Uroen av den unormale utstedelsen av pGALA av flerkjederutingsprotokollen pNetwork er ennå ikke over. Huobi skapte kontrovers i samfunnet fordi den endret GALA-tokenet til noen brukere identifisert som arbitrage-"ullfest" til pGALA. Hvem har rett og hvem tar feil i denne saken?
Uroen av den unormale utstedelsen av pGALA av flerkjederutingsprotokollen pNetwork er ennå ikke over. Huobi skapte kontrovers i det virtuelle aktivasamfunnet fordi det endret GALA for noen brukere identifisert som arbitrage "ullfest" til pGALA. Hvem har rett og hvem tar feil i denne saken?
Begivenhetsanmeldelse: pGALA utstedte flere dager, Huobi lukket ikke innløsningen og uttaket i tide
Klokken 4:00 den 4. november begynte det virtuelle aktivasamfunnet å spre nyheter om at kjedespillplattformen Gala Games token Gala (BNB-kjeden) hadde falt raskt og kraftig. Med opprinnelse fra flerkjederutingsprotokollen pNetwork ble pGALA-tokens verdt 1 milliard dollar preget ut av løse luften på BNB-kjeden og solgt på PancakeSwap. Dette førte til at Gala-tokenene på BNB-kjeden falt direkte fra 0.04 USD til 0.0000045 USD.
Deretter oppdaget fellesskapsbrukere at det var en enorm prisforskjell mellom Gala-tokenet på BNB-kjeden og den sentraliserte børsen, og de tilførte en stor mengde midler for å kjøpe Gala-tokenet på BNB-kjeden for å lade opp og selge det på BNB-kjeden. sentralisert utveksling. På det tidspunktet hadde Binance og andre børser suspendert Gala-oppladingen på BNB-kjeden, og Huobi-ladekanalen var fortsatt åpen. Brukeren fullførte arbitrasjen ved å flytte klosser gjennom Huobi, noe som førte til at gallaen på Huobi-børsen falt kraftig, fra 0.04 til 0.0003 dollar.
pNetwork tvitret klokken 4:28 den 4. november at pregingen av pGALA-tokens på over 1 milliard USD ut av løse luften var forårsaket av en feilkonfigurasjon av tverrkjedebroen. Den sa at pGALA-kontrakten på BNB-kjeden måtte distribueres på nytt, og den jobbet med Gala Games-teamet og PancakeSwap for å få kontosaldoen til pGALA-brukere, og gjenopprette innskudds- og uttaksfunksjonen. Etter at den nye kontrakten ble distribuert, ville nye pGALA-tokens bli luftdroppet i forholdet 1:1.
Basert på hva sikkerhetsteamet SlowMist observerte, hadde pGala kontraktshackere konvertert det meste av gallaen til 13,000 4.3 BNB, og ga en fortjeneste på mer enn 45 millioner dollar. På det tidspunktet hadde adressen fortsatt XNUMX milliarder Gala, men den ble ikke innkassert fordi fondsmassen i utgangspunktet var oppbrukt.
Fra kl. 9 den 00. november ga Huobi ut fem påfølgende kunngjøringer om fremdriften med å håndtere unormale hendelser på Gala-tokenkjeden. Kunngjøringen opplyste at Gala-tokens ville bli fjernet, og tidspunktet for ulykken vil bli bestemt som skillelinjen. Etter hendelsen vil kjøpsoperasjonen bli utført for brukere, plattformen vil gi nytt navn til de kjøpte Gala-eiendelene til PGALA (PGALA har ingenting å gjøre med det originale Gala-tokenet, det tilhører et meme-token). For de som hadde Gala-tokens før hendelsen, gikk Gala-prosjektpartiet med på å gi full kompensasjon i form av et 4:1 proporsjonalt luftfall av Gala på Ethereum-kjeden. Samtidig sa den at den vil fortsette å forhandle med relaterte prosjekter på vegne av brukere for å kompensere brukere for tap av eiendeler forårsaket av hendelsen.
Klokken 12:00 den 5. november sa Huobi at den ville gjenoppføre Gala- og pGala-tokens. For pGala-tokenet hadde Huobi satt opp en skatt- og avgiftsforbrenningsmekanisme, justert PGALA-spottransaksjonsgebyret til 1.2 % i begge retninger, og brukte alle gebyrinntektene til å gjenkjøpe og ødelegge pGala-tokens.
I følge pNetworks offisielle Twitter-kanal ble ingen informasjon gitt ut til fellesskapet på to dager, bortsett fra en kunngjøring som avslører de eksisterende problemene da hendelsen skjedde. Stilt overfor stadige spørsmål fra samfunnet, publiserte ikke pNetwork analysen etter hendelsen av pGala-hendelsen før klokken 2 den 00. november.
Ifølge analyserapporten, klokken 1:52 den 4. november, la teamet merke til en konfigurasjonsfeil i GALAs pNetwork cross-chain bridge. På grunn av en feilkonfigurasjon hadde eierskapet til pGALA smart-kontrakten som ble distribuert på BSC i hemmelighet blitt overtatt. Fondsmassen var på USD 400,000 XNUMX. På det tidspunktet startet ikke angriperen som fikk eierskapet til den smarte kontrakten noen angrep.
Klokken 3:11 den 4. november kontaktet pNetwork GalaGames for å stoppe broaktivitetene på tvers av kjeder, og tømte pGALA/BNB PancakeSwap-bassenget gjennom den hvite hatten. Dette var et forsøk på å holde BNB-midler i puljen, slik at midlene etter at situasjonen var under kontroll kunne tilbakeføres til alle sine likviditetstilbydere.
4:13 den 4. november utstedte pNetwork ytterligere 27,814,200,000 27,814,200,000 XNUMX XNUMX usikret pGALA for å tømme pGALA/BNB PancakeSwap-bassenget. Deretter ble ytterligere XNUMX XNUMX XNUMX XNUMX usikrede pGALA-tokens utstedt.
Som nevnt ovenfor, klokken 4:28 den 4. november, twitret GalaGames og pNetwork for å indikere problemet, og minnet brukere om å ikke kjøpe Gala-tokens på BNB-kjeden. Etter at frarådingen var ineffektiv, klokken 4:29 den 4. november, valgte pNetwork å fortsette å tømme bassenget for å beskytte brukere som strømmer inn i den ekstra fondpoolen fra potensielle angripere. Klokken 6:16 den 4. novemberth, GalaGames og pNetwork valgte å slutte å drenere strømningsbassenget. Så langt har pNetwork gjenvunnet 12977BNB i oppførselen til dreneringsbassenget. Klokken 7 den 03. november slo Huobi ned galla-oppladingsfunksjonen på BNB-kjeden.
I følge analyserapporten avslørt av pNetwork, var pGala-kontraktshackeren nevnt ovenfor uten kunnskap om SlowMist det offisielle pNetwork. pNetworks ekstra utstedelse av verdiløse pGala-tokens skyldtes en feilkonfigurasjon av GALAs pNetwork tverrkjedebro, som forårsaket en risikoeksponering på 400,000 XNUMX USD.
Haotian, en blokkjede-sikkerhetsutøver, twitret at pNetwork-prosjektteamet manglet sunn fornuft med hensyn til DeFi-sikkerhet, og injiserte overflødig likviditet i økosystemet uten å fullstendig eliminere potensielle farer, noe som var for forhastet og uansvarlig. I etterkant ble det ikke redegjort for muligheten for potensielle innsideoperasjoner. I stedet meklet det mellom Huobi og GALA for å unndra seg ansvaret og tildele skylden. Det er forståelig og ikke en overdrivelse å si at det var pådriveren.
Gala-prosjektparten, som den direkte relaterte parten mellom pNetwork og den sentraliserte børsen, klarte ikke å formidle informasjonen nøyaktig (GALA-teamet bekreftet at Binance stengte innskuddet og uttaket av GALA på BNB-kjeden, men bekreftet ikke stengingen av innskudd og uttak med docking-teamet til Huobi Global). pNetworks oppførsel er ekstremt skadelig for brukerne, noe som viser at Gala-teamet ikke tar token-innehavere på alvor.
Samtidig begynte brukerne å flytte klosser for arbitrasje inntil Huobi stengte Gala-oppladingen på BNB-kjeden i opptil 3 timer, noe som viste at sikkerhets- og risikostyringstiltakene til Huobi-plattformen er utilstrekkelige.
pNetwork og Huobi for å gå til retten, lover Huobi å betale brukerne 6 millioner dollar
Den siste pGala-tilleggsutstedelsen påvirket samfunnet på forskjellige måter. Noen brukere tjente godt via arbitrage, mens andre led tap. I følge data på Lookonchain kjøpte en Smart Money-adresse 406 millioner GALA fra PancakeSwap-poolen for USD 120,380 20 5.79 minutter etter GALA-angrepet, og tjente USD 675,000 millioner og USD XNUMX XNUMX fra henholdsvis Huobi og Binance. Spørsmålet oppstår da hvem ofre kan henvende seg til ved økonomiske tap.
Huobi tok opp dette problemet og ga ut en uttalelse om kvelden 6. november 2022. I uttalelsen uttalte Huobi at pNetworks oppførsel ikke var den påståtte hvite hatt-operasjonen den hevdet å være, men et ondsinnet hackerangrep utført for profitt.
For det første uttalte Huobi at mens pNetwork brukte sin egen enkeltlinjekontaktkanal for å kommunisere med sentralen, men meldingen indikerte ikke at pNetwork forberedte seg på å angripe sårbarheter, enn si at pNetwork ville utstede et stort beløp på 55.6 milliarder GALA-tokens inn i markedet i løpet av 50 minutter. Denne handlingen resulterte i alvorlige konsekvenser, ettersom uskyldige brukere og børser led store tap.
I følge analyse fra Slowmist ble feilkonfigurasjonen av tverrkjedebroen nevnt av pNetwork ovenfor faktisk utført av eieren av den private nøkkelen med administrative rettigheter for pGALA proxy-kontrakten som hadde blitt lekket på Github, og denne eieradressen var blitt ondsinnet erstattet for 70 dager siden, noe som resulterte i at pGALA-kontrakten er sårbar og risikerer å bli angrepet. pNetwork hadde bevisst skjult dette faktum for Huobi.
I tillegg, ifølge analyserapporten etter hendelsen utgitt av pNetwork, hadde fellesskapet blitt offentlig påminnet om ikke å kjøpe Gala-tokens på BNB-kjeden. Spesielt hadde pNetwork-teamet bedt om at brukere ikke skulle flytte tokens for arbitrasje ved å observere de store prisforskjellene mellom kjeden og børsene.
Hadde opportunistiske investorer ignorert pNetworks påminnelse og grepet endringen til arbitrage og profitt pent? Hadde pNetwork-teamet vært en individuell investor, ville de ha latt arbitrasjemuligheten passere?
For det andre mener Huobi at det ikke er bevis for at noen ville utnytte sårbarheten i pNetwork for å starte et angrep, og det var pNetwork selv SOM var ivrig etter å utnytte denne sårbarheten for profitt. Sårbarheten har eksistert i 67 dager, noe som var tilstrekkelig tid til å evaluere potensielle sikkerhetsløsninger, men pNetwork-teamet hadde ivrig valgt å aktivt utnytte sårbarheten innen 50 minutter og utstede 55.6 milliarder tokens for å tømme likviditetspoolen.
pNetwork-teamet kan ha vært ivrige etter å løse problemet, men fordi det ikke hadde vært noen angrep siden sårbarheten ble oppdaget for 67 dager siden, kunne teamet rolig ha kommet opp med en mer omfattende løsning i stedet for en som satt markedet i fare .
Dessuten var Gala på BNB-kjeden opprinnelig et symbol for pantekartlegging. Ifølge tidligere erfaring kan teamet erstatte token-kontrakten fullstendig og forkaste token-kontrakten med risiko. Skulle pNetwork's ha vært åpen om intensjonene sine, ville samfunnet ha vært i stand til å forstå og understreke. Det var ikke nødvendig å løse problemet ved å tømme eiendelene i likviditetspoolen gjennom ytterligere utstedelser – en handling som er ekstremt risikabel og skadelig for markedet.
For det tredje mener Huobi at pNetworks argument om at tilleggsutstedelsen på opptil 55.6 milliarder tokens var å dømme en likviditetspool verdt rundt 400,000 XNUMX USD som var i fare for å bli angrepet, er grunnløs. Huobi mener at pNetworks intensjon var å tjene på markedsturbulens, at pNetwork brukte "white hat attack" som et dekke for å utføre hackingangrep for å unngå juridiske sanksjoner.
Videre avslørte pNetworks offisielle analyserapport at 12,977 4.5 BNB (verdt ca. USD 16 millioner) i eiendeler som gjenvinnes av poolen ville bli returnert til de ikke-inkorporerte eierne som hadde pantsatt dpGALA, i et øyeblikksbilde som ble tatt kl. 00:7 2022. november, XNUMX. Slike handlinger ser ikke ut til å samsvare med påstander om at det hadde vært et hvithatt-angrep.
Imidlertid nevnte pNetwork i sin analyserapport etter hendelsen at totalt 55.6 milliarder Gala-tokens hadde blitt utstedt to ganger. I følge GALA-prisen på 0.04 USD på det tidspunktet var 55.6 milliarder Gala-tokens verdt 2.2 milliarder USD. pNetwork's hadde utstedt ytterligere Gala-tokens verdt USD 2.2 milliarder for en likviditetspool med en potensiell risiko på USD 400,000 XNUMX. Det ville være vanskelig for samfunnet å forstå logikken bak en slik handling. Dessuten er metoden for privat utstedelse av ytterligere tokens ikke i tråd med blokkjedens ånd.
Når det gjelder Huobis uttalelse, tvitret pNetwork offisielt at det fordømte Huobis falske anklager mot pNetwork og ville iverksette passende rettslige skritt for å imøtegå Huobis påstander. pNetwork sa at det er bevis som beviser at dets handlinger ble utført i god tro, og at alle handlinger var avtalt med GalaGames på forhånd.
Som svar på pNetworks svar sa Huobi til PANews at pNetworks svar var falskt og svakt av natur. Huobi motarbeidet at pNetwork hadde utnyttet GALA-token-smutthullet ved å utstede et stort antall tokens, fullstendig skjult sin angrepsatferd fra sentralen og bare hadde kontaktet sentralen i løpet av en time. Under angrepet hadde 55.6 milliarder tokens blitt utstedt ved å utnytte smutthull i kontrakten. I løpet av denne perioden fikk ikke børsen noe tid til å svare, og pNetwork bekreftet heller ikke overfor børsen om relevante tiltak var iverksatt for å sikre aktivasikkerhet. Huobi Global har satt i gang juridiske prosedyrer og har til hensikt at pNetwork skal bære juridisk ansvar for sine handlinger.
I tillegg, på kvelden 9. november 2022, sa Justin Sun, et medlem av Huobi Global Advisory Committee, i TS-arrangementet «Entry Full Moon, Brother Suns arbeidsrapport» holdt av PANews at under GALA-hendelsen, midler var verdt rundt 4 millioner dollar, som hadde returnert på kjeden.
USD 6 millioner i midler vil bli rettet mot airdrop-kompensasjon til brukere som har lidd tap, og de resterende midlene vil bli brukt til å gjenkjøpe og ødelegge PGALA-tokens. All kompensasjon fra pNetwork vil bli brukt til å kompensere brukere som har lidd tap på plattformen.
Refleksjon: Sikkerhetsmekanismer for tidlig varsling må styrkes
Denne hendelsen ble forårsaket av at pNetwork-ingeniører forlot nøkkelen i kontrakten, noe som kompromitterte sikkerheten. pNetwork valgte å overvinne denne sikkerhetsrisikoen ved å utstede ytterligere GALA-tokens for å tømme likviditetspoolen. En slik løsning var ekstremt risikabel, og på grunn av dårlig kommunikasjon stengte ikke Huobi innskudd og uttak av GALA i tide, noe som forårsaket en storstilt innvirkning.
pNetwork- og Gala-prosjektene er hovedansvarlige for denne hendelsen, som førte til tap av brukere og en erosjon av tilliten til samfunnet. pNetwork var tydelig klar over at denne sårbarheten hadde eksistert i to måneder og ikke hadde blitt utnyttet, men vurderte ikke nøye en omfattende løsning. I stedet valgte den en høyrisikoløsning som krenket blokkjedens ånd og sannsynligvis ville forårsake storskader for brukerne. Som innsider valgte Gala-prosjektpartiet å aktivt aktivere denne høyrisikoatferden i stedet for å undersøke grunnårsaken og gi en levedyktig løsning.
Imidlertid var sikkerhetsberedskapen og risikokontrollsystemene på Huobi-plattformen ekstremt ineffektive. Når man ser prisforskjellen på kjeden, vil brukere i samfunnet definitivt være klar over arbitrasjemuligheten. Hvordan kunne Huobi, som en førstelagsbørs, ikke vite det?
Derfor, selv om kommunikasjonen med pNetwork ikke var effektiv, ville Huobi hatt nok tid til å stoppe ladefunksjonen for å redusere antallet berørte brukere.
En bruker som har lidd tap kan kun henvende seg til pNetwork, hovedansvarlig part som kickstartet hendelsen, for å finne en løsning angående tapsreduksjon. Dette er en sikkerhetskrise forårsaket av et smutthull i den smarte kontrakten, men det er mer relevant enn noe kodesmutthull, og blokkjedeprosjektparter bør ta hensyn til det.
Som Hao Tian, en blokkjede-sikkerhetsutøver, sa: Sikkerhetsselskaper som spesialiserer seg på tidlige advarsler og oppdagelser i sikkerhetshendelser var kollektivt fraværende fra denne galla-arrangementet. Sikkerhetsrevisjoner og tjenester kan se etter kodedefekter, men det er vanskelig å kjempe mot den potensielle «menneskeskapte katastrofen»-krisen skapt av industriens økologiske deltakere som er ivrige etter å tjene på en rask penge.
Ansvarsfraskrivelse: Dette er en pressemelding. Coinpedia støtter eller er ikke ansvarlig for noe innhold, nøyaktighet, kvalitet, reklame, produkter eller annet materiale på denne siden. Lesere bør gjøre sine egne undersøkelser før de tar noen handlinger relatert til selskapet.
Kilde: https://coinpedia.org/press-release/with-an-additional-us2-billion-issued-for-us400000-who-will-take-responsibility-for-the-loss-of-users-in- gallahendelsen/