De onrust rond de abnormale uitgifte van pGALA door het multi-chain routingprotocol pNetwork is nog niet voorbij. Huobi veroorzaakte controverse in de gemeenschap omdat het het GALA-token van sommige gebruikers die werden geïdentificeerd als arbitrage "wool party" veranderde in pGALA. Wie heeft gelijk en wie heeft ongelijk in deze kwestie?
De onrust rond de abnormale uitgifte van pGALA door het multi-chain routingprotocol pNetwork is nog niet voorbij. Huobi veroorzaakte controverse in de virtuele-activagemeenschap omdat het de GALA van sommige gebruikers die werden geïdentificeerd als arbitrage "wool party" veranderde in pGALA. Wie heeft gelijk en wie heeft ongelijk in deze kwestie?
Gebeurtenisoverzicht: pGALA heeft meer dagen uitgegeven, Huobi heeft de inwisseling en opname niet op tijd afgesloten
Op 4 november om 00:4 uur begon de gemeenschap van virtuele activa nieuws te verspreiden dat het kettingspelplatform Gala Games token Gala (BNB-keten) snel en scherp was gedaald. Afkomstig van het multi-chain routingprotocol pNetwork, werden meer dan US $ 1 miljard aan pGALA-tokens uit het niets geslagen op de BNB-keten en verkocht op PancakeSwap. Dit zorgde ervoor dat de Gala-tokens op de BNB-keten direct daalden van US $ 0.04 naar US $ 0.0000045.
Vervolgens ontdekten gemeenschapsgebruikers dat er een enorm prijsverschil was tussen het Gala-token op de BNB-keten en de gecentraliseerde beurs, en ze stortten een grote hoeveelheid geld in om het Gala-token op de BNB-keten te kopen om het op te laden en te verkopen op de gecentraliseerde uitwisseling. Op dat moment hadden Binance en andere beurzen de Gala-oplading op de BNB-keten opgeschort en was het Huobi-oplaadkanaal nog open. De gebruiker voltooide de arbitrage door stenen door Huobi te verplaatsen, waardoor de Gala op de Huobi-beurs scherp daalde, van $ 0.04 naar $ 0.0003.
pNetwork tweette op 4 november om 28:4 dat het slaan van pGALA-tokens van meer dan US $ 1 miljard uit het niets werd veroorzaakt door een verkeerde configuratie van de cross-chain bridge. Het zei dat het pGALA-contract op de BNB-keten opnieuw moest worden geïmplementeerd, en het werkte samen met het Gala Games-team en PancakeSwap om het accountsaldo van pGALA-gebruikers te verkrijgen en de stortings- en opnamefunctie te herstellen. Nadat het nieuwe contract was geïmplementeerd, zouden nieuwe pGALA-tokens worden uitgezonden in een verhouding van 1: 1.
Op basis van wat het beveiligingsteam SlowMist waarnam, hadden pGala-contracthackers het grootste deel van het Gala omgezet in 13,000 BNB, waarmee ze een winst maakten van meer dan 4.3 miljoen dollar. Op dat moment had het adres nog 45 miljard Gala, maar het werd niet verzilverd omdat de fondspool in wezen was uitgeput.
Vanaf 9 uur op 00 november heeft Huobi vijf opeenvolgende aankondigingen uitgebracht over de voortgang van het afhandelen van abnormale gebeurtenissen in de Gala-tokenketen. De aankondiging vermeldde dat Gala-tokens zouden worden geschrapt en dat het tijdsknooppunt van het ongeval zal worden bepaald als de scheidslijn. Na het incident wordt de aankoopoperatie uitgevoerd voor gebruikers, het platform zal de gekochte Gala-activa hernoemen naar PGALA (PGALA heeft niets te maken met het originele Gala-token, het behoort tot een meme-token). Voor degenen die Gala-tokens hadden vóór het incident, stemde de Gala-projectpartij ermee in om volledige compensatie te bieden in de vorm van een 4:1 proportionele airdrop van Gala op de Ethereum-keten. Tegelijkertijd zei het dat het namens gebruikers zal blijven onderhandelen met gerelateerde projecten om gebruikers te compenseren voor activaverliezen als gevolg van het incident.
Op 12 november om 00 uur zei Huobi dat het Gala- en pGala-tokens opnieuw zou aanbieden. Voor het pGala-token had Huobi een mechanisme voor het verbranden van belastingen en vergoedingen opgezet, de PGALA-transactiekosten aangepast naar 5% in beide richtingen en alle inkomsten uit vergoedingen gebruikt om pGala-tokens terug te kopen en te vernietigen.
Volgens het officiële Twitter-kanaal van pNetwork is er gedurende twee dagen geen informatie vrijgegeven aan de gemeenschap, afgezien van een aankondiging waarin de bestaande problemen werden onthuld toen het incident plaatsvond. Geconfronteerd met voortdurende vragen van de gemeenschap, heeft pNetwork de analyse na het evenement van het pGala-incident pas op 2 november om 00:6 uur vrijgegeven.
Volgens het analyserapport merkte het team op 1 november om 52:4 een configuratiefout op in GALA's pNetwork cross-chain bridge. Door een verkeerde configuratie was het eigendom van het pGALA smart contract dat op de BSC was ingezet in het geheim overgenomen. De fondspool bedroeg $ 400,000. Op dat moment lanceerde de aanvaller die het eigendom van het slimme contract verwierf geen aanvallen.
Op 3 november om 11:4 uur nam pNetwork contact op met GalaGames om de cross-chain bridge-activiteiten op te schorten en de pGALA/BNB PancakeSwap-pool leeg te maken via de white hat-operatie. Dit was een poging om BNB-fondsen in de pool te houden, zodat de fondsen, nadat de situatie onder controle was, konden worden teruggegeven aan al haar liquiditeitsverschaffers.
Op 4 november om 13:4 gaf pNetwork nog eens 27,814,200,000 onbeveiligde pGALA uit om de pGALA/BNB PancakeSwap-pool leeg te maken. Vervolgens werden nog eens 27,814,200,000 onbeveiligde pGALA-tokens uitgegeven.
Zoals hierboven vermeld, twitterden GalaGames en pNetwork om 4:28 op 4 november om het probleem aan te geven en communitygebruikers eraan te herinneren geen Gala-tokens te kopen op de BNB-keten. Nadat de ontmoediging niet effectief was, koos pNetwork er op 4 november om 29:4 voor om door te gaan met het aftappen van de pool om gebruikers die de toegevoegde fondspool binnenstroomden te beschermen tegen potentiële aanvallers. Om 6:16 op 4 novemberth, GalaGames en pNetwork kozen ervoor om te stoppen met het leegmaken van de stroompool. Tot nu toe heeft pNetwork 12977BNB hersteld in het drainerende poolgedrag. Op 7 november om 03:4 uur sloot Huobi de Gala-oplaadfunctie op de BNB-keten af.
Volgens het analyserapport dat door pNetwork is vrijgegeven, was de hierboven genoemde pGala-contracthacker zonder medeweten van SlowMist de officiële pNetwork. De extra uitgifte door pNetwork van waardeloze pGala-tokens was te wijten aan een verkeerde configuratie van GALA's pNetwork cross-chain bridge, die een risicoblootstelling van US $ 400,000 veroorzaakte.
Haotian, een blockchain-beveiligingsdeskundige, tweette dat het pNetwork-projectteam geen gezond verstand had met betrekking tot DeFi-beveiliging en overtollige liquiditeit in het ecosysteem injecteerde zonder potentiële gevaren volledig uit te sluiten, wat te overhaast en onverantwoordelijk was. Nadien werd geen rekening gehouden met de mogelijkheid van mogelijke insideroperaties. In plaats daarvan bemiddelde het tussen Huobi en GALA om de verantwoordelijkheid te ontlopen en de schuld toe te wijzen. Het is begrijpelijk en niet overdreven om te zeggen dat het de aanstichter was.
De Gala-projectpartij, als de direct verbonden partij tussen pNetwork en de gecentraliseerde uitwisseling, slaagde er niet in de informatie nauwkeurig over te brengen (het GALA-team bevestigde dat Binance de storting en opname van GALA op de BNB-keten heeft gesloten, maar bevestigde niet de sluiting van de storting en opname met het dockingteam van Huobi Global). Het gedrag van pNetwork is buitengewoon schadelijk voor gebruikers, wat aantoont dat het Gala-team tokenhouders niet serieus neemt.
Tegelijkertijd begonnen gebruikers stenen te verplaatsen voor arbitrage totdat Huobi de Gala-oplading op de BNB-keten tot 3 uur lang stopte, wat aantoonde dat de beveiligings- en risicobeheermaatregelen van het Huobi-platform onvoldoende waren.
pNetwork en Huobi naar de rechtbank stappen, belooft Huobi gebruikers $ 6 miljoen te betalen
Het laatste incident met de uitgifte van extra pGala's trof de gemeenschap op verschillende manieren. Sommige gebruikers profiteerden rijkelijk via arbitrage, terwijl anderen verliezen leden. Volgens gegevens op Lookonchain kocht een Smart Money-adres 406 minuten na de GALA-aanval 120,380 miljoen GALA van de PancakeSwap-pool voor US $ 20, en verdiende respectievelijk US $ 5.79 miljoen en US $ 675,000 van Huobi en Binance. De vraag rijst dan bij wie slachtoffers terecht kunnen bij financiële schade.
Om dit probleem aan te pakken, gaf Huobi op de avond van 6 november 2022 een verklaring af. In de verklaring verklaarde Huobi dat het gedrag van pNetwork niet de vermeende white hat-operatie was die het beweerde te zijn, maar een kwaadaardige hackeraanval die werd uitgevoerd met winstoogmerk.
Ten eerste verklaarde Huobi dat hoewel pNetwork zijn eigen single-line contactkanaal gebruikte om met de centrale te communiceren, maar het bericht niet aangaf dat pNetwork zich voorbereidde om kwetsbaarheden aan te vallen, laat staan dat pNetwork een grote hoeveelheid van 55.6 miljard GALA-tokens zou uitgeven. binnen 50 minuten op de markt. Deze actie had ernstige gevolgen, aangezien onschuldige gebruikers en uitwisselingen zware verliezen leden.
Volgens een analyse van Slowmist werd de verkeerde configuratie van de cross-chain bridge die hierboven door pNetwork wordt genoemd, feitelijk uitgevoerd door de eigenaar van de privésleutel met beheerdersrechten voor het pGALA-proxycontract dat op Github was gelekt, en dit adres van de eigenaar was 70 dagen geleden kwaadwillig vervangen, waardoor het pGALA-contract kwetsbaar is en het risico loopt te worden aangevallen. pNetwork had dit feit opzettelijk voor Huobi verborgen gehouden.
Bovendien, volgens het post-event analyserapport vrijgegeven door pNetwork, was de gemeenschap er publiekelijk aan herinnerd om geen Gala-tokens te kopen op de BNB-keten. In het bijzonder had het pNetwork-team gebruikers verzocht geen tokens te verplaatsen voor arbitrage bij het observeren van de grote prijsverschillen tussen de keten en de beurzen.
Hadden opportunistische investeerders de herinnering van pNetwork genegeerd en de kans op arbitrage en winst royaal aangegrepen? Als het pNetwork-team een individuele investeerder was geweest, zouden ze dan de arbitragemogelijkheid voorbij hebben laten gaan?
Ten tweede gelooft Huobi dat er geen bewijs is dat iemand de kwetsbaarheid in pNetwork zou misbruiken om een aanval uit te voeren, en het was pNetwork zelf DIE deze kwetsbaarheid graag wilde misbruiken voor winst. De kwetsbaarheid bestaat al 67 dagen, wat voldoende tijd was om mogelijke beveiligingsoplossingen te evalueren, maar het pNetwork-team had er gretig voor gekozen om de kwetsbaarheid binnen 50 minuten actief uit te buiten en 55.6 miljard tokens uit te geven om de liquiditeitspool leeg te maken.
Het pNetwork-team stond misschien te popelen om het probleem op te lossen, maar omdat er geen aanvallen waren geweest sinds de kwetsbaarheid 67 dagen geleden was ontdekt, had het team rustig met een uitgebreidere oplossing kunnen komen in plaats van een oplossing die de markt in gevaar bracht .
Bovendien was Gala op de BNB-keten oorspronkelijk een token voor het in kaart brengen van toezeggingen. Volgens ervaringen uit het verleden kan het team het tokencontract volledig vervangen en het tokencontract met risico's weggooien. Als pNetwork's transparant was geweest over zijn bedoelingen, zou de gemeenschap het kunnen begrijpen en benadrukken. Er was geen noodzaak om het probleem op te lossen door de activa in de liquiditeitspool leeg te maken door middel van aanvullende uitgiften – een actie die uiterst riskant en schadelijk is voor de markt.
Ten derde is Huobi van mening dat het argument van pNetwork dat de extra uitgifte van maximaal 55.6 miljard tokens bedoeld was om een liquiditeitspool ter waarde van ongeveer US $ 400,000 te arbitreren die het risico liep aangevallen te worden, ongegrond is. Huobi gelooft dat het de bedoeling van pNetwork was om te profiteren van marktturbulentie, dat pNetwork de "white hat-aanval" gebruikte als een dekmantel om hackaanvallen uit te voeren om juridische sancties te omzeilen.
Bovendien onthulde het officiële analyserapport van pNetwork dat de 12,977 BNB (ter waarde van ongeveer US $ 4.5 miljoen) aan door de pool teruggevorderde activa zouden worden teruggegeven aan de houders zonder rechtspersoonlijkheid die dpGALA hadden toegezegd, in een momentopname die op 16 november om 00 uur werd genomen. 7. Dergelijke acties lijken niet overeen te komen met beweringen dat het een white hat-aanval was.
PNetwork vermeldde echter in zijn analyserapport na het evenement dat er in totaal 55.6 miljard Gala-tokens tweemaal waren uitgegeven. Volgens de GALA-prijs van US $ 0.04 op dat moment, waren 55.6 miljard Gala-tokens $ 2.2 miljard waard. pNetwork's had extra Gala-tokens uitgegeven ter waarde van US $ 2.2 miljard voor een liquiditeitspool met een potentieel risico van US $ 400,000. Het zou moeilijk zijn voor de gemeenschap om de logica achter een dergelijke handelwijze te begrijpen. Bovendien is de methode om extra tokens privé uit te geven niet in overeenstemming met de geest van de blockchain.
Met betrekking tot de verklaring van Huobi tweette pNetwork officieel dat het Huobi's valse beschuldigingen tegen pNetwork veroordeelde en passende juridische stappen zou ondernemen om Huobi's beweringen te weerleggen. pNetwork zei dat er bewijs is om aan te tonen dat zijn acties te goeder trouw zijn uitgevoerd en dat alle acties van tevoren met GalaGames zijn overeengekomen.
Als reactie op de reactie van pNetwork vertelde Huobi aan PANews dat de reactie van pNetwork vals en zwak van aard was. Huobi wierp tegen dat pNetwork de maas in de GALA-token had uitgebuit door een groot aantal tokens uit te geven, zijn aanvalsgedrag volledig voor de beurs had verborgen en pas binnen een uur contact had opgenomen met de beurs. Tijdens de aanval waren 55.6 miljard tokens uitgegeven door gebruik te maken van mazen in contracten. Gedurende deze periode kreeg de centrale geen tijd om te reageren, noch bevestigde pNetwork met de centrale of er relevante maatregelen waren genomen om de beveiliging van activa te waarborgen. Huobi Global heeft juridische procedures opgestart en is van plan dat pNetwork juridische verantwoordelijkheid draagt voor zijn acties.
Bovendien zei Justin Sun, een lid van de Huobi Global Advisory Committee, op de avond van 9 november 2022 in het TS-evenement "Entry Full Moon, Brother Sun's Work Report", gehouden door PANews, dat tijdens het GALA-incident de herstelde fondsen waren ongeveer $ 4 miljoen waard, die on-chain waren teruggekeerd.
US $ 6 miljoen aan fondsen zal worden gebruikt voor airdrop-compensatie voor gebruikers die verliezen hebben geleden, en de resterende fondsen zullen worden gebruikt om PGALA-tokens terug te kopen en te vernietigen. Alle compensatie van pNetwork zal worden gebruikt om gebruikers te compenseren die verliezen hebben geleden op het platform.
Reflectie: De veiligheidsmechanismen voor vroegtijdige waarschuwing moeten worden versterkt
Dit incident werd veroorzaakt doordat pNetwork-ingenieurs de sleutel in het contract achterlieten, wat de beveiliging in gevaar bracht. pNetwork koos ervoor om dit beveiligingsrisico te ondervangen door extra GALA-tokens uit te geven om de liquiditeitspool leeg te maken. Een dergelijke oplossing was buitengewoon riskant en door slechte communicatie stopte Huobi de stortingen en opnames van GALA niet op tijd, wat een grootschalige impact veroorzaakte.
De pNetwork- en Gala-projecten zijn grotendeels verantwoordelijk voor dit incident, dat leidde tot gebruikersverliezen en een aantasting van het vertrouwen in de gemeenschap. pNetwork was zich er duidelijk van bewust dat deze kwetsbaarheid al twee maanden bestond en niet was misbruikt, maar heeft niet zorgvuldig nagedacht over een alomvattende oplossing. In plaats daarvan koos het voor een risicovolle oplossing die in strijd was met de geest van de blockchain en waarschijnlijk grootschalige schade aan gebruikers zou toebrengen. Als insider koos de Gala-projectpartij ervoor om dit risicovolle gedrag actief mogelijk te maken in plaats van de oorzaak te onderzoeken en een haalbare oplossing te bieden.
De noodhulp- en risicobeheersingssystemen op het Huobi-platform waren echter buitengewoon ineffectief. Bij het zien van het prijsverschil in de keten zouden gebruikers in de gemeenschap zich zeker bewust zijn van de arbitragemogelijkheid. Hoe kon Huobi, als eerstelijnsuitwisseling, het niet weten?
Daarom zou Huobi, hoewel de communicatie met pNetwork niet effectief was, genoeg tijd hebben gehad om de oplaadfunctie te stoppen om het aantal getroffen gebruikers te verminderen.
Een gebruiker die schade heeft geleden, kan alleen pNetwork, de hoofdverantwoordelijke die het incident heeft veroorzaakt, benaderen om tot een oplossing te komen met betrekking tot verliesbeperking. Dit is een beveiligingscrisis die wordt veroorzaakt door een maas in het slimme contract, maar het is relevanter dan welke maas in de code dan ook, en blockchain-projectpartijen moeten er aandacht aan besteden.
Zoals Hao Tian, een blockchain-beveiligingsdeskundige, zei: Beveiligingsbedrijven die gespecialiseerd zijn in vroege waarschuwingen en detecties van beveiligingsincidenten waren collectief afwezig bij dit Gala-evenement. Beveiligingsaudits en -services kunnen codedefecten controleren, maar het is moeilijk om te vechten tegen de potentiële "door de mens veroorzaakte ramp" -crisis die is veroorzaakt door ecologische deelnemers uit de industrie die graag snel geld willen verdienen.
Disclaimer: Dit is een persbericht. Coinpedia onderschrijft of is niet verantwoordelijk voor de inhoud, nauwkeurigheid, kwaliteit, advertenties, producten of andere materialen op deze pagina. Lezers moeten hun eigen onderzoek doen voordat ze acties ondernemen die verband houden met het bedrijf.
Bron: https://coinpedia.org/press-release/with-an-additional-us2-billion-issued-for-us400000-who-will-take-responsibility-for-the-loss-of-users-in- het-gala-incident/