Друкарська помилка перевела 36 мільйонів доларів у конфіскованих токенах JUNO на неправильний гаманець

Блокчейн Juno, заснований на Cosmos, продовжує служити практичним прикладом для випробувань і труднощів управління в мережі.

Безпрецедентний голосування громади минулого тижня мав конфіскувати токени JUNO на мільйони доларів із гаманця Whale (великого інвестора), звинуваченого у грі на роздачу спільноти. Замість того, щоб надіслати кошти на адресу, контрольовану спільнотою Juno, як спочатку планувалося, програмна плутанина надіслала кошти на неправильну адресу в середу.

Читайте також: Спільнота Juno Blockchain офіційно голосує за відкликання токенів Whale

Обіцянка управління на основі блокчейну полягає в тому, що воля спільноти кодується безпосередньо в ланцюжку. У світі, де «код є законом», простого голосування спільноти мало бути достатньо, щоб перемістити токени з ONE конкретної адреси блокчейну на іншу.

І все ж невдача кількох контрольованих людьми заходів безпеки цього тижня показує, що кодоцентричне управління ще не виправдало своїх шалених обіцянок.

Юнона і кит

Пропозиція Juno 20, який пройшов с переважна підтримка громади минулого тижня відкликали токени від Такумі Асано, японського інвестора, звинуваченого в тому, що він обіграв роздачу Juno на суму 120 мільйонів доларів у лютому. Це був перший на сьогоднішній день великий приклад, коли спільнота блокчейнів проголосувала за зміну балансу токенів одного користувача, звинуваченого в зловмисних діях.

Згідно з голосуванням спільноти, Асано керував службою обміну, яка мала зробити його гаманці непридатними для так званого «stakedrop» Juno, який давав токени JUNO ставники на блокчейні Cosmos Hub.

Після затримки в кілька днів голосування минулого тижня мало автоматично запустити код, який переміщує «ігрові» кошти (наразі вартістю близько 36 мільйонів доларів) із гаманця Asano на адресу «Unity», контрольовану спільнотою Juno.

Справи пішли T так, як планувалося.

Коли код було виконано в середу, помилка програмування призвела до переміщення 3 мільйонів відкликаних токенів JUNO до помилкова адреса на блокчейні, куди ніхто – ані Asano, ані спільнота Juno – не має доступу.

Пропозиція 20: копія макаронних виробів

Андреа Ді Мікеле, член групи розробників-засновників «CORE-1» Juno, який називається «Дімі», сказав CoinDesk , що підроблена передача сталася в результаті помилки копіювання та вставки.

"Коли я дав розробникам [Пропозиції 20] адресу смарт-контракту [Unity], я вставив адресу смарт-контракту та просто під ним розмістив хеш транзакції. Але я T написав "хеш транзакції це", я просто вставив хеш транзакції", – пояснив Дімі.

За словами Дімі, розробники випадково скопіювали хеш транзакції, який виглядав схожим на адресу гаманця, а не саму адресу. У результаті конфісковані кошти перемістилися в щілину блокчейну Juno, куди ніхто не має доступу.

Хто винен?

Валідатори, які розгортають вузли для запуску блокчейни доказу частки як Juno, теоретично відповідальні за проведення належної перевірки оновлень у ланцюжку, подібних до ONE , що надійшла з Пропозицією 20. Саме ця спільнота валідаторів, яка не працює в посередництві, а не якийсь конкретний розробник, відповідає за випуск блоків, захист мережі та обробку оновлень у «децентралізований» спосіб.

З понад 120 валідаторів Juno ONE не помітив, що адреса Unity була вставлена ​​неправильно.

Деніел Хванг, голова відділу протоколів у stakefish, ONE з валідаторів Juno, підсумував свої думки в повідомленні CoinDesk: «Ми надовбали».

Замість програмістів, які вставили неправильну адресу в код Proposal 20, Хван сказав, що в Заходи цього тижня «більшою мірою винні валідатори», які зрештою виконали цей код.

«Розробники можуть зіпсувати... але врешті-решт повинні бути довірливі припущення, на які не можна покладатися», — сказав Хван. «Валідатори повинні ретельно перевірити код, який ми виконуємо».

Тож що тепер з Юноною?

Відповідь кита? «ЛоЛ».

CORE команда розробників Juno та спільнота мережі все ще мають намір перемістити кошти Asano у контрольований спільнотою контракт Unity, а не «спалити» їх ненавмисно, як Асано каже може статися. (Асано раніше сказав CoinDesk він подасть до суду на валідаторів Juno, якщо його кошти будуть викинуті, а не підуть його ймовірним «інвесторам».)

На даний момент планується перемістити кошти на адресу Unity за допомогою вже запланованого оновлення блокчейну. Замість того, щоб просто вдосконалювати код, це оновлення тепер перепише бухгалтерську книгу Juno, щоб багатожильні кошти перепризначалися Unity.

Нечітко сформульована пропозиція керівництва щодо надання зеленого світла оновленню, Пропозиція 21, містить рядки, у яких сказано, що оновлення «завершує переказ коштів пропозиції Unity» і «переміщує кошти з адреси-заповнювача до смарт-контракту Unity».

LOOKS, пропозиція 21 має бути прийнята, і важко уявити, що валідатори, розробники та Asano цього разу T перевірятимуть код тричі.

Ще одна нерівність на дорозі

Незважаючи на те, що Juno заручилася значною підтримкою блокчейн-спільноти Cosmos , це лише остання в серії невдач проекту.

Після того, як у березні спільнота проголосувала за відкликання токенів Asano, a таємнича атака на смарт-контракт вимкнув мережу в автономному режимі на кілька днів у квітні. За останні два місяці ціна токена JUNO знизилася з максимуму в 40 доларів до приблизно 10 доларів, на якому вона знаходиться сьогодні.

ВИПРАВЛЕННЯ (5 травня, 19:01 UTC): Цю статтю було виправлено, щоб відобразити, що Juno не була першою мережею на основі Cosmos із розгортанням смарт-контракту без дозволу.