Typo sposta 36 milioni di dollari in token JUNO sequestrati sul portafoglio sbagliato

La blockchain Juno basata su Cosmos continua a fungere da caso di studio per le prove e le difficoltà della governance on-chain.

Un evento senza precedentivoto della comunitàla scorsa settimana avrebbe dovuto sequestrare milioni di dollari di token JUNO dal portafoglio di una balena (grande investitore) accusata di aver manipolato un airdrop della comunità. Invece di inviare i fondi a un indirizzo controllato dalla comunità Juno, come inizialmente pianificato, un errore di programmazione ha inviato i fondi all'indirizzo sbagliato mercoledì.

Continua a leggere: La comunità di Juno Blockchain vota ufficialmente per revocare i token di Whale

La promessa della governance basata sulla blockchain è che la volontà di una comunità sia direttamente codificata sulla blockchain. In un mondo in cui "il codice è legge", un semplice voto della comunità avrebbe dovuto essere sufficiente per spostare i token da ONE indirizzo blockchain specifico a un altro.

E tuttavia, il fallimento di diverse misure di sicurezza controllate dall'uomo questa settimana dimostra come la governance incentrata sul codice non sia ancora all'altezza delle sue promettenti promesse.

Giunone e la balena

Proposta di Giunone 20, che passò contravolgente sostegno della comunitàla scorsa settimana, ha revocato i token di Takumi Asano, un investitore giapponese accusato di aver manipolato l'airdrop di Juno per un importo di 120 milioni di $ a febbraio. È stato il primo importante esempio fino ad oggi di una comunità blockchain che ha votato per modificare il saldo dei token di un singolo utente accusato di aver agito in modo doloso.

Secondo il voto della comunità, Asano gestiva un servizio di scambio che avrebbe dovuto rendere i suoi portafogli non idonei per il cosiddetto "stakedrop" di Juno, che forniva token JUNO aStakeratori sulla blockchain di Cosmos Hub.

Dopo un ritardo di alcuni giorni, il voto della scorsa settimana avrebbe dovuto eseguire automaticamente il codice che spostava i fondi “truccati” – ora del valore di circa 36 milioni di dollari – dal portafoglio di Asano a un indirizzo “Unity” controllato dalla comunità Juno.

Le cose T andarono come previsto.

Quando il codice è stato eseguito mercoledì, un errore di programmazione ha finito per spostare 3 milioni di token JUNO revocati su unindirizzo erratosulla blockchain a cui nessuno – né Asano né la comunità Juno – ha accesso.

Proposta 20: Una copia di pasta

Andrea Di Michele, membro del team di sviluppatori fondatori di "CORE-1" di Juno, noto come "Dimi", ha dichiarato a CoinDesk che il trasferimento fraudolento è stato causato da un errore di copia-incolla.

"Quando ho dato agli sviluppatori della [Proposta 20] l'indirizzo dello smart contract [Unity], ho incollato l'indirizzo dello smart contract e appena sotto ho messo l'hash della transazione. Ma T ho scritto 'l'hash della transazione è questo', ho solo messo l'hash della transazione", ha spiegato Dimi.

Secondo Dimi, gli sviluppatori hanno copiato accidentalmente l'hash della transazione, che sembrava simile all'indirizzo del wallet, anziché l'indirizzo stesso. Di conseguenza, i fondi sequestrati sono finiti in una fessura della blockchain Juno a cui nessuno ha accesso.

Chi è la colpa?

Validatori che distribuiscono i nodi per l'esecuzioneblockchain proof-of-stake come Juno sono teoricamente responsabili di condurre la due diligence sugli aggiornamenti on-chain come ONE fornito con la Proposta 20. È questa comunità disintermediata di validatori, non uno sviluppatore specifico, che è responsabile dell'emissione di blocchi, della protezione della rete e dell'elaborazione degli aggiornamenti in modo "decentralizzato".

Degli oltre 120 validatori di Juno, ONE sembrava essersi accorto che l'indirizzo Unity era stato incollato in modo errato.

Daniel Hwang, responsabile dei protocolli di Stakefish e ONE dei validatori di Juno, ha riassunto i suoi pensieri in un messaggio a CoinDesk: "Abbiamo fatto un gran casino".

Hwang ha affermato che la colpa degli Eventi di questa settimana non è stata dei programmatori che hanno incollato l'indirizzo sbagliato nel codice della Proposta 20, ma dei validatori che alla fine hanno eseguito quel codice.

"Gli sviluppatori possono sbagliare... ma alla fine della giornata ci dovrebbero essere delle ipotesi di fiducia su cui non si può fare affidamento", ha detto Hwang. "I validatori dovrebbero aver fatto la dovuta diligenza per noi stessi per controllare effettivamente il codice che stiamo eseguendo e facendo girare".

E ora cosa succederà a Giunone?

La risposta della balena? "LoL."

Il team di sviluppatori CORE di Juno e la comunità della catena sono ancora intenzionati a spostare i fondi di Asano nel contratto Unity controllato dalla comunità piuttosto che "bruciarli" involontariamente come Asano dicepotrebbe accadere. (Asano in precedenzaha detto a CoinDeskfarà causa ai validatori di Juno se i suoi fondi verranno scartati anziché andare ai suoi presunti "investitori").

Al momento, il piano è di spostare i fondi all'indirizzo Unity tramite un upgrade già pianificato alla blockchain. Invece di apportare semplicemente dei miglioramenti al codice, questo upgrade riscriverà il registro di Juno in modo che i fondi bloccati vengano riassegnati a Unity.

Una proposta di governance formulata in modo vago per dare il via libera all'aggiornamento,Proposta 21, include righe che affermano che l'aggiornamento "[f]inalizza il trasferimento dei fondi della proposta Unity" e "[r]olloca i fondi da un indirizzo segnaposto allo smart contract Unity".

La Proposta 21 LOOKS sulla buona strada per essere approvata, ed è difficile immaginare che i validatori, gli sviluppatori e Asano T controlleranno il codice tre volte questa volta.

Un altro ostacolo sulla strada

Sebbene Juno abbia ottenuto un notevole supporto dalla comunità blockchain Cosmos , questo è solo l'ultimo di una serie di battute d'arresto per il progetto.

Dopo che un voto della comunità si è mosso per la prima volta per revocare i token di Asano a marzo, unmisterioso attacco al contratto intelligenteha messo offline la catena per diversi giorni ad aprile. Negli ultimi due mesi, il prezzo del token JUNO è sceso da un massimo di circa $ 40 a circa $ 10, che è il livello attuale.

CORREZIONE (5 maggio, 19:01 UTC):Questo articolo è stato corretto per riflettere il fatto che Juno non è stata la prima catena basata su Cosmos con distribuzione di contratti intelligenti senza autorizzazione.