ALA:為40萬美金增發20億美金，誰來為GALA事件用戶損失負責？_GAL

多鏈路由協議pNetwork的異常增發pGALA事件風波還未結束，火幣因為將部分被認定為是套利“羊毛黨”用戶的GALA改為pGALA而引起社區的爭議，雙方直接硬碰硬表示將“對簿公堂”，這件事情究竟誰對誰錯呢？

事件回顧：pGALA天量增發，火幣未及時關閉沖提

11月4日凌晨4點，社群開始傳播鏈游平臺GalaGames代幣Gala快速大幅下跌。源于多鏈路由協議pNetwork在BNB鏈上憑空鑄造了超10億美元的pGALA代幣，并通過在PancakeSwap上售出，使得BNB鏈上的Gala代幣從0.04美金直接跌到0.0000045美金。

隨后社區用戶發現BNB鏈上的Gala代幣與中心化交易所之間存在巨幅差價，便涌入大量資金購買BNB鏈上Gala代幣充值到中心化交易所售出。當時幣安等交易所已經暫停BNB鏈上的Gala充值，火幣充值通道依舊開通。用戶便通過火幣完成搬磚套利，使得火幣交易所的Gala急速下跌，從0.04美金跌至0.0003美金。

pNetwork在4日凌晨4:28發推稱，憑空鑄造超10億美元的pGALA代幣是因為跨鏈橋配置錯誤所致。需要重新部署BNB鏈上的pGALA合約，正在與GalaGames團隊以及PancakeSwap合作獲得用戶pGALA的賬戶余額并恢復存提幣功能。新合約部署后將以1:1的比例空投新的pGALA代幣。

慢霧：從Multichain流出的資金總額高達2.65億美元，分布在9條鏈:金色財經報道，自7月7日以來，從 Multichain 流出的資金總額高達 2.65 億美元，分布在 Ethereum、BNB Chain、Polygon、Avalanche、Arbitrum、Optimism、Fantom、Cronos、Moonbeam 鏈。其中 6582 萬美元已經被 Circle 和 Tether 凍結，1,296,990.99 ICE（約 162 萬美元） 被 Token 發行方 Burn。流出的資金中，包括：

1）從 Multichain: Old BSC Bridge 轉出的 USDT；

2）從 Multichain: Fantom Bridge 轉出的 USDC、DAI、LINK、UNIDX、USDT、WOO、ICE、CRV、YFI、TUSD、WETH、WBTC；

3）從 Anyswap: Bridge Fantom 轉出的 BIFI；

4）從 Multichain: Moonriver Bridge 轉出的 USDC、USDT、DAI、WBTC；

5）從 MultiChain: Doge Bridge 轉出的 USDC；

6）從 Multichain: Executor 轉出的 DAI、USDC、BTCB、WBTC、WETH、Dai.e、WBTC.e、Bridged USDC、BTC、fUSDT、ETH 等；

7）從被 Etherscan 標記為 Fake_Phishing183873 的 0xe1910...49c53 轉出的 WBTC、USDT、ETH，同時我們認為該標記（Fake Phishing183873）或許是 Etherscan 上的虛假標記，地址可能以前屬于 Multichain 官方賬戶。[2023/7/11 10:48:30]

據安全團隊慢霧監控，pGala合約黑客已將大部分Gala兌換成13,000枚BNB，獲利超430萬美元，當時該地址仍有450億枚Gala，但因為資金池基本已耗盡而未兌付。

客戶關系管理平臺Salesforce擴展其客戶服務:金色財經報道，客戶關系管理 (CRM) 平臺 Salesforce 周三表示，它正在擴展其客戶服務，并包括對NFT 忠誠度計劃的管理。根據其網站，其構成Salesforce Web3的產品套件將幫助公司構建、管理 NFT 并將其集成到他們的業務中。新平臺還將通過其客戶服務產品 Customer360 支持 Web3 技術。

此外，Salesforce Web3 正在推出 Web3 Connect，這是一種 API 集成，可以讓客戶在利用這些新技術時深入了解 Web2 和 Web3 的客戶體驗。Salesforce 還發布了 NFT Management，該平臺允許公司通過 Salesforce 界面創建和監控其 NFT 集合和區塊鏈數據。Salesforce 表示，它去年開始測試 Web3 技術，并在測試階段成功執行了 275,000 筆交易。威士忌制造商 Crown Royal、玩具經銷商 Mattel 和時裝公司 Scotch and Soda 等公司都使用自己的 Web3 技術測試了 Salesforce 的技術。[2023/3/16 13:06:51]

11月4日9時起，火幣連續發布五則Galatoken鏈上異常事件處理進展公告，公告稱下架Gala代幣，以確定事故發生的時間節點作為分界線，事故發生之后執行買入操作的用戶，平臺將其買入的Gala資產更名PGALA；事故發生之前的Gala持幣用戶，Gala項目方同意進行全額賠付，形式為1:1比例空投以太鏈上的Gala。同時稱將代表用戶繼續與相關項目商談對由于該事件導致資產損失用戶補償的事宜。

俄羅斯Rosbank和 Atomyze 以數字形式交換黃金和盧布:金色財經報道，俄羅斯Rosbank促成了俄羅斯的第一筆交易，涉及用俄羅斯國家法定貨幣盧布的數字版本交換代幣化黃金。該銀行機構表示，成功的交易表明人們對數字金融資產的興趣與日俱增，以及對數字盧布支付的需求。根據新聞稿，這是俄羅斯聯邦首次采用分布式賬本技術和數字盧布進行此類交易。后者仍在開發和測試中，預計明年全面推出。

Rosbank稱，一旦數字資產的交易報價被接受，買家就會與投資者以數字盧布結算。[2023/2/10 11:57:48]

11月5日12:00火幣重新上架Gala和pGala代幣。針對pGala代幣火幣設置稅費燃燒機制，將PGALA現貨交易手續費調整為雙向收取1.2%，所有手續費收入用來回購銷毀pGala代幣。

根據pNetwork官方推特信息，除事故發生時發布公告披露所存在的問題外，長達兩天時間并未向社區同步任何信息。面對社區不斷的疑問，pNetwork直至11月6日凌晨2點才發布pGala事故的事后分析。

分析報告稱，11月4日凌晨1:52團隊注意到GALA的pNetwork跨鏈橋的一個配置錯誤。由于配置錯誤，部署在BSC上pGALA智能合約的所有權已被秘密接管。該資金池涉及資金為40萬美金，當時獲得該智能合約所有權的攻擊者并沒有發動任何攻擊。

Messari分析師：FTX存款人可能收回40-50%的資產:11月16日消息，數據分析機構Messari分析師Kunal Goel撰文稱，在研究了FTX的“資產負債表”后，根據其計算，并不是所有的資產都消失了，存款人可能還會收回40-50%的資產。[2022/11/16 13:11:45]

11月4日3:11，pNetwork聯系GalaGames決定暫停跨鏈橋活動，并通過白帽行動抽干pGALA/BNBPancakeSwap池，以試圖將BNB資金保存在該池中，以便在局勢得到控制后，資金可以返回到其所有流動性提供者。

11月4日凌晨4:13pNetwork增發27,814,200,000個無抵押的pGALA用于抽干pGALA/BNBPancakeSwap池。隨后又增發27,814,200,000個無抵押的pGALA代幣。

如前文提到，11月4日凌晨4:28分，GalaGames和pNetwork發推表明問題，提醒社區用戶不要購買BNB鏈上Gala代幣。在勸阻無效之后，11月4日凌晨4:29pNetwork稱為了防止用戶涌入添加的資金池被潛在的攻擊者攻擊，選擇繼續抽干池子。11月4日早晨6:16GalaGames和pNetwork選擇停止抽干流動池行為。至此，pNetwork的抽干池行為收回12977BNB。11月4日早晨7:03火幣關停BNB鏈上Gala充值功能。

由pNetwork披露的分析報告可知，前文慢霧不知情時所提到的pGala合約黑客實際是pNetwork官方；pNetwork增發無價值的pGala代幣實際是因為GALA的pNetwork跨鏈橋的一個配置錯誤，使得出現40萬美金的風險敞口，為了趕在攻擊者發起攻擊之前抽干現有流動池。

美國政府道德辦公室禁止擁有加密貨幣的政府工作人員參與制定加密政策:7月7日消息，美國政府道德辦公室（Office of Government Ethics）發布法律咨詢通知，禁止擁有加密貨幣的聯邦工作人員制定可能影響其資產價值的加密相關政策和法規，包括任何加密貨幣或Stablecoin，即使相關加密貨幣構成聯邦或州證券法的證券。

該指令適用于所有白宮工作人員和所有聯邦機構的員工，包括美聯儲和財政部。不過在投資加密行業的共同基金中投資少于 5 萬美元的聯邦雇員仍將被允許從事與加密相關的政策工作。[2022/7/7 1:56:32]

區塊鏈安全從業者Haotian發推稱，pNetwork項目方的做法缺乏DeFi安全常識，在未完全排除潛在危害的前提下，就將超發的流動性注入了生態，過于倉促，不負責任。事后也未解釋潛在內幕操作的可能性，而是斡旋于火幣和GALA之間推卸責任和甩鍋，說其為始作俑者無可厚非，也不為過。

Gala項目方作為pNetwork和中心化交易所聯絡的直接相關方，不僅沒有準確傳達信息，而且對pNetwork此種對用戶危害極大的行為加以配合，可見Gala團隊并未將持幣用戶放在心上。

同時，用戶開始搬磚套利到火幣關停BNB鏈上Gala充值期間長達3個小時，可見火幣平臺安全應急響應和風控系統的處理不足。

pNetwork與火幣將對簿公堂，火幣承諾600萬美元賠付用戶

從影響社區用戶的層面看，pGala增發事件中有用戶搬磚套利獲利頗豐，也有用戶無辜受損。據Lookonchain監測數據，一SmartMoney地址在GALA受到攻擊20分鐘后用12.038萬美元從PancakeSwap池中購買了4.06億枚GALA，從火幣和幣安分別獲利579萬美元和67.5萬美元）。金融本是場零和博弈的游戲，因此虧損的人又該找誰說理呢？

對此，火幣11月6日晚發布聲明。聲明中火幣認為pNetwork此次行為并非所謂白帽行動，而是屬于以惡意獲利為目的的黑客偷竊攻擊。

首先，火幣表示pNetwork確實使用自行的單線聯系渠道與其溝通，但溝通中沒有說明pNetwork準備攻擊漏洞，更沒有說明五十分鐘內就將增發556億GALA代幣在市場進行巨額拋售，以及會對無辜用戶與交易所造成極其重大損失的嚴重后果。

據慢霧分析，前文pNetwork所提的跨鏈橋配置錯誤實際是pGALA代理合約的Admin角色的owner私鑰在Github泄漏，且其owner地址已在70天前被惡意替換，導致pGALA合約處于隨時可被攻擊的風險中。pNetwork官方向火幣隱瞞了此事實。

另外，按照pNetwork事后分析報告中所言，公開提醒社區不要購買BNB鏈上Gala代幣。也就是說pNetwork團隊要求用戶當看到鏈上和交易所價差如此之大時，不去搬磚套利難道照從pNetwork的提醒置之不理，任由輕松搬磚即可賺到的錢流走。試問pNetwork團隊如果作為個人投資者，面對此類套利會任其流走嗎？

其二，火幣認為并無證據表明任何人會利用pNetwork潛在的漏洞發起攻擊，恰恰急切希望利用該漏洞攻擊獲利的人就是pNetwork自己。該漏洞已經存在六十七天，說明有更多時間思考更多可選的安全方案，但pNetwork團隊急切選擇五十分鐘內主動對漏洞發起攻擊，增發556億代幣抽干流動池的方法來解決問題。

pNetwork團隊急切解決問題或是因為漏洞雖然發生已久，只是剛剛被團隊發現。但冷靜一想，長達六十七天攻擊者也未向合約發起攻擊，說明攻擊者也暫未發現該漏洞。pNetwork團隊完全可以冷靜思考更為周全的解決方案。

而且BNB鏈上Gala本為質押映射代幣，按照以往經驗，團隊完全可以更換代幣合約，廢棄存在風險的代幣合約。該行為如若透明公開向社區實時披露信息，社區也可理解。而無需通過風險和危害性極大的增發抽干流動池資產來解決問題。

其三，火幣認為pNetwork辯解說高達556億的Token增發為套取存在被攻擊風險的價值約40萬美金的流動性池，此理由毫無根據。火幣認為pNetwork此舉只是為了渾水摸魚、砸盤獲利，以“白帽攻擊”為幌子行黑客攻擊之實，躲避法律制裁。

對于火幣認為pNetwork此舉是借“白帽攻擊”為幌子行黑客攻擊獲利之實的問題，pNetwork官方在分析報告中披露抽池收回的12977BNB資產將返還給無抵押pGALA的持有者，快照于2022年11月7日16時拍攝。因此，此處指責似乎與事實不符。

但前文pNetwork在其事后分析報告中提到分兩次共增發556億Gala代幣，按照當時Gala價格0.04美金，556億Gala代幣折合22億美金。pNetwork增發價值22億的Gala代幣為套取存在潛在風險的40萬美金的流動池，實難令社區理解和信服。而且私自增發代幣的行為很不符合區塊鏈精神。

對于火幣的聲明，pNetwork官方發推文稱，譴責Huobi對pNetwork的不實指控，將采取相應的法律行動。其表示，有證據證明pNetwork的行為是善意的，所有的行動都是事先與GalaGames達成一致的。

針對pNetwork的回應，火幣向PANews表示，pNetwork的回應虛假而無力，其通過增發天量代幣方式攻擊GALA代幣漏洞，完全向交易所隱瞞其攻擊行為，并在聯絡交易所不到一小時內就利用合約漏洞增發556億代幣實施攻擊，期間沒有給交易所任何反應時間，也沒有向交易所確認是否已采取相關措施。HuobiGlobal已在走法律程序，pNetwork必將為自己的行為承擔法律責任。

另外，11月9日晚間，火幣全球顧問委員會委員孫宇晨在PANews舉辦的TS活動“入職滿月，孫哥述職報告”中表示，在GALA事件中，挽回的資金大概有400萬美元，鏈上退還的資金約200萬美元，這600萬美元部分會用來給真實受損用戶空投進行賠付，剩下的資金則用于回購銷毀PGALA代幣。同時，如果起訴pNetwork得到賠償款項，也將全部用于平臺內虧損用戶補償。

反思：需加強安全預警機制

本次事件起因為pNetwork工程師在合約中留下密鑰導致潛在風險，pNetwork官方為解決風險采用了增發Gala抽干流動池的行為。因為期間解決問題的方式風險極大，且因為溝通不暢導致火幣未及時關停Gala充提而造成大面積影響。

因此，客觀來說，此次導致用戶受損的事件中pNetwork和Gala項目方為主責。pNetwork在明確知曉此漏洞已存在兩個月之久且未被攻擊，卻不深思熟慮尋找周全的解決方案，而選擇違背區塊鏈精神、容易造成用戶大面積受損的高風險解決方式。Gala項目方作為知情人竟然選擇積極配合此高風險行為，而不是去查根問底提供可靠方案。

而火幣平臺安全應急響應和風控系統極其不作為。看到鏈上差價時，社區用戶都知道可以去搬磚套利，火幣作為一線交易所豈能不知。因此雖然與pNetwork溝通不暢，但火幣依然有充足時間去關閉充值功能，減少受影響的用戶。

作為受損用戶，只能先去找最先引發風險的主要責任方pNetwork討說法，以求減少自己損失。這是一起非智能合約漏洞誘發的安全危機，但卻比任何代碼漏洞都極具警醒意義，希望能引起區塊鏈項目方的警惕。

如區塊鏈安全從業者Haotian所言：平時風吹草動都會科普、預警、追蹤的安全公司，卻在這次Gala事件中集體缺席。原因很簡單：安全審計和服務能查檢一切代碼缺陷，卻難以對抗行業生態參與者急功近利釀就的潛在“人禍”危機。

Tags：ALAGALAGALpNetworkSAFEGALAXY 幣GalaxyPadGAL幣為什么暴跌LoopNetwork

比特幣最新價格