ALA:为40万美金增发20亿美金,谁来为GALA事件用户损失负责?

多链路由协议pNetwork的异常增发pGALA事件风波还未结束,火币因为将部分被认定为是套利“羊毛党”用户的GALA改为pGALA而引起社区的争议,双方直接硬碰硬表示将“对簿公堂”,这件事情究竟谁对谁错呢?

事件回顾:pGALA天量增发,火币未及时关闭冲提

11月4日凌晨4点,社群开始传播链游平台GalaGames代币Gala快速大幅下跌。源于多链路由协议pNetwork在BNB链上凭空铸造了超10亿美元的pGALA代币,并通过在PancakeSwap上售出,使得BNB链上的Gala代币从0.04美金直接跌到0.0000045美金。

随后社区用户发现BNB链上的Gala代币与中心化交易所之间存在巨幅差价,便涌入大量资金购买BNB链上Gala代币充值到中心化交易所售出。当时币安等交易所已经暂停BNB链上的Gala充值,火币充值通道依旧开通。用户便通过火币完成搬砖套利,使得火币交易所的Gala急速下跌,从0.04美金跌至0.0003美金。

Binance Australia用户以低于市场9000澳元的价格出售BTC:金色财经报道,Binance澳大利亚分支机构Binance Australia上的BTC价格约为 34,000 澳元(23,062.20 美元),而澳大利亚加密货币交易所BTC Markets的价格为 43,000 澳元,价格出现 9000 澳元的负溢价,表明用户正在寻求迅速卖出。此外,ETH和SOL等代币,也出现约20%的负溢价。

本月早些时候,Binance表示,在第三方服务提供商切断其服务后,澳大利亚的一些客户将无法存取款。[2023/5/30 11:48:06]

pNetwork在4日凌晨4:28发推称,凭空铸造超10亿美元的pGALA代币是因为跨链桥配置错误所致。需要重新部署BNB链上的pGALA合约,正在与GalaGames团队以及PancakeSwap合作获得用户pGALA的账户余额并恢复存提币功能。新合约部署后将以1:1的比例空投新的pGALA代币。

据安全团队慢雾监控,pGala合约黑客已将大部分Gala兑换成13,000枚BNB,获利超430万美元,当时该地址仍有450亿枚Gala,但因为资金池基本已耗尽而未兑付。

11月4日9时起,火币连续发布五则Galatoken链上异常事件处理进展公告,公告称下架Gala代币,以确定事故发生的时间节点作为分界线,事故发生之后执行买入操作的用户,平台将其买入的Gala资产更名PGALA;事故发生之前的Gala持币用户,Gala项目方同意进行全额赔付,形式为1:1比例空投以太链上的Gala。同时称将代表用户继续与相关项目商谈对由于该事件导致资产损失用户补偿的事宜。

域名服务ARB ID第1阶段拍卖结束,第2阶段将于明日22时开启:2月19日消息,Arbitrum生态域名服务ARB ID第1阶段(Phase1)拍卖结束,第2阶段(Phase2)将于世界标准时间2月20日2:00pm(北京时间22:00)开启。根据官方数据,ARB ID Phase1中共计10,712个域名的拍卖溢价为183.59枚ETH。拍卖溢价将全额分配给所有第1阶段和第2阶段的参与者。如果用户尚未赢得任何拍卖,配额在第2阶段仍将有效。[2023/2/19 12:15:50]

11月5日12:00火币重新上架Gala和pGala代币。针对pGala代币火币设置税费燃烧机制,将PGALA现货交易手续费调整为双向收取1.2%,所有手续费收入用来回购销毁pGala代币。

根据pNetwork官方推特信息,除事故发生时发布公告披露所存在的问题外,长达两天时间并未向社区同步任何信息。面对社区不断的疑问,pNetwork直至11月6日凌晨2点才发布pGala事故的事后分析。

分析报告称,11月4日凌晨1:52团队注意到GALA的pNetwork跨链桥的一个配置错误。由于配置错误,部署在BSC上pGALA智能合约的所有权已被秘密接管。该资金池涉及资金为40万美金,当时获得该智能合约所有权的攻击者并没有发动任何攻击。

安全团队:BAYC #8941疑似被盗:金色财经报道,据PeckShield数据监测,BAYC #8941疑似被盗,NFT被转入0x18e541...D0F4地址,被标记为钓鱼地址。[2022/9/14 13:28:51]

11月4日3:11,pNetwork联系GalaGames决定暂停跨链桥活动,并通过白帽行动抽干pGALA/BNBPancakeSwap池,以试图将BNB资金保存在该池中,以便在局势得到控制后,资金可以返回到其所有流动性提供者。

11月4日凌晨4:13pNetwork增发27,814,200,000个无抵押的pGALA用于抽干pGALA/BNBPancakeSwap池。随后又增发27,814,200,000个无抵押的pGALA代币。

如前文提到,11月4日凌晨4:28分,GalaGames和pNetwork发推表明问题,提醒社区用户不要购买BNB链上Gala代币。在劝阻无效之后,11月4日凌晨4:29pNetwork称为了防止用户涌入添加的资金池被潜在的攻击者攻击,选择继续抽干池子。11月4日早晨6:16GalaGames和pNetwork选择停止抽干流动池行为。至此,pNetwork的抽干池行为收回12977BNB。11月4日早晨7:03火币关停BNB链上Gala充值功能。

由pNetwork披露的分析报告可知,前文慢雾不知情时所提到的pGala合约黑客实际是pNetwork官方;pNetwork增发无价值的pGala代币实际是因为GALA的pNetwork跨链桥的一个配置错误,使得出现40万美金的风险敞口,为了赶在攻击者发起攻击之前抽干现有流动池。

Azuki系列NFT近24小时交易额增幅超400%:金色财经消息,据OpenSea数据显示,Azuki系列NFT近24小时交易额为520.79ETH,24小时交易额增幅达444.23%。近24小时交易额排名位列OpenSea第一。[2022/7/30 2:46:58]

区块链安全从业者Haotian发推称,pNetwork项目方的做法缺乏DeFi安全常识,在未完全排除潜在危害的前提下,就将超发的流动性注入了生态,过于仓促,不负责任。事后也未解释潜在内幕操作的可能性,而是斡旋于火币和GALA之间推卸责任和甩锅,说其为始作俑者无可厚非,也不为过。

Gala项目方作为pNetwork和中心化交易所联络的直接相关方,不仅没有准确传达信息,而且对pNetwork此种对用户危害极大的行为加以配合,可见Gala团队并未将持币用户放在心上。

同时,用户开始搬砖套利到火币关停BNB链上Gala充值期间长达3个小时,可见火币平台安全应急响应和风控系统的处理不足。

pNetwork与火币将对簿公堂,火币承诺600万美元赔付用户

从影响社区用户的层面看,pGala增发事件中有用户搬砖套利获利颇丰,也有用户无辜受损。据Lookonchain监测数据,一SmartMoney地址在GALA受到攻击20分钟后用12.038万美元从PancakeSwap池中购买了4.06亿枚GALA,从火币和币安分别获利579万美元和67.5万美元)。金融本是场零和博弈的游戏,因此亏损的人又该找谁说理呢?

Magic Eden任命Joseph Doll为总法律顾问:金色财经报道,NFT市场Magic Eden今天宣布,它已任命Joseph Doll担任总法律顾问。Doll在为各种加密货币和web3技术公司提供咨询方面的丰富经验使他成为公司未来发展的核心员工。作为总法律顾问,Doll将领导法律战略、设计和监管方法,以确保Magic Eden的创新建立在长期成功的基础上。(prnewswire)[2022/6/30 1:42:33]

对此,火币11月6日晚发布声明。声明中火币认为pNetwork此次行为并非所谓白帽行动,而是属于以恶意获利为目的的黑客偷窃攻击。

首先,火币表示pNetwork确实使用自行的单线联系渠道与其沟通,但沟通中没有说明pNetwork准备攻击漏洞,更没有说明五十分钟内就将增发556亿GALA代币在市场进行巨额抛售,以及会对无辜用户与交易所造成极其重大损失的严重后果。

据慢雾分析,前文pNetwork所提的跨链桥配置错误实际是pGALA代理合约的Admin角色的owner私钥在Github泄漏,且其owner地址已在70天前被恶意替换,导致pGALA合约处于随时可被攻击的风险中。pNetwork官方向火币隐瞒了此事实。

另外,按照pNetwork事后分析报告中所言,公开提醒社区不要购买BNB链上Gala代币。也就是说pNetwork团队要求用户当看到链上和交易所价差如此之大时,不去搬砖套利难道照从pNetwork的提醒置之不理,任由轻松搬砖即可赚到的钱流走。试问pNetwork团队如果作为个人投资者,面对此类套利会任其流走吗?

其二,火币认为并无证据表明任何人会利用pNetwork潜在的漏洞发起攻击,恰恰急切希望利用该漏洞攻击获利的人就是pNetwork自己。该漏洞已经存在六十七天,说明有更多时间思考更多可选的安全方案,但pNetwork团队急切选择五十分钟内主动对漏洞发起攻击,增发556亿代币抽干流动池的方法来解决问题。

pNetwork团队急切解决问题或是因为漏洞虽然发生已久,只是刚刚被团队发现。但冷静一想,长达六十七天攻击者也未向合约发起攻击,说明攻击者也暂未发现该漏洞。pNetwork团队完全可以冷静思考更为周全的解决方案。

而且BNB链上Gala本为质押映射代币,按照以往经验,团队完全可以更换代币合约,废弃存在风险的代币合约。该行为如若透明公开向社区实时披露信息,社区也可理解。而无需通过风险和危害性极大的增发抽干流动池资产来解决问题。

其三,火币认为pNetwork辩解说高达556亿的Token增发为套取存在被攻击风险的价值约40万美金的流动性池,此理由毫无根据。火币认为pNetwork此举只是为了浑水摸鱼、砸盘获利,以“白帽攻击”为幌子行黑客攻击之实,躲避法律制裁。

对于火币认为pNetwork此举是借“白帽攻击”为幌子行黑客攻击获利之实的问题,pNetwork官方在分析报告中披露抽池收回的12977BNB资产将返还给无抵押pGALA的持有者,快照于2022年11月7日16时拍摄。因此,此处指责似乎与事实不符。

但前文pNetwork在其事后分析报告中提到分两次共增发556亿Gala代币,按照当时Gala价格0.04美金,556亿Gala代币折合22亿美金。pNetwork增发价值22亿的Gala代币为套取存在潜在风险的40万美金的流动池,实难令社区理解和信服。而且私自增发代币的行为很不符合区块链精神。

对于火币的声明,pNetwork官方发推文称,谴责Huobi对pNetwork的不实指控,将采取相应的法律行动。其表示,有证据证明pNetwork的行为是善意的,所有的行动都是事先与GalaGames达成一致的。

针对pNetwork的回应,火币向PANews表示,pNetwork的回应虚假而无力,其通过增发天量代币方式攻击GALA代币漏洞,完全向交易所隐瞒其攻击行为,并在联络交易所不到一小时内就利用合约漏洞增发556亿代币实施攻击,期间没有给交易所任何反应时间,也没有向交易所确认是否已采取相关措施。HuobiGlobal已在走法律程序,pNetwork必将为自己的行为承担法律责任。

另外,11月9日晚间,火币全球顾问委员会委员孙宇晨在PANews举办的TS活动“入职满月,孙哥述职报告”中表示,在GALA事件中,挽回的资金大概有400万美元,链上退还的资金约200万美元,这600万美元部分会用来给真实受损用户空投进行赔付,剩下的资金则用于回购销毁PGALA代币。同时,如果起诉pNetwork得到赔偿款项,也将全部用于平台内亏损用户补偿。

反思:需加强安全预警机制

本次事件起因为pNetwork工程师在合约中留下密钥导致潜在风险,pNetwork官方为解决风险采用了增发Gala抽干流动池的行为。因为期间解决问题的方式风险极大,且因为沟通不畅导致火币未及时关停Gala充提而造成大面积影响。

因此,客观来说,此次导致用户受损的事件中pNetwork和Gala项目方为主责。pNetwork在明确知晓此漏洞已存在两个月之久且未被攻击,却不深思熟虑寻找周全的解决方案,而选择违背区块链精神、容易造成用户大面积受损的高风险解决方式。Gala项目方作为知情人竟然选择积极配合此高风险行为,而不是去查根问底提供可靠方案。

而火币平台安全应急响应和风控系统极其不作为。看到链上差价时,社区用户都知道可以去搬砖套利,火币作为一线交易所岂能不知。因此虽然与pNetwork沟通不畅,但火币依然有充足时间去关闭充值功能,减少受影响的用户。

作为受损用户,只能先去找最先引发风险的主要责任方pNetwork讨说法,以求减少自己损失。这是一起非智能合约漏洞诱发的安全危机,但却比任何代码漏洞都极具警醒意义,希望能引起区块链项目方的警惕。

如区块链安全从业者Haotian所言:平时风吹草动都会科普、预警、追踪的安全公司,却在这次Gala事件中集体缺席。原因很简单:安全审计和服务能查检一切代码缺陷,却难以对抗行业生态参与者急功近利酿就的潜在“人祸”危机。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

地球链

TRX区块链:深入探究模块化区块链

本文是基于Celestia官方教程做的笔记整理和注释。一、单链单链包含四个组件执行层:确保所执行的交易进行正确的状态更新。执行层必须确保被执行的交易是有效的,即交易的结果是有效的状态机转换.

火必下载FTX:FTX破产文件要点解析

我刚刚读了FTX第11章破产保护申请首日宣誓书。其中,被任命的重组首席执行官JohnJayRayIII曾监督过Enron的破产程序,他称FTX的案子是他职业生涯中最糟糕的,其内容令人震惊.

DOGEDAO:数字城市(Digital Cities)

前言:从巴比伦到波士顿,城市一直是经济增长和文化活动的集散地。城市把世界各地的人们聚集在一起生活,一起探索新想法,一起用新的方式互动.

[0:15ms0-1:645ms