Злоумышленники продали 1 миллион фейковых PIRL

7 января 2021 года в сети Pirl была произведена транзакция, в результате которой 1 миллион фейковых PIRL оказался на бирже GRAVIEX и затем был продан пользователям биржи. В официальном Твиттере Pirl в день происшествия была опубликована серия твитов, рассказывающих о произошедшем с точки зрения проекта. Было также подчёркнуто, что этот инцидент однозначно не является взломом PIRL и протокола Polkadot. К публикации прилагается ссылка на транзакцию в эксплорере.

В ответной серии твитов, опубликованной в тот же день в официальном Твиттере GRAVIEX, было заявлено, что депозиты на биржу зачисляются автоматически, и после обращения через API от узла Pirl депозит был зачислен, имея «более пяти подтверждений от сети монеты» (позже представитель GRAVIEX уточнит нам точное число подтверждений — их было шесть).

Мы попытались разобраться в произошедшем, обратившись за комментариями к главе Pirl Жульену Де Буа (Julien du Bois) и представителям биржи GRAVIEX из службы поддержки. На момент написания статьи стороны ещё не пришли к единому мнению по поводу того, на ком лежит ответственность за произошедшее. Также не ясно, на каких условиях продолжится сотрудничество блокчейн-проекта и биржи.

Julien du Bois, глава Pirl:

«Ну, всё довольно просто. В блокчейне была сделана транзакция для отправки 1M Pirl, она была отклонена блокчейном, потому что на счёте не было достаточно средств. GRAVIEX не проверил результат транзакции и засчитал средства. Более того, у них нет надёжной защиты для крупных транзакций. Точно также, если вы попытаетесь отправить им 1000 BTC, которые вам не принадлежат, и эта транзакция будет отклонена, потому что этой суммы у вас нет, система биржи посчитает, что всё в порядке, и зачислит её. Проблема заключается в проверке транзакций на уровне биржи».

Дмитрий_Graviex:

«При листинге монеты разработчики предоставили нам ноду. Никакого предупреждения об уязвимости в ней не было. Злоумышленники взломали ноду и отправили нам 1м монет. Нода прислала подтверждения, фейковые монеты были зачислены и проданы. Разработчики монеты считают, что это не их проблема, и не хотят компенсировать. Когда мы уточняли у них при листинге, нужна ли своя нода, они ответили, что можете использовать публичную. Это вкратце».

Yuri_Graviex:

«7 января случилось следующее:

1. Через API от ноды PIRL софт валета Pirl получил информацию о депозитной транзакции стоимостью 1 млн монет (сумма была указана в балансе транзакции). https://explorer.pirl.network/#/explorer/query/0x0c0f0140ef310cbd90b98135aed67f874b556cab536f74271f2d9de35d4f8e6e
2. Сначала данный депозит получил своё количество подтверждений от сети PIRL, затем был зачислен.
3. После этого произошла атака на сеть монеты, транзакция была откачена и показывала значение 0.

Мы сразу же связались с командой монеты. На наши запросы исследовать ситуацию на стороне сети мы получили обвинения, что не имели права использовать их ноду, и что мы обязаны были контролировать депозиты с такими суммами. Но у нас есть переписка с девом монеты, где он сам на этапе интеграции проекта на биржу предложил их ноду, и вся совместная настройка проводилась на ней. А в отношении каких-то ручных проверок поступающих сумм не было ни разу от девов монеты никаких инструкций. Также и не поступала информация, что считать подозрительной транзакцией. У нас около 250 проектов на платформе, у всех свой Circulating Supply. Откуда мы можем знать, что 1 млн это много именно для PIRL без надлежащих инструкций?

Кстати, мы листили PIRL бесплатно и большой вопрос, сделали ли бы мы это, если бы нам заявили на этапе листинга, что нашему саппорту придётся вручную зачислять суммы сверх какого-то лимита. Ещё раз обращаем внимание, что депозит был зачислен только после набора установленного разработчиков кол-ва подтверждений. Мы уверены, что на стороне сети есть доказательства получения подтверждений для этой транзакции.

Мнение нашей службы безопасности: Graviex использовал ноду, находящуюся под контролем команды монеты, что в целом допускает возможность манипулирования данными на ней. Смущает и их атакующая реакция на инцидент. Без паузы, без анализа сразу обвинять биржу. Всё это допускает предположение об их причастности к воровству или, как минимум, некомпетентности в области обеспечения безопасности сети монеты.

Ещё одна ремарка на всякий случай: примеры кода для интеграции предоставлены командой монеты».

Yuri_Graviex:

«… Монеты мы не продавали, их продали те, кто их таким образом завёл на биржу. Команде PIRL мы сообщили всё что смогли. Мы не считаем, что биржа выполнила свою работу ненадлежащим образом и должна нести ответственность за то, что подтверждённую в сети транзакцию можно потом аннулировать. Это произошло на ноде, ответственность за которую несёт та сторона. Она же и должна компенсировать убытки биржи».

Yuri_Graviex:

«Как и в какой последовательности реально имели место события мы не знаем. Отчётливо понятно только одно — транзакция была валидна, а потом перестала. Наше предположение, что это не технический сбой, всё произошло из-за действий злоумышленников».

Последние новости

На сайте

Присоединяйтесь к нам

14-01-2021

#PIRL #GRAVIEX #Взлом #Криптовалюта #Cryptocurrency