多链路由协议pNetwork的异常增发pGALA事件风波还未结束,火币因为将部分被认定为是套利“羊毛党”用户的GALA改为pGALA而引起社区的争议,双方直接硬碰硬表示将“对簿公堂”,这件事情究竟谁对谁错呢?
事件回顾:pGALA天量增发,火币未及时关闭冲提
11月4日凌晨4点,社群开始传播链游平台GalaGames代币Gala快速大幅下跌。源于多链路由协议pNetwork在BNB链上凭空铸造了超10亿美元的pGALA代币,并通过在PancakeSwap上售出,使得BNB链上的Gala代币从0.04美金直接跌到0.0000045美金。
随后社区用户发现BNB链上的Gala代币与中心化交易所之间存在巨幅差价,便涌入大量资金购买BNB链上Gala代币充值到中心化交易所售出。当时币安等交易所已经暂停BNB链上的Gala充值,火币充值通道依旧开通。用户便通过火币完成搬砖套利,使得火币交易所的Gala急速下跌,从0.04美金跌至0.0003美金。
FOMC在5月加息25个基点的概率超过80%:金色财经报道,美联储利率互换显示,FOMC在5月加息25个基点的概率超过80%。[2023/4/11 13:55:14]
pNetwork在4日凌晨4:28发推称,凭空铸造超10亿美元的pGALA代币是因为跨链桥配置错误所致。需要重新部署BNB链上的pGALA合约,正在与GalaGames团队以及PancakeSwap合作获得用户pGALA的账户余额并恢复存提币功能。新合约部署后将以1:1的比例空投新的pGALA代币。
据安全团队慢雾监控,pGala合约黑客已将大部分Gala兑换成13,000枚BNB,获利超430万美元,当时该地址仍有450亿枚Gala,但因为资金池基本已耗尽而未兑付。
11月4日9时起,火币连续发布五则Galatoken链上异常事件处理进展公告,公告称下架Gala代币,以确定事故发生的时间节点作为分界线,事故发生之后执行买入操作的用户,平台将其买入的Gala资产更名PGALA;事故发生之前的Gala持币用户,Gala项目方同意进行全额赔付,形式为1:1比例空投以太链上的Gala。同时称将代表用户继续与相关项目商谈对由于该事件导致资产损失用户补偿的事宜。
11月5日12:00火币重新上架Gala和pGala代币。针对pGala代币火币设置税费燃烧机制,将PGALA现货交易手续费调整为双向收取1.2%,所有手续费收入用来回购销毁pGala代币。
根据pNetwork官方推特信息,除事故发生时发布公告披露所存在的问题外,长达两天时间并未向社区同步任何信息。面对社区不断的疑问,pNetwork直至11月6日凌晨2点才发布pGala事故的事后分析。
Klaytn基金会将于2月28日公布KLAY代币经济模型与治理系统的新提案:金色财经报道,韩国区块链平台Klaytn主要开发者与代码维护者之一Klayth基金会正在对Klaytn网络治理系统与原生KLAY代币的经济模型进行更改。Klaytn基金会将与Klaytn治理委员会合作,帮助Klaytn区块链过渡到完全无需许可的验证者结构,为公众提供作为区块验证者的参与的机会,并为Klaytn社区成员引入一个参与决策过程的沟通渠道。
此外,基金会将通过治理协议Klaytn Square实时披露治理委员会的链上投票议程和状态,加强治理透明度。基金会将于本周初向治理委员会提交修改过的代币经济学提案,最终议程和提案将于2月28日与2023年的技术路线图一起公布。(CoinDesk)[2023/2/20 12:16:48]
分析报告称,11月4日凌晨1:52团队注意到GALA的pNetwork跨链桥的一个配置错误。由于配置错误,部署在BSC上pGALA智能合约的所有权已被秘密接管。该资金池涉及资金为40万美金,当时获得该智能合约所有权的攻击者并没有发动任何攻击。
11月4日3:11,pNetwork联系GalaGames决定暂停跨链桥活动,并通过白帽行动抽干pGALA/BNBPancakeSwap池,以试图将BNB资金保存在该池中,以便在局势得到控制后,资金可以返回到其所有流动性提供者。
美联储布拉德:需要加息至5%-7%利率区间底部:金色财经报道,美联储布拉德发言表示,美联储需要将利率提高至5%-7%区间底部,将继续加息到2023年。到2022年底,预计通胀率将降至5.0%-5.5%,2023年底将降至3.0%-3.5%;预计今年和2023年的经济将温和增长。
布拉德补充表示,市场低估了风险,美联储可能更加激进;最好尽快达到目标的政策利率,美联储的目标是在2023年达到通货紧缩,可能不得不在2023年甚至2024年之前保持较高的利率。(金十)[2022/11/29 21:08:26]
11月4日凌晨4:13pNetwork增发27,814,200,000个无抵押的pGALA用于抽干pGALA/BNBPancakeSwap池。随后又增发27,814,200,000个无抵押的pGALA代币。
如前文提到,11月4日凌晨4:28分,GalaGames和pNetwork发推表明问题,提醒社区用户不要购买BNB链上Gala代币。在劝阻无效之后,11月4日凌晨4:29pNetwork称为了防止用户涌入添加的资金池被潜在的攻击者攻击,选择继续抽干池子。11月4日早晨6:16GalaGames和pNetwork选择停止抽干流动池行为。至此,pNetwork的抽干池行为收回12977BNB。11月4日早晨7:03火币关停BNB链上Gala充值功能。
由pNetwork披露的分析报告可知,前文慢雾不知情时所提到的pGala合约黑客实际是pNetwork官方;pNetwork增发无价值的pGala代币实际是因为GALA的pNetwork跨链桥的一个配置错误,使得出现40万美金的风险敞口,为了赶在攻击者发起攻击之前抽干现有流动池。
国图发布数字藏品“诗词中的国家图书馆”:金色财经消息,据国家图书馆官方微博26日发布,国家图书馆发布数字藏品,以诗词中的国家图书馆为主题,共计5000份,售价39.9元。
据悉,该数字藏品基于国图典籍的经典诗词,配合国家图书馆场景,经过二次创作,以“诗词中的国家图书馆”为主题,共有风、花、雪、月四个系列,每个系列有10款相关主题的馆藏诗词数字藏品,采用“系列盲盒”的方式进行发行。(环球网)[2022/5/27 3:45:32]
区块链安全从业者Haotian发推称,pNetwork项目方的做法缺乏DeFi安全常识,在未完全排除潜在危害的前提下,就将超发的流动性注入了生态,过于仓促,不负责任。事后也未解释潜在内幕操作的可能性,而是斡旋于火币和GALA之间推卸责任和甩锅,说其为始作俑者无可厚非,也不为过。
Gala项目方作为pNetwork和中心化交易所联络的直接相关方,不仅没有准确传达信息,而且对pNetwork此种对用户危害极大的行为加以配合,可见Gala团队并未将持币用户放在心上。
同时,用户开始搬砖套利到火币关停BNB链上Gala充值期间长达3个小时,可见火币平台安全应急响应和风控系统的处理不足。
pNetwork与火币将对簿公堂,火币承诺600万美元赔付用户
吉宏股份拟参与设立元宇宙股权投资基金:5月23日消息,吉宏股份近日发布公告称,拟与厦门文广融创投资管理有限公司、厦门文广投资管理有限公司共同出资设立厦门鹭屿元界文化产业股权投资合伙企业,股权投资基金的规模为人民币1010万元,该股权投资基金拟100%投资于早中期元宇宙产业链相关未上市公司,包括但不限于VR/AR应用领域企业、虚拟数字人制作企业、数字藏品发行/交易平台等。对此,深交所要求说明是否存在蹭“元宇宙”热点概念。(金融界)[2022/5/23 3:35:28]
从影响社区用户的层面看,pGala增发事件中有用户搬砖套利获利颇丰,也有用户无辜受损。据Lookonchain监测数据,一SmartMoney地址在GALA受到攻击20分钟后用12.038万美元从PancakeSwap池中购买了4.06亿枚GALA,从火币和币安分别获利579万美元和67.5万美元)。金融本是场零和博弈的游戏,因此亏损的人又该找谁说理呢?
对此,火币11月6日晚发布声明。声明中火币认为pNetwork此次行为并非所谓白帽行动,而是属于以恶意获利为目的的黑客偷窃攻击。
首先,火币表示pNetwork确实使用自行的单线联系渠道与其沟通,但沟通中没有说明pNetwork准备攻击漏洞,更没有说明五十分钟内就将增发556亿GALA代币在市场进行巨额抛售,以及会对无辜用户与交易所造成极其重大损失的严重后果。
据慢雾分析,前文pNetwork所提的跨链桥配置错误实际是pGALA代理合约的Admin角色的owner私钥在Github泄漏,且其owner地址已在70天前被恶意替换,导致pGALA合约处于随时可被攻击的风险中。pNetwork官方向火币隐瞒了此事实。
另外,按照pNetwork事后分析报告中所言,公开提醒社区不要购买BNB链上Gala代币。也就是说pNetwork团队要求用户当看到链上和交易所价差如此之大时,不去搬砖套利难道照从pNetwork的提醒置之不理,任由轻松搬砖即可赚到的钱流走。试问pNetwork团队如果作为个人投资者,面对此类套利会任其流走吗?
其二,火币认为并无证据表明任何人会利用pNetwork潜在的漏洞发起攻击,恰恰急切希望利用该漏洞攻击获利的人就是pNetwork自己。该漏洞已经存在六十七天,说明有更多时间思考更多可选的安全方案,但pNetwork团队急切选择五十分钟内主动对漏洞发起攻击,增发556亿代币抽干流动池的方法来解决问题。
pNetwork团队急切解决问题或是因为漏洞虽然发生已久,只是刚刚被团队发现。但冷静一想,长达六十七天攻击者也未向合约发起攻击,说明攻击者也暂未发现该漏洞。pNetwork团队完全可以冷静思考更为周全的解决方案。
而且BNB链上Gala本为质押映射代币,按照以往经验,团队完全可以更换代币合约,废弃存在风险的代币合约。该行为如若透明公开向社区实时披露信息,社区也可理解。而无需通过风险和危害性极大的增发抽干流动池资产来解决问题。
其三,火币认为pNetwork辩解说高达556亿的Token增发为套取存在被攻击风险的价值约40万美金的流动性池,此理由毫无根据。火币认为pNetwork此举只是为了浑水摸鱼、砸盘获利,以“白帽攻击”为幌子行黑客攻击之实,躲避法律制裁。
对于火币认为pNetwork此举是借“白帽攻击”为幌子行黑客攻击获利之实的问题,pNetwork官方在分析报告中披露抽池收回的12977BNB资产将返还给无抵押pGALA的持有者,快照于2022年11月7日16时拍摄。因此,此处指责似乎与事实不符。
但前文pNetwork在其事后分析报告中提到分两次共增发556亿Gala代币,按照当时Gala价格0.04美金,556亿Gala代币折合22亿美金。pNetwork增发价值22亿的Gala代币为套取存在潜在风险的40万美金的流动池,实难令社区理解和信服。而且私自增发代币的行为很不符合区块链精神。
对于火币的声明,pNetwork官方发推文称,谴责Huobi对pNetwork的不实指控,将采取相应的法律行动。其表示,有证据证明pNetwork的行为是善意的,所有的行动都是事先与GalaGames达成一致的。
针对pNetwork的回应,火币向PANews表示,pNetwork的回应虚假而无力,其通过增发天量代币方式攻击GALA代币漏洞,完全向交易所隐瞒其攻击行为,并在联络交易所不到一小时内就利用合约漏洞增发556亿代币实施攻击,期间没有给交易所任何反应时间,也没有向交易所确认是否已采取相关措施。HuobiGlobal已在走法律程序,pNetwork必将为自己的行为承担法律责任。
另外,11月9日晚间,火币全球顾问委员会委员孙宇晨在PANews举办的TS活动“入职满月,孙哥述职报告”中表示,在GALA事件中,挽回的资金大概有400万美元,链上退还的资金约200万美元,这600万美元部分会用来给真实受损用户空投进行赔付,剩下的资金则用于回购销毁PGALA代币。同时,如果起诉pNetwork得到赔偿款项,也将全部用于平台内亏损用户补偿。
反思:需加强安全预警机制
本次事件起因为pNetwork工程师在合约中留下密钥导致潜在风险,pNetwork官方为解决风险采用了增发Gala抽干流动池的行为。因为期间解决问题的方式风险极大,且因为沟通不畅导致火币未及时关停Gala充提而造成大面积影响。
因此,客观来说,此次导致用户受损的事件中pNetwork和Gala项目方为主责。pNetwork在明确知晓此漏洞已存在两个月之久且未被攻击,却不深思熟虑寻找周全的解决方案,而选择违背区块链精神、容易造成用户大面积受损的高风险解决方式。Gala项目方作为知情人竟然选择积极配合此高风险行为,而不是去查根问底提供可靠方案。
而火币平台安全应急响应和风控系统极其不作为。看到链上差价时,社区用户都知道可以去搬砖套利,火币作为一线交易所岂能不知。因此虽然与pNetwork沟通不畅,但火币依然有充足时间去关闭充值功能,减少受影响的用户。
作为受损用户,只能先去找最先引发风险的主要责任方pNetwork讨说法,以求减少自己损失。这是一起非智能合约漏洞诱发的安全危机,但却比任何代码漏洞都极具警醒意义,希望能引起区块链项目方的警惕。
如区块链安全从业者Haotian所言:平时风吹草动都会科普、预警、追踪的安全公司,却在这次Gala事件中集体缺席。原因很简单:安全审计和服务能查检一切代码缺陷,却难以对抗行业生态参与者急功近利酿就的潜在“人祸”危机。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。