המהומה של ההנפקה החריגה של pGALA על ידי פרוטוקול הניתוב הרב-שרשרת pNetwork עדיין לא הסתיימה. Huobi יצר מחלוקת בקהילה מכיוון שהוא שינה את אסימון ה-GALA של כמה משתמשים שזוהו כ"מסיבת צמר" של ארביטראז' ל-pGALA. רק מי צודק ומי טועה בעניין הזה?
המהומה של ההנפקה החריגה של pGALA על ידי פרוטוקול הניתוב הרב-שרשרת pNetwork עדיין לא הסתיימה. Huobi יצר מחלוקת בקהילת הנכסים הווירטואליים מכיוון שהוא שינה את ה-GALA של כמה משתמשים שזוהו כ"מסיבת צמר" של ארביטראז' ל-pGALA. רק מי צודק ומי טועה בעניין הזה?
סקירת אירוע: pGALA הוציאה ימים נוספים, Huobi לא סגר את הפדיון והמשיכה בזמן
בשעה 4:00 ב-4 בנובמבר, קהילת הנכסים הווירטואליים החלה להפיץ חדשות על כך שפלטפורמת משחקי השרשרת Gala Games token Gala (רשת BNB) ירדה במהירות ובחדות. מקורו בפרוטוקול הניתוב הרב-שרשרת pNetwork, אסימוני pGALA בשווי של יותר ממיליארד דולר ארה"ב הוטבעו יש מאין ברשת BNB, ונמכרו ב-PancakeSwap. זה גרם לאסימוני הגאלה ברשת BNB לרדת ישירות מ-$1 ל-0.04$.
לאחר מכן גילו משתמשי הקהילה שיש הבדל מחירים עצום בין האסימון גאלה ברשת BNB לבין הבורסה הריכוזית, והם הזרימו כמות גדולה של כספים לקניית אסימון הגאלה ברשת BNB כדי להטעין ולמכור אותו ברשת. החלפה מרוכזת. באותו זמן, Binance ובורסות אחרות השעו את טעינת הגאלה ברשת BNB, וערוץ הטעינה של Huobi עדיין היה פתוח. המשתמש השלים את הארביטראז' על ידי העברת לבנים דרך Huobi, מה שגרם ל-Gala בבורסת Huobi לרדת בחדות, מ-0.04 דולר ל-0.0003 דולר.
pNetwork צייצה בטוויטר בשעה 4:28 ב-4 בנובמבר שהטבעת אסימוני pGALA בעלות של יותר ממיליארד דולר מהאוויר נגרמה כתוצאה מהגדרה שגויה של הגשר חוצה שרשרת. הוא אמר שצריך לפרוס מחדש את חוזה pGALA ברשת BNB, והוא עבד עם צוות Gala Games ו-PancakeSwap כדי להשיג את יתרת החשבון של משתמשי pGALA, ולשחזר את פונקציית ההפקדה והמשיכה. לאחר פריסת החוזה החדש, אסימוני pGALA חדשים יופלו באוויר ביחס של 1:1.
בהתבסס על מה שציין צוות האבטחה SlowMist, האקרים של חוזה pGala המירו את רוב הגאלה ל-13,000 BNB, והרוויחו יותר מ-4.3 מיליון דולר. באותו זמן, בכתובת היו עדיין 45 מיליארד גאלה, אבל זה לא הופקד כי מאגר הקרן התרוקן בעצם.
משעה 9:00 ב-4 בנובמבר, Huobi פרסם חמש הודעות רצופות על התקדמות הטיפול באירועים חריגים בשרשרת האסימונים של גאלה. בהודעה צוין כי אסימוני גאלה יימחקו, וצומת הזמן של התאונה ייקבע כקו המפריד. לאחר התקרית תבוצע פעולת הרכישה עבור המשתמשים, הפלטפורמה תשנה את שמות נכסי הגאלה שנרכשו ל-PGALA (ל-PGALA אין שום קשר לאסימון ה-Gala המקורי, הוא שייך ל-meme token). לאלו שהחזיקו באסימוני גאלה לפני התקרית, מפלגת פרויקט הגאלה הסכימה לבצע פיצוי מלא בדמות ירידה פרופורציונלית של 1:1 של גאלה ברשת את'ריום. במקביל, היא אמרה כי היא תמשיך לנהל משא ומתן עם פרויקטים קשורים בשם המשתמשים כדי לפצות את המשתמשים על הפסדי נכסים שנגרמו כתוצאה מהאירוע.
בשעה 12:00 ב-5 בנובמבר, Huobi אמר שהוא יציג מחדש את אסימוני ה-Gala ו-pGala. עבור האסימון pGala, Huobi הקים מנגנון שריפת מס ועמלות, התאימה את עמלת העסקאות הנקודתית של PGALA ל-1.2% בשני הכיוונים, והשתמשה בכל הכנסות העמלות כדי לרכוש מחדש ולהשמיד אסימוני pGala.
על פי ערוץ הטוויטר הרשמי של pNetwork, לא פורסם מידע לקהילה במשך יומיים, מלבד הודעה שחושפת את הבעיות הקיימות כאשר התקרית אירעה. מול שאלות קבועות מהקהילה, pNetwork לא פרסמה את הניתוח שלאחר האירוע של תקרית pGala עד השעה 2:00 ב-6 בנובמבר.
על פי דוח הניתוח, בשעה 1:52 ב-4 בנובמבר, הצוות הבחין בשגיאת תצורה בגשר ה-pNetwork cross-chain של GALA. עקב תצורה שגויה, הבעלות על החוזה החכם pGALA שנפרס על ה-BSC נלקחה בסתר. מאגר הקרן עמד על 400,000 דולר ארה"ב. באותו זמן, התוקף שקיבל את הבעלות על החוזה החכם לא פתח במתקפות.
בשעה 3:11 ב-4 בנובמבר, pNetwork יצרה קשר עם GalaGames כדי להשעות את פעילויות הגשר חוצה שרשרת, וניקזה את בריכת pGALA/BNB PancakeSwap באמצעות פעולת הכובע הלבן. מדובר היה בניסיון להשאיר את כספי BNB במאגר, כדי שאחרי שהמצב יהיה בשליטה, ניתן יהיה להחזיר את הכספים לכל ספקי הנזילות שלה.
בשעה 4:13 ב-4 בנובמבר, pNetwork הנפיקה 27,814,200,000 pGALA לא מאובטחים נוספים כדי לנקז את מאגר pGALA/BNB PancakeSwap. לאחר מכן, הונפקו 27,814,200,000 אסימוני pGALA לא מאובטחים נוספים.
כפי שהוזכר לעיל, בשעה 4:28 ב-4 בנובמבר, GalaGames ו-pNetwork צייצו כדי לציין את הבעיה, והזכירו למשתמשי הקהילה לא לקנות אסימוני גאלה ברשת BNB. לאחר שההרתעה לא הייתה יעילה, בשעה 4:29 ב-4 בנובמבר, בחרה pNetwork להמשיך לנקז את המאגר על מנת להגן על משתמשים שנשפכים למאגר הכספים הנוסף מפני תוקפים פוטנציאליים. בשעה 6:16 ב-4 בנובמברth, GalaGames ו-pNetwork בחרו להפסיק לנקז את מאגר הזרימה. עד כה, pNetwork התאוששה 12977BNB בהתנהגות בריכת הניקוז. בשעה 7:03 ב-4 בנובמבר, Huobi סגר את פונקציית הטעינה הגאלה ברשת BNB.
על פי דו"ח הניתוח שנחשף על ידי pNetwork, האקר חוזה pGala שהוזכר לעיל ללא ידיעת SlowMist היה ה-pNetwork הרשמי. ההנפקה הנוספת של pNetwork של אסימוני pGala חסרי ערך נבעה מתצורה שגויה של גשר pNetwork חוצה שרשרת של GALA, שגרמה לחשיפה לסיכון של 400,000 דולר ארה"ב.
Haotian, עוסק באבטחת בלוקצ'יין, צייצה בטוויטר שצוות הפרויקט של pNetwork חסר שכל ישר בכל הנוגע לאבטחת DeFi, והחדיר עודף נזילות למערכת האקולוגית מבלי לחסל לחלוטין סיכונים פוטנציאליים, מה שהיה נמהר וחסר אחריות מדי. לאחר מכן, האפשרות של פעולות פנימיות פוטנציאליות לא נלקחה בחשבון. במקום זאת, היא תיווכה בין Huobi ו-GALA כדי להתנער מאחריות ולהטיל אשמה. זה מובן ולא מוגזם לומר שזה היה המסית.
מסיבת פרויקט הגאלה, כצד הקשור ישירות בין pNetwork והבורסה הריכוזית, לא הצליחה להעביר את המידע בצורה מדויקת (צוות GALA אישר כי Binance סגרה את ההפקדה והמשיכה של GALA ברשת BNB, אך לא אישר את סגירת ה-Gala. הפקדה ומשיכה עם צוות העגינה של Huobi Global). ההתנהלות של pNetwork מזיקה ביותר למשתמשים, מה שמראה שצוות הגאלה אינו מתייחס ברצינות למחזיקי אסימונים.
במקביל, משתמשים החלו להזיז לבנים לארביטראז' עד ש-Huobi סגר את הטעינה הגאלה ברשת BNB למשך עד 3 שעות, מה שהראה שאמצעי האבטחה וניהול הסיכונים של פלטפורמת Huobi אינם מספיקים.
pNetwork ו-Huobi יפנו לבית המשפט, Huobi מבטיח לשלם למשתמשים 6 מיליון דולר
תקרית ההנפקה הנוספת האחרונה של pGala השפיעה על הקהילה בדרכים שונות. חלק מהמשתמשים הרוויחו נאה באמצעות ארביטראז', בעוד שאחרים סבלו מהפסדים. לפי נתונים על Lookonchain, כתובת של Smart Money רכשה 406 מיליון GALA ממאגר PancakeSwap תמורת 120,380 דולר 20 דקות לאחר מתקפת ה-GALA, והרוויחה 5.79 מיליון דולר ו-675,000 דולר ארה"ב מ-Huobi ו-Binance בהתאמה. נשאלת אז השאלה למי יכולים נפגעים לפנות במקרה של הפסדים כספיים.
בהתייחס לנושא זה, Huobi פרסם הצהרה בערב ה-6 בנובמבר 2022. בהצהרה, Huobi הצהיר כי ההתנהגות של pNetwork לא הייתה פעולת הכובע הלבן לכאורה שהיא טענה שהיא, אלא התקפת האקרים זדונית שבוצעה למטרות רווח.
ראשית, Huobi הצהיר שאמנם pNetwork השתמשה בערוץ קשר יחיד משלה כדי לתקשר עם המרכזייה, אך ההודעה לא ציינה ש-pNetwork מתכוננת לתקוף פרצות, שלא לדבר על כך ש-pNetwork תנפיק כמות גדולה של 55.6 מיליארד אסימוני GALA להיכנס לשוק תוך 50 דקות. פעולה זו הביאה לתוצאות חמורות, שכן משתמשים וחפים מפשע ספגו אבדות כבדות.
על פי ניתוח של Slowmist, התצורה השגויה של הגשר צולב השרשרת שהוזכר על ידי pNetwork לעיל בוצעה למעשה על ידי הבעלים של המפתח הפרטי עם זכויות ניהול עבור חוזה ה-proxy pGALA שהודלף על Github, וכתובת הבעלים הזו הייתה הוחלף בזדון לפני 70 יום, וכתוצאה מכך חוזה pGALA היה פגיע ובסיכון לתקיפה. pNetwork הסתירה את העובדה הזו מ-Huobi בכוונה.
בנוסף, על פי דוח הניתוח שלאחר האירוע שפורסם על ידי pNetwork, הקהילה קיבלה תזכורת פומבית לא לקנות אסימוני גאלה ברשת BNB. באופן ספציפי, צוות pNetwork ביקש שהמשתמשים לא יעבירו אסימונים לארביטראז' לאחר צפייה בהפרשי המחיר הגדולים בין הרשת לבורסות.
האם משקיעים אופורטוניסטים התעלמו מהתזכורת של pNetwork ותפסו את השינוי לארביטראז' ורווח יפה? לו צוות pNetwork היה משקיע בודד, האם הם היו נותנים להזדמנות הארביטראז' לעבור?
שנית, Huobi מאמין שאין שום הוכחה שמישהו ינצל את הפגיעות ב-pNetwork כדי להפעיל מתקפה, ו-pNetwork עצמו הוא זה שהיה להוט לנצל את הפגיעות הזו למטרות רווח. הפגיעות קיימת כבר 67 ימים, וזה היה פרק זמן מספיק כדי להעריך פתרונות אבטחה פוטנציאליים, אך צוות pNetwork בחר בשקיקה לנצל את הפגיעות באופן אקטיבי תוך 50 דקות ולהנפיק 55.6 מיליארד אסימונים כדי לנקז את מאגר הנזילות.
ייתכן שצוות pNetwork היה להוט לפתור את הבעיה, אבל מכיוון שלא היו התקפות מאז התגלתה הפגיעות לפני 67 ימים, הצוות יכול היה להמציא פתרון מקיף יותר במקום כזה שמעמיד את השוק בסכנה .
יתרה מכך, גאלה ברשת BNB הייתה במקור אסימון למיפוי משכון. על פי ניסיון העבר, הצוות יכול להחליף לחלוטין את חוזה האסימון ולזרוק את החוזה האסימון עם סיכונים. אם pNetwork's הייתה שקוף לגבי כוונותיה, הקהילה הייתה מסוגלת להבין ולהדגיש. לא היה צורך לפתור את הבעיה באמצעות ניקוז הנכסים במאגר הנזילות באמצעות הנפקה נוספת - פעולה מסוכנת ביותר ומזיקה לשוק.
שלישית, Huobi מאמין שהטיעון של pNetwork לפיו ההנפקה הנוספת של עד 55.6 מיליארד אסימונים הייתה לבוררות במאגר נזילות בשווי של כ-400,000 דולר ארה"ב שהיה בסיכון להיות מותקף, מופרך. Huobi מאמין שהכוונה של pNetwork הייתה להרוויח מהמערבולת בשוק, ש-pNetwork השתמשה ב"מתקפת הכובע הלבן" כמסווה לביצוע התקפות פריצה כדי להימנע מסנקציות משפטיות.
יתרה מכך, דו"ח הניתוח הרשמי של pNetwork חשף כי 12,977 BNB (בשווי של כ-4.5 מיליון דולר ארה"ב) בנכסים שהוחזרו על ידי המאגר יוחזרו למחזיקים הלא מאוגדים שהבטיחו את dpGALA, בתמונת מצב שצולמה בשעה 16:00 ב-7 בנובמבר, 2022. נראה שפעולות כאלה אינן תואמות את הטענות כי מדובר היה במתקפת כובע לבן.
עם זאת, pNetwork הזכירה בדו"ח הניתוח שלה לאחר האירוע כי סך של 55.6 מיליארד אסימוני גאלה הונפקו פעמיים. לפי מחיר ה-GALA של 0.04 דולר ארה"ב באותה נקודת זמן, 55.6 מיליארד אסימוני גאלה היו שווים של 2.2 מיליארד דולר. pNetwork's הנפיקה אסימוני גאלה נוספים בשווי 2.2 מיליארד דולר עבור מאגר נזילות עם סיכון פוטנציאלי של 400,000 דולר. לקהילה יהיה קשה להבין את ההיגיון מאחורי דרך פעולה כזו. יתרה מכך, שיטת ההנפקה הפרטית של טוקנים נוספים אינה עולה בקנה אחד עם רוח הבלוקצ'יין.
בנוגע להצהרה של Huobi, pNetwork צייצה רשמית כי היא מגנה את האשמות השווא של Huobi נגד pNetwork ותנקוט בצעדים משפטיים מתאימים כדי להתמודד עם הטענות של Huobi. pNetwork מסרה כי קיימות ראיות המוכיחות שפעולותיה בוצעו בתום לב, וכל הפעולות סוכמו מראש עם GalaGames.
בתגובה לתגובת pNetwork, Huobi אמר ל-PANews כי התגובה של pNetwork הייתה שקרית וחלשה במהותה. Huobi השיב כי pNetwork ניצלה את פרצת האסימון של GALA על ידי הנפקת מספר רב של אסימונים, הסתירה לחלוטין את התנהגות התקיפה שלה מהבורסה, ויצרה קשר עם הבורסה רק בתוך שעה. במהלך המתקפה, 55.6 מיליארד אסימונים הונפקו על ידי ניצול פרצות חוזים. במהלך תקופה זו, לבורסה לא ניתן זמן להגיב, וגם pNetwork לא אישרה מול הבורסה אם ננקטו אמצעים רלוונטיים להבטחת אבטחת הנכסים. Huobi Global החלה בהליכים משפטיים ומתכוונת ש-pNetwork תישא באחריות משפטית לפעולותיה.
בנוסף, בערב ה-9 בנובמבר 2022, ג'סטין סאן, חבר בוועדה המייעצת העולמית של Huobi, אמר באירוע TS "ירח מלא כניסה, דו"ח העבודה של אח סאן" שנערך על ידי PANews כי במהלך תקרית ה-GALA, ההחלמה הכספים היו בשווי של כ-4 מיליון דולר, שחזרו לשרשרת.
כספים בסך 6 מיליון דולר יופנו לפיצוי על נפילות אוויר למשתמשים שספגו הפסדים, והכספים הנותרים ישמשו לרכישה חוזרת והשמדת אסימוני PGALA. כל הפיצויים מ-pNetwork ישמשו לפיצוי משתמשים שספגו הפסדים בפלטפורמה.
השתקפות: יש לחזק את מנגנוני הבטיחות של אזהרה מוקדמת
אירוע זה נגרם על ידי מהנדסי pNetwork שהשאירו את המפתח בחוזה, דבר שפגע באבטחה. pNetwork בחרה להתגבר על סיכון אבטחה זה על ידי הנפקת אסימוני GALA נוספים לניקוז מאגר הנזילות. פתרון כזה היה מסוכן ביותר, ובשל תקשורת לקויה, Huobi לא סגר את ההפקדות והמשיכות של GALA בזמן, מה שגרם להשפעה בקנה מידה גדול.
הפרויקטים pNetwork ו-Gala הם האחראים העיקריים לתקרית הזו, שהובילה לאובדן משתמשים ושחיקה באמון בקהילה. pNetwork היו מודעים בבירור לכך שפגיעות זו קיימת במשך חודשיים ולא נוצלה, אך לא שקלה בקפידה פתרון מקיף. במקום זאת, היא בחרה בפתרון בעל סיכון גבוה שהפר את רוח הבלוקצ'יין ועלול לגרום נזק בקנה מידה גדול למשתמשים. כמקורב, מפלגת פרויקט הגאלה בחרה לאפשר באופן אקטיבי התנהגות בסיכון גבוה זה במקום לחקור את הסיבה השורשית ולתת פתרון בר-קיימא.
עם זאת, תגובת החירום האבטחה ומערכות בקרת הסיכונים בפלטפורמת Huobi היו מאוד לא יעילות. כאשר רואים את ההבדל במחיר בשרשרת, משתמשים בקהילה בהחלט יהיו מודעים להזדמנות הארביטראז'. איך יכול להיות ש-Huobi, בתור בורסה מהדרג הראשון, לא ידע?
לכן, למרות שהתקשורת עם pNetwork לא הייתה יעילה, ל-Huobi היה מספיק זמן לעצור את פונקציית הטעינה על מנת לצמצם את מספר המשתמשים המושפעים.
משתמש שסבל מהפסדים יכול לפנות רק ל-pNetwork, הגורם האחראי הראשי שהניע את האירוע, כדי להגיע לפתרון לגבי הפחתת אובדן. מדובר במשבר אבטחה שנגרם בגלל פרצה בחוזה החכם, אבל הוא רלוונטי יותר מכל פרצת קוד, ועל גורמי פרויקט הבלוקצ'יין לשים לב אליו.
כפי שאמר האו טיאן, עוסק באבטחת בלוקצ'יין: חברות אבטחה המתמחות באזהרות מוקדמות ובזיהוי אירועי אבטחה נעדרו ביחד מאירוע הגאלה הזה. ביקורות ושירותי אבטחה יכולים לבדוק אם יש פגמים בקוד, אבל קשה להילחם במשבר הפוטנציאלי של "אסון מעשה ידי אדם" שנוצר על ידי משתתפים אקולוגיים בתעשייה להוטים להרוויח כסף מהיר.
כתב ויתור: זהו הודעה לעיתונות. Coinpedia אינה תומכת או אחראית לכל תוכן, דיוק, איכות, פרסום, מוצרים או חומרים אחרים בדף זה. הקוראים צריכים לעשות מחקר משלהם לפני שהם נוקטים בפעולות הקשורות לחברה.
מקור: https://coinpedia.org/press-release/with-an-additional-us2-billion-issued-for-us400000-who-will-take-responsibility-for-the-loss-of-users-in- תקרית-הגאלה/