Harmony承包商通報誤鑄220萬美元ONE代幣漏洞,反遭團隊員工批竊盜
DLNews 報導,L1 公鏈 Harmony (ONE) 兼職承包商之一的 Aaron Li 透露,該專案曾
這篇文章 Harmony承包商通報誤鑄220萬美元ONE代幣漏洞,反遭團隊員工批竊盜 最早出現於 鏈新聞 ABMedia。
DLNews 報導,L1 公鏈 Harmony (ONE) 兼職承包商之一的 Aaron Li 透露,該專案曾在一個月前因錯誤漏洞,而意外鑄造了 1.5 億枚 ONE 代幣 (當前價值約 220 萬美元)。對此,團隊員工 Casey Gardiner 則指責其未及時報告漏洞,並惡意出售代幣。
Harmony 協議代幣 ONE 遭額外鑄造逾 1.5 億枚
報導指出,Harmony 兼職承包商之一的 Aaron Li,透過其推特 (現為 X) 發布了有關協議代幣 ONE 遭錯誤鑄造的文章,說明本身是出於好意而進行通報,卻遭指控從事竊盜行為。
A bug paid me $100k per day on Harmony blockchain. But it could wipe out everyone and destroy $200M. I did the right thing, but was accused of stealing and “banned” from @EthereumDenver and @ethereum. Here is the story behind and how we averted a disasterhttps://t.co/GCdVgGPsID
— Aaron Li (@polymorpher) December 21, 2023
內容寫道,Harmony 協議重大漏洞導致了每天數十萬美元的資金流失,開發者 (Aaron Li) 對此揭露漏洞,卻被首席工程師 (Casey Gardiner) 忽略:
開發者在幾天內截獲近百萬美元,主動通報並協助填補財務空缺,同時分析並修復漏洞;卻遭到首席工程師指控盜竊,並聲稱將從此禁止開發者參加任何 ETHDenver 及其他由以太坊基金會所舉辦的活動。
漏洞如何發生?
從 Aaron 的文章來看,該漏洞被歸咎於 Harmony 協議本身共識機制 (POS) 的設計問題,影響並導致質押合約受損:
當用戶嘗試提取質押資產時,由於漏洞的存在,他們將在每個紀元 (Epoch) 錯誤地收到了大量的協議原生代幣 ONE,這將對代幣的價值產生不利的影響,甚至可能使得代幣重貶至一文不值。
(註:Epoch 是 Harmony 協議中用於衡量區塊生成週期,並維持整體網路同步的時間單位,此指 1 天。)
據 Aaron 所述,他於 12 月 7 日發現並回報了該漏洞,並補充該漏洞已將錯誤鑄造、高達 1.5 億枚的 ONE (現價約 220 萬美元) 發送到了包括他自己在內的 79 個帳戶,其中大多數代幣早已被多位接收者迅速出售或轉移。
團隊內部參與者相互指責
不過,除了額外鑄造大量代幣的荒謬事件外,承包商暨漏洞發現者 Aaron 與首席工程師 Casey 之間的爭議,也同樣引起社群的關注。
Aaron:Casey 拖延處理問題,造成更大損失
首先,首席工程師 Casey Gardiner 在治理論壇上發布,有關「質押邏輯漏洞與利用」的技術事件報告中,聲稱 Harmony 員工在 12 月 7 日發現漏洞後,便在接下來的幾天進行了初步調查。
對此,Aaron 反駁 Casey 說謊,稱其在最初對漏洞的處理上多次拖延,導致損失增加。
Aaron 於文章中寫道:「這已經是第三次向 Casey 提出這個問題了。」
我們若提早前 5 天內進行處理,將能減輕漏洞造成的 60% 至 70% 的影響。
Casey:Aaron 刻意隱瞞漏洞問題,以便拋售多餘代幣
另一方面,Casey 則指控 Aaron 有意隱瞞漏洞資訊並延遲其修復,更聲稱其出售了錯誤鑄造的 1,640 萬枚 ONE 代幣,價值超過 26 萬美元:
Aaron 在漏洞問題未解決前,出售了一部分錯誤鑄造的 ONE 代幣並獲利,他最初甚至並沒有如實告訴我們。
並補充,「Aaron 的拋售行為可以說是盜竊行為,甚至是直到我們著手調查,他才坦承自己有收到資金或曾經出售代幣。」
Aaron 則對此辯稱,強調他在 12 月 8 日至 10 日期間售出的代幣,是他先前就早已持有的,批評 Casey 模糊焦點:
我認為這並不影響漏洞的嚴重性,因為漏洞問題的解決,與我是否出售代幣無關。
至今,儘管漏洞已被修復,但爭議仍然尚未解決,而 Harmony 中的開發者及社群之間的關係,也或將面臨信任問題。
(TVL 從十億剩百萬美元,前員工、開發者爆料 Harmony 殞落內幕)
這篇文章 Harmony承包商通報誤鑄220萬美元ONE代幣漏洞,反遭團隊員工批竊盜 最早出現於 鏈新聞 ABMedia。