官方的公告已经发在了 https://pando.im/news/2022/2022-11-06-alert-to-pando-community-hack-of-pando-rings/
我看了一下这段时间群里大家提的问题,对公告以外的问题,稍微补充一下。
Q:为啥被攻击,有漏洞吗?
A:这次攻击手段被称为价格攻击。即通过人为操纵价格,影响预言机对币种的报价,从而影响 Rings 里该币种可质押的价值。当该币种可质押价值提高很多时,就可以在 Rings 里以这个不合理的质押的价值借出很多币来。\
整个过程并没有利用到程序上或者代码上的漏洞,而是利用了我们在 Rings 中对于某些币种的不合理的配置。
Q:价格攻击没有防御吗?
A:有防御措施,但是没有生效。这次攻击的对象是 wBTC-BTC 的 lpToken,不是成分币本身的价格。lpToken 的价格计算方式在预言机中与普通币不太一样,我们没有事前预料到。当然,wBTC-BTC 的低深度和我们在 Rings 中的错误配置也是一个让攻击很容易得手的原因。
Q:用户在 Rings 里的损失如何,会丢币吗?
A:一部分人可能已经通过其它渠道知道了,得益于 Rings 中两位特别用户的支持,这次的入侵导致损失不会让其它 Rings 的用户来承担。也就是说,如果你在 Rings 里存了币,你不会有损失,到时候 Rings 会提供足够的资产来承兑,一切如常。
Q:4swap 有没有受到影响?
A:虽然攻击并不是直接针对 4swap,但是由于 Rings 里有大量的币是 lptoken,因此 4swap 中的深度会受到影响,目前看来深度会下降 50% 左右。除此之外 4swap 没有别的影响,大家在 4swap 中的资产也没有任何影响。Pando 重新开启服务的时候,4swap 也会先行上线。
Q:Leaf 有没有受到影响?
A:Leaf 中虽然也有质押,但是 Leaf 对待质押物的标准比 Rings 严格很多,因此 Leaf 不会受到影响。
Q:Pando 什么时候可以重启?
A:我们需要先完成对攻击的数据修正,然后对整个协议进行额外的安全保护,最后所有节点确认共识一致以后才能重启。具体的时间表我们会通过公告发布,请大家关注 https://pando.im/news 。Rings 需要我们处理的情况可能比较多,所以预计的重启顺序是 4swap → Leaf → Rings
Q:以后还会被攻击吗?
A:只要 Pando 和 Mixin Network 在世界范围内曝光的程度越来越大,攻击现象就一定会持续出现,这是所有在线服务必然会遇到的。不过我们接下来需要确保新的攻击即使出现了也不会成功。
Q:在 Leaf 和 Rings 中的资产会因为这段时间停服爆仓吗?
A:我们已经设计了一个合适方案来处理可能发生的爆仓情况,会尽可能减少爆仓的发生。对于临近爆仓线或者已经爆仓的用户,Leaf 和 Rings 会熔断这部分的价格,让这些用户有时间补充质押物或者还款。目前,攻击中涉及到的 XIN 和 MOB 并没有被成功窃取,因此这部分 Token 不会流入市场对价格造成影响;但是 XIN 的交易深度的下降可能让价格波动更大,因此使用 XIN 铸币的用户需要格外注意风险。
Q:本次攻击表明 Mixin Network 不安全吗?
A:本次攻击的对象是 Pando Rings,虽然 Pando 建立在 Mixin Network,但被攻击的缺陷与 Mixin Network 无关。
Q:本次攻击表明 Pando 使用的多签技术不安全吗?
A:本次攻击使用的价格攻击手法不是直接攻击多签管理下的资产,而是通过 Pando Rings 的配置缺陷在规则范围内进行利用,因此不能表明多签技术是不安全的。
Q:本次攻击表明 Pando 是不安全的吗?
A:能攻击得手说明 Pando Rings 确实有缺陷,也说明在安全领域存在明显的木桶原理,别的方面做得再好,只要有一条短板,就会出问题。我们会很快修复这个缺陷,反省在过程中的问题,从教训中学习,添加更多安全和风控措施来确保重启后的 Pando 能经得起考验。
Q:之前不是经过了安全审计吗,为什么还会出问题?
A:Rings 确实经过了审计(审计报告在 https://docs.pando.im/docs/security/audit-reports ),但是首先审计并不能发现所有问题;其次审计不能发现配置缺陷。而这次的事故是配置缺陷导致的。
Q:为什么 XIN 和 RUM 的价格在 Mixin 钱包中归零了,在钱包中找不到了?
A:因为 4swap 暂停服务了,他们的交易深度主要在 4swap,4swap 不提供价格的话,他们的价格就在 Mixin 钱包中变成 0 了。等 4swap 重启服务后,价格就会恢复。因为他们的价格变成零,所以在钱包中不再靠前显示了。在钱包资产列表的末尾可以找到他们。
Q:公告中提到有约五千万的资产被 Mixin Network 冻结,这部分资产怎么处理?
A:这部分资产主要包含 XIN 和 MOB,在 Mixin Network 的帮助下,被主网冻结。按照目前的情况是没有办法解冻的。
Q:公告中提到有约 200万的资产被 EOS 冻结,这部分资产怎么处理?
A:暂时会在 EOS.io 的控制下EOS保持冻结状态。
Q:对黑客的追踪进展如何?
A:慢雾科技在配合我们进行追踪和溯源,但目前还没有很明确的进展。
Q:能报警吗?
A:这个问题比较复杂。目前我们会先尝试接触美国的执法机构来请他们协助。
Q:Pando 的发展会受到影响吗?
A:原定的计划肯定会受到影响。当前最大的任务是确保 Pando 各个服务安全重启,然后需要投入相当的资源到安全和风控里面去。既然 Pando 的世界排名这么高,那么安全和风控等级也需要进入相同的地位才对。所以原定的发展计划会稍微搁置,直到安全和风控要求满足以后才会继续。
如果你有别的问题,可以在本文下留言,我会不定期解答。