官方的公告已经发在了 https://pando.im/news/2022/2022-11-06-alert-to-pando-community-hack-of-pando-rings/

我看了一下这段时间群里大家提的问题，对公告以外的问题，稍微补充一下。

Q：为啥被攻击，有漏洞吗？

A：这次攻击手段被称为价格攻击。即通过人为操纵价格，影响预言机对币种的报价，从而影响 Rings 里该币种可质押的价值。当该币种可质押价值提高很多时，就可以在 Rings 里以这个不合理的质押的价值借出很多币来。\
整个过程并没有利用到程序上或者代码上的漏洞，而是利用了我们在 Rings 中对于某些币种的不合理的配置。

Q：价格攻击没有防御吗？

A：有防御措施，但是没有生效。这次攻击的对象是 wBTC-BTC 的 lpToken，不是成分币本身的价格。lpToken 的价格计算方式在预言机中与普通币不太一样，我们没有事前预料到。当然，wBTC-BTC 的低深度和我们在 Rings 中的错误配置也是一个让攻击很容易得手的原因。

Q：用户在 Rings 里的损失如何，会丢币吗？

A：一部分人可能已经通过其它渠道知道了，得益于 Rings 中两位特别用户的支持，这次的入侵导致损失不会让其它 Rings 的用户来承担。也就是说，如果你在 Rings 里存了币，你不会有损失，到时候 Rings 会提供足够的资产来承兑，一切如常。

Q：4swap 有没有受到影响？

A：虽然攻击并不是直接针对 4swap，但是由于 Rings 里有大量的币是 lptoken，因此 4swap 中的深度会受到影响，目前看来深度会下降 50% 左右。除此之外 4swap 没有别的影响，大家在 4swap 中的资产也没有任何影响。Pando 重新开启服务的时候，4swap 也会先行上线。

Q：Leaf 有没有受到影响？

A：Leaf 中虽然也有质押，但是 Leaf 对待质押物的标准比 Rings 严格很多，因此 Leaf 不会受到影响。

Q：Pando 什么时候可以重启？

A：我们需要先完成对攻击的数据修正，然后对整个协议进行额外的安全保护，最后所有节点确认共识一致以后才能重启。具体的时间表我们会通过公告发布，请大家关注 https://pando.im/news 。Rings 需要我们处理的情况可能比较多，所以预计的重启顺序是 4swap → Leaf → Rings

Q：以后还会被攻击吗？

A：只要 Pando 和 Mixin Network 在世界范围内曝光的程度越来越大，攻击现象就一定会持续出现，这是所有在线服务必然会遇到的。不过我们接下来需要确保新的攻击即使出现了也不会成功。

Q：在 Leaf 和 Rings 中的资产会因为这段时间停服爆仓吗？

A：我们已经设计了一个合适方案来处理可能发生的爆仓情况，会尽可能减少爆仓的发生。对于临近爆仓线或者已经爆仓的用户，Leaf 和 Rings 会熔断这部分的价格，让这些用户有时间补充质押物或者还款。目前，攻击中涉及到的 XIN 和 MOB 并没有被成功窃取，因此这部分 Token 不会流入市场对价格造成影响；但是 XIN 的交易深度的下降可能让价格波动更大，因此使用 XIN 铸币的用户需要格外注意风险。

Q：本次攻击表明 Mixin Network 不安全吗？

A：本次攻击的对象是 Pando Rings，虽然 Pando 建立在 Mixin Network，但被攻击的缺陷与 Mixin Network 无关。

Q：本次攻击表明 Pando 使用的多签技术不安全吗？

A：本次攻击使用的价格攻击手法不是直接攻击多签管理下的资产，而是通过 Pando Rings 的配置缺陷在规则范围内进行利用，因此不能表明多签技术是不安全的。

Q：本次攻击表明 Pando 是不安全的吗？

A：能攻击得手说明 Pando Rings 确实有缺陷，也说明在安全领域存在明显的木桶原理，别的方面做得再好，只要有一条短板，就会出问题。我们会很快修复这个缺陷，反省在过程中的问题，从教训中学习，添加更多安全和风控措施来确保重启后的 Pando 能经得起考验。

Q：之前不是经过了安全审计吗，为什么还会出问题？

A：Rings 确实经过了审计（审计报告在 https://docs.pando.im/docs/security/audit-reports ），但是首先审计并不能发现所有问题；其次审计不能发现配置缺陷。而这次的事故是配置缺陷导致的。

Q：为什么 XIN 和 RUM 的价格在 Mixin 钱包中归零了，在钱包中找不到了？

A：因为 4swap 暂停服务了，他们的交易深度主要在 4swap，4swap 不提供价格的话，他们的价格就在 Mixin 钱包中变成 0 了。等 4swap 重启服务后，价格就会恢复。因为他们的价格变成零，所以在钱包中不再靠前显示了。在钱包资产列表的末尾可以找到他们。

Q：公告中提到有约五千万的资产被 Mixin Network 冻结，这部分资产怎么处理？

A：这部分资产主要包含 XIN 和 MOB，在 Mixin Network 的帮助下，被主网冻结。按照目前的情况是没有办法解冻的。

Q：公告中提到有约 200万的资产被 EOS 冻结，这部分资产怎么处理？

A：暂时会在 EOS.io 的控制下EOS保持冻结状态。

Q：对黑客的追踪进展如何？

A：慢雾科技在配合我们进行追踪和溯源，但目前还没有很明确的进展。

Q：能报警吗？

A：这个问题比较复杂。目前我们会先尝试接触美国的执法机构来请他们协助。

Q：Pando 的发展会受到影响吗？

A：原定的计划肯定会受到影响。当前最大的任务是确保 Pando 各个服务安全重启，然后需要投入相当的资源到安全和风控里面去。既然 Pando 的世界排名这么高，那么安全和风控等级也需要进入相同的地位才对。所以原定的发展计划会稍微搁置，直到安全和风控要求满足以后才会继续。

如果你有别的问题，可以在本文下留言，我会不定期解答。