多鏈路由協議pNetwork的異常增發pGALA事件風波還未結束,火幣因為將部分被認定為是套利“羊毛黨”用戶的GALA改為pGALA而引起社區的爭議,雙方直接硬碰硬表示將“對簿公堂”,這件事情究竟誰對誰錯呢?
事件回顧:pGALA天量增發,火幣未及時關閉沖提
11月4日凌晨4點,社群開始傳播鏈游平臺GalaGames代幣Gala快速大幅下跌。源于多鏈路由協議pNetwork在BNB鏈上憑空鑄造了超10億美元的pGALA代幣,并通過在PancakeSwap上售出,使得BNB鏈上的Gala代幣從0.04美金直接跌到0.0000045美金。
隨后社區用戶發現BNB鏈上的Gala代幣與中心化交易所之間存在巨幅差價,便涌入大量資金購買BNB鏈上Gala代幣充值到中心化交易所售出。當時幣安等交易所已經暫停BNB鏈上的Gala充值,火幣充值通道依舊開通。用戶便通過火幣完成搬磚套利,使得火幣交易所的Gala急速下跌,從0.04美金跌至0.0003美金。
pNetwork在4日凌晨4:28發推稱,憑空鑄造超10億美元的pGALA代幣是因為跨鏈橋配置錯誤所致。需要重新部署BNB鏈上的pGALA合約,正在與GalaGames團隊以及PancakeSwap合作獲得用戶pGALA的賬戶余額并恢復存提幣功能。新合約部署后將以1:1的比例空投新的pGALA代幣。
比特幣全網未確認交易數量為25392筆:金色財經報道,據BTC.com數據顯示,目前比特幣全網未確認交易數量為25392筆,全網算力為321.13 EH/s,24小時交易速率為4.10交易/s,目前全網難度為43.55 T,預測下次難度上調4.71%至45.60 T,距離調整還剩9天11小時。[2023/3/15 13:04:38]
據安全團隊慢霧監控,pGala合約黑客已將大部分Gala兌換成13,000枚BNB,獲利超430萬美元,當時該地址仍有450億枚Gala,但因為資金池基本已耗盡而未兌付。
11月4日9時起,火幣連續發布五則Galatoken鏈上異常事件處理進展公告,公告稱下架Gala代幣,以確定事故發生的時間節點作為分界線,事故發生之后執行買入操作的用戶,平臺將其買入的Gala資產更名PGALA;事故發生之前的Gala持幣用戶,Gala項目方同意進行全額賠付,形式為1:1比例空投以太鏈上的Gala。同時稱將代表用戶繼續與相關項目商談對由于該事件導致資產損失用戶補償的事宜。
11月5日12:00火幣重新上架Gala和pGala代幣。針對pGala代幣火幣設置稅費燃燒機制,將PGALA現貨交易手續費調整為雙向收取1.2%,所有手續費收入用來回購銷毀pGala代幣。
根據pNetwork官方推特信息,除事故發生時發布公告披露所存在的問題外,長達兩天時間并未向社區同步任何信息。面對社區不斷的疑問,pNetwork直至11月6日凌晨2點才發布pGala事故的事后分析。
簽名銀行因向客戶提供虛假聲明而被起訴:金色財經報道,市場消息:簽名銀行因向客戶提供虛假聲明而被起訴,擬議中的集體訴訟旨在從簽名銀行獲得賠償。[2023/3/15 13:04:18]
分析報告稱,11月4日凌晨1:52團隊注意到GALA的pNetwork跨鏈橋的一個配置錯誤。由于配置錯誤,部署在BSC上pGALA智能合約的所有權已被秘密接管。該資金池涉及資金為40萬美金,當時獲得該智能合約所有權的攻擊者并沒有發動任何攻擊。
11月4日3:11,pNetwork聯系GalaGames決定暫停跨鏈橋活動,并通過白帽行動抽干pGALA/BNBPancakeSwap池,以試圖將BNB資金保存在該池中,以便在局勢得到控制后,資金可以返回到其所有流動性提供者。
11月4日凌晨4:13pNetwork增發27,814,200,000個無抵押的pGALA用于抽干pGALA/BNBPancakeSwap池。隨后又增發27,814,200,000個無抵押的pGALA代幣。
如前文提到,11月4日凌晨4:28分,GalaGames和pNetwork發推表明問題,提醒社區用戶不要購買BNB鏈上Gala代幣。在勸阻無效之后,11月4日凌晨4:29pNetwork稱為了防止用戶涌入添加的資金池被潛在的攻擊者攻擊,選擇繼續抽干池子。11月4日早晨6:16GalaGames和pNetwork選擇停止抽干流動池行為。至此,pNetwork的抽干池行為收回12977BNB。11月4日早晨7:03火幣關停BNB鏈上Gala充值功能。
V神:治理僅裁決兩者optimistic+ZK之間的錯誤:金色財經報道,以太坊聯合創始人Vitalik Buterin在社交媒體上稱,混合思路:optimistic+ZK,治理僅裁決兩者之間的錯誤。
1. 發布區塊;
2. 等待 24 小時進行欺詐挑戰;
3a。如果沒有挑戰,發布 ZK SNARK,最終確定;
3b。如果有挑戰,根據(挑戰游戲、ZK SNARK、治理)的 2-of-3 決定。
此外,將欺詐證明時間減少到24小時是安全的,因為攻擊需要同時阻斷24小時的挑戰,并且打破三個解決機制中的一個。[2022/7/31 2:48:51]
由pNetwork披露的分析報告可知,前文慢霧不知情時所提到的pGala合約黑客實際是pNetwork官方;pNetwork增發無價值的pGala代幣實際是因為GALA的pNetwork跨鏈橋的一個配置錯誤,使得出現40萬美金的風險敞口,為了趕在攻擊者發起攻擊之前抽干現有流動池。
區塊鏈安全從業者Haotian發推稱,pNetwork項目方的做法缺乏DeFi安全常識,在未完全排除潛在危害的前提下,就將超發的流動性注入了生態,過于倉促,不負責任。事后也未解釋潛在內幕操作的可能性,而是斡旋于火幣和GALA之間推卸責任和甩鍋,說其為始作俑者無可厚非,也不為過。
南非央行計劃監管加密貨幣:7月12日消息,市場消息:南非央行計劃監管加密貨幣。(金十)[2022/7/12 2:08:32]
Gala項目方作為pNetwork和中心化交易所聯絡的直接相關方,不僅沒有準確傳達信息,而且對pNetwork此種對用戶危害極大的行為加以配合,可見Gala團隊并未將持幣用戶放在心上。
同時,用戶開始搬磚套利到火幣關停BNB鏈上Gala充值期間長達3個小時,可見火幣平臺安全應急響應和風控系統的處理不足。
pNetwork與火幣將對簿公堂,火幣承諾600萬美元賠付用戶
從影響社區用戶的層面看,pGala增發事件中有用戶搬磚套利獲利頗豐,也有用戶無辜受損。據Lookonchain監測數據,一SmartMoney地址在GALA受到攻擊20分鐘后用12.038萬美元從PancakeSwap池中購買了4.06億枚GALA,從火幣和幣安分別獲利579萬美元和67.5萬美元)。金融本是場零和博弈的游戲,因此虧損的人又該找誰說理呢?
對此,火幣11月6日晚發布聲明。聲明中火幣認為pNetwork此次行為并非所謂白帽行動,而是屬于以惡意獲利為目的的黑客偷竊攻擊。
首先,火幣表示pNetwork確實使用自行的單線聯系渠道與其溝通,但溝通中沒有說明pNetwork準備攻擊漏洞,更沒有說明五十分鐘內就將增發556億GALA代幣在市場進行巨額拋售,以及會對無辜用戶與交易所造成極其重大損失的嚴重后果。
新加坡證券平臺ADDX承認合格投資者的加密貨幣資產:金色財經報道,新加坡私人證券平臺ADDX表示,它已成為該國中第一家在評估高凈值客戶資產時承認加密貨幣的金融公司。此舉凸顯了金融服務公司對數字貨幣的接受程度越來越高,因為它們正在尋求開發廣泛的投資者。
ADDX在周三的一份聲明中稱,只接受個人凈資產類別的加密資產,在計算這些資產的價值時將對比特幣或以太坊應用50%的折扣率,對USDC穩定幣應用 10%的折扣。
ADDX首席執行官Oi-Yee Choo表示,加密貨幣將繼續存在,它們不再只存在于財富和投資對話的邊緣,隨著大部分投資者擁有加密貨幣,這些數字資產被認可為個人投資組合的一部分是合理的,與其他可以在市場上估值的資產,如房地產或股權,并無不同。
根據新加坡的規定,個人需要在過去12個月內有至少30萬新元(217,991.57美元)的收入,100萬新元的凈金融資產或200萬新元的凈個人資產,才有資格成為合格的投資者。(路透社)[2022/6/8 4:10:08]
據慢霧分析,前文pNetwork所提的跨鏈橋配置錯誤實際是pGALA代理合約的Admin角色的owner私鑰在Github泄漏,且其owner地址已在70天前被惡意替換,導致pGALA合約處于隨時可被攻擊的風險中。pNetwork官方向火幣隱瞞了此事實。
另外,按照pNetwork事后分析報告中所言,公開提醒社區不要購買BNB鏈上Gala代幣。也就是說pNetwork團隊要求用戶當看到鏈上和交易所價差如此之大時,不去搬磚套利難道照從pNetwork的提醒置之不理,任由輕松搬磚即可賺到的錢流走。試問pNetwork團隊如果作為個人投資者,面對此類套利會任其流走嗎?
其二,火幣認為并無證據表明任何人會利用pNetwork潛在的漏洞發起攻擊,恰恰急切希望利用該漏洞攻擊獲利的人就是pNetwork自己。該漏洞已經存在六十七天,說明有更多時間思考更多可選的安全方案,但pNetwork團隊急切選擇五十分鐘內主動對漏洞發起攻擊,增發556億代幣抽干流動池的方法來解決問題。
pNetwork團隊急切解決問題或是因為漏洞雖然發生已久,只是剛剛被團隊發現。但冷靜一想,長達六十七天攻擊者也未向合約發起攻擊,說明攻擊者也暫未發現該漏洞。pNetwork團隊完全可以冷靜思考更為周全的解決方案。
而且BNB鏈上Gala本為質押映射代幣,按照以往經驗,團隊完全可以更換代幣合約,廢棄存在風險的代幣合約。該行為如若透明公開向社區實時披露信息,社區也可理解。而無需通過風險和危害性極大的增發抽干流動池資產來解決問題。
其三,火幣認為pNetwork辯解說高達556億的Token增發為套取存在被攻擊風險的價值約40萬美金的流動性池,此理由毫無根據。火幣認為pNetwork此舉只是為了渾水摸魚、砸盤獲利,以“白帽攻擊”為幌子行黑客攻擊之實,躲避法律制裁。
對于火幣認為pNetwork此舉是借“白帽攻擊”為幌子行黑客攻擊獲利之實的問題,pNetwork官方在分析報告中披露抽池收回的12977BNB資產將返還給無抵押pGALA的持有者,快照于2022年11月7日16時拍攝。因此,此處指責似乎與事實不符。
但前文pNetwork在其事后分析報告中提到分兩次共增發556億Gala代幣,按照當時Gala價格0.04美金,556億Gala代幣折合22億美金。pNetwork增發價值22億的Gala代幣為套取存在潛在風險的40萬美金的流動池,實難令社區理解和信服。而且私自增發代幣的行為很不符合區塊鏈精神。
對于火幣的聲明,pNetwork官方發推文稱,譴責Huobi對pNetwork的不實指控,將采取相應的法律行動。其表示,有證據證明pNetwork的行為是善意的,所有的行動都是事先與GalaGames達成一致的。
針對pNetwork的回應,火幣向PANews表示,pNetwork的回應虛假而無力,其通過增發天量代幣方式攻擊GALA代幣漏洞,完全向交易所隱瞞其攻擊行為,并在聯絡交易所不到一小時內就利用合約漏洞增發556億代幣實施攻擊,期間沒有給交易所任何反應時間,也沒有向交易所確認是否已采取相關措施。HuobiGlobal已在走法律程序,pNetwork必將為自己的行為承擔法律責任。
另外,11月9日晚間,火幣全球顧問委員會委員孫宇晨在PANews舉辦的TS活動“入職滿月,孫哥述職報告”中表示,在GALA事件中,挽回的資金大概有400萬美元,鏈上退還的資金約200萬美元,這600萬美元部分會用來給真實受損用戶空投進行賠付,剩下的資金則用于回購銷毀PGALA代幣。同時,如果起訴pNetwork得到賠償款項,也將全部用于平臺內虧損用戶補償。
反思:需加強安全預警機制
本次事件起因為pNetwork工程師在合約中留下密鑰導致潛在風險,pNetwork官方為解決風險采用了增發Gala抽干流動池的行為。因為期間解決問題的方式風險極大,且因為溝通不暢導致火幣未及時關停Gala充提而造成大面積影響。
因此,客觀來說,此次導致用戶受損的事件中pNetwork和Gala項目方為主責。pNetwork在明確知曉此漏洞已存在兩個月之久且未被攻擊,卻不深思熟慮尋找周全的解決方案,而選擇違背區塊鏈精神、容易造成用戶大面積受損的高風險解決方式。Gala項目方作為知情人竟然選擇積極配合此高風險行為,而不是去查根問底提供可靠方案。
而火幣平臺安全應急響應和風控系統極其不作為。看到鏈上差價時,社區用戶都知道可以去搬磚套利,火幣作為一線交易所豈能不知。因此雖然與pNetwork溝通不暢,但火幣依然有充足時間去關閉充值功能,減少受影響的用戶。
作為受損用戶,只能先去找最先引發風險的主要責任方pNetwork討說法,以求減少自己損失。這是一起非智能合約漏洞誘發的安全危機,但卻比任何代碼漏洞都極具警醒意義,希望能引起區塊鏈項目方的警惕。
如區塊鏈安全從業者Haotian所言:平時風吹草動都會科普、預警、追蹤的安全公司,卻在這次Gala事件中集體缺席。原因很簡單:安全審計和服務能查檢一切代碼缺陷,卻難以對抗行業生態參與者急功近利釀就的潛在“人禍”危機。
Tags:ALAGALAGALpNetworkGalaxy VillansSociety of Galactic ExplorationGalactic Blue IndexBSPNetwork
Twitter加密貨幣社區嚴厲批評主流媒體對加密貨幣交易所FTX崩潰的報道不力且帶有偏見。在福布斯雜志11月18日發表的一篇文章中,FTX姐妹公司AlamedaResearch首席執行官Caro.
1900/1/1 0:00:0011月8日下午,FTX的相關熱錢包突然出現異樣,近多個小時幾乎沒有幣轉出。同時FTXUS的熱錢包仍在持續轉幣。有人說:FTX是不是快要發公告?誰知道卻等來了一個幣圈歷史系的公告.
1900/1/1 0:00:00MarsBitCryptoDaily2022年11月17日 一、今日要聞 Genesis旗下專注于機構的貸款部門將暫停贖回和新貸款發放服務加密投資銀行GenesisGlobalTrading旗下.
1900/1/1 0:00:00摘要:“異軍突起”的工業元宇宙究竟是什么?現在發展到什么階段了?隨著技術發展,它又將被應用在哪些場景?哪些企業在關注工業元宇宙?圖片來源:由無界版圖AI創作工具生成.
1900/1/1 0:00:00區塊鏈是一種創新的計算模式,數據和應用的安全不由中心化的第三方保障,而是由去中心化的計算機網絡保障。由于區塊鏈本身具有無需許可性,因此任何人都可以加入網絡,并獨立驗證計算的真實性.
1900/1/1 0:00:00最近FTX暴雷之后,我明顯感覺到圈內人更加焦慮了,可能有一波人已經直接選擇了放棄,退圈保平安,但還是有一波人留了下來,可能為了繼續擼毛回血,可能為了繼續陪伴行業成長,看到下一個牛市到來.
1900/1/1 0:00:00