La tourmente de l'émission anormale de pGALA par le protocole de routage multi-chaînes pNetwork n'est pas encore terminée. Huobi a créé la controverse au sein de la communauté car il a changé le jeton GALA de certains utilisateurs identifiés comme « fête de la laine » d'arbitrage en pGALA. Qui a raison et qui a tort dans cette affaire ?
La tourmente de l'émission anormale de pGALA par le protocole de routage multi-chaînes pNetwork n'est pas encore terminée. Huobi a créé la controverse dans la communauté des actifs virtuels car il a changé le GALA de certains utilisateurs identifiés comme « fête de la laine » d'arbitrage en pGALA. Qui a raison et qui a tort dans cette affaire ?
Examen de l'événement : pGALA a émis plus de jours, Huobi n'a pas clôturé le rachat et le retrait à temps
À 4h00 le 4 novembre, la communauté des actifs virtuels a commencé à répandre la nouvelle que la plate-forme de jeux en chaîne Gala Games Token Gala (chaîne BNB) avait chuté rapidement et fortement. Issu du protocole de routage multi-chaînes pNetwork, plus d'un milliard de dollars américains de jetons pGALA ont été créés à partir de rien sur la chaîne BNB et vendus sur PancakeSwap. Cela a fait chuter les jetons Gala sur la chaîne BNB directement de 1 USD à 0.04 USD.
Par la suite, les utilisateurs de la communauté ont découvert qu'il y avait une énorme différence de prix entre le jeton Gala sur la chaîne BNB et l'échange centralisé, et ils ont versé une grande quantité de fonds pour acheter le jeton Gala sur la chaîne BNB pour le recharger et le vendre sur le échange centralisé. À cette époque, Binance et d'autres échanges avaient suspendu la recharge Gala sur la chaîne BNB, et le canal de recharge Huobi était toujours ouvert. L'utilisateur a terminé l'arbitrage en déplaçant des briques via Huobi, ce qui a entraîné une forte baisse du Gala sur la bourse Huobi, de 0.04 USD à 0.0003 USD.
pNetwork a tweeté à 4h28 le 4 novembre que la frappe de jetons pGALA dépassant 1 milliard de dollars américains à partir de rien a été causée par une mauvaise configuration du pont inter-chaînes. Il a déclaré que le contrat pGALA sur la chaîne BNB devait être redéployé, et il travaillait avec l'équipe de Gala Games et PancakeSwap pour obtenir le solde du compte des utilisateurs de pGALA et restaurer la fonction de dépôt et de retrait. Après le déploiement du nouveau contrat, de nouveaux jetons pGALA seraient largués dans un rapport de 1:1.
D'après ce que l'équipe de sécurité de SlowMist a observé, les pirates du contrat pGala avaient converti la majeure partie du Gala en 13,000 4.3 BNB, réalisant un bénéfice de plus de 45 millions de dollars. A cette époque, l'adresse disposait encore de XNUMX milliards de Gala, mais il n'a pas été encaissé car le pool de fonds était pratiquement épuisé.
À partir de 9h00 le 4 novembre, Huobi a publié cinq annonces consécutives sur les progrès de la gestion des événements anormaux sur la chaîne de jetons Gala. L'annonce indiquait que les jetons Gala seraient retirés de la liste et que le nœud temporel de l'accident serait déterminé comme ligne de démarcation. Après l'incident, l'opération d'achat sera exécutée pour les utilisateurs, la plateforme renommera les actifs Gala achetés en PGALA (PGALA n'a rien à voir avec le jeton Gala d'origine, il appartient à un jeton meme). Pour ceux qui détenaient des jetons Gala avant l'incident, la partie du projet Gala a accepté de verser une compensation complète sous la forme d'un largage proportionnel 1: 1 de Gala sur la chaîne Ethereum. Dans le même temps, il a déclaré qu'il continuerait à négocier avec des projets connexes au nom des utilisateurs pour indemniser les utilisateurs pour les pertes d'actifs causées par l'incident.
À 12h00 le 5 novembre, Huobi a annoncé qu'il réénumérerait les jetons Gala et pGala. Pour le jeton pGala, Huobi avait mis en place un mécanisme de réduction des taxes et des frais, ajusté les frais de transaction au comptant PGALA à 1.2 % dans les deux sens et utilisé tous les revenus des frais pour racheter et détruire les jetons pGala.
Selon la chaîne Twitter officielle de pNetwork, aucune information n'a été communiquée à la communauté pendant deux jours, à l'exception d'une annonce révélant les problèmes existants au moment de l'incident. Face aux questions constantes de la communauté, pNetwork n'a pas publié l'analyse post-événement de l'incident pGala avant 2h00 le 6 novembre.
Selon le rapport d'analyse, à 1h52 le 4 novembre, l'équipe a remarqué une erreur de configuration dans le pont inter-chaîne pNetwork de GALA. En raison d'une mauvaise configuration, la propriété du contrat intelligent pGALA déployé sur le BSC avait été secrètement prise en charge. Le pool de fonds s'élevait à 400,000 XNUMX USD. À ce moment-là, l'attaquant qui a obtenu la propriété du contrat intelligent n'a lancé aucune attaque.
À 3 h 11 le 4 novembre, pNetwork a contacté GalaGames pour suspendre les activités du pont inter-chaînes et a vidé le pool pGALA/BNB PancakeSwap via l'opération chapeau blanc. Il s'agissait d'une tentative de conserver les fonds de la BNB dans le pool, de sorte qu'une fois la situation maîtrisée, les fonds puissent être restitués à tous ses fournisseurs de liquidités.
À 4 h 13 le 4 novembre, pNetwork a émis 27,814,200,000 27,814,200,000 XNUMX XNUMX pGALA non sécurisés supplémentaires pour vider le pool pGALA/BNB PancakeSwap. Par la suite, XNUMX XNUMX XNUMX XNUMX jetons pGALA non sécurisés supplémentaires ont été émis.
Comme mentionné ci-dessus, à 4h28 le 4 novembre, GalaGames et pNetwork ont tweeté pour indiquer le problème, rappelant aux utilisateurs de la communauté de ne pas acheter de jetons Gala sur la chaîne BNB. Après que la dissuasion ait été inefficace, à 4 h 29 le 4 novembre, pNetwork a choisi de continuer à vider le pool afin de protéger les utilisateurs versant dans le pool de fonds supplémentaires des attaquants potentiels. À 6 h 16 le 4 novembreth, GalaGames et pNetwork ont choisi d'arrêter de vider le pool de flux. Jusqu'à présent, pNetwork a récupéré 12977BNB dans le comportement de vidange du pool. À 7 h 03 le 4 novembre, Huobi a fermé la fonction de recharge Gala sur la chaîne BNB.
Selon le rapport d'analyse divulgué par pNetwork, le pirate de contrat pGala mentionné ci-dessus à l'insu de SlowMist était le pNetwork officiel. L'émission supplémentaire par pNetwork de jetons pGala sans valeur était due à une mauvaise configuration du pont inter-chaîne pNetwork de GALA, qui a entraîné une exposition au risque de 400,000 XNUMX USD.
Haotian, un praticien de la sécurité de la blockchain, a tweeté que l'équipe du projet pNetwork manquait de bon sens en ce qui concerne la sécurité DeFi, et a injecté un excès de liquidités dans l'écosystème sans éliminer complètement les dangers potentiels, ce qui était trop hâtif et irresponsable. Par la suite, la possibilité d'opérations d'initiés potentielles n'a pas été prise en compte. Au lieu de cela, il a servi de médiateur entre Huobi et GALA pour se soustraire à la responsabilité et attribuer le blâme. Il est compréhensible et non exagéré de dire qu'il en était l'instigateur.
La partie du projet Gala, en tant que partie directement liée entre pNetwork et l'échange centralisé, n'a pas transmis l'information avec précision (l'équipe GALA a confirmé que Binance a clôturé le dépôt et le retrait de GALA sur la chaîne BNB, mais n'a pas confirmé la fermeture du dépôt et retrait avec l'équipe d'amarrage de Huobi Global). La conduite de pNetwork est extrêmement préjudiciable aux utilisateurs, ce qui montre que l'équipe de Gala ne prend pas au sérieux les détenteurs de jetons.
Dans le même temps, les utilisateurs ont commencé à déplacer des briques pour l'arbitrage jusqu'à ce que Huobi arrête la recharge Gala sur la chaîne BNB jusqu'à 3 heures, ce qui a montré que les mesures de sécurité et de gestion des risques de la plateforme Huobi sont insuffisantes.
pNetwork et Huobi vont en justice, Huobi promet de payer 6 millions de dollars aux utilisateurs
Le dernier incident d'émission supplémentaire de pGala a affecté la communauté de diverses manières. Certains utilisateurs ont largement profité de l'arbitrage, tandis que d'autres ont subi des pertes. Selon les données de Lookonchain, une adresse Smart Money a acheté 406 millions de GALA au pool PancakeSwap pour 120,380 20 USD 5.79 minutes après l'attaque GALA, et a gagné 675,000 millions de dollars et XNUMX XNUMX USD respectivement à Huobi et Binance. La question se pose alors de savoir vers qui les victimes peuvent se tourner en cas de pertes financières.
Abordant ce problème, Huobi a publié une déclaration dans la soirée du 6 novembre 2022. Dans la déclaration, Huobi a déclaré que le comportement de pNetwork n'était pas la prétendue opération de chapeau blanc qu'il prétendait être, mais une attaque de pirate informatique malveillante menée à des fins lucratives.
Premièrement, Huobi a déclaré que si pNetwork utilisait son propre canal de contact à ligne unique pour communiquer avec l'échange, mais le message n'indiquait pas que pNetwork se préparait à attaquer les vulnérabilités, encore moins que pNetwork émettrait une grande quantité de 55.6 milliards de jetons GALA. sur le marché en l'espace de 50 minutes. Cette action a eu de graves conséquences, car des utilisateurs et des échanges innocents ont subi de lourdes pertes.
Selon l'analyse de Slowmist, la mauvaise configuration du pont inter-chaînes mentionnée par pNetwork ci-dessus a en fait été réalisée par le propriétaire de la clé privée avec des droits d'administration pour le contrat de proxy pGALA qui avait été divulgué sur Github, et cette adresse de propriétaire avait été remplacé de manière malveillante il y a 70 jours, ce qui rend le contrat pGALA vulnérable et risque d'être attaqué. pNetwork avait délibérément caché ce fait à Huobi.
De plus, selon le rapport d'analyse post-événement publié par pNetwork, il avait été publiquement rappelé à la communauté de ne pas acheter de jetons Gala sur la chaîne BNB. Plus précisément, l'équipe de pNetwork avait demandé aux utilisateurs de ne pas déplacer de jetons pour l'arbitrage en observant les grandes différences de prix entre la chaîne et les bourses.
Les investisseurs opportunistes avaient-ils ignoré le rappel de pNetwork et saisi le passage à l'arbitrage et profité généreusement ? Si l'équipe de pNetwork avait été un investisseur individuel, aurait-elle laissé passer l'opportunité d'arbitrage ?
Deuxièmement, Huobi estime qu'il n'y a aucune preuve que quiconque exploiterait la vulnérabilité de pNetwork pour lancer une attaque, et c'est pNetwork lui-même QUI était désireux d'exploiter cette vulnérabilité à des fins lucratives. La vulnérabilité existe depuis 67 jours, ce qui était une durée suffisante pour évaluer les solutions de sécurité potentielles, mais l'équipe de pNetwork avait choisi avec empressement d'exploiter activement la vulnérabilité dans les 50 minutes et d'émettre 55.6 milliards de jetons pour vider le pool de liquidités.
L'équipe pNetwork était peut-être impatiente de résoudre le problème, mais comme il n'y avait pas eu d'attaques depuis la découverte de la vulnérabilité il y a 67 jours, l'équipe aurait pu trouver calmement une solution plus complète au lieu d'une solution qui mettait le marché en danger. .
De plus, Gala sur la chaîne BNB était à l'origine un jeton pour la cartographie des promesses de dons. Selon l'expérience passée, l'équipe peut remplacer complètement le contrat de jeton et jeter le contrat de jeton avec des risques. Si pNetwork avait été transparent sur ses intentions, la communauté aurait été en mesure de comprendre et d'insister. Il n'était pas nécessaire de résoudre le problème en vidant les actifs du pool de liquidités par des émissions supplémentaires - une action extrêmement risquée et préjudiciable au marché.
Troisièmement, Huobi estime que l'argument de pNetwork selon lequel l'émission supplémentaire de jusqu'à 55.6 milliards de jetons visait à arbitrer un pool de liquidités d'une valeur d'environ 400,000 XNUMX USD qui risquait d'être attaqué est sans fondement. Huobi pense que l'intention de pNetwork était de profiter des turbulences du marché, que pNetwork utilisait "l'attaque du chapeau blanc" comme prétexte pour mener des attaques de piratage afin d'éviter les sanctions légales.
En outre, le rapport d'analyse officiel de pNetwork a révélé que les 12,977 4.5 BNB (d'une valeur d'environ 16 millions de dollars) d'actifs récupérés par le pool seraient restitués aux détenteurs non constitués en société qui avaient mis en gage dpGALA, dans un instantané pris à 00h7 le 2022 novembre, XNUMX. De telles actions ne semblent pas correspondre aux affirmations selon lesquelles il s'agissait d'une attaque au chapeau blanc.
Cependant, pNetwork a mentionné dans son rapport d'analyse post-événement qu'un total de 55.6 milliards de jetons Gala avaient été émis deux fois. Selon le prix GALA de 0.04 USD à ce moment-là, 55.6 milliards de jetons Gala valaient 2.2 milliards USD. pNetwork's avait émis des jetons Gala supplémentaires d'une valeur de 2.2 milliards de dollars américains pour un pool de liquidités avec un risque potentiel de 400,000 XNUMX dollars américains. Il serait difficile pour la communauté de comprendre la logique derrière une telle ligne de conduite. De plus, la méthode d'émission privée de jetons supplémentaires n'est pas conforme à l'esprit de la blockchain.
Concernant la déclaration de Huobi, pNetwork a officiellement tweeté qu'il condamnait les fausses accusations de Huobi contre pNetwork et prendrait les mesures légales appropriées pour contrer les affirmations de Huobi. pNetwork a déclaré qu'il existe des preuves prouvant que ses actions ont été menées de bonne foi et que toutes les actions ont été convenues à l'avance avec GalaGames.
En réponse à la réponse de pNetwork, Huobi a déclaré à PANews que la réponse de pNetwork était fausse et de nature faible. Huobi a rétorqué que pNetwork avait exploité la faille du jeton GALA en émettant un grand nombre de jetons, avait complètement dissimulé son comportement d'attaque à l'échange et n'avait contacté l'échange qu'en l'espace d'une heure. Lors de l'attaque, 55.6 milliards de jetons avaient été émis en exploitant les failles contractuelles. Au cours de cette période, la bourse n'a pas eu le temps de répondre, et pNetwork n'a pas non plus confirmé à la bourse si des mesures pertinentes avaient été prises pour assurer la sécurité des actifs. Huobi Global a lancé des procédures légales et souhaite que pNetwork assume la responsabilité légale de ses actions.
De plus, dans la soirée du 9 novembre 2022, Justin Sun, membre du comité consultatif mondial de Huobi, a déclaré lors de l'événement TS "Entry Full Moon, Brother Sun's Work Report" organisé par PANews que lors de l'incident GALA, le récupéré les fonds valaient environ 4 millions de dollars américains, qui étaient revenus en chaîne.
6 millions de dollars américains de fonds seront affectés à l'indemnisation des utilisateurs qui ont subi des pertes, et les fonds restants seront utilisés pour racheter et détruire les jetons PGALA. Toutes les compensations de pNetwork seront utilisées pour compenser les utilisateurs qui ont subi des pertes sur la plate-forme.
Réflexion : Les mécanismes de sécurité d'alerte précoce doivent être renforcés
Cet incident a été causé par les ingénieurs de pNetwork qui ont laissé la clé dans le contrat, ce qui a compromis la sécurité. pNetwork a choisi de surmonter ce risque de sécurité en émettant des jetons GALA supplémentaires pour vider le pool de liquidités. Une telle solution était extrêmement risquée et, en raison d'une mauvaise communication, Huobi n'a pas arrêté à temps les dépôts et les retraits de GALA, ce qui a eu un impact à grande échelle.
Les projets pNetwork et Gala sont les principaux responsables de cet incident, qui a entraîné des pertes d'utilisateurs et une érosion de la confiance dans la communauté. pNetwork était clairement conscient que cette vulnérabilité existait depuis deux mois et n'avait pas été exploitée, mais n'a pas soigneusement envisagé une solution globale. Au lieu de cela, il a choisi une solution à haut risque qui violait l'esprit de la blockchain et était susceptible de causer des dommages à grande échelle aux utilisateurs. En tant qu'initié, l'équipe du projet Gala a choisi d'activer activement ce comportement à haut risque au lieu d'enquêter sur la cause profonde et de fournir une solution viable.
Cependant, les systèmes d'intervention d'urgence en matière de sécurité et de contrôle des risques sur la plate-forme Huobi étaient extrêmement inefficaces. En voyant la différence de prix sur la chaîne, les utilisateurs de la communauté seraient certainement conscients de l'opportunité d'arbitrage. Comment Huobi, en tant qu'échange de premier niveau, pourrait-il ne pas savoir ?
Par conséquent, bien que la communication avec pNetwork n'ait pas été efficace, Huobi aurait eu suffisamment de temps pour arrêter la fonction de recharge afin de réduire le nombre d'utilisateurs concernés.
Un utilisateur qui a subi des pertes ne peut que contacter pNetwork, le principal responsable qui a déclenché l'incident, pour trouver une solution concernant la réduction des pertes. Il s'agit d'une crise de sécurité causée par une faille dans le contrat intelligent, mais elle est plus pertinente que n'importe quelle faille de code, et les parties du projet blockchain devraient y prêter attention.
Comme Hao Tian, un praticien de la sécurité de la blockchain, l'a déclaré : Les sociétés de sécurité spécialisées dans les alertes précoces et les détections d'incidents de sécurité étaient collectivement absentes de cet événement de gala. Les audits et les services de sécurité peuvent vérifier les défauts de code, mais il est difficile de lutter contre la crise potentielle de «catastrophe d'origine humaine» créée par les acteurs écologiques de l'industrie désireux de profiter rapidement de l'argent.
Avertissement: Ceci est un article de communiqué de presse. Coinpedia n'approuve ni n'est responsable du contenu, de l'exactitude, de la qualité, de la publicité, des produits ou d'autres éléments de cette page. Les lecteurs doivent faire leurs propres recherches avant d'entreprendre toute action liée à l'entreprise.
Source : https://coinpedia.org/press-release/with-an-additional-us2-billion-issued-for-us400000-who-will-take-responsibility-for-the-loss-of-users-in- l'incident-du-gala/