Oroligheten med det onormala utfärdandet av pGALA av flerkedjiga routingprotokollet pNetwork är ännu inte över. Huobi skapade kontroverser i samhället eftersom det ändrade GALA-tokenet för vissa användare som identifierats som arbitrage "ullfest" till pGALA. Vem har rätt och vem har fel i denna fråga?
Oroligheten med det onormala utfärdandet av pGALA av flerkedjiga routingprotokollet pNetwork är ännu inte över. Huobi skapade kontroverser i den virtuella tillgångsgemenskapen eftersom det ändrade GALA för vissa användare som identifierats som arbitrage "ullfest" till pGALA. Vem har rätt och vem har fel i denna fråga?
Event recension: pGALA utfärdade fler dagar, Huobi stängde inte inlösen och uttag i tid
Klockan 4:00 den 4 november började communityn för virtuella tillgångar sprida nyheter om att kedjespelsplattformen Gala Games token Gala (BNB-kedjan) hade sjunkit snabbt och kraftigt. Med sitt ursprung från routingprotokollet för flera kedjor pNetwork, präglades pGALA-tokens för mer än 1 miljard USD ur tomma intet på BNB-kedjan och såldes på PancakeSwap. Detta gjorde att Gala-tokensen på BNB-kedjan sjönk direkt från 0.04 USD till 0.0000045 USD.
Därefter upptäckte community-användare att det fanns en enorm prisskillnad mellan Gala-tokenen på BNB-kedjan och den centraliserade börsen, och de hällde in en stor mängd pengar för att köpa Gala-tokenen på BNB-kedjan för att ladda upp och sälja den på BNB-kedjan. centraliserat utbyte. Vid den tiden hade Binance och andra börser stoppat Gala-laddningen på BNB-kedjan, och Huobi-laddningskanalen var fortfarande öppen. Användaren slutförde arbitrage genom att flytta tegelstenar genom Huobi, vilket fick galan på Huobi-börsen att sjunka kraftigt, från 0.04 USD till 0.0003 USD.
pNetwork twittrade klockan 4:28 den 4 november att präglingen av pGALA-tokens som överstiger 1 miljard USD ur tomma intet orsakades av en felaktig konfiguration av tvärkedjebryggan. Den sa att pGALA-kontraktet på BNB-kedjan behövde distribueras om, och det arbetade med Gala Games-teamet och PancakeSwap för att få pGALA-användares kontosaldo och återställa insättnings- och uttagsfunktionen. Efter att det nya kontraktet distribuerades, skulle nya pGALA-tokens airdroppas i förhållandet 1:1.
Baserat på vad säkerhetsteamet SlowMist observerade, hade pGala kontraktshackare omvandlat större delen av galan till 13,000 4.3 BNB, vilket gjorde en vinst på mer än 45 miljoner USD. Då hade adressen fortfarande XNUMX miljarder Gala, men den var inte insatt eftersom fondpoolen i princip var uttömd.
Från 9:00 den 4 november släppte Huobi fem på varandra följande meddelanden om hur onormala händelser på Gala-tokenkedjan fortskrider. Tillkännagivandet angav att Gala-tokens skulle tas bort, och tidsnoden för olyckan kommer att bestämmas som skiljelinjen. Efter incidenten kommer köpoperationen att utföras för användare, plattformen kommer att byta namn på de köpta Gala-tillgångarna till PGALA (PGALA har inget att göra med den ursprungliga Gala-token, den tillhör en meme-token). För de som innehade Gala-tokens före incidenten gick Gala-projektpartiet med på att göra full kompensation i form av en proportionell 1:1-luftdropp av Gala på Ethereum-kedjan. Samtidigt sa det att det kommer att fortsätta att förhandla med relaterade projekt på uppdrag av användare för att kompensera användare för tillgångsförluster orsakade av incidenten.
Klockan 12:00 den 5 november sa Huobi att det skulle återföra Gala- och pGala-tokens. För pGala-tokenen hade Huobi satt upp en skatt- och avgiftsförbränningsmekanism, justerat PGALA-spottransaktionsavgiften till 1.2 % i båda riktningarna och använt alla avgiftsintäkter för att återköpa och förstöra pGala-tokens.
Enligt pNetworks officiella Twitter-kanal släpptes ingen information till samhället på två dagar, förutom ett tillkännagivande som avslöjade de befintliga problemen när incidenten inträffade. Inför ständiga frågor från samhället släppte pNetwork inte analysen efter händelsen av pGala-incidenten förrän kl. 2 den 00 november.
Enligt analysrapporten, klockan 1:52 den 4 november, märkte teamet ett konfigurationsfel i GALA:s pNetwork cross-chain bridge. På grund av en felaktig konfiguration hade ägandet av det smarta pGALA-kontraktet som distribuerats på BSC i hemlighet tagits över. Fondpoolen uppgick till 400,000 XNUMX USD. Vid den tidpunkten inledde angriparen som fick ägandet av det smarta kontraktet inga attacker.
Klockan 3:11 den 4 november kontaktade pNetwork GalaGames för att avbryta aktiviteterna för bryggor över kedjan och tömde pGALA/BNB PancakeSwap-poolen genom den vita hatten. Detta var ett försök att behålla BNB-medel i poolen, så att efter att situationen var under kontroll kunde medlen återföras till alla dess likviditetsleverantörer.
Klockan 4:13 den 4 november utfärdade pNetwork ytterligare 27,814,200,000 27,814,200,000 XNUMX XNUMX osäkrade pGALA för att tömma pGALA/BNB PancakeSwap-poolen. Därefter utfärdades ytterligare XNUMX XNUMX XNUMX XNUMX osäkrade pGALA-tokens.
Som nämnts ovan, klockan 4:28 den 4 november, twittrade GalaGames och pNetwork för att indikera problemet, och påminde community-användare om att inte köpa Gala-tokens på BNB-kedjan. Efter att avskräckningen var ineffektiv, klockan 4:29 den 4 november, valde pNetwork att fortsätta tömma poolen för att skydda användare som strömmar in i den extra fondpoolen från potentiella angripare. Klockan 6:16 den 4 novemberth, GalaGames och pNetwork valde att sluta tömma flödespoolen. Hittills har pNetwork återställt 12977BNB i tömningspoolens beteende. Klockan 7:03 den 4 november stängde Huobi av Gala-laddningsfunktionen på BNB-kedjan.
Enligt analysrapporten som avslöjats av pNetwork var pGala kontraktshackaren som nämns ovan utan SlowMists vetskap det officiella pNetwork. pNetworks ytterligare utgivning av värdelösa pGala-tokens berodde på en felaktig konfiguration av GALA:s pNetwork cross-chain bridge, vilket orsakade en riskexponering på 400,000 XNUMX USD.
Haotian, en blockchain-säkerhetsutövare, twittrade att pNetwork-projektgruppen saknade sunt förnuft när det gäller DeFi-säkerhet, och injicerade överskottslikviditet i ekosystemet utan att helt eliminera potentiella faror, vilket var för hastigt och oansvarigt. Efteråt har möjligheten till potentiella insiderverksamheter inte redovisats. Istället medlade det mellan Huobi och GALA för att undandra sig ansvar och lägga skulden. Det är förståeligt och inte en överdrift att säga att det var anstiftaren.
Galaprojektparten, som den direkt närstående parten mellan pNetwork och den centraliserade börsen, misslyckades med att förmedla informationen korrekt (GALA-teamet bekräftade att Binance stängde insättningen och uttaget av GALA på BNB-kedjan, men bekräftade inte stängningen av insättning och uttag med dockningsteamet hos Huobi Global). pNetworks beteende är extremt skadligt för användarna, vilket visar att Gala-teamet inte tar tokeninnehavare på allvar.
Samtidigt började användare flytta tegelstenar för arbitrage tills Huobi stängde av Gala-laddningen på BNB-kedjan i upp till 3 timmar, vilket visade att säkerhets- och riskhanteringsåtgärderna för Huobi-plattformen är otillräckliga.
pNetwork och Huobi att gå till domstol, Huobi lovar att betala användarna 6 miljoner dollar
Den senaste incidenten med ytterligare emission av pGala påverkade samhället på olika sätt. Vissa användare tjänade bra på arbitrage, medan andra led förluster. Enligt data på Lookonchain köpte en Smart Money-adress 406 miljoner GALA från PancakeSwap-poolen för 120,380 20 USD 5.79 minuter efter GALA-attacken och tjänade 675,000 miljoner USD och XNUMX XNUMX USD från Huobi respektive Binance. Frågan uppstår då vem den drabbade kan vända sig till vid ekonomiska förluster.
Huobi tog upp det här problemet och utfärdade ett uttalande på kvällen den 6 november 2022. I uttalandet uppgav Huobi att pNetworks beteende inte var den påstådda White Hat-operation som den påstod sig vara, utan en illvillig hackerattack utförd i vinstsyfte.
För det första uppgav Huobi att även om pNetwork använde sin egen enlinjekontaktkanal för att kommunicera med växeln, men meddelandet indikerade inte att pNetwork förberedde sig för att attackera sårbarheter, än mindre att pNetwork skulle ge ut en stor mängd 55.6 miljarder GALA-tokens in på marknaden inom 50 minuter. Denna åtgärd resulterade i allvarliga konsekvenser, eftersom oskyldiga användare och börser led stora förluster.
Enligt analys från Slowmist utfördes den felaktiga konfigurationen av den tvärkedjebrygga som nämns av pNetwork ovan av ägaren av den privata nyckeln med administrativa rättigheter för pGALA-proxykontraktet som hade läckt ut på Github, och denna ägaradress hade varit ersattes med uppsåt för 70 dagar sedan, vilket resulterade i att pGALA-kontraktet är sårbart och riskerar att bli attackerat. pNetwork hade medvetet dolt detta faktum för Huobi.
Dessutom, enligt analysrapporten efter händelsen som släpptes av pNetwork, hade gemenskapen blivit offentligt påmind om att inte köpa Gala-tokens på BNB-kedjan. Specifikt hade pNetwork-teamet begärt att användare inte flyttade tokens för arbitrage när de observerade de stora prisskillnaderna mellan kedjan och börserna.
Hade opportunistiska investerare struntat i pNetworks påminnelse och grep omställningen till arbitrage och vinst snyggt? Hade pNetwork-teamet varit en individuell investerare, skulle de ha låtit arbitrage-möjligheten passera?
För det andra anser Huobi att det inte finns några bevis för att någon skulle utnyttja sårbarheten i pNetwork för att starta en attack, och det var pNetwork själv SOM var ivriga att utnyttja denna sårbarhet i vinstsyfte. Sårbarheten har funnits i 67 dagar, vilket var tillräckligt med tid för att utvärdera potentiella säkerhetslösningar, men pNetwork-teamet hade ivrigt valt att aktivt utnyttja sårbarheten inom 50 minuter och utfärda 55.6 miljarder tokens för att dränera likviditetspoolen.
pNetwork-teamet kan ha varit ivriga att lösa problemet, men eftersom det inte hade förekommit några attacker sedan sårbarheten upptäcktes för 67 dagar sedan, kunde teamet lugnt ha kommit på en mer omfattande lösning istället för en som satte marknaden i fara .
Dessutom var Gala på BNB-kedjan ursprungligen ett tecken för pantkartläggning. Enligt tidigare erfarenheter kan teamet helt ersätta tokenkontraktet och kassera tokenkontraktet med risker. Skulle pNetworks ha varit transparenta om sina avsikter, skulle samhället ha kunnat förstå och betona. Det fanns inget behov av att lösa problemet genom att dränera tillgångarna i likviditetspoolen genom ytterligare emissioner – en åtgärd som är extremt riskabel och skadlig för marknaden.
För det tredje anser Huobi att pNetworks argument att den ytterligare emissionen av upp till 55.6 miljarder tokens var att medla en likviditetspool värd cirka 400,000 XNUMX USD som riskerade att attackeras är grundlöst. Huobi tror att pNetworks avsikt var att dra nytta av turbulens på marknaden, att pNetwork använde "white hat attack" som en skepnad för att utföra hackattacker för att undvika juridiska sanktioner.
Dessutom avslöjade pNetworks officiella analysrapport att tillgångarna på 12,977 4.5 BNB (värde cirka 16 miljoner USD) som återvunnits av poolen skulle återlämnas till de icke-registrerade innehavarna som hade pantsatt dpGALA, i en ögonblicksbild som togs klockan 00:7 den 2022 november, XNUMX. Sådana handlingar verkar inte motsvara påståenden om att det hade varit en vit hattattack.
Men pNetwork nämnde i sin analysrapport efter händelsen att totalt 55.6 miljarder Gala-tokens hade utfärdats två gånger. Enligt GALA-priset på 0.04 USD vid den tidpunkten var 55.6 miljarder Gala-tokens värda 2.2 miljarder USD. pNetwork's hade utfärdat ytterligare Gala-tokens värda 2.2 miljarder USD för en likviditetspool med en potentiell risk på 400,000 XNUMX USD. Det skulle vara svårt för samhället att förstå logiken bakom en sådan handling. Dessutom är metoden att privat utfärda ytterligare tokens inte i linje med andan i blockkedjan.
Angående Huobis uttalande twittrade pNetwork officiellt att det fördömde Huobis falska anklagelser mot pNetwork och skulle vidta lämpliga rättsliga åtgärder för att motverka Huobis påståenden. pNetwork sa att det finns bevis som bevisar att dess handlingar utfördes i god tro och att alla åtgärder hade överenskommits med GalaGames i förväg.
Som svar på pNetworks svar sa Huobi till PANews att pNetworks svar var falskt och svagt till sin natur. Huobi motsatte sig att pNetwork hade utnyttjat GALA-tokens kryphål genom att utfärda ett stort antal tokens, helt dolt sitt attackbeteende från börsen och endast hade kontaktat börsen inom loppet av en timme. Under attacken hade 55.6 miljarder tokens utfärdats genom att utnyttja kryphål i kontraktet. Under denna period fick börsen ingen tid att svara och inte heller bekräftade pNetwork med börsen om relevanta åtgärder hade vidtagits för att säkerställa tillgångens säkerhet. Huobi Global har kickstartat juridiska procedurer och avser att pNetwork ska bära det juridiska ansvaret för sina handlingar.
Dessutom, på kvällen den 9 november 2022, sa Justin Sun, en medlem av Huobis globala rådgivande kommitté, i TS-evenemanget "Entry Full Moon, Brother Suns arbetsrapport" som hölls av PANews att under GALA-incidenten, den återhämtade Medlen var värda cirka 4 miljoner US-dollar, som hade återvänt på kedjan.
US$6 miljoner i medel kommer att riktas mot airdrop-kompensation till användare som har lidit förluster, och de återstående medlen kommer att användas för att återköpa och förstöra PGALA-tokens. All ersättning från pNetwork kommer att användas för att kompensera användare som har lidit förluster på plattformen.
Reflektion: Säkerhetsmekanismer för tidig varning behöver stärkas
Denna incident orsakades av att pNetworks ingenjörer lämnade nyckeln i kontraktet, vilket äventyrade säkerheten. pNetwork valde att övervinna denna säkerhetsrisk genom att utfärda ytterligare GALA-tokens för att dränera likviditetspoolen. En sådan lösning var extremt riskabel, och på grund av dålig kommunikation stängde Huobi inte insättningar och uttag av GALA i tid, vilket orsakade en storskalig påverkan.
Projekten pNetwork och Gala är huvudansvariga för denna incident, som ledde till användarförluster och en urholkning av förtroendet för samhället. pNetwork var tydligt medvetna om att denna sårbarhet hade funnits i två månader och inte hade utnyttjats, men övervägde inte noggrant en heltäckande lösning. Istället valde man en högrisklösning som bröt mot andan i blockkedjan och som sannolikt skulle orsaka storskalig skada på användarna. Som insider valde Galaprojektpartiet att aktivt möjliggöra detta högriskbeteende istället för att undersöka grundorsaken och tillhandahålla en hållbar lösning.
Säkerhetsberedskapen och riskkontrollsystemen på Huobi-plattformen var dock extremt ineffektiva. När man ser prisskillnaden på kedjan, skulle användare i samhället definitivt vara medvetna om möjligheten till arbitrage. Hur kunde Huobi, som en första nivåsbörs, inte veta det?
Därför, även om kommunikationen med pNetwork inte var effektiv, skulle Huobi ha haft tillräckligt med tid för att stoppa laddningsfunktionen för att minska antalet berörda användare.
En användare som har lidit förluster kan bara vända sig till pNetwork, den huvudansvarige parten som kickstartade incidenten, för att komma fram till en lösning gällande förlustminskning. Detta är en säkerhetskris som orsakas av ett kryphål i det smarta kontraktet, men det är mer relevant än något kryphål i kod, och blockchain-projektparter bör vara uppmärksamma på det.
Som Hao Tian, en blockchain-säkerhetsutövare, sa: Säkerhetsföretag som specialiserar sig på tidiga varningar och upptäckter i säkerhetsincidenter var kollektivt frånvarande från detta galaevenemang. Säkerhetsrevisioner och tjänster kan kontrollera om det finns koddefekter, men det är svårt att bekämpa den potentiella krisen som skapats av människan skapad av ekologiska deltagare i branschen som är ivriga att dra nytta av en snabb slant.
Varning: Detta är ett pressmeddelande. Coinpedia stöder eller ansvarar inte för något innehåll, noggrannhet, kvalitet, reklam, produkter eller annat material på denna sida. Läsare bör göra sin egen forskning innan de vidtar några åtgärder relaterade till företaget.
Källa: https://coinpedia.org/press-release/with-an-additional-us2-billion-issued-for-us400000-who-will-take-responsibility-for-the-loss-of-users-in- gala-incidenten/