartotojai pradėjo kilnoti plytas arbitražui, kol „Huobi“ iki 3 valandų išjungė „Gala“ papildymą BNB grandinėje, o tai parodė, kad „Huobi“ platformos saugumo ir rizikos valdymo priemonės yra nepakankamos.
pNetwork ir Huobi kreipsis į teismą, Huobi žada sumokėti vartotojams 6 mln
Naujausias „pGala“ papildomos išdavimo incidentas įvairiais būdais paveikė bendruomenę. Kai kurie vartotojai gavo daug naudos iš arbitražo, o kiti patyrė nuostolių. Remiantis „Lookonchain“ duomenimis, „Smart Money“ adresas įsigijo 406 mln. GALA iš „PancakeSwap“ fondo už 120,380 20 USD 5.79 minučių po GALA atakos ir uždirbo atitinkamai 675,000 mln. USD ir XNUMX XNUMX USD iš „Huobi“ ir „Binance“. Tuomet kyla klausimas, į ką nukentėjusieji gali kreiptis patyrę finansinių nuostolių.
Spręsdamas šią problemą, Huobi paskelbė pareiškimą 6 m. lapkričio 2022 d. vakare. Pareiškime Huobi teigė, kad pNetwork elgesys buvo ne tariama baltos skrybėlės operacija, o kenkėjiška įsilaužėlių ataka, surengta siekiant pasipelnyti.
Pirma, Huobi teigė, kad nors pNetwork naudojo savo vienos linijos kontaktinį kanalą bendrauti su birža, tačiau pranešime nenurodyta, kad pNetwork ruošiasi atakuoti pažeidžiamumą, jau nekalbant apie tai, kad pNetwork išduos didelį kiekį 55.6 mlrd. GALA prieigos raktų. į rinką per 50 minučių. Šis veiksmas sukėlė rimtų pasekmių, nes nekalti vartotojai ir biržos patyrė didelių nuostolių.
Remiantis „Slowmist“ atlikta analize, anksčiau „pNetwork“ minėtą netinkamą kryžminio grandininio tilto konfigūraciją iš tikrųjų atliko privataus rakto, turinčio administracines teises pGALA tarpinio serverio sutartyje, kuri buvo nutekinta „Github“, savininkas, ir šis savininko adresas buvo prieš 70 dienų buvo piktybiškai pakeistas, todėl pGALA sutartis tapo pažeidžiama ir gali būti užpulta. pNetwork sąmoningai nuslėpė šį faktą nuo Huobi.
Be to, remiantis pNetwork paskelbta analizės ataskaita po įvykio, bendruomenei buvo viešai priminta nepirkti „Gala“ žetonų BNB tinkle. Konkrečiai, pNetwork komanda paprašė, kad vartotojai neperkeltų žetonų dėl arbitražo, pastebėję didelius kainų skirtumus tarp grandinės ir biržų.
Ar oportunistiniai investuotojai nepaisė „pNetwork“ priminimo ir ėmėsi arbitražo bei gražaus pelno? Jei pNetwork komanda būtų buvęs individualus investuotojas, ar jie būtų leidę pasinaudoti arbitražo galimybe?
Antra, Huobi mano, kad nėra įrodymų, kad kas nors pasinaudotų pNetwork pažeidžiamumu, kad pradėtų ataką, o pats pNetwork norėjo išnaudoti šį pažeidžiamumą siekdamas pelno. Pažeidžiamumas egzistavo 67 dienas, o tai buvo pakankamai laiko galimiems saugumo sprendimams įvertinti, tačiau pNetwork komanda nekantriai nusprendė per 50 minučių aktyviai išnaudoti pažeidžiamumą ir išleisti 55.6 mlrd.
Galbūt pNetwork komanda labai norėjo išspręsti problemą, tačiau kadangi prieš 67 dienas buvo aptiktas pažeidžiamumas, atakų nebuvo, komanda galėjo ramiai sugalvoti išsamesnį sprendimą, o ne tokį, kuris kelia pavojų rinkai. .
Be to, „Gala“ BNB grandinėje iš pradžių buvo įkeitimo atvaizdavimo ženklas. Remiantis ankstesne patirtimi, komanda gali visiškai pakeisti žetonų sutartį ir atmesti žetonų sutartį su rizika. Jei pNetwork's būtų aiškiai pasakęs apie savo ketinimus, bendruomenė būtų galėjusi suprasti ir pabrėžti. Nereikėjo spręsti problemos ištekinant likvidumo fondo turtą per papildomą emisiją – tai itin rizikinga ir rinkai žalinga akcija.
Trečia, Huobi mano, kad pNetwork argumentas, kad papildoma iki 55.6 milijardo žetonų emisija buvo skirta maždaug 400,000 XNUMX JAV dolerių vertės likvidumo fondui, kuriam iškilo pavojus būti užpultam, yra nepagrįstas. Huobi mano, kad pNetwork tikslas buvo pasipelnyti iš rinkos neramumų, kad pNetwork naudojo „baltosios kepurės ataką“ kaip priedangą vykdyti įsilaužimo atakas, kad išvengtų teisinių sankcijų.
Be to, oficialioje pNetwork analizės ataskaitoje buvo atskleista, kad 12,977 4.5 BNB (apie 16 mln. JAV dolerių) turto, kurį susigrąžino fondas, bus grąžinti neregistruotiems savininkams, kurie buvo įkeitę dpGALA, momentinė nuotrauka, padaryta lapkričio 00 d. 7. Atrodo, kad tokie veiksmai neatitinka teiginių, kad tai buvo baltos kepurės ataka.
Tačiau „pNetwork“ savo analizės ataskaitoje po įvykio paminėjo, kad iš viso du kartus buvo išduota 55.6 milijardo „Gala“ žetonų. Remiantis tuo metu 0.04 JAV dolerio GALA kaina, 55.6 milijardo Gala žetonų vertė siekė 2.2 milijardo JAV dolerių. „pNetwork's“ išleido papildomus „Gala“ žetonus, kurių vertė – 2.2 milijardo JAV dolerių likvidumo fondui, kurio galima rizika sieks 400,000 XNUMX USD. Bendruomenei būtų sunku suvokti tokio poelgio logiką. Be to, privatus papildomų žetonų išdavimo būdas neatitinka blokų grandinės dvasios.
Kalbant apie Huobi pareiškimą, pNetwork oficialiai tviteryje paskelbė, kad pasmerkė Huobi melagingus kaltinimus pNetwork ir imsis atitinkamų teisinių veiksmų, kad atremtų Huobi pretenzijas. „pNetwork“ teigė, kad yra įrodymų, patvirtinančių, kad jos veiksmai buvo atlikti sąžiningai, ir dėl visų veiksmų buvo iš anksto susitarta su „GalaGames“.
Atsakydamas į pNetwork atsakymą, Huobi papasakojo PANews, kad pNetwork atsakymas buvo klaidingas ir silpnas. Huobi paprieštaravo, kad pNetwork išnaudojo GALA žetonų spragą, išleisdamas daug žetonų, visiškai nuslėpė savo atakos elgesį nuo mainų ir susisiekė su birža tik per valandą. Per ataką, pasinaudojus sutarties spragas, buvo išduota 55.6 mlrd. Per šį laikotarpį biržai nebuvo suteikta laiko atsakyti, taip pat pNetwork su birža nepatvirtino, ar buvo imtasi atitinkamų priemonių turto saugumui užtikrinti. „Huobi Global“ pradėjo teisines procedūras ir ketina, kad „pNetwork“ prisiims teisinę atsakomybę už savo veiksmus.
Be to, 9 m. lapkričio 2022 d. vakarą Huobi pasaulinio patariamojo komiteto narys Justinas Sunas PANews surengtame TS renginyje „Įėjimas pilnaties, brolio Saulės darbo ataskaita“ sakė, kad GALA incidento metu atsigavo lėšų vertė apie 4 mln. JAV dolerių, kurios grįžo į grandinę.
6 mln. JAV dolerių lėšų bus nukreipta į oro lašelių kompensacijas nuostolius patyrusiems vartotojams, o likusios lėšos bus panaudotos PGALA žetonams atpirkti ir sunaikinti. Visa kompensacija iš pNetwork bus naudojama kompensuoti vartotojams, kurie patyrė nuostolių platformoje.
Apmąstymas: reikia stiprinti išankstinio įspėjimo saugos mechanizmus
Šį incidentą sukėlė pNetwork inžinieriai, palikę raktą sutartyje, o tai pakenkė saugumui. pNetwork nusprendė įveikti šią saugumo riziką, išleisdamas papildomus GALA žetonus, kad išeikvotų likvidumo fondą. Toks sprendimas buvo itin rizikingas, o dėl prastos komunikacijos Huobi laiku nesustabdė GALA indėlių ir išėmimų, o tai sukėlė didelio masto poveikį.
PNetwork ir Gala projektai yra daugiausia atsakingi už šį incidentą, dėl kurio neteko vartotojų ir sumažėjo pasitikėjimas bendruomene. pNetwork aiškiai žinojo, kad šis pažeidžiamumas egzistavo du mėnesius ir nebuvo išnaudotas, tačiau kruopščiai nesvarstė visapusiško sprendimo. Vietoj to ji pasirinko didelės rizikos sprendimą, kuris pažeidė blokų grandinės dvasią ir galėjo padaryti didelės žalos vartotojams. Būdama viešai neatskleista informacija, „Gala“ projekto šalis nusprendė aktyviai įgalinti šį didelės rizikos elgesį, užuot tyrinėjusi pagrindinę priežastį ir pateikusi perspektyvų sprendimą.
Tačiau saugumo reagavimo į ekstremalias situacijas ir rizikos valdymo sistemos Huobi platformoje buvo itin neveiksmingos. Matydami kainų skirtumą tinkle, bendruomenės vartotojai tikrai žinotų apie arbitražo galimybę. Kaip Huobi, kaip pirmosios pakopos birža, negalėjo žinoti?
Todėl, nors ryšys su pNetwork nebuvo efektyvus, Huobi būtų turėjęs pakankamai laiko sustabdyti įkrovimo funkciją, kad sumažintų paveiktų vartotojų skaičių.
Vartotojas, patyręs nuostolių, gali kreiptis tik į pNetwork – pagrindinę atsakingą šalį, kuri sukėlė incidentą, kad pasiektų sprendimą dėl nuostolių mažinimo. Tai saugumo krizė, kurią sukelia išmaniosios sutarties spraga, tačiau ji yra tinkamesnė nei bet kokia kodo spraga, ir „blockchain“ projekto šalys turėtų į tai atkreipti dėmesį.
Kaip sakė blokų grandinės saugumo specialistas Hao Tianas: Saugos įmonės, kurios specializuojasi ankstyvo įspėjimo ir saugumo incidentų aptikimo srityje, bendrai nedalyvavo šiame Gala renginyje. Saugumo auditai ir paslaugos gali patikrinti, ar nėra kodo defektų, tačiau sunku kovoti su galima „žmogaus sukeltos nelaimės“ krize, kurią sukelia pramonės ekologiniai dalyviai, trokštantys pasipelnyti iš greito pinigų.
Dėmesio: Tai pranešimas spaudai. Coinpedia nepatvirtina ir neatsako už jokį turinį, tikslumą, kokybę, reklamą, produktus ar kitą medžiagą šiame puslapyje. Prieš imdamiesi bet kokių su įmone susijusių veiksmų, skaitytojai turėtų patys atlikti tyrimą.
Šaltinis: https://coinpedia.org/press-release/with-an-additional-us2-billion-issued-for-us400000-who-will-take-responsibility-for-the-loss-of-users-in- šventinis incidentas/