对于上周(4日凌晨)发生的Gala Games代币遭黑「实为白帽行为」这一解说,火币新任全球顾问及波场(TRON)创办人孙宇晨随后发推文控诉,并点名为Gala Games提供路由基础设施的pNetwork恶意利用管理权限在BNBChain上增发超过556亿GALA代币的行为「不是白帽,是以恶意获利为最终目标的有预谋黑客攻击」。
Huobi Global发声明提三大质疑
Huobi Global交易平台亦同步针对这次混乱事件于昨(6)日发表声明,并提出三个主要质疑:
1.在与交易所的事先沟通中,pNetwork团队从未表示要通过增发天量Token的方式来攻击GALA代币漏洞,完全向交易所隐瞒其攻击行为,并在联络交易所后五十分钟就利用合约漏洞增发556亿代币实施攻击,期间没有给交易所任何反应时间。事后调查发现,该漏洞是六十七天前pNetwork工程师错误地在合约中留下了密钥为后续的悲剧留下隐患。
2.并无证据表明,任何人会利用该漏洞攻击,恰恰急切希望利用该漏洞攻击获利的人就是pNetwork自己。在明明有更多安全方案可选,该漏洞已经存在六十七天的情况下,pNetwork团队急切选择五十分钟内主动对漏洞发起攻击,增发556亿代币砸盘而巨额获利,负责任的项目团队完全可以要求交易所切换到新币,立刻暂停老合约充提,给予所有参与方一天以上的足够反应时间,并呼吁要求PancakeSwap用户撤回流动性池即可,而无需主动利用漏洞进行增发攻击获利,利用漏洞增发毫无正当性与必要性。攻击过程pNetwork获利超过四百五十多万美金,同时还有多个关联地址在同一时间有预谋的操作获利超过数百万美金,累计获利超千万美金,这表明其攻击目的就是为了获利。
3.pNetwork辩解说高达556亿的Token增发只为套取价值约40万美金的流动性池,此理由毫无根据。pNetwork与GALA团队对该操作可能造成的毁灭性影响非常清楚,为何不给第三方任何反应时间而执意增发556亿GALA砸盘,而且池子内的40万美金流动性池资金也属于用户,pNetwork无权套取占有,可见此举只是为了浑水摸鱼、砸盘获利,以「白帽攻击」为幌子行黑客攻击之实,躲避法律制裁。
Huobi Global在声明中提供了相关的关键时间节点内容,以供大众更进一步了解事件的发展脉络(如下):
11-04 03:23AM(GMT+8)pNetwork利用自行的单线联系渠道联系HuobiGlobal,但没有说明pNetwork准备攻击漏洞,更没有说明五十分钟内就将增发556亿GALA代币在市场进行巨额抛售,以及会对无辜用户与交易所造成极其重大损失的严重后果;
11-04 03:48 AM(GMT+8)GALA团队确认币安关闭BEP20 GALA充提,但并未与Huobi Global对接团队确认关闭充提;
11-04 04:13 AM(GMT+8)pNetwork首次增发发行27,814,200,000pGALA;
11-04 04:27 AM(GMT+8)pNetwork第二次增发发行27,814,200,000pGALA,总发行量达556亿;
11-04 04:28 AM(GMT+8)pNetwork发布公告,谎称“其跨链桥配置错误”而导致BNBChain上凭空铸造超10亿美元的pGALA代币,掩盖自己就是黑客本身,利用漏洞对GALA代币凭空增发556亿的事实,持续砸盘数百亿获利的行为已构成违法犯罪行为。
基于以上理由,Huobi Global和孙宇晨均认为,pNetwork的行为不是所谓白帽攻击,就是以恶意获利为最终目标的黑客攻击,直言「我们认为这是pNetwork团队策划的一起有预谋的黑客攻击,白帽攻击只是pNetwork团队为躲避法律制裁而寻求的非法借口。」
声明中还提到,「在本次问题处理过程中,GALA与pNetwork团队均未通过正常沟通程序与Huobi Global确认安全可执行性,自作主张恶意利用管理权限在BNBChain上增发超过556亿GALA代币并带头进行抛售。GALA与pNetwork团队完全可以选择其他更为安全的方式修复漏洞,避免悲剧发生,可他们选择掩盖事实,在五十分钟内执行556亿大规模的GALA增发攻击行动,是恶意获利的黑客行径,这无异于对无辜用户和交易平台进行恐怖袭击,整个行业都因此遭受了巨大打击」。
「鉴于pNetwork关于GALA事件未经确认的单方面声明与事实存在严重背离,对Huobi Global用户资产安全造成重大伤害,以及项目对自身责任寻求完全逃避,」Huobi Global表示,将率先团结和代表平台内全部受损用户,并联动全球合作伙伴一起,采取包括集体诉讼、报案在内的一切法律手段调查和刑事追究pNetwork主要管理者在此次事件中应尽的全部责任。「我们呼吁所有利用漏洞获利的攻击者们对攻击所得进行返还,Huobi Global愿通过100万美金的赏金计划予以回馈并不再追究其相关法律责任。」
pNetwork如何拆解各方疑虑?
于孙宇晨的推文及Huobi Global发出声明后不久,pNetwork通过推特回应指,「我们强烈谴责火币对pNetwork的不实指控,我们将采取相应的法律行动。我们有记录证明pNetwork的行为是善意的,所有行为均已事先与Gala Games沟通并达成一致。火币在世界标准时间周四晚上7:24(即北京时间周五凌晨3:24)收到通知,并在2分钟后确认了紧急情况,但在几个小时后阻止了存款。pNetwork没有从这项旨在尽量减少因pGALA合同受损而造成的损害的行动中获得任何利润。」
然而,这样的回应看似不太受投资者支持,投资人要求pNetwork把「记录证明」公开,但遭官方回复指「我们将会在法庭上公开这些证明」。另外有投资者提出「为什么要天量增发掏空池子(这里指PancakeSwap pool),池子里的钱不是个人投资者的钱?」
pNetwork在一份详细的声明文件中解释表示,「2022年11月3日,pNetwork团队注意到GALA代币的pNetwork驱动桥的配置错误。这种错误配置不会影响整个pNetwork协议,但它特别涉及GALA代币的跨链桥。团队注意到,由于配置错误,pGALA智能合约(部署在BSC上)的所有权已被秘密接管。pNetwork协议对其跨链操作实施了各种安全措施,防止导致资金损失的黑客攻击,但是pGALA不再处于pNetwork的独家控制之下,这意味着攻击者可能试图赎回新铸造的、无抵押的pGALA代币,因此可能已经窃取了以太坊上的GALA抵押品。」
虽然pNetwork官方试图为其「白帽行为」作出解释,但值得注意,从事件发生至该声明发出时,尚未有「任何实际的黑客攻击发生」,pNetwork指出「但这种情况凸显了必须迅速缓解的高安全风险」,并强调「pNetwork在事故中的参与到此结束,因为协议中没有资金被盗」,pNetwork团队表示,将继续与Gala Games团队和其他外部团队合作,试图解释当时发生的事情,并试图保护用户免受支持BEP20 GALA(pGALA)的平台的影响,这包括PancakeSwap和各种中心化交易所。
pNetwork在声明中提出相关的「恢复计划」,据了解,恢复计划由两部分组成:
第一部分:为那些在事件发生之前,在链上持有前一个pGALA代币的人,恢复其对完全抵押的pGALA-on-BSC代币的访问权
第二部分:全额返还从白帽矿池中收集的BNB资产(这些资产是为了换取无抵押的pGALA而收集的)。每个无抵押pGALA大约为0.00000109BNB,即当前BNB/USD价格约为0.00038美元。
作为恢复计划的一部分,需要两个快照。第一个快照S1是在2022年11月3日至2022年11月3日19:45UTC时间(bscscan.com/block/22745013)的区块#22745013拍摄的。第二个快照S2将于2022年11月7日星期一UTC时间上午8点拍摄。在第二个快照之后发生在BSC上的任何pGALA链上转移都不会被考虑在内。