GALA 事后分析:没有黑客攻击,恢复计划能成功吗?

IP归属:浙江

pGALA 的 GALA 代币的底层抵押品是安全的。GALA跨链桥没有发生资金损失。以太坊上的所有 GALA 代币都是安全的。

没有黑客的攻击,任何东西和支撑都是安全的,那Gala到底发生了什么事儿?

回顾Gala的整体事件:

2022 年 11 月 3 日,pNetwork 团队注意到 GALA 代币的 pNetwork 驱动桥的配置错误。这种错误配置不会影响整个 pNetwork 协议,但它特别涉及 GALA 代币的跨链桥。

该团队注意到,由于配置错误,pGALA 智能合约(部署在 BSC 上)的所有权已被秘密接管。

pNetwork 协议对其跨链操作实施了各种安全措施,旨在防止导致资金损失的黑客攻击,但是 pGALA 不再处于 pNetwork 的独家控制之下,这意味着攻击者可能试图赎回新铸造的、无抵押的 pGALA 代币,因此可能已经窃取了以太坊上的 GALA 抵押品。值得庆幸的是,这并没有发生。此外,潜在的攻击者可能会使用此类无效铸造的代币在其他地方获利,例如通过在 DEX 上出售这些无效、无价值的代币以换取另一种有价值的资产。值得庆幸的是,这也没有发生。

当前保留该智能合约所有权的任何人(从现在开始,“攻击者”)实际上并未执行任何黑客攻击,但这种情况凸显了必须迅速缓解的高安全风险。虽然挂钩和挂钩操作的密钥管理是分开的(因此这些密钥是安全的并且没有受到损害),但失去对代币智能合约的所有权为攻击者创造新代币和制造新代币提供了可能性。随意改变pGALA。

失去 pGALA 代币智能合约的所有权会带来安全风险并且是不可逆转的,这意味着 pGALA 可能随时被恶意接管。

正如稍后解释的那样,这导致决定暂停跨链桥上的交换操作处理,并执行 pGALA/BNB PancakeSwap 池的白帽排空,以试图将 BNB 资金保存在该池中,以便他们一旦情况得到控制,可能会返还给其合法所有者(流动性提供者)。

当发现安全问题时,pNetwork 团队立即通知了 GalaGames 团队,后者立即做出了回应。然后,两个团队立即开始协调以降低风险。

从一开始就很清楚,部署新的 pGALA 代币和停止(在可能的情况下)以前的 pGALA 代币是保护 pGALA 抵押品及其生态系统所需要的。

此外,这一系列的行动需要双方团队协调配合,才能圆满解决问题。

在 pNetwork 方面,暂时停止了通过桥接处理 pGALA 代币的跨链操作。用户发起跨链操作仍然是可能的,但这些操作实际上并没有被处理。然后,这保护了原生端(以太坊)的底层抵押品,并允许开始弃用以前的 pGALA 代币的过程。

Gala事件总结:

事件并不是被攻击,而是pnetwork和gala协商下的一次【白帽行动】,目的是发现漏洞的背景下抽干bsc流动性,避免被攻击遭受实际损失。

按照原定计划,通过增发迅速将pgala砸到0,再通过原先的快照进行1:1空投,理论上可以使用户完全无损。

实施此方案的一个问题是除了bsc链上流动性以外,支持bsc冲提的cex也需要同步参与到进程当中。

在此背景下 紧急行动小组联系了binance和huobi,两家支持pgala冲提的主要交易所。其中binance迅速响应关闭了pgala的冲提,但火币直到很久以后才关闭冲提。

声明也指出行动小组此前没有和火币的官方沟通渠道,而是通过某一名联系人进行联系,这可能是火币没有响应的原因。

行动小组在火币未完成关闭冲提的情况下仍然启动了行动,造成了后续的严重后果,大量增发的pgala被充值进入火币交易所,造成大量用户损失。

从声明信息来看,毫无疑问pnetwork和gala组成的联合行动小组不负责任的行为应当负最主要的责任,在火币未关闭冲提的情况下仍然开始展开行动是非常危险的,火币用户受到影响是一个必然的结果。其方案试图挽救的资金甚至比火币用户的损失还要少。

火币则有必要开展内部调查,争议点在于pnetwork提到的【联系人】对于此事是否知情,如果知情甚至利用该消息套取不正当收益,那么TA应当承担事件责任。

此外,在套利交易实际发生以后火币花了很长时间才完成关闭冲提,这也显示了管理上的漏洞,同样需要进行调查,确认此次事件是【事故】还是【有意为之】

虽然币安关闭了冲提,但实际上直到次日白天,仍然可以通过bsc地址进行转帐(显示到账但不上帐),直至24小时以后才实现拒绝充值,币安的行动也是非常仓促的,再一次验证了所谓行动小组的不负责任。

pnetwork主动或者被动地承认了自己的行为,有意思的是这个声明是在社区爆出许多pnetwork自导自演的指责以后才发出来。

这个声明最后给出的赔偿方案也同样令人失望,仅仅将所谓【白帽行动】的攻击所得拿出来赔付,单个pgala能获得的金额仅有0.00038美元,远低于用户实际损失,甚至仅有火币发行的meme代币的1/10。

火币和binance同样有必要展开针对pnetwork和gala组成的联合行动小组的调查,以确认行动小组及其成员是否有参与到pgala的cex套利中去。这一点对于事件是否是【白帽行动】至关重要。

事后结果来看,如果按照pnetworm的方案执行,链上持有pgala用户和错误充值进入binance的用户遭受了最大的损失,预计仅能得到gala价值2%的偿付,如果按照0.006的购买价格计算,会遭受94%的资产损失。

在火币交易所购买pgala的用户除了pnetwork的赔偿以外还会得到火币的pgala空投,按0.006的购买价格计算亏损比例约为30%,损失幅度较少,取决于后续火币pgala价格走势。

但对于这些用户来说,pnetwork的做法和赔偿方案显然是非常不负责任且无法接受的。

一方面,pnetwork所谓的【白帽行动】获利金额远低于用户损失,而这个差额很大程度上是因为行动小组在火币未关闭冲提的情况下就启动行动导致,pnetwork为此不负任何责任是显然不合理的。

另一方面,直接通过快照进行分配也是不合理的,因为真正遭受损失的用户是huobi上的购买用户和binance的错误充值用户,链上pgala持有者甚至可能是套利者或者攻击者。pnetwork应当进一步与火币以及binance协作,确保数百万的资金赔偿给那些真正应得的用户手上。

pnetwork和gala需要为自己的错误负责任,而不是仅仅拿出攻击所得进行赔偿。火币则应当进一步展开调查,确认自身内部是否存在问题。

本文来源:陀螺科技 文章作者:蟹老板的进击之路
收藏
举报
蟹老板的进击之路
累计发布内容208篇 累计总热度10万+

陀螺科技现已开放专栏入驻,详情请见入驻指南: https://www.tuoluo.cn/article/detail-27547.html

蟹老板的进击之路专栏: https://www.tuoluo.cn/columns/author1741938/

本文网址: https://www.tuoluo.cn/article/detail-10103374.html

免责声明:
1、本文版权归原作者所有,仅代表作者本人观点,不代表陀螺科技观点或立场。
2、如发现文章、图片等侵权行为,侵权责任将由作者本人承担。

相关文章