12199 | Recupero di fondi sottratti

Fonte da:

• https://station.terraclassic.community/proposal/columbus-5/12199
• https://discourse.luncgoblins.com/t/recovery-of-misappropriated-funds-from-converter-contract-exploit-and-allocation-to-terra-classic-community-pool-with-15-finder-s-fee/221

Recupero dei fondi sottratti dal contratto Converter Exploit e assegnazione al Terra Classic Community Pool con una commissione di ricerca del 15%.

Riassunto

Questa proposta di testo segnala il supporto della comunità per il recupero di circa 1.785,93 webETH (equivalenti a ETH sulla mainnet di Ethereum, valutati all’incirca 6,68 milioni di dollari al momento del trasferimento) che sono stati estratti illegalmente dal contratto del convertitore Terra Classic (terra1emvfel8x7wmvkwfq3jpa6sq4nsfjqjm7ucnl) attraverso una migrazione non autorizzata e il successivo trasferimento del ponte Wormhole. In caso di successo del recupero, il 15% dei fondi sarà assegnato come commissione di ricerca agli scopritori “$KNEEL Team 6” che hanno identificato l’exploit e che guideranno gli sforzi di recupero decentralizzati. Il restante 85% sarà restituito alla comunità di Terra Classic a beneficio dell’ecosistema. Il proponente, che ha collaborato alla stesura di questa proposta, si occuperà della supervisione per garantire la trasparenza del processo.

Motivazione

Il contratto di conversione Terra Classic è stato progettato per facilitare la conversione e la masterizzazione di bETH in cambio della liberazione di webETH bloccati, supportando la funzionalità di bridging della rete. Tuttavia, una serie di transazioni ha sfruttato una vulnerabilità nel processo di migrazione del contratto, causando il trasferimento non autorizzato di ingenti risorse fuori dalla rete. Questo incidente rappresenta una perdita per la comunità di Terra Classic e mina la fiducia nella sicurezza del protocollo.

Il recupero di questi fondi restituirà un valore sostanziale al pool della comunità, consentendo investimenti critici per mantenere e migliorare Terra Classic come una solida blockchain di livello 1. Questi fondi possono sostenere attività essenziali come lo sviluppo del protocollo di base, la manutenzione dell’infrastruttura dei nodi, gli incentivi per i validatori, le verifiche di sicurezza, i miglioramenti dell’interoperabilità tra le catene e le iniziative guidate dalla comunità e approvate dalla governance. La commissione del 15% incentiva la scoperta e la risoluzione di questi problemi in modo decentralizzato, allineandosi ai principi della blockchain di responsabilità guidata dalla comunità. Lo scopritore supervisionerà il processo di recupero senza richiedere fondi anticipati al pool, assicurando che non ci siano oneri aggiuntivi per la comunità, mentre il proponente garantisce la trasparenza attraverso la supervisione.

Dettagli della proposta

Informazioni sull’exploit

L’exploit si è verificato attraverso la seguente sequenza di transazioni su Terra Classic:

1. Store Code (Transazione: 884DD10DF19B4D0A3B7F02A03644C88DFF9A86B0623D2A1EF60633ADEBD2DFDA)
   Data: 18 giugno 2025 Questa transazione ha caricato il codice di un nuovo contratto con l’ID 10150, che includeva un gestore di migrazione dannoso in grado di modificare arbitrariamente lo stato, compresa l’estrazione dei saldi.
2. Autorizzazione (Transazione: 341A8FFEF05832CF9F03688F25254B56108915412D8339175F2AABC6ED2EBAAF)
   Date: 1 luglio 2025
   Questo concede diritti di esecuzione della migrazione a tempo indeterminato all’indirizzo del beneficiario (terra12jpf48ctwyfv05qr5q4knvvcua38vqq64ql4m8) per conto del concedente (terra1gufrav46pnpwf03yu7xz76ylkmatsxtplrxnmc), proprietario del contratto di conversione.
3. Migrazione (Transazione: 6F32E7899E9F44AED86F3CD7D98FF5909F260FDCF9304E45F30968FF1A868AB9)
   Date: 2 luglio 2025
   Il beneficiario ha eseguito la migrazione al codice ID 10150, attivando il gestore per trasferire 1.786,02980355 webETH dal contratto del convertitore al beneficiario. Questa azione si discostava dal comportamento previsto dal contratto che prevedeva di bruciare bETH per rilasciare webETH.
4. Trasferimento Wormhole (Transazione: 1A329188F31068BCEABA350D671823F5FBDEAF0C9BB900EAAEA2BCEEFC735EFC)
   Date: 2 luglio 2025
   Questo ha avviato un trasferimento Wormhole bridge di 1.785,92980355 webETH alla mainnet di Ethereum. L’indirizzo del destinatario, codificato nel messaggio Wormhole come base64 (“AAAAAAAAAAAA2cbUSWNsDFt2JvAB11hE0iL5eg=”), si decodifica in 0x6b671b51258db0316dd89bc0075d6113488be5e8.
5. Arrivo su Ethereum Mainnet (Transazione: 0x949600fc8bf2cbb6fae555f3e9cf1f9187d2e57eac12dcd302059f78727f3a25)
   Date: 2 luglio 2025
   I fondi ponte (1.785,615 ETH) sono stati rilasciati all’indirizzo del destinatario 0x6b671b51258db0316dd89bc0075d6113488be5e8, dove attualmente si trovano.
   Queste transazioni indicano un’estrazione non autorizzata, probabilmente non in linea con lo scopo del contratto di conversione, con conseguente perdita diretta per l’ecosistema Terra Classic. Per questo processo abbiamo bisogno di esperti forensi di blockchain per decompilare il codice del contratto implementato, tracciare i flussi di transazioni attraverso le catene, identificare e correlare gli indirizzi coinvolti, recuperare le prove sulla catena e coordinarci con gli scambi e le autorità legali per massimizzare le possibilità di localizzare, congelare e recuperare i beni sottratti.

Azione proposta

• Processo di recupero: Lo scopritore guiderà gli sforzi per recuperare i fondi in modo decentralizzato e trasparente, coordinandosi con esperti legali, team forensi della blockchain o autorità competenti (ad esempio, forze dell’ordine o borse) per rintracciare e recuperare i beni. Non verranno utilizzati i fondi del pool della comunità; gli eventuali costi saranno sostenuti dallo scopritore e detratti dalla commissione del cercatore se il recupero avrà successo.
• Compenso del cercatore: Dopo aver recuperato con successo i fondi e averli restituiti alla comunità di Terra Classic (tramite ponte Wormhole o meccanismo equivalente), lo scopritore riceverà il 15% dell’importo recuperato come compenso per la scoperta, la ricerca e l’esecuzione del recupero.
• Restituzione alla piscina comunitaria: Il restante 85% sarà depositato nella piscina comunitaria di Terra Classic per usi futuri approvati dal governo.
• Trasparenza: Lo scopritore fornirà aggiornamenti regolari sui progressi compiuti tramite il Discorso di Terra Classic e i forum del Commonwealth o X. Se il recupero fallisce dopo sforzi ragionevoli (ad esempio, 12 mesi), non verrà richiesto alcun compenso.
  Questa proposta è una proposta di testo/segnalazione, poiché il recupero comporta azioni fuori dalla catena sulla rete Ethereum. L’approvazione dimostrerà il consenso della comunità e potrebbe rafforzare gli sforzi legali o di collaborazione.

Supervisione

Per garantire trasparenza e responsabilità, il proponente, che ha assistito nella stesura di questa proposta di governance, fungerà da coordinatore della supervisione. Il proponente monitorerà il processo di recupero guidato dallo scopritore, assicurandosi che tutte le azioni siano documentate e comunicate alla comunità. Ciò include la verifica che gli aggiornamenti siano pubblicati mensilmente sui forum di Terra Classic o su X, la revisione di tutti i rapporti rivolti al pubblico e la conferma che il processo aderisca agli standard etici e legali. Il proponente non gestirà fondi o procedimenti legali, ma agirà come collegamento con la comunità per mantenere la fiducia e la chiarezza durante l’intero sforzo di recupero.

Pagamento

Il pagamento sarà effettuato solo dopo che i fondi recuperati saranno stati consegnati con successo e depositati nella community pool di Terra Classic. Una volta completato con successo il recupero e confermati i fondi nella community pool, gli scopritori (“$KNEEL Team 6”) con il portafoglio add: (terra1fnyfl8dmyudmn8qlcwmfwj3dfw9akh9gye287z) riceveranno il 15% dell’importo recuperato come commissione di ricerca. Il restante 85% rimarrà nella piscina della comunità. Qualsiasi costo sostenuto durante il recupero è a carico dello scopritore. L’intero processo sarà reso noto e documentato; nessun pagamento anticipato sarà prelevato dalla piscina della comunità.

I rischi

• Incertezza del recupero: Il successo non è garantito, poiché i fondi si trovano su una blockchain separata e possono essere controllati da una parte sconosciuta. Potrebbero sorgere problemi legali o tecnici.
• Tempi e costi: Il recupero può durare mesi e comportare delle spese, che però sono a carico dello scopritore.
• Volatilità del mercato: Il valore dell’ETH recuperato può fluttuare al momento della restituzione.
• Nessun precedente garantito: Sebbene proposte simili di recupero fuori dalla catena siano state approvate nella governance di Terra Classica (ad esempio, il recupero dei portafogli multisig), i risultati variano.

Linea temporale

• Passaggio della proposta: Segnalazione immediata dopo l’approvazione del voto.
• Inizio del recupero: Entro 30 giorni dal passaggio.
• Aggiornamenti sui progressi: Rapporti mensili fino alla risoluzione.
• Obiettivo di completamento: Entro 6-12 mesi, a seconda della complessità.

Conclusione

Questa proposta è una bozza ed è aperta alla discussione; ti invitiamo a condividere il tuo feedback in modo da poterla perfezionare in modo collaborativo in un piano definitivo e attuabile.

Questa proposta affronta un problema critico consentendo il recupero delle risorse perse in modo equo, incentivato e sostenuto dalla comunità. Votando SI si sostiene il ripristino del valore di Terra Classic, si premiano i contributi proattivi alla sicurezza e si garantisce la trasparenza attraverso la supervisione del proponente. Lo scopritore e il proponente si impegnano a rispettare l’etica e la legalità durante tutto il processo.