Previranja abnormalnog izdavanja pGALA putem višelančanog protokola za usmjeravanje pNetwork još nisu završila. Huobi je izazvao polemiku u zajednici jer je promijenio GALA token nekih korisnika koji su identificirani kao arbitražna "strana vune" u pGALA. Tko je tu u pravu, a tko u krivu?
Previranja abnormalnog izdavanja pGALA putem višelančanog protokola za usmjeravanje pNetwork još nisu završila. Huobi je izazvao kontroverzu u zajednici virtualne imovine jer je promijenio GALA-u nekih korisnika koji su identificirani kao arbitražna "stranka vune" u pGALA-u. Tko je tu u pravu, a tko u krivu?
Pregled događaja: pGALA je izdala više dana, Huobi nije na vrijeme zatvorio otkup i povlačenje
U 4:00 4. studenog zajednica virtualnih sredstava počela je širiti vijest da je lančana platforma za igre Gala Games token Gala (BNB lanac) brzo i naglo pala. Potječući iz višelančanog protokola za usmjeravanje pNetwork, pGALA tokeni u vrijednosti više od 1 milijarde USD iskovani su iz ničega u lancu BNB i prodani na PancakeSwapu. To je uzrokovalo izravni pad Gala tokena u BNB lancu s 0.04 USD na 0.0000045 USD.
Naknadno su korisnici zajednice otkrili da postoji ogromna razlika u cijeni između Gala tokena na BNB lancu i centralizirane mjenjačnice, te su uložili veliku količinu sredstava za kupnju Gala tokena na BNB lancu kako bi ga napunili i prodali na centralizirana razmjena. U to su vrijeme Binance i druge mjenjačnice obustavile Gala nadoplatu na BNB lancu, a Huobi kanal za nadoplatu još uvijek je bio otvoren. Korisnik je dovršio arbitražu pomicanjem kockica kroz Huobi, uzrokujući nagli pad Gala na Huobi burzi, s 0.04 USD na 0.0003 USD.
pNetwork je 4. studenog u 28:4 tweetao da je kovanje pGALA tokena koji premašuju milijardu američkih dolara iz ničega izazvano pogrešnom konfiguracijom križnog lančanog mosta. Rekao je da pGALA ugovor na BNB lancu treba ponovno implementirati i da radi s Gala Games timom i PancakeSwapom kako bi dobio stanje na računu pGALA korisnika i vratio funkciju depozita i isplate. Nakon implementacije novog ugovora, novi pGALA tokeni bit će ispušteni u omjeru 1:1.
Na temelju onoga što je primijetio sigurnosni tim SlowMist, pGala ugovorni hakeri pretvorili su većinu Gala u 13,000 BNB, ostvarivši profit od više od 4.3 milijuna USD. U to je vrijeme na adresi još uvijek bilo 45 milijardi Gala, ali nije unovčeno jer je fond fondova u osnovi bio iscrpljen.
Od 9:00 4. studenog, Huobi je objavio pet uzastopnih najava o napretku rukovanja abnormalnim događajima na lancu Gala tokena. U priopćenju je navedeno da će Gala tokeni biti uklonjeni s liste, a vremenski čvor nesreće bit će određen kao crta razdvajanja. Nakon incidenta, operacija kupnje će se izvršiti za korisnike, platforma će preimenovati kupljenu Gala imovinu u PGALA (PGALA nema nikakve veze s originalnim Gala tokenom, on pripada meme tokenu). Za one koji su držali Gala tokene prije incidenta, strana Gala projekta pristala je dati punu kompenzaciju u obliku 1:1 proporcionalnog airdrop-a Gala na Ethereum lanac. Istodobno je rečeno da će nastaviti pregovarati s povezanim projektima u ime korisnika kako bi korisnicima nadoknadili gubitke imovine uzrokovane incidentom.
U 12:00 5. studenog, Huobi je rekao da će ponovno izlistati Gala i pGala tokene. Za pGala token, Huobi je postavio mehanizam za spaljivanje poreza i naknada, prilagodio PGALA spot transakcijsku naknadu na 1.2% u oba smjera i iskoristio sav prihod od naknada za ponovnu kupnju i uništavanje pGala tokena.
Prema službenom Twitter kanalu pNetwork-a, dva dana zajednici nije objavljena nikakva informacija, osim objave koja otkriva postojeće probleme kada se incident dogodio. Suočen sa stalnim pitanjima zajednice, pNetwork je objavio analizu incidenta pGala nakon događaja tek u 2:00 6. studenog.
Prema izvješću o analizi, u 1:52 4. studenog, tim je primijetio pogrešku konfiguracije u GALA-inom pNetwork cross-chain mostu. Zbog pogrešne konfiguracije, tajno je preuzeto vlasništvo nad pametnim ugovorom pGALA raspoređenim na BSC-u. Fond je iznosio 400,000 američkih dolara. U to vrijeme napadač koji je dobio vlasništvo nad pametnim ugovorom nije pokrenuo nikakve napade.
U 3:11 4. studenog, pNetwork je kontaktirao GalaGames kako bi obustavio aktivnosti premošćivanja između lanaca i ispraznio pGALA/BNB PancakeSwap pool kroz operaciju bijelog šešira. Ovo je bio pokušaj da se sredstva BNB-a zadrže u bazenu, kako bi se nakon što se situacija stavi pod kontrolu sredstva vratila svim svojim pružateljima likvidnosti.
U 4:13 4. studenog, pNetwork je izdao dodatnih 27,814,200,000 neosiguranih pGALA kako bi ispraznio pGALA/BNB PancakeSwap pool. Naknadno je izdano dodatnih 27,814,200,000 neosiguranih pGALA tokena.
Kao što je gore spomenuto, u 4:28 4. studenog, GalaGames i pNetwork objavili su tweet kako bi ukazali na problem, podsjećajući korisnike zajednice da ne kupuju Gala tokene na BNB lancu. Nakon što je odvraćanje bilo neučinkovito, u 4:29 4. studenog, pNetwork je odlučio nastaviti s pražnjenjem bazena kako bi zaštitio korisnike koji ulaze u dodatni fond fondova od potencijalnih napadača. U 6:16 4. studenogth, GalaGames i pNetwork odlučili su zaustaviti pražnjenje protoka. Do sada je pNetwork povratio 12977BNB u ponašanju pražnjenja bazena. U 7:03 4. studenog, Huobi je isključio funkciju Gala dopune na BNB lancu.
Prema izvješću o analizi koje je otkrio pNetwork, gore spomenuti pGala haker bez znanja SlowMista bio je službeni pNetwork. Dodatno izdavanje bezvrijednih pGala tokena od strane pNetworka bilo je zbog pogrešne konfiguracije GALA-inog pNetwork cross-chain mosta, što je uzrokovalo izloženost riziku od 400,000 USD.
Haotian, stručnjak za sigurnost blockchaina, tweetao je da projektnom timu pNetwork nedostaje zdravog razuma u pogledu sigurnosti DeFi-ja i da su ubrizgali višak likvidnosti u ekosustav bez potpunog uklanjanja potencijalnih opasnosti, što je bilo prenagljeno i neodgovorno. Nakon toga, mogućnost potencijalnih insajderskih operacija nije uzeta u obzir. Umjesto toga, posredovao je između Huobija i GALA-e kako bi izbjegao odgovornost i pripisao krivnju. Razumljivo je i nije pretjerano reći da je to bio poticatelj.
Projektna strana Gala, kao izravno povezana strana između pNetworka i centralizirane mjenjačnice, nije uspjela točno prenijeti informacije (GALA tim je potvrdio da je Binance zatvorio depozit i isplatu GALA na BNB lancu, ali nije potvrdio zatvaranje polog i isplata s docking timom Huobi Globala). Ponašanje pNetworka izrazito je štetno za korisnike, što pokazuje da Gala tim ne shvaća za ozbiljno vlasnike tokena.
U isto vrijeme, korisnici su počeli premještati cigle za arbitražu sve dok Huobi nije zatvorio Gala recharge na BNB lancu na do 3 sata, što je pokazalo da mjere sigurnosti i upravljanja rizicima Huobi platforme nisu dovoljne.
pNetwork i Huobi idu na sud, Huobi obećava isplatiti korisnicima 6 milijuna dolara
Posljednji incident s dodatnim izdavanjem pGala utjecao je na zajednicu na razne načine. Neki su korisnici putem arbitraže dobro zaradili, dok su drugi pretrpjeli gubitke. Prema podacima na Lookonchainu, adresa Smart Money kupila je 406 milijuna GALA iz PancakeSwap poola za 120,380 USD 20 minuta nakon napada na GALA, te zaradila 5.79 milijuna USD i 675,000 USD od Huobija i Binancea. Postavlja se pitanje kome se žrtve mogu obratiti u slučaju financijskih gubitaka.
Rešavajući ovaj problem, Huobi je izdao priopćenje navečer 6. studenog 2022. U priopćenju je Huobi naveo da ponašanje pNetworka nije navodna operacija bijelog šešira za koju se tvrdi da jest, već zlonamjerni hakerski napad izveden radi zarade.
Prvo, Huobi je izjavio da iako je pNetwork koristio vlastiti jednolinijski kontaktni kanal za komunikaciju s burzom, ali poruka ne pokazuje da se pNetwork priprema za napad na ranjivosti, a kamoli da će pNetwork izdati veliku količinu od 55.6 milijardi GALA tokena na tržište u roku od 50 minuta. Ova je akcija rezultirala ozbiljnim posljedicama jer su nevini korisnici i burze pretrpjeli velike gubitke.
Prema analizi Slowmista, pogrešnu konfiguraciju međulančanog mosta koju je gore spomenuo pNetwork zapravo je izveo vlasnik privatnog ključa s administrativnim pravima za pGALA proxy ugovor koji je procurio na Githubu, a ova adresa vlasnika bila je zlonamjerno zamijenjen prije 70 dana, što je rezultiralo time da je pGALA ugovor ranjiv i u opasnosti od napada. pNetwork je namjerno tajio ovu činjenicu od Huobija.
Osim toga, prema izvješću o analizi nakon događaja koje je objavio pNetwork, zajednica je javno podsjetila da ne kupuje Gala tokene na BNB lancu. Konkretno, pNetwork tim je zatražio da korisnici ne premještaju tokene za arbitražu nakon što su uočili velike razlike u cijenama između lanca i burzi.
Jesu li oportunistički ulagači ignorirali pNetworkov podsjetnik i iskoristili promjenu za arbitražu i dobro zaradili? Da je pNetwork tim bio pojedinačni investitor, bi li propustili priliku za arbitražu?
Kao drugo, Huobi vjeruje da nema dokaza da bi itko iskoristio ranjivost u pNetworku za pokretanje napada, a sama pNetwork je bila TAJ koji je želio iskoristiti ovu ranjivost za zaradu. Ranjivost je postojala 67 dana, što je bilo dovoljno vremena za procjenu potencijalnih sigurnosnih rješenja, ali pNetwork tim je revnosno odlučio aktivno iskoristiti ranjivost u roku od 50 minuta i izdati 55.6 milijardi tokena za ispuštanje likvidnosti.
Tim pNetworka možda je jedva čekao riješiti problem, ali budući da nije bilo napada otkako je ranjivost otkrivena prije 67 dana, tim je mogao mirno smisliti sveobuhvatnije rješenje umjesto onog koje je tržište dovelo u opasnost .
Štoviše, Gala na BNB lancu izvorno je bila token za mapiranje zaloga. Prema prošlom iskustvu, tim može u potpunosti zamijeniti token ugovor i odbaciti token ugovor s rizicima. Da je pNetwork's bio transparentan u pogledu svojih namjera, zajednica bi to mogla razumjeti i naglasiti. Problem nije bilo potrebno rješavati ispuštanjem sredstava iz fonda likvidnosti dodatnom emisijom – radnjom koja je iznimno rizična i štetna za tržište.
Treće, Huobi vjeruje da je argument pNetworka da je dodatno izdavanje do 55.6 milijardi tokena bilo za arbitriranje fonda likvidnosti vrijednog oko 400,000 američkih dolara koji je bio u opasnosti od napada neutemeljen. Huobi vjeruje da je namjera pNetwork-a bila profitirati na tržišnim turbulencijama, da je pNetwork koristio "white hat attack" kao krinku za izvođenje hakerskih napada kako bi izbjegao pravne sankcije.
Nadalje, službeno izvješće o analizi pNetworka otkrilo je da će 12,977 BNB (vrijednosti oko 4.5 milijuna USD) u imovini vraćenoj skupom biti vraćeno neinkorporiranim nositeljima koji su založili dpGALA, u snimci koja je snimljena u 16:00 7. studenog, 2022. Čini se da takve akcije ne odgovaraju tvrdnjama da se radilo o napadu bijelog šešira.
Međutim, pNetwork je u svom izvješću o analizi nakon događaja spomenuo da je ukupno 55.6 milijardi Gala tokena izdano dva puta. Prema GALA cijeni od 0.04 USD u tom trenutku, 55.6 milijardi Gala tokena vrijedilo je 2.2 milijarde USD. pNetwork's je izdao dodatne Gala tokene u vrijednosti od 2.2 milijarde USD za fond likvidnosti s potencijalnim rizikom od 400,000 USD. Zajednici bi bilo teško shvatiti logiku iza takvog postupka. Štoviše, metoda privatnog izdavanja dodatnih tokena nije u skladu s duhom blockchaina.
Povodom Huobijeve izjave, pNetwork je službeno tweetao da osuđuje Huobijeve lažne optužbe protiv pNetworka i da će poduzeti odgovarajuće pravne radnje kako bi se suprotstavio Huobijevim tvrdnjama. pNetwork je priopćio da postoje dokazi koji potvrđuju da su njegovi postupci provedeni u dobroj vjeri, a sve su radnje bile unaprijed dogovorene s GalaGamesom.
Kao odgovor na odgovor pNetworka, Huobi je za PANews rekao da je odgovor pNetworka bio lažan i slab po prirodi. Huobi je uzvratio da je pNetwork iskoristio rupu u zakonu GALA tokena izdavanjem velikog broja tokena, potpuno sakrio svoje napadno ponašanje od razmjene i da je kontaktirao razmjenu samo u roku od sat vremena. Tijekom napada, iskorištavanjem rupa u ugovoru izdano je 55.6 milijardi tokena. Tijekom tog razdoblja burza nije imala vremena za odgovor, niti je pNetwork s burzom potvrdio jesu li poduzete relevantne mjere za osiguranje sigurnosti imovine. Huobi Global pokrenuo je pravne postupke i namjerava da pNetwork snosi pravnu odgovornost za svoje postupke.
Osim toga, navečer 9. studenog 2022., Justin Sun, član Huobi Globalnog savjetodavnog odbora, rekao je u TS događaju “Entry Full Moon, Brother Sun's Work Report” koji je održao PANews da se tijekom GALA incidenta oporavio sredstva su bila vrijedna oko 4 milijuna američkih dolara, koja su se vratila u lancu.
Sredstva od 6 milijuna američkih dolara bit će usmjerena na kompenzaciju za airdrop korisnicima koji su pretrpjeli gubitke, a preostala sredstva iskoristit će se za ponovnu kupnju i uništavanje PGALA tokena. Sva naknada od pNetwork-a koristit će se za kompenzaciju korisnicima koji su pretrpjeli gubitke na platformi.
Razmatranje: potrebno je ojačati sigurnosne mehanizme ranog upozoravanja
Ovaj incident izazvali su inženjeri pNetworka koji su ostavili ključ u ugovoru, što je ugrozilo sigurnost. pNetwork je odlučio prevladati ovaj sigurnosni rizik izdavanjem dodatnih GALA tokena za iscrpljivanje fonda likvidnosti. Takvo rješenje bilo je izuzetno rizično, a zbog loše komunikacije Huobi nije na vrijeme zatvorio uplate i isplate GALA-e, što je izazvalo veliki udar.
Projekti pNetwork i Gala glavni su odgovorni za ovaj incident, koji je doveo do gubitaka korisnika i erozije povjerenja u zajednici. pNetwork je očito bio svjestan da ova ranjivost postoji već dva mjeseca i nije iskorištena, ali nije pažljivo razmatrao sveobuhvatno rješenje. Umjesto toga, odabrao je visokorizično rješenje koje je kršilo duh lanca blokova i vjerojatno je prouzročilo veliku štetu korisnicima. Kao insajder, stranka Gala projekta odlučila je aktivno omogućiti ovo visokorizično ponašanje umjesto da istraži glavni uzrok i ponudi održivo rješenje.
Međutim, sigurnosni sustavi hitnog odgovora i kontrole rizika na platformi Huobi bili su krajnje neučinkoviti. Kada bi vidjeli razliku u cijeni u lancu, korisnici u zajednici bi definitivno bili svjesni mogućnosti arbitraže. Kako Huobi, kao prvorazredna mjenjačnica, nije mogao znati?
Stoga, iako komunikacija s pNetworkom nije bila učinkovita, Huobi bi imao dovoljno vremena da zaustavi funkciju dopune kako bi smanjio broj pogođenih korisnika.
Korisnik koji je pretrpio gubitke može se obratiti samo pNetworku, glavnoj odgovornoj strani koja je pokrenula incident, kako bi se došlo do rješenja za smanjenje gubitaka. Ovo je sigurnosna kriza uzrokovana rupom u pametnom ugovoru, ali je važnija od bilo koje rupe u kodu i strane u blockchain projektu trebaju obratiti pozornost na nju.
Kao što je Hao Tian, stručnjak za sigurnost blockchaina, rekao: Sigurnosne tvrtke koje su specijalizirane za rana upozorenja i otkrivanje sigurnosnih incidenata kolektivno su bile odsutne s ovog Gala događaja. Sigurnosne revizije i usluge mogu provjeriti nedostatke u kodu, ali teško je boriti se protiv potencijalne krize "katastrofe izazvane čovjekom" koju stvaraju ekološki sudionici u industriji željni profita od brze zarade.
Odricanje: Ovo je objava za javnost. Coinpedia ne podržava niti je odgovorna za bilo kakav sadržaj, točnost, kvalitetu, oglašavanje, proizvode ili druge materijale na ovoj stranici. Čitatelji bi trebali sami istražiti prije nego poduzmu bilo kakve radnje u vezi s tvrtkom.
Izvor: https://coinpedia.org/press-release/with-an-additional-us2-billion-issued-for-us400000-who-will-take-responsibility-for-the-loss-of-users-in- gala-incident/