Pundi AI sofreu um ataque e foi excluído da exchange sul-coreana, o cofundador Danny Lim respondeu
No dia 12 de julho, a Pundi AI sofreu um ataque de hackers, resultando na emissão anormal de 1 milhão de tokens. A equipe rapidamente tomou medidas para congelar, rastrear e recuperar os ativos, conseguindo recuperar e congelar quase 90% dos fundos roubados e adiantou mais de um milhão de dólares para completar a compensação total dos usuários. No entanto, a Pundi AI foi notificada pela Associação de Exchangess de Ativos Digitais da Coreia (DAXA) sobre a exclusão em exchanges na Coreia devido à "divulgação de informações não oportuna".
Para uma melhor compreensão do contexto do evento, a seguir está uma revisão da linha do tempo-chave:
2 de março - A Function X anunciou a rebranding para PUNDIAI e a troca de token para PUNDI, enquanto o hacker já estava infiltrado.
12 de julho - Hackers lançaram um ataque, emitindo anormalmente 1 milhão de tokens; no mesmo dia, transferências foram congeladas e o rastreamento foi iniciado; naquela noite, o CEO informou à comunidade que o contrato tinha uma vulnerabilidade.
14 de julho - Revelação completa à exchange dos resultados da investigação do ataque e das soluções, e comunicação com a DAXA.
28 de julho - Algumas exchanges da Coreia do Sul anunciaram que irão fazer a exclusão do PundiAI a partir de 28 de agosto.
31 de julho - Declaração oficial recupera mais de 80% dos ativos, compensação total aos usuários concluída em 11 dias.
A PANews entrevistou em exclusivo Danny Lim, cofundador da Pundi AI, para revisar todo o processo do incidente. Danny também apresentou um dilema: durante a luta de inteligência com os hackers, devemos garantir a segurança dos fundos dos usuários sem alertar os hackers? Ou devemos manter a transparência e divulgar informações imediatamente, mas potencialmente acelerar a transferência de fundos pelos hackers, aumentando assim o montante de danos? Desta vez, a Pundi AI escolheu a primeira opção, mas também sofreu o preço da escolha devido a uma "falha" na transparência.
Danny afirmou que a exclusão das exchanges reguladas, na verdade, liberou o "selamento" para o desenvolvimento do projeto; no passado, não era possível recomprar ou queimar tokens livremente, sendo necessário obter a aprovação da exchange. Agora é possível utilizar a economia dos tokens de forma mais flexível para retribuir à comunidade. A Pundi AI também irá recomprar tokens e realizar airdrops para os usuários, "agradecendo-lhes por escolherem estar ao nosso lado em tempos difíceis".
Roubo, exclusão e escolhas difíceis
Danny explicou que o incidente de segurança ocorreu por volta das 14h20 do dia 12 de julho, e o sistema emitiu um alerta por volta das 14h40. Inicialmente, a equipe pensou que era um Bug no contrato, mas às cinco da tarde confirmaram que se tratava de um ataque. Eles imediatamente contactaram as principais exchanges, solicitando a suspensão das funções de depósito e saque do PUNDIAI.
Os hackers exploraram uma vulnerabilidade no contrato de migração de tokens. Em fevereiro, ao implantar um novo contrato, os hackers enviaram uma transação com uma taxa de Gas mais alta dentro do mesmo bloco, antecipando-se na chamada e obtendo os direitos de administrador do contrato. Essa técnica é muito precisa, exigindo um cálculo exato do timing da transação e do bloco.
Danny alerta que esta é uma vulnerabilidade muito oculta, que só foi exposta em julho, quando o ataque ocorreu. Recentemente, na rede Base e no Ethereum, vários projetos foram atacados com métodos semelhantes nas últimas três ou quatro semanas. Ele apela a todos os colegas, especialmente aos projetos que planejam fazer migrações de tokens ou atualizações de contratos, para que estejam atentos aos potenciais riscos de segurança deste "ataque de corrida".
Após descobrir o roubo, a equipe decidiu, para recuperar os ativos da melhor maneira possível, evitar alarmar os ladrões, rastrear e congelar os ativos discretamente. Essa estratégia teve um efeito significativo, interceptando com sucesso cerca de 95% dos ativos roubados na Ethereum e na sua própria rede F(x)Core. As principais perdas ocorreram na cadeia BSC, devido ao atraso na resposta dos prestadores de serviços terceirizados durante o fim de semana.
No geral, este ataque resultou na emissão de tokens no valor de cerca de 600 mil dólares americanos à cotação da época. Através do congelamento e recuperação, foi possível recuperar cerca de 87% dos ativos. A equipe decidiu arcar com quase 200 mil dólares americanos em perdas.
Danny afirmou que eles tiveram muitas conversas com a DAXA, mas acabaram recebendo a notificação de exclusão. A DAXA não forneceu uma razão específica, e de acordo com o aviso da exchange, a razão para a exclusão foi "divulgação não oportuna", não dando qualquer justificativa ou margem de manobra.
Danny acredita que a maior lição é: na mercado sul-coreano, a pontualidade e a transparência da informação são mais importantes do que qualquer outra coisa. Esta é uma lição dolorosa, entre "recuperar ativos discretamente" e "tornar público imediatamente", eles não conseguiram encontrar um equilíbrio. Ele espera alertar todos os projetos que estão a operar ou planeiam operar na Coreia do Sul.
O dilema do mercado sul-coreano e o planejamento futuro
A Pundi AI tem trabalhado no mercado sul-coreano há bastante tempo, tendo começado a operar em bolsas de valores sul-coreanas em 2019. Eles acumularam na Coreia do Sul pelo menos duzentas a trezentas mil, e até mesmo podem ter ultrapassado quatrocentas mil usuários.
Danny afirmou que o mercado sul-coreano é bastante único, com os usuários dependendo muito das exchanges centralizadas para realizar transações, e a aceitação de DeFi ou operações em blockchain é geralmente baixa. Cerca de 80% do volume de transações e 70% dos tokens negociáveis estão nas exchanges centralizadas da Coreia do Sul. Portanto, esta exclusão terá um impacto enorme na sua liquidez.
Apesar da grande dificuldade de relançamento, eles continuam a comunicar-se ativamente com a DAXA e várias exchanges, na esperança de ganhar confiança e retornar ao mercado sul-coreano.
É encorajador que, após o anúncio da exclusão, o preço do Pundi AI tenha permanecido basicamente estável, o que indica que a comunidade e os detentores de tokens ainda acreditam neles.
Para a comunidade, Danny afirmou que eles têm três planos principais:
Aumentar o investimento em exchanges descentralizadas na blockchain, utilizando recursos próprios para estabelecer um fundo mais robusto nas principais plataformas DEX.
Promover amplamente os novos produtos de dados de IA.
Publicar planos de recompra de tokens e airdrops, utilizando a economia dos tokens de forma mais flexível para retribuir à comunidade.
A visão e os desafios da assetização de dados de IA
Danny apresentou o seu novo produto Data Pump, que é um "Launchpad de conjuntos de dados de IA". Os usuários podem empacotar vários dados de conteúdo em NFTs, depois fazer a garantia desse NFT na plataforma, gerar os tokens correspondentes e criar pares de negociação diretamente no DEX para negociar.
Comparado a outros projetos de dados de IA, a Pundi AI foca em nichos especializados, como imagem médica, condução autónoma, documentos legais, entre outros, garantindo a especialização e alta qualidade dos dados. Eles também desenvolveram um AI AMM (automated market maker), que permite a assetização e monetização dos dados. Além disso, possuem um volume de dados em nível PB na blockchain, o que é bastante considerável no domínio do Web3.
Quanto ao gargalo no desenvolvimento da área de Web3 AI, Danny acredita que ainda não surgiu nada realmente útil e que possa mudar a vida. O chamado "poder computacional descentralizado" nesta fase parece mais uma questão falsa. O verdadeiro valor da blockchain na área de AI reside na "camada de dados", ou seja, proteger a soberania e privacidade dos dados dos usuários.
Danny prevê que a pista de Web3 AI deverá enfrentar uma verdadeira onda de entusiasmo, e pode ser necessário esperar que um gigante tradicional da IA abrace proativamente a tecnologia blockchain devido a uma oportunidade, oferecendo aos usuários funcionalidades de proteção de dados. Ele acredita que esse dia não deverá estar muito longe.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
14 gostos
Recompensa
14
7
Partilhar
Comentar
0/400
AlphaLeaker
· 13h atrás
Outra exclusão, não é?
Ver originalResponder0
SurvivorshipBias
· 16h atrás
Por que ainda foi excluído... não seria suficiente compensar?
Ver originalResponder0
HallucinationGrower
· 16h atrás
Tsk tsk, o mercado ainda não foi salvo, hein?
Ver originalResponder0
SingleForYears
· 16h atrás
condenado condenado Não salve.
Ver originalResponder0
EthMaximalist
· 16h atrás
Mais um massacre na pista de Blockchain, destinado a esfriar.
Ver originalResponder0
ReverseTradingGuru
· 16h atrás
90% já foi recuperado e ainda foi feita a exclusão. Engraçado, não?
Pundi AI contra-ataca Hacker, reembolsa os usuários na totalidade, mas sofre exclusão de uma exchange na Coreia.
Pundi AI sofreu um ataque e foi excluído da exchange sul-coreana, o cofundador Danny Lim respondeu
No dia 12 de julho, a Pundi AI sofreu um ataque de hackers, resultando na emissão anormal de 1 milhão de tokens. A equipe rapidamente tomou medidas para congelar, rastrear e recuperar os ativos, conseguindo recuperar e congelar quase 90% dos fundos roubados e adiantou mais de um milhão de dólares para completar a compensação total dos usuários. No entanto, a Pundi AI foi notificada pela Associação de Exchangess de Ativos Digitais da Coreia (DAXA) sobre a exclusão em exchanges na Coreia devido à "divulgação de informações não oportuna".
Para uma melhor compreensão do contexto do evento, a seguir está uma revisão da linha do tempo-chave:
2 de março - A Function X anunciou a rebranding para PUNDIAI e a troca de token para PUNDI, enquanto o hacker já estava infiltrado.
12 de julho - Hackers lançaram um ataque, emitindo anormalmente 1 milhão de tokens; no mesmo dia, transferências foram congeladas e o rastreamento foi iniciado; naquela noite, o CEO informou à comunidade que o contrato tinha uma vulnerabilidade.
14 de julho - Revelação completa à exchange dos resultados da investigação do ataque e das soluções, e comunicação com a DAXA.
28 de julho - Algumas exchanges da Coreia do Sul anunciaram que irão fazer a exclusão do PundiAI a partir de 28 de agosto.
31 de julho - Declaração oficial recupera mais de 80% dos ativos, compensação total aos usuários concluída em 11 dias.
A PANews entrevistou em exclusivo Danny Lim, cofundador da Pundi AI, para revisar todo o processo do incidente. Danny também apresentou um dilema: durante a luta de inteligência com os hackers, devemos garantir a segurança dos fundos dos usuários sem alertar os hackers? Ou devemos manter a transparência e divulgar informações imediatamente, mas potencialmente acelerar a transferência de fundos pelos hackers, aumentando assim o montante de danos? Desta vez, a Pundi AI escolheu a primeira opção, mas também sofreu o preço da escolha devido a uma "falha" na transparência.
Danny afirmou que a exclusão das exchanges reguladas, na verdade, liberou o "selamento" para o desenvolvimento do projeto; no passado, não era possível recomprar ou queimar tokens livremente, sendo necessário obter a aprovação da exchange. Agora é possível utilizar a economia dos tokens de forma mais flexível para retribuir à comunidade. A Pundi AI também irá recomprar tokens e realizar airdrops para os usuários, "agradecendo-lhes por escolherem estar ao nosso lado em tempos difíceis".
Roubo, exclusão e escolhas difíceis
Danny explicou que o incidente de segurança ocorreu por volta das 14h20 do dia 12 de julho, e o sistema emitiu um alerta por volta das 14h40. Inicialmente, a equipe pensou que era um Bug no contrato, mas às cinco da tarde confirmaram que se tratava de um ataque. Eles imediatamente contactaram as principais exchanges, solicitando a suspensão das funções de depósito e saque do PUNDIAI.
Os hackers exploraram uma vulnerabilidade no contrato de migração de tokens. Em fevereiro, ao implantar um novo contrato, os hackers enviaram uma transação com uma taxa de Gas mais alta dentro do mesmo bloco, antecipando-se na chamada e obtendo os direitos de administrador do contrato. Essa técnica é muito precisa, exigindo um cálculo exato do timing da transação e do bloco.
Danny alerta que esta é uma vulnerabilidade muito oculta, que só foi exposta em julho, quando o ataque ocorreu. Recentemente, na rede Base e no Ethereum, vários projetos foram atacados com métodos semelhantes nas últimas três ou quatro semanas. Ele apela a todos os colegas, especialmente aos projetos que planejam fazer migrações de tokens ou atualizações de contratos, para que estejam atentos aos potenciais riscos de segurança deste "ataque de corrida".
Após descobrir o roubo, a equipe decidiu, para recuperar os ativos da melhor maneira possível, evitar alarmar os ladrões, rastrear e congelar os ativos discretamente. Essa estratégia teve um efeito significativo, interceptando com sucesso cerca de 95% dos ativos roubados na Ethereum e na sua própria rede F(x)Core. As principais perdas ocorreram na cadeia BSC, devido ao atraso na resposta dos prestadores de serviços terceirizados durante o fim de semana.
No geral, este ataque resultou na emissão de tokens no valor de cerca de 600 mil dólares americanos à cotação da época. Através do congelamento e recuperação, foi possível recuperar cerca de 87% dos ativos. A equipe decidiu arcar com quase 200 mil dólares americanos em perdas.
Danny afirmou que eles tiveram muitas conversas com a DAXA, mas acabaram recebendo a notificação de exclusão. A DAXA não forneceu uma razão específica, e de acordo com o aviso da exchange, a razão para a exclusão foi "divulgação não oportuna", não dando qualquer justificativa ou margem de manobra.
Danny acredita que a maior lição é: na mercado sul-coreano, a pontualidade e a transparência da informação são mais importantes do que qualquer outra coisa. Esta é uma lição dolorosa, entre "recuperar ativos discretamente" e "tornar público imediatamente", eles não conseguiram encontrar um equilíbrio. Ele espera alertar todos os projetos que estão a operar ou planeiam operar na Coreia do Sul.
O dilema do mercado sul-coreano e o planejamento futuro
A Pundi AI tem trabalhado no mercado sul-coreano há bastante tempo, tendo começado a operar em bolsas de valores sul-coreanas em 2019. Eles acumularam na Coreia do Sul pelo menos duzentas a trezentas mil, e até mesmo podem ter ultrapassado quatrocentas mil usuários.
Danny afirmou que o mercado sul-coreano é bastante único, com os usuários dependendo muito das exchanges centralizadas para realizar transações, e a aceitação de DeFi ou operações em blockchain é geralmente baixa. Cerca de 80% do volume de transações e 70% dos tokens negociáveis estão nas exchanges centralizadas da Coreia do Sul. Portanto, esta exclusão terá um impacto enorme na sua liquidez.
Apesar da grande dificuldade de relançamento, eles continuam a comunicar-se ativamente com a DAXA e várias exchanges, na esperança de ganhar confiança e retornar ao mercado sul-coreano.
É encorajador que, após o anúncio da exclusão, o preço do Pundi AI tenha permanecido basicamente estável, o que indica que a comunidade e os detentores de tokens ainda acreditam neles.
Para a comunidade, Danny afirmou que eles têm três planos principais:
Aumentar o investimento em exchanges descentralizadas na blockchain, utilizando recursos próprios para estabelecer um fundo mais robusto nas principais plataformas DEX.
Promover amplamente os novos produtos de dados de IA.
Publicar planos de recompra de tokens e airdrops, utilizando a economia dos tokens de forma mais flexível para retribuir à comunidade.
A visão e os desafios da assetização de dados de IA
Danny apresentou o seu novo produto Data Pump, que é um "Launchpad de conjuntos de dados de IA". Os usuários podem empacotar vários dados de conteúdo em NFTs, depois fazer a garantia desse NFT na plataforma, gerar os tokens correspondentes e criar pares de negociação diretamente no DEX para negociar.
Comparado a outros projetos de dados de IA, a Pundi AI foca em nichos especializados, como imagem médica, condução autónoma, documentos legais, entre outros, garantindo a especialização e alta qualidade dos dados. Eles também desenvolveram um AI AMM (automated market maker), que permite a assetização e monetização dos dados. Além disso, possuem um volume de dados em nível PB na blockchain, o que é bastante considerável no domínio do Web3.
Quanto ao gargalo no desenvolvimento da área de Web3 AI, Danny acredita que ainda não surgiu nada realmente útil e que possa mudar a vida. O chamado "poder computacional descentralizado" nesta fase parece mais uma questão falsa. O verdadeiro valor da blockchain na área de AI reside na "camada de dados", ou seja, proteger a soberania e privacidade dos dados dos usuários.
Danny prevê que a pista de Web3 AI deverá enfrentar uma verdadeira onda de entusiasmo, e pode ser necessário esperar que um gigante tradicional da IA abrace proativamente a tecnologia blockchain devido a uma oportunidade, oferecendo aos usuários funcionalidades de proteção de dados. Ele acredita que esse dia não deverá estar muito longe.