Previranja oko abnormalnog izdavanja pGALA protokola pNetwork višelančanog rutiranja još nisu završena. Huobi je stvorio kontroverzu u zajednici jer je promijenio GALA token nekih korisnika koji su identificirani kao arbitražna “wool party” u pGALA. Samo ko je u pravu, a ko u krivu po ovom pitanju?
Previranja oko abnormalnog izdavanja pGALA protokola pNetwork višelančanog rutiranja još nisu završena. Huobi je stvorio kontroverzu u zajednici virtuelnih sredstava jer je promijenio GALA-u nekih korisnika koji su identificirani kao arbitražna „vuna partija“ u pGALA. Samo ko je u pravu, a ko u krivu po ovom pitanju?
Pregled događaja: pGALA je izdala više dana, Huobi nije na vrijeme zatvorio otkup i povlačenje
U 4:00 4. novembra, zajednica virtuelnih sredstava počela je širiti vijesti da je lančana platforma za igre Gala Games token Gala (BNB lanac) brzo i naglo pala. Potičući od pNetwork protokola za višelančano rutiranje, pGALA tokeni vrijedni više od milijardu američkih dolara iskovani su iz ničega u lancu BNB i prodati na PancakeSwap. Ovo je uzrokovalo da su Gala tokeni u lancu BNB direktno pali sa 1 USD na 0.04 USD.
Nakon toga, korisnici zajednice otkrili su da postoji ogromna razlika u cijeni između Gala tokena u lancu BNB i centralizirane berze, te su uložili veliku količinu sredstava da kupe Gala token u lancu BNB kako bi ga dopunili i prodali na centralizovana razmena. U to vrijeme, Binance i druge berze su suspendovale Gala dopunu u lancu BNB-a, a Huobi kanal dopune je još uvek bio otvoren. Korisnik je završio arbitražu pomicanjem cigli kroz Huobi, uzrokujući nagli pad Gala na berzi Huobi, sa 0.04 USD na 0.0003 USD.
pNetwork je 4. novembra u 28:4 tvitovao da je kovanje pGALA tokena koji premašuju milijardu američkih dolara iz ničega uzrokovano pogrešnom konfiguracijom mosta unakrsnog lanca. Rečeno je da pGALA ugovor u lancu BNB-a treba ponovo da se rasporedi, a radi se sa Gala Games timom i PancakeSwapom kako bi se došlo do stanja računa korisnika pGALA-e i povratila funkciju depozita i povlačenja. Nakon što je novi ugovor raspoređen, novi pGALA tokeni bi bili ispušteni u omjeru 1:1.
Na osnovu onoga što je bezbednosni tim SlowMist primetio, hakeri na pGala ugovoru su pretvorili većinu Gala u 13,000 BNB, ostvarivši profit od više od 4.3 miliona USD. U to vrijeme na adresi je još uvijek bilo 45 milijardi Gala, ali nije unovčeno jer je fond fonda u osnovi iscrpljen.
Od 9:00 4. novembra, Huobi je objavio pet uzastopnih objava o napretku rukovanja nenormalnim događajima u lancu tokena Gala. U saopštenju se navodi da će Gala tokeni biti uklonjeni sa liste, a kao linija razdvajanja biće određen vremenski čvor nesreće. Nakon incidenta, operacija kupovine će se izvršiti za korisnike, platforma će preimenovati kupljenu Gala imovinu u PGALA (PGALA nema nikakve veze s originalnim Gala tokenom, pripada meme tokenu). Za one koji su držali Gala tokene prije incidenta, Gala projektna stranka se složila da napravi punu kompenzaciju u obliku 1:1 proporcionalnog ispuštanja Gala u lancu Ethereum. Istovremeno je rečeno da će nastaviti pregovarati sa srodnim projektima u ime korisnika kako bi korisnicima nadoknadili gubitke imovine uzrokovane incidentom.
U 12:00 5. novembra, Huobi je rekao da će ponovo staviti na listu Gala i pGala tokene. Za pGala token, Huobi je postavio mehanizam za sažimanje poreza i naknada, prilagodio PGALA spot naknadu za transakciju na 1.2% u oba smjera i iskoristio sav prihod od naknada za ponovnu kupovinu i uništavanje pGala tokena.
Prema zvaničnom Twitter kanalu pNetwork-a, dva dana nije objavljena nikakva informacija zajednici, osim najave u kojoj se otkrivaju postojeći problemi kada se incident dogodio. Suočen sa stalnim pitanjima zajednice, pNetwork nije objavio analizu incidenta pGala nakon događaja do 2:00 6. novembra.
Prema izvještaju analize, u 1:52 4. novembra, tim je primijetio grešku u konfiguraciji u GALA-inom pNetwork cross-chain mostu. Zbog pogrešne konfiguracije, tajno je preuzeto vlasništvo nad pGALA pametnim ugovorom koji je raspoređen na BSC-u. Fond fondova iznosio je 400,000 USD. Tada napadač koji je dobio vlasništvo nad pametnim ugovorom nije pokrenuo nikakve napade.
U 3:11 4. novembra, pNetwork je kontaktirao GalaGames da obustavi aktivnosti premošćavanja unakrsnih lanaca i ispraznio pGALA/BNB PancakeSwap bazen kroz operaciju bijelog šešira. Ovo je bio pokušaj da se sredstva BNB zadrže u pulu, kako bi se nakon držanja situacije pod kontrolom sredstva vratila svim njenim pružaocima likvidnosti.
U 4:13 4. novembra, pNetwork je izdao dodatnih 27,814,200,000 neobezbeđenih pGALA za ispuštanje pGALA/BNB PancakeSwap pula. Nakon toga, izdato je dodatnih 27,814,200,000 neobezbijeđenih pGALA tokena.
Kao što je gore pomenuto, u 4:28 4. novembra, GalaGames i pNetwork su tvitovali da ukažu na problem, podsećajući korisnike zajednice da ne kupuju Gala tokene u BNB lancu. Nakon što je odvraćanje bilo nedjelotvorno, u 4:29 4. novembra, pNetwork je odlučio nastaviti s pražnjenjem bazena kako bi zaštitio korisnike koji ulaze u dodatni fond sredstava od potencijalnih napadača. U 6:16 4. novembrath, GalaGames i pNetwork su odlučili da zaustave dreniranje bazena protoka. Do sada je pNetwork povratio 12977BNB u ponašanju drenažnog bazena. U 7:03 4. novembra, Huobi je isključio funkciju Gala dopune u lancu BNB.
Prema izvještaju analize koji je objavio pNetwork, pGala ugovorni haker koji je gore spomenut bez znanja SlowMista bio je zvanična pNetwork. Dodatno izdavanje bezvrijednih pGala tokena od strane pNetwork-a bilo je zbog pogrešne konfiguracije GALA-ovog pNetwork cross-chain mosta, što je uzrokovalo izloženost riziku od 400,000 USD.
Haotian, praktičar za sigurnost blockchain-a, tvitovao je da je timu projekta pNetwork nedostajao zdrav razum u pogledu sigurnosti DeFi-ja, te je ubrizgao višak likvidnosti u ekosistem bez potpunog eliminisanja potencijalnih opasnosti, što je bilo prenagljeno i neodgovorno. Nakon toga, mogućnost potencijalnih insajderskih operacija nije uzeta u obzir. Umjesto toga, posredovao je između Huobija i GALA-e u izbjegavanju odgovornosti i pripisivanju krivice. Razumljivo je i nije pretjerano reći da je to bio podstrekač.
Stranka Gala projekta, kao direktno povezana strana između pNetwork-a i centralizirane berze, nije uspjela tačno prenijeti informacije (tim GALA je potvrdio da je Binance zatvorio depozit i povlačenje GALA-e u lancu BNB, ali nije potvrdio zatvaranje depozit i povlačenje sa timom za pristajanje Huobi Global). Ponašanje pNetwork-a je izuzetno štetno za korisnike, što pokazuje da Gala tim ne shvata ozbiljno vlasnike tokena.
Istovremeno, korisnici su počeli pomicati cigle za arbitražu sve dok Huobi nije ugasio Gala dopunu u lancu BNB na do 3 sata, što je pokazalo da su mjere sigurnosti i upravljanja rizicima Huobi platforme nedovoljne.
pNetwork i Huobi idu na sud, Huobi obećava da će platiti korisnicima 6 miliona dolara
Posljednji incident s dodatnim izdavanjem pGala utjecao je na zajednicu na različite načine. Neki korisnici su dobro profitirali putem arbitraže, dok su drugi pretrpjeli gubitke. Prema podacima na Lookonchain-u, Smart Money adresa je kupila 406 miliona GALA iz PancakeSwap pula za 120,380 USD 20 minuta nakon GALA napada i zaradila 5.79 miliona USD i 675,000 USD od Huobija i Binancea. Tada se postavlja pitanje kome se žrtve mogu obratiti u slučaju finansijskih gubitaka.
Baveći se ovim problemom, Huobi je izdao saopštenje uveče 6. novembra 2022. U saopštenju, Huobi je naveo da ponašanje pNetwork-a nije bila navodna operacija belog šešira za koju je tvrdio da jeste, već zlonamerni hakerski napad sproveden radi zarade.
Prvo, Huobi je naveo da iako je pNetwork koristio vlastiti jednolinijski kontakt kanal za komunikaciju s razmjenom, ali poruka nije naznačila da se pNetwork priprema za napad na ranjivosti, a kamoli da će pNetwork izdati veliku količinu od 55.6 milijardi GALA tokena na tržište u roku od 50 minuta. Ova akcija je rezultirala ozbiljnim posljedicama, jer su nevini korisnici i berze pretrpjeli velike gubitke.
Prema analizi iz Slowmist-a, pogrešnu konfiguraciju cross-chain bridge-a koju pNetwork spominje iznad je zapravo izvršio vlasnik privatnog ključa s administrativnim pravima za pGALA proxy ugovor koji je procurio na Github-u, a ova vlasnička adresa je bila zlonamjerno zamijenjen prije 70 dana, što je rezultiralo time da je pGALA ugovor ranjiv i u opasnosti od napada. pNetwork je namjerno sakrio ovu činjenicu od Huobija.
Osim toga, prema izvještaju o analizi nakon događaja koji je objavio pNetwork, zajednica je javno podsjećena da ne kupuje Gala tokene u lancu BNB-a. Konkretno, pNetwork tim je zatražio da korisnici ne pomjeraju tokene radi arbitraže nakon što su uočili velike razlike u cijenama između lanca i berzi.
Da li su oportunistički investitori ignorirali podsjetnik pNetwork-a i lijepo iskoristili promjenu na arbitražu i profit? Da je pNetwork tim bio individualni investitor, da li bi propustili priliku za arbitražu?
Drugo, Huobi vjeruje da nema dokaza da bi iko iskoristio ranjivost u pNetwork-u da pokrene napad, a sam pNetwork je bio TAJ KOJI je želio iskoristiti ovu ranjivost za profit. Ranjivost postoji već 67 dana, što je bilo dovoljno vremena za procjenu potencijalnih sigurnosnih rješenja, ali je pNetwork tim željno izabrao da aktivno iskoristi ranjivost u roku od 50 minuta i izda 55.6 milijardi tokena kako bi ispraznio bazen likvidnosti.
Tim pNetworka je možda bio nestrpljiv da riješi problem, ali budući da nije bilo napada otkako je ranjivost otkrivena prije 67 dana, tim je mogao mirno doći do sveobuhvatnijeg rješenja umjesto onog koje bi dovelo tržište u opasnost .
Štaviše, Gala u lancu BNB prvobitno je bio token za mapiranje zaloga. Prema dosadašnjem iskustvu, tim može u potpunosti zamijeniti token ugovor i odbaciti token ugovor s rizicima. Da je pNetwork bila transparentna u vezi sa svojim namjerama, zajednica bi mogla razumjeti i naglasiti. Nije bilo potrebe rješavati problem tako što će se sredstva u pulu likvidnosti dopuniti emisijom – radnja koja je izuzetno rizična i štetna po tržište.
Treće, Huobi vjeruje da je argument pNetwork-a da je dodatno izdavanje do 55.6 milijardi tokena bilo za arbitražu skupa likvidnosti u vrijednosti od oko 400,000 USD koji je bio u opasnosti da bude napadnut, neosnovan. Huobi vjeruje da je pNetwork namjera bila da profitira od tržišnih turbulencija, da je pNetwork koristio „napad bijelim šeširom“ kao krinku za izvođenje hakerskih napada kako bi izbjegao zakonske sankcije.
Nadalje, službeni izvještaj o analizi pNetwork-a otkrio je da će 12,977 BNB (vrijednih oko 4.5 miliona US$) imovine vraćene od strane pula biti vraćeno neinkorporiranim vlasnicima koji su založili dpGALA, na snimku koji je napravljen u 16:00 7. novembra, 2022. Čini se da takve radnje ne odgovaraju tvrdnjama da se radilo o napadu bijelog šešira.
Međutim, pNetwork je u svom izvještaju o analizi nakon događaja spomenuo da je ukupno 55.6 milijardi Gala tokena izdato dva puta. Prema GALA cijeni od 0.04 USD u tom trenutku, 55.6 milijardi Gala tokena vrijedilo je 2.2 milijarde USD. pNetwork's je izdao dodatne Gala tokene u vrijednosti od 2.2 milijarde USD za fond likvidnosti sa potencijalnim rizikom od 400,000 USD. Zajednici bi bilo teško da shvati logiku takvog postupanja. Štaviše, metoda privatnog izdavanja dodatnih tokena nije u skladu s duhom blockchaina.
Što se tiče Huobijeve izjave, pNetwork je službeno tvitovao da osuđuje Huobijeve lažne optužbe protiv pNetwork-a i da će poduzeti odgovarajuće pravne radnje da se suprotstavi Huobijevim tvrdnjama. pNetwork je saopštio da postoje dokazi koji dokazuju da su njene akcije vođene u dobroj vjeri, te da su sve akcije unaprijed dogovorene sa GalaGamesom.
Kao odgovor na odgovor pNetworka, Huobi je za PANews rekao da je odgovor pNetworka lažan i slab po prirodi. Huobi je uzvratio da je pNetwork iskoristio rupu u GALA tokenu izdavanjem velikog broja tokena, potpuno sakrio svoje napadno ponašanje od razmjene, te je kontaktirao razmjenu samo u roku od sat vremena. Tokom napada, 55.6 milijardi tokena je izdato korištenjem rupa u ugovoru. Tokom ovog perioda, razmeni nije dato vreme da odgovori, niti je pNetwork potvrdio sa berzom da li su preduzete relevantne mere kako bi se osigurala sigurnost imovine. Huobi Global je pokrenuo pravne procedure i namjerava da pNetwork snosi pravnu odgovornost za svoje postupke.
Osim toga, uveče 9. novembra 2022., Justin Sun, član Huobi Globalnog savjetodavnog odbora, rekao je u TS događaju „Ulazak u pun mjesec, izvještaj o radu brata Suna“ koji je održao PANews da je tokom GALA incidenta oporavljeni sredstva su bila vrijedna oko 4 miliona američkih dolara, koja su se vratila u lancu.
6 miliona američkih dolara sredstava će biti usmjereno na kompenzaciju putem airdropa korisnicima koji su pretrpjeli gubitke, a preostala sredstva će se koristiti za otkup i uništavanje PGALA tokena. Sva nadoknada od pNetwork-a će se koristiti za kompenzaciju korisnika koji su pretrpjeli gubitke na platformi.
Refleksija: Sigurnosni mehanizmi ranog upozorenja moraju biti ojačani
Ovaj incident je izazvan tako što su inženjeri pNetworka ostavili ključ u ugovoru, što je ugrozilo sigurnost. pNetwork je odabrala da prevlada ovaj sigurnosni rizik izdavanjem dodatnih GALA tokena za ispuštanje bazena likvidnosti. Takvo rješenje bilo je izuzetno rizično, a zbog loše komunikacije Huobi nije na vrijeme ugasio depozite i isplate GALA-e, što je izazvalo veliki utjecaj.
Projekti pNetwork i Gala su najvećim dijelom odgovorni za ovaj incident, koji je doveo do gubitaka korisnika i erozije povjerenja u zajednicu. pNetwork su bili jasno svjesni da ova ranjivost postoji dva mjeseca i da nije iskorištena, ali nisu pažljivo razmatrali sveobuhvatno rješenje. Umjesto toga, odabrao je visokorizično rješenje koje je narušilo duh blockchaina i vjerovatno će uzrokovati veliku štetu korisnicima. Kao insajder, Gala projektna stranka je odlučila aktivno omogućiti ovo visoko rizično ponašanje umjesto da istražuje osnovni uzrok i pruži održivo rješenje.
Međutim, sigurnosni sistemi hitnog odgovora i kontrole rizika na platformi Huobi bili su krajnje neefikasni. Kada bi vidjeli razliku u cijeni na lancu, korisnici u zajednici bi definitivno bili svjesni mogućnosti arbitraže. Kako Huobi, kao prvorazredna razmjena, ne zna?
Stoga, iako komunikacija sa pNetwork-om nije bila efikasna, Huobi bi imao dovoljno vremena da zaustavi funkciju punjenja kako bi smanjio broj pogođenih korisnika.
Korisnik koji je pretrpio gubitke može se obratiti samo pNetworku, glavnoj odgovornoj strani koja je pokrenula incident, kako bi se došlo do rješenja u pogledu smanjenja gubitaka. Ovo je sigurnosna kriza uzrokovana rupom u pametnom ugovoru, ali je važnija od bilo koje rupe u kodu, a strane u blockchain projektu trebale bi obratiti pažnju na to.
Kao što je Hao Tian, praktičar za sigurnost na blokčejnu, rekao: Sigurnosne kompanije koje su specijalizovane za rana upozorenja i otkrivanje sigurnosnih incidenata bile su kolektivno odsutne sa ovog Gala događaja. Sigurnosne revizije i usluge mogu provjeriti nedostatke koda, ali je teško boriti se protiv potencijalne krize „katastrofe koju je stvorio čovjek“ koju stvaraju ekološki učesnici u industriji željni profita od brzog novca.
odricanje od odgovornosti: Ovo je objava za javnost. Coinpedia ne podržava niti je odgovoran za bilo kakav sadržaj, točnost, kvalitetu, oglašavanje, proizvode ili druge materijale na ovoj stranici. Čitaoci bi trebali sami istražiti prije poduzimanja bilo kakvih radnji u vezi s kompanijom.
Izvor: https://coinpedia.org/press-release/with-an-additional-us2-billion-issued-for-us400000-who-will-take-responsibility-for-the-loss-of-users-in- gala-incident/