Pundi AI遭遇 атаки після делістингу з корейської біржі, співзасновник Денні Лім відповів
12 липня Pundi AI зазнала хакерської атаки, внаслідок якої було аномально випущено 1 мільйон токенів. Команда швидко вжила заходів для замороження, відстеження та повернення активів, врешті-решт вдалося повернути та заморозити майже 90% вкрадених коштів, а також покрити більше мільйона доларів для повного відшкодування користувачів. Проте Pundi AI була повідомлена асоціацією бірж цифрових активів Південної Кореї (DAXA) про делістинг з корейських бірж через "несвоєчасне розкриття інформації".
Для кращого розуміння ходу подій наведено ключову хронологію:
2 березня - Function X оголосила про ребрендинг на PUNDIAI та обмін токенів на PUNDI, в цей час хакер вже був в засідці.
12 липня - Хакери здійснили атаку, аномально випустивши 1 мільйон токенів; того ж дня заморожено перекази та розпочато відстеження; того вечора генеральний директор відкрито повідомив спільноті про вразливість контракту.
14 липня - повне розкриття результатів розслідування атаки та рішень біржі, а також спілкування з DAXA.
28 липня - деякі корейські біржі оголосили, що 28 серпня здійснять делістинг PundiAI.
31 липня - Офіційна заява про повернення понад 80% активів, компенсацію користувачів в повному обсязі завершено за 11 днів.
PANews ексклюзивно інтерв'ювало співзасновника Pundi AI Денні Ліма, повністю проаналізувавши весь процес подій. Денні також提出ив дуже складний вибір: чи забезпечити безпеку коштів користувачів, не привертаючи уваги хакера? Чи ж зберігати прозорість, оприлюднюючи інформацію в перший час, але це може прискорити переміщення коштів хакером, що призведе до збільшення збитків? Цього разу Pundi AI обрала перший варіант, але також заплатила ціну за "недолік" прозорості.
Денні зазначив, що делістинг з боку регульованої біржі насправді розв'язав "закляття" для розвитку проєкту, адже раніше не можна було вільно викуповувати або знищувати токени без згоди біржі. Тепер можна більш гнучко використовувати токеноміку для винагороди спільноти. Pundi AI також планує викупити токени і провести аеродроп для користувачів, "дякуючи їм за те, що в складні часи вони все ще обирають стояти поруч з нами".
Вкрадено, делістинг та важкі вибори
Денні пояснив, що інцидент безпеки стався 12 липня приблизно о 14:20, система надіслала попередження приблизно о 14:40. Спочатку команда вважала, що це помилка в контракті, але до п'ятої години вечора підтвердили, що це була атака. Вони негайно зв'язалися з усіма великими біржами, щоб попросити призупинити функції поповнення та виведення PUNDIAI.
Зловмисник використав вразливість контракту на міграцію токенів. У лютому, під час розгортання нового контракту, зловмисник подав транзакцію з вищою комісією Gas у тому ж блоці, попередньо викликавши та отримавши права адміністратора контракту. Цей метод є дуже точним і вимагає точної розрахунку часу транзакцій та блоків.
Денні нагадує, що це дуже прихована вразливість, яка стала відомою лише після атаки в липні. Нещодавно на Base ланцюзі та Ethereum кілька проектів піддалися атакам за подібними методами протягом останніх трьох-чотирьох тижнів. Він закликає всіх колег, особливо тих, хто має намір здійснити міграцію токенів або оновлення контрактів, звернути увагу на потенційні ризики безпеки такого "атаки на випередження".
Після виявлення крадіжки команда, щоб максимально повернути активи, вирішила уникнути зайвого розголосу, тихо відстежуючи та заморожуючи активи. Ця стратегія виявилася ефективною, вдалося перехопити близько 95% вкрадених активів на Ethereum та власній мережі F(x)Core. Основні втрати сталися на ланцюзі BSC, оскільки у вихідні дні відповідь сторонніх постачальників послуг затрималася.
В цілому, ця атака призвела до емісії токенів на суму понад 600 тисяч доларів за тодішньою ринковою ціною, шляхом заморожування та повернення, врешті-решт вдалося відновити близько 87% активів. Команда вирішила самостійно покрити збитки в розмірі майже 200 тисяч доларів.
Денні зазначив, що вони провели багато переговорів з DAXA, але врешті-решт все ж отримали повідомлення про делістинг. DAXA не надала конкретної причини, згідно з оголошенням біржі, причиною делістингу є "недостатня своєчасність розкриття", без будь-яких пояснень або можливості для зауважень.
Денні вважає, що найбільший урок полягає в тому, що в корейському ринку своєчасність та прозорість інформації важливіші за все. Це болісний урок: між "потайним поверненням активів" та "першочерговим оприлюдненням" вони не змогли знайти баланс. Він сподівається дати всім проектам, що виходять на корейський ринок або планують це зробити, застереження.
Випробування та майбутнє планування на ринку Південної Кореї
Pundi AI давно працює на ринку Південної Кореї, починаючи з 2019 року, коли вони запустили на корейській біржі. Вони накопичили в Південній Кореї принаймні двісті-триста тисяч, а можливо, й більше сорока тисяч користувачів.
Денні зазначив, що корейський ринок досить унікальний, користувачі дуже залежать від централізованих бірж для здійснення торгівлі, а прийняття DeFi або операцій на блокчейні загалом не є високим. Приблизно 80% обсягу торгівлі та 70% торгованих токенів знаходяться на централізованих біржах у Кореї. Тож цей делістинг матиме величезний вплив на їхню ліквідність.
Незважаючи на величезні труднощі з повторним запуском, вони все ще активно спілкуються з DAXA та провідними біржами, сподіваючись отримати довіру і повернутися на корейський ринок.
Приємно відзначити, що після оголошення про делістинг ціна монети Pundi AI залишалася в основному стабільною, що свідчить про те, що спільнота та користувачі монет все ще вірять у них.
Щодо спільноти, Денні зазначив, що вони мають три основні плани:
Збільшити інвестиції в децентралізовані біржі та самостійно вкласти кошти для створення більш глибоких ліквідних пулів на основних платформах DEX.
Активно просувати нові AI дані продукти.
Опублікувати плани викупу токенів та аеродропів, більш гнучко використовувати токеноміку для повернення спільноті.
Візія та виклики вартісності AI-даних
Денні представив їхній новий продукт Data Pump, це "Launchpad для AI-даних". Користувачі можуть упакувати різні дані контенту в NFT, а потім заставити цей NFT на платформі, щоб згенерувати відповідні токени і безпосередньо створити торгові пари для торгівлі на DEX.
В порівнянні з іншими проектами AI-даних, Pundi AI зосереджується на професійних сегментах, таких як медичні зображення, автономне водіння, юридичні документи тощо, що забезпечує професіоналізм та високу якість даних. Вони також розробили AI AMM (автоматичний маркет-мейкер), що реалізує активізацію та монетизацію даних. Крім того, вони мають обсяги даних на рівні PB в блокчейні, що є досить значним у сфері Web3.
Щодо розвитку Web3 AI, Денні вважає, що наразі не з'явилося нічого дійсно корисного, що могло б змінити життя. Так звані "децентралізовані обчислення" на даному етапі більше схожі на хибне питання. Справжня цінність блокчейну в AI полягає в "даних", тобто в захисті суверенітету користувача над даними та конфіденційності.
Денні прогнозує, що у сфері Web3 AI настане справжній бум, можливо, потрібно буде чекати, поки один з традиційних гігантів AI з якихось причин активно не прийме технологію блокчейн, щоб надати користувачам функцію захисту даних. Він вірить, що цей день не повинен бути занадто далеким.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
14 лайків
Нагородити
14
7
Поділіться
Прокоментувати
0/400
AlphaLeaker
· 3год тому
Знову делістинг?
Переглянути оригіналвідповісти на0
SurvivorshipBias
· 6год тому
Чому ще іделістинг... компенсація ж вирішить справу.
Pundi AI відбиває хакерську атаку, повністю компенсуючи користувачів, але зазнає делістингу з біржі в Південній Кореї.
Pundi AI遭遇 атаки після делістингу з корейської біржі, співзасновник Денні Лім відповів
12 липня Pundi AI зазнала хакерської атаки, внаслідок якої було аномально випущено 1 мільйон токенів. Команда швидко вжила заходів для замороження, відстеження та повернення активів, врешті-решт вдалося повернути та заморозити майже 90% вкрадених коштів, а також покрити більше мільйона доларів для повного відшкодування користувачів. Проте Pundi AI була повідомлена асоціацією бірж цифрових активів Південної Кореї (DAXA) про делістинг з корейських бірж через "несвоєчасне розкриття інформації".
Для кращого розуміння ходу подій наведено ключову хронологію:
2 березня - Function X оголосила про ребрендинг на PUNDIAI та обмін токенів на PUNDI, в цей час хакер вже був в засідці.
12 липня - Хакери здійснили атаку, аномально випустивши 1 мільйон токенів; того ж дня заморожено перекази та розпочато відстеження; того вечора генеральний директор відкрито повідомив спільноті про вразливість контракту.
14 липня - повне розкриття результатів розслідування атаки та рішень біржі, а також спілкування з DAXA.
28 липня - деякі корейські біржі оголосили, що 28 серпня здійснять делістинг PundiAI.
31 липня - Офіційна заява про повернення понад 80% активів, компенсацію користувачів в повному обсязі завершено за 11 днів.
PANews ексклюзивно інтерв'ювало співзасновника Pundi AI Денні Ліма, повністю проаналізувавши весь процес подій. Денні також提出ив дуже складний вибір: чи забезпечити безпеку коштів користувачів, не привертаючи уваги хакера? Чи ж зберігати прозорість, оприлюднюючи інформацію в перший час, але це може прискорити переміщення коштів хакером, що призведе до збільшення збитків? Цього разу Pundi AI обрала перший варіант, але також заплатила ціну за "недолік" прозорості.
Денні зазначив, що делістинг з боку регульованої біржі насправді розв'язав "закляття" для розвитку проєкту, адже раніше не можна було вільно викуповувати або знищувати токени без згоди біржі. Тепер можна більш гнучко використовувати токеноміку для винагороди спільноти. Pundi AI також планує викупити токени і провести аеродроп для користувачів, "дякуючи їм за те, що в складні часи вони все ще обирають стояти поруч з нами".
Вкрадено, делістинг та важкі вибори
Денні пояснив, що інцидент безпеки стався 12 липня приблизно о 14:20, система надіслала попередження приблизно о 14:40. Спочатку команда вважала, що це помилка в контракті, але до п'ятої години вечора підтвердили, що це була атака. Вони негайно зв'язалися з усіма великими біржами, щоб попросити призупинити функції поповнення та виведення PUNDIAI.
Зловмисник використав вразливість контракту на міграцію токенів. У лютому, під час розгортання нового контракту, зловмисник подав транзакцію з вищою комісією Gas у тому ж блоці, попередньо викликавши та отримавши права адміністратора контракту. Цей метод є дуже точним і вимагає точної розрахунку часу транзакцій та блоків.
Денні нагадує, що це дуже прихована вразливість, яка стала відомою лише після атаки в липні. Нещодавно на Base ланцюзі та Ethereum кілька проектів піддалися атакам за подібними методами протягом останніх трьох-чотирьох тижнів. Він закликає всіх колег, особливо тих, хто має намір здійснити міграцію токенів або оновлення контрактів, звернути увагу на потенційні ризики безпеки такого "атаки на випередження".
Після виявлення крадіжки команда, щоб максимально повернути активи, вирішила уникнути зайвого розголосу, тихо відстежуючи та заморожуючи активи. Ця стратегія виявилася ефективною, вдалося перехопити близько 95% вкрадених активів на Ethereum та власній мережі F(x)Core. Основні втрати сталися на ланцюзі BSC, оскільки у вихідні дні відповідь сторонніх постачальників послуг затрималася.
В цілому, ця атака призвела до емісії токенів на суму понад 600 тисяч доларів за тодішньою ринковою ціною, шляхом заморожування та повернення, врешті-решт вдалося відновити близько 87% активів. Команда вирішила самостійно покрити збитки в розмірі майже 200 тисяч доларів.
Денні зазначив, що вони провели багато переговорів з DAXA, але врешті-решт все ж отримали повідомлення про делістинг. DAXA не надала конкретної причини, згідно з оголошенням біржі, причиною делістингу є "недостатня своєчасність розкриття", без будь-яких пояснень або можливості для зауважень.
Денні вважає, що найбільший урок полягає в тому, що в корейському ринку своєчасність та прозорість інформації важливіші за все. Це болісний урок: між "потайним поверненням активів" та "першочерговим оприлюдненням" вони не змогли знайти баланс. Він сподівається дати всім проектам, що виходять на корейський ринок або планують це зробити, застереження.
Випробування та майбутнє планування на ринку Південної Кореї
Pundi AI давно працює на ринку Південної Кореї, починаючи з 2019 року, коли вони запустили на корейській біржі. Вони накопичили в Південній Кореї принаймні двісті-триста тисяч, а можливо, й більше сорока тисяч користувачів.
Денні зазначив, що корейський ринок досить унікальний, користувачі дуже залежать від централізованих бірж для здійснення торгівлі, а прийняття DeFi або операцій на блокчейні загалом не є високим. Приблизно 80% обсягу торгівлі та 70% торгованих токенів знаходяться на централізованих біржах у Кореї. Тож цей делістинг матиме величезний вплив на їхню ліквідність.
Незважаючи на величезні труднощі з повторним запуском, вони все ще активно спілкуються з DAXA та провідними біржами, сподіваючись отримати довіру і повернутися на корейський ринок.
Приємно відзначити, що після оголошення про делістинг ціна монети Pundi AI залишалася в основному стабільною, що свідчить про те, що спільнота та користувачі монет все ще вірять у них.
Щодо спільноти, Денні зазначив, що вони мають три основні плани:
Збільшити інвестиції в децентралізовані біржі та самостійно вкласти кошти для створення більш глибоких ліквідних пулів на основних платформах DEX.
Активно просувати нові AI дані продукти.
Опублікувати плани викупу токенів та аеродропів, більш гнучко використовувати токеноміку для повернення спільноті.
Візія та виклики вартісності AI-даних
Денні представив їхній новий продукт Data Pump, це "Launchpad для AI-даних". Користувачі можуть упакувати різні дані контенту в NFT, а потім заставити цей NFT на платформі, щоб згенерувати відповідні токени і безпосередньо створити торгові пари для торгівлі на DEX.
В порівнянні з іншими проектами AI-даних, Pundi AI зосереджується на професійних сегментах, таких як медичні зображення, автономне водіння, юридичні документи тощо, що забезпечує професіоналізм та високу якість даних. Вони також розробили AI AMM (автоматичний маркет-мейкер), що реалізує активізацію та монетизацію даних. Крім того, вони мають обсяги даних на рівні PB в блокчейні, що є досить значним у сфері Web3.
Щодо розвитку Web3 AI, Денні вважає, що наразі не з'явилося нічого дійсно корисного, що могло б змінити життя. Так звані "децентралізовані обчислення" на даному етапі більше схожі на хибне питання. Справжня цінність блокчейну в AI полягає в "даних", тобто в захисті суверенітету користувача над даними та конфіденційності.
Денні прогнозує, що у сфері Web3 AI настане справжній бум, можливо, потрібно буде чекати, поки один з традиційних гігантів AI з якихось причин активно не прийме технологію блокчейн, щоб надати користувачам функцію захисту даних. Він вірить, що цей день не повинен бути занадто далеким.