對於上周(4日凌晨)發生的 Gala Games 代幣遭駭「實為白帽行為」這一解說,火幣新任全球顧問及波場(TRON)創辦人孫宇晨隨後發推文直斥其非,並點名為 Gala Games 提供路由基礎設施的 pNetwork 惡意利用管理權限在BNB Chain上增發超過556億GALA代幣的行為「不是白帽,是以惡意獲利為最終目標的有預謀黑客攻擊」。
.@HuobiGlobal 关于GALA事件的真相说明:@pNetworkDeFi 恶意利用管理权限在BNB Chain上增发超过556亿GALA代币的行为不是白帽,是以恶意获利为最终目标的有预谋黑客攻击。白帽是其为躲避法律制裁而寻求的非法借口。火币将代表行业与用户依法追究其全部责任与赔偿 https://t.co/IE0yJaRFsB
— H.E. Justin Sun 孙宇晨 (@justinsuntron) November 6, 2022
Huobi Global 發聲明提三大質疑
Huobi Global 交易平台亦同步針對這次混亂事件於昨(6)日發表聲明,並提出三個主要質疑:
1. 在與交易所的事先溝通中,pNetwork團隊從未表示要通過增發天量Token的方式來攻擊GALA代幣漏洞,完全向交易所隱瞞其攻擊行為,並在聯絡交易所後五十分鐘就利用合約漏洞增發556億代幣實施攻擊,期間沒有給交易所任何反應時間。事後調查發現,該漏洞是六十七天前pNetwork 工程師錯誤地在合約中留下了密鑰為後續的悲劇留下隱患。
2. 並無證據表明,任何人會利用該漏洞攻擊,恰恰急切希望利用該漏洞攻擊獲利的人就是pNetwork自己。在明明有更多安全方案可選,該漏洞已經存在六十七天的情況下,pNetwork團隊急切選擇五十分鐘內主動對漏洞發起攻擊,增發556億代幣砸盤而巨額獲利,負責任的項目團隊完全可以要求交易所切換到新幣,立刻暫停老合約充提,給予所有參與方一天以上的足夠反應時間,並呼籲要求PancakeSwap用戶撤回流動性池即可,而無需主動利用漏洞進行增發攻擊獲利,利用漏洞增發毫無正當性與必要性。攻擊過程pNetwork獲利超過四百五十多萬美金,同時還有多個關聯地址在同一時間有預謀的操作獲利超過數百萬美金,累計獲利超千萬美金,這表明其攻擊目的就是為了獲利。
3. pNetwork辯解說高達556億的Token增發只為套取價值約40萬美金的流動性池,此理由毫無根據。pNetwork與GALA團隊對該操作可能造成的毀滅性影響非常清楚,為何不給第三方任何反應時間而執意增發556億GALA砸盤,而且池子內的40萬美金流動性池資金也屬於用戶,pNetwork無權套取佔有,可見此舉只是為了渾水摸魚、砸盤獲利,以「白帽攻擊」為幌子行黑客攻擊之實,躲避法律制裁。
Huobi Global 在聲明中提供了相關的關鍵時間節點內容,以供大眾更進一步了解事件的發展脈絡(如下):
11-04 03:23AM(GMT+8)pNetwork利用自行的單線聯繫渠道聯繫Huobi Global,但沒有說明pNetwork準備攻擊漏洞,更沒有說明五十分鐘內就將增發556億GALA代幣在市場進行巨額拋售,以及會對無辜用戶與交易所造成極其重大損失的嚴重後果;
11-04 03:48AM(GMT+8) GALA團隊確認幣安關閉BEP20 GALA充提,但並未與Huobi Global對接團隊確認關閉充提;
11-04 04:13AM(GMT+8) pNetwork 首次增發發行27,814,200,000 pGALA;
11-04 04:27AM(GMT+8) pNetwork 第二次增發發行27,814,200,000 pGALA,總發行量達556億;
11-04 04:28AM(GMT+8) pNetwork 發佈公告,謊稱“其跨鏈橋配置錯誤”而導致BNB Chain上憑空鑄造超10億美元的pGALA代幣,掩蓋自己就是黑客本身,利用漏洞對GALA代幣憑空增發556億的事實,持續砸盤數百億獲利的行為已構成違法犯罪行為。
基於以上理由,Huobi Global 和孫宇晨均認為,pNetwork的行為不是所謂白帽攻擊,就是以惡意獲利為最終目標的黑客攻擊,直言「我們認為這是pNetwork團隊策劃的一起有預謀的黑客攻擊,白帽攻擊只是pNetwork團隊為躲避法律制裁而尋求的非法藉口。」
聲明中還提到,「在本次問題處理過程中,GALA與pNetwork團隊均未通過正常溝通程序與Huobi Global確認安全可執行性,自作主張惡意利用管理權限在BNB Chain上增發超過556億GALA代幣並帶頭進行拋售。GALA與pNetwork團隊完全可以選擇其他更為安全的方式修復漏洞,避免悲劇發生,可他們選擇掩蓋事實,在五十分鐘內執行556億大規模的GALA增發攻擊行動,是惡意獲利的黑客行徑,這無異於對無辜用戶和交易平台進行恐怖襲擊,整個行業都因此遭受了巨大打擊」。
「鑑於pNetwork關於GALA事件未經確認的單方面聲明與事實存在嚴重背離,對Huobi Global用戶資產安全造成重大傷害,以及項目對自身責任尋求完全逃避,」Huobi Global 表示,將率先團結和代表平台內全部受損用戶,並聯動全球合作夥伴一起,採取包括集體訴訟、報案在內的一切法律手段調查和刑事追究 pNetwork 主要管理者在此次事件中應盡的全部責任。「我們呼籲所有利用漏洞獲利的攻擊者們對攻擊所得進行返還,Huobi Global願通過100萬美金的賞金計劃予以回饋並不再追究其相關法律責任。」
pNetwork 如何拆解各方疑慮?
於孫宇晨的推文及 Huobi Global 發出聲明後不久,pNetwork 透過推特回應指,「我們強烈譴責火幣對pNetwork的不實指控,我們將採取相應的法律行動。我們已記錄證明 pNetwork 的行為是善意的,所有行為均已事先與 GalaGames 溝通並達成一致。火幣在世界標準時間週四晚上 7:24 (即台灣時間週五凌晨3:24)收到通知,並在 2 分鐘後確認了緊急情況,但在幾個小時後阻止了存款。pNetwork 沒有從這項旨在盡量減少因 pGALA 合同受損而造成的損害的行動中獲得任何利潤。」
1/2 We strongly condemn as untruthful Huobi’s accusations against pNetwork and we will seek legal action accordingly.
We have documented proof showing that pNetwork has acted in good faith, that all actions were agreed upon in advance with GalaGames and that…— pNetwork 🦜 (@pNetworkDeFi) November 6, 2022
然而,這樣的回應看似不太受投資者支持,投資人要求 pNetwork 把「記錄證明」公開,但遭官方回覆指「我們將會在法庭上公開這些證明」。另外有投資者提出「為什麼要天量增發掏空池子(這裡指PancakeSwap pool),池子裡的錢不是個人投資者的錢?」
这个项目方看起来应该挺无耻的。就说为什么要天量增发掏空池子,池子里的钱不是个人投资者的钱?无非是想浑水摸鱼假借黑客之名罢了。合约有漏洞,直接原合约停用通知交易所换新的合约不就行了?
— CaptainCat (@bryanic0) November 6, 2022
pNetwork 在一份詳細的聲明文件中解釋表示,「2022 年 11 月 3 日,pNetwork 團隊注意到 GALA 代幣的 pNetwork 驅動橋的配置錯誤。這種錯誤配置不會影響整個 pNetwork 協議,但它特別涉及 GALA 代幣的跨鏈橋。團隊注意到,由於配置錯誤,pGALA 智能合約(部署在 BSC 上)的所有權已被秘密接管。pNetwork 協議對其跨鏈操作實施了各種安全措施,防止導致資金損失的黑客攻擊,但是 pGALA 不再處於 pNetwork 的獨家控制之下,這意味著攻擊者可能試圖贖回新鑄造的、無抵押的 pGALA 代幣,因此可能已經竊取了以太坊上的 GALA 抵押品。」
雖然 pNetwork 官方試圖為其「白帽行為」作出解釋,但值得注意,從事件發生至該聲明發出時,尚未有「任何實際的黑客攻擊發生」,pNetwork 指出「但這種情況凸顯了必須迅速緩解的高安全風險」,並強調「pNetwork 在事故中的參與到此結束,因為協議中沒有資金被盜」,pNetwork 團隊表示,將繼續與 GalaGames 團隊和其他外部團隊合作,試圖解釋當時發生的事情,並試圖保護用戶免受支持 BEP20 GALA (pGALA) 的平台的影響,這包括 PancakeSwap 和各種中心化交易所。
pNetwork 在聲明中提出相關的「恢復計劃」,據了解,恢復計劃由兩部分組成:
- 第一部分:為那些在事件發生之前,在鏈上持有前一個 pGALA 代幣的人,恢復其對完全抵押的 pGALA-on-BSC 代幣的訪問權
- 第二部分:全額返還從白帽礦池中收集的 BNB 資產(這些資產是為了換取無抵押的 pGALA 而收集的)。每個無抵押 pGALA 大約為 0.00000109 BNB,即當前 BNB/USD 價格約為 0.00038 美元。
作為恢復計劃的一部分,需要兩個快照。第一個快照 S1 是在 2022 年 11 月 3 日至 2022 年 11 月 3 日 19:45 UTC 時間 ( https://bscscan.com/block/22745013 )的區塊 #22745013 拍攝的。第二個快照 S2 將於 2022 年 11 月 7 日星期一 UTC 時間上午 8 點拍攝。在第二個快照之後發生在 BSC 上的任何 pGALA 鏈上轉移都不會被考慮在內。
