12199 | การกู้คืนเงินที่ยักยอก

แหล่งที่มาจาก :

• https://station.terraclassic.community/proposal/columbus-5/12199
• https://discourse.luncgoblins.com/t/recovery-of-misappropriated-funds-from-converter-contract-exploit-and-allocation-to-terra-classic-community-pool-with-15-finder-s-fee/221

การกู้คืนเงินที่ยักยอกจากการใช้สัญญาแปลงและการจัดสรรให้กับสระว่ายน้ำชุมชน Terra Classic พร้อมค่าธรรมเนียมการค้นหา 15%

สรุป

ข้อเสนอข้อความนี้ส่งสัญญาณการสนับสนุนจากชุมชนสำหรับการกู้คืน webETH ประมาณ 1,785.93 (เทียบเท่ากับ ETH บนเครือข่ายหลัก Ethereum มูลค่าประมาณ 6.68 ล้านดอลลาร์สหรัฐฯ ณ เวลาที่โอน) ซึ่งถูกดึงมาอย่างผิดกฎหมายจากสัญญาแปลง Terra Classic (terra1emvfel8x7wmvkwjfq3jpa6sq4nsfjjqjm7ucnl) ผ่านการย้ายข้อมูลที่ไม่ได้รับอนุญาตและการโอน Wormhole bridge ที่ตามมา เมื่อกู้คืนสำเร็จ 15% ของเงินทุนจะถูกจัดสรรเป็นค่าธรรมเนียมการค้นหาให้กับผู้ค้นพบ “$KNEEL Team 6” ซึ่งเป็นผู้ระบุช่องโหว่และจะเป็นผู้นำในการกู้คืนแบบกระจายศูนย์ ส่วนที่เหลืออีก 85% จะถูกส่งคืนไปยังกลุ่มชุมชน Terra Classic เพื่อเป็นประโยชน์ต่อระบบนิเวศ ผู้เสนอซึ่งช่วยในการร่างข้อเสนอนี้จะทำหน้าที่กำกับดูแลเพื่อให้มั่นใจถึงความโปร่งใสตลอดกระบวนการ

แรงจูงใจ

สัญญาแปลง Terra Classic ออกแบบมาเพื่ออำนวยความสะดวกในการแปลงและเบิร์น bETH เพื่อแลกกับการปล่อย webETH ที่ถูกล็อกไว้ ซึ่งจะช่วยสนับสนุนฟังก์ชันการเชื่อมต่อของเครือข่าย อย่างไรก็ตาม มีธุรกรรมหลายรายการที่ใช้ช่องโหว่ในกระบวนการย้ายข้อมูลของสัญญา ส่งผลให้เกิดการถ่ายโอนสินทรัพย์สำคัญออกจากเครือข่ายโดยไม่ได้รับอนุญาต เหตุการณ์นี้ถือเป็นความสูญเสียของชุมชน Terra Classic และบั่นทอนความเชื่อมั่นด้านความปลอดภัยของโปรโตคอล

การกู้คืนเงินทุนเหล่านี้จะช่วยฟื้นฟูมูลค่ามหาศาลให้กับชุมชน ทำให้การลงทุนที่สำคัญสามารถรักษาและพัฒนา Terra Classic ให้เป็นบล็อกเชนเลเยอร์ 1 ที่แข็งแกร่ง เงินทุนเหล่านี้สามารถสนับสนุนกิจกรรมสำคัญต่างๆ เช่น การพัฒนาโปรโตคอลหลัก การบำรุงรักษาโครงสร้างพื้นฐานโหนด แรงจูงใจจากผู้ตรวจสอบ การตรวจสอบความปลอดภัย การปรับปรุงการทำงานร่วมกันข้ามเครือข่าย และโครงการริเริ่มที่ขับเคลื่อนโดยชุมชนซึ่งได้รับการอนุมัติผ่านการกำกับดูแล ค่าธรรมเนียมผู้ค้นพบ 15% จะช่วยจูงใจให้ค้นพบและแก้ไขปัญหาดังกล่าวในลักษณะกระจายศูนย์ ซึ่งสอดคล้องกับหลักการของบล็อกเชนที่ว่าด้วยความรับผิดชอบที่ขับเคลื่อนโดยชุมชน ผู้ค้นพบจะดูแลกระบวนการกู้คืนโดยไม่ต้องขอเงินทุนล่วงหน้าจากชุมชน ซึ่งจะทำให้ชุมชนไม่เป็นภาระเพิ่มเติม ขณะที่ผู้เสนอโครงการจะรับประกันความโปร่งใสผ่านการกำกับดูแล

รายละเอียดข้อเสนอ

พื้นหลังของการใช้ประโยชน์

การโจมตีเกิดขึ้นผ่านลำดับธุรกรรมต่อไปนี้บน Terra Classic:

1. รหัสร้านค้า (ธุรกรรม: 884DD10DF19B4D0A3B7F02A03644C88DFF9A86B0623D2A1EF60633ADEBD2DFDA)
   วันที่: 18 มิถุนายน 2568 ธุรกรรมนี้ได้อัปโหลดรหัสสัญญาใหม่ภายใต้ ID 10150 ซึ่งรวมถึงตัวจัดการการไมเกรชันที่เป็นอันตรายซึ่งสามารถเปลี่ยนแปลงสถานะตามอำเภอใจ รวมถึงการดึงยอดคงเหลือ
2. การอนุญาต (ธุรกรรม: 341A8FFEF05832CF9F03688F25254B56108915412D8339175F2AABC6ED2EBAAF)
   วันที่ : 1 กรกฎาคม 2568
   การอนุญาตนี้ให้สิทธิในการดำเนินการโยกย้ายแบบไม่มีกำหนดแก่ที่อยู่ของผู้รับสิทธิ์ (terra12jpf48ctwyfv05qr5q4knvvcua38vqq64ql4m8) ในนามของผู้ให้สิทธิ์ (terra1gufrav46pnpwf03yu7xz76ylkmatsxtplrxnmc) ซึ่งเป็นเจ้าของสัญญาตัวแปลง
3. การย้ายข้อมูล (ธุรกรรม: 6F32E7899E9F44AED86F3CD7D98FF5909F260FDCF9304E45F30968FF1A868AB9)
   วันที่ : 2 กรกฎาคม 2568
   ผู้รับสิทธิ์ดำเนินการย้ายข้อมูลไปยังรหัส ID 10150 ส่งผลให้ตัวจัดการโอน webETH จำนวน 1,786.02980355 จากสัญญาตัวแปลงไปยังผู้ให้สิทธิ์ การดำเนินการนี้ผิดไปจากพฤติกรรมที่สัญญาตั้งใจไว้ในการเบิร์น bETH เพื่อปล่อย webETH
4. การถ่ายโอนเวิร์มโฮล (ธุรกรรม: 1A329188F31068BCEABA350D671823F5FBDEAF0C9BB900EAAEA2BCEEFC735EFC)
   วันที่ : 2 กรกฎาคม 2568
   การดำเนินการนี้เริ่มต้นการถ่ายโอนข้อมูล webETH จำนวน 1,785.92980355 ผ่านเวิร์มโฮลบริดจ์ไปยังเมนเน็ตของ Ethereum ที่อยู่ผู้รับซึ่งเข้ารหัสในข้อความเวิร์มโฮลเป็น base64 (“AAAAAAAAAAAAAAAAAAa2cbUSWNsDFt2JvAB11hE0iL5eg=”) ถอดรหัสเป็น 0x6b671b51258db0316dd89bc0075d6113488be5e8
5. มาถึงบน Ethereum Mainnet แล้ว (ธุรกรรม: 0x949600fc8bf2cbb6fae555f3e9cf1f9187d2e57eac12dcd302059f78727f3a25)
   วันที่ : 2 กรกฎาคม 2568
   เงินทุนเชื่อมโยง (1,785.615 ETH) ได้รับการปล่อยไปยังที่อยู่ผู้รับ 0x6b671b51258db0316dd89bc0075d6113488be5e8 ซึ่งปัจจุบันยังคงอยู่ในที่อยู่ดังกล่าว
   ธุรกรรมเหล่านี้บ่งชี้ถึงการสกัดข้อมูลโดยไม่ได้รับอนุญาต ซึ่งอาจไม่สอดคล้องกับวัตถุประสงค์ของสัญญาแปลงข้อมูล ส่งผลให้เกิดการสูญเสียโดยตรงต่อระบบนิเวศ Terra Classic ในกระบวนการนี้ เราจำเป็นต้องใช้ผู้เชี่ยวชาญด้านนิติวิทยาศาสตร์ของบล็อกเชนเพื่อแยกโค้ดสัญญาที่นำไปใช้งาน ติดตามกระแสธุรกรรมข้ามเชน ระบุและเชื่อมโยงที่อยู่ที่เกี่ยวข้อง กู้คืนหลักฐานบนเชน และประสานงานกับศูนย์แลกเปลี่ยนและหน่วยงานทางกฎหมาย เพื่อเพิ่มโอกาสในการค้นหา ระงับ และเรียกคืนทรัพย์สินที่ถูกยักยอกคืน

การดำเนินการที่เสนอ

• กระบวนการกู้คืน: ผู้ค้นพบจะนำพาความพยายามกู้คืนเงินอย่างกระจายอำนาจและโปร่งใส โดยประสานงานกับผู้เชี่ยวชาญด้านกฎหมาย ทีมนิติวิทยาศาสตร์บล็อกเชน หรือหน่วยงานที่เกี่ยวข้อง (เช่น หน่วยบังคับใช้กฎหมายหรือศูนย์ซื้อขาย) เพื่อติดตามและเรียกคืนทรัพย์สิน จะไม่มีการนำเงินจากกองทุนรวมมาใช้ ค่าใช้จ่ายใดๆ จะเป็นของผู้ค้นพบและหักออกจากค่าธรรมเนียมของผู้ค้นพบหากการกู้คืนสำเร็จ
• ค่าธรรมเนียมผู้ค้นพบ: เมื่อกู้คืนและส่งคืนเงินทุนให้กับกลุ่มชุมชน Terra Classic สำเร็จ (ผ่านสะพาน Wormhole หรือกลไกที่เทียบเท่า) ผู้ค้นพบจะได้รับ 15% ของจำนวนเงินที่กู้คืนได้เป็นค่าตอบแทนสำหรับการค้นพบ การวิจัย และการดำเนินการกู้คืน
• ส่งคืนสู่สระว่ายน้ำชุมชน: ส่วนที่เหลือ 85% จะถูกฝากไว้ในสระว่ายน้ำชุมชน Terra Classic เพื่อการใช้งานที่ได้รับการอนุมัติจากฝ่ายบริหารในอนาคต
• ความโปร่งใส: ผู้ค้นพบจะแจ้งความคืบหน้าให้ทราบเป็นประจำผ่านทางฟอรัม Terra Classic Discourse และ Commonwealth หรือ X หากการกู้คืนล้มเหลวหลังจากพยายามอย่างเหมาะสม (เช่น 12 เดือน) จะไม่มีการเรียกเก็บค่าธรรมเนียมใดๆ
  ข้อเสนอนี้เป็นข้อเสนอในรูปแบบข้อความ/การส่งสัญญาณ เนื่องจากการกู้คืนเกี่ยวข้องกับการดำเนินการนอกเครือข่ายบนเครือข่าย Ethereum ข้อความนี้จะแสดงความเห็นพ้องของชุมชน และอาจเสริมสร้างความพยายามทางกฎหมายหรือความร่วมมือ

การกำกับดูแล

เพื่อให้มั่นใจถึงความโปร่งใสและความรับผิดชอบ ผู้เสนอโครงการซึ่งช่วยร่างข้อเสนอการกำกับดูแลนี้จะทำหน้าที่เป็นผู้ประสานงานกำกับดูแล ผู้เสนอโครงการจะติดตามกระบวนการกู้คืนที่นำโดยผู้ค้นพบ เพื่อให้แน่ใจว่าการดำเนินการทั้งหมดได้รับการบันทึกและสื่อสารไปยังชุมชน ซึ่งรวมถึงการตรวจสอบว่ามีการอัปเดตทุกเดือนบนฟอรัมของ Terra Classic หรือ X การตรวจสอบรายงานที่เผยแพร่ต่อสาธารณะ และการยืนยันว่ากระบวนการดังกล่าวเป็นไปตามมาตรฐานทางจริยธรรมและกฎหมาย ผู้เสนอโครงการจะไม่รับผิดชอบด้านเงินทุนหรือกระบวนการทางกฎหมาย แต่จะทำหน้าที่เป็นผู้ประสานงานชุมชนเพื่อรักษาความไว้วางใจและความชัดเจนตลอดความพยายามในการกู้คืน

การชำระเงิน

การชำระเงินจะดำเนินการเฉพาะเมื่อเงินที่กู้คืนได้ถูกส่งมอบและฝากเข้าในคลังชุมชน Terra Classic เรียบร้อยแล้ว เมื่อการกู้คืนและการยืนยันเงินในคลังชุมชนเสร็จสมบูรณ์แล้ว ผู้ค้นพบ (“$KNEEL Team 6”) ที่มีบัญชีในวอลเล็ต: (terra1fnyfl8dmyudmn8qlcwmfwj3dfw9akh9gye287z) จะได้รับเงิน 15% ของจำนวนเงินที่กู้คืนเป็นค่าธรรมเนียมการค้นหา ส่วนที่เหลืออีก 85% จะยังคงอยู่ในคลังชุมชน ค่าใช้จ่ายใดๆ ที่เกิดขึ้นระหว่างการกู้คืน ผู้ค้นพบจะต้องรับผิดชอบ กระบวนการทั้งหมดนี้จะถูกเปิดเผยและบันทึกไว้ โดยไม่มีการเรียกเก็บเงินล่วงหน้าจากคลังชุมชน

ความเสี่ยง

• ความไม่แน่นอนในการกู้คืน: ไม่มีการรับประกันความสำเร็จ เนื่องจากเงินทุนอยู่บนบล็อกเชนแยกต่างหาก และอาจถูกควบคุมโดยบุคคลที่ไม่รู้จัก อาจเกิดปัญหาทางกฎหมายหรือทางเทคนิคได้
• เวลาและต้นทุน: การกู้คืนอาจใช้เวลาหลายเดือนและมีค่าใช้จ่าย แต่ผู้ค้นพบจะเป็นผู้รับผิดชอบค่าใช้จ่ายเหล่านี้
• ความผันผวนของตลาด: มูลค่าของ ETH ที่กู้คืนได้อาจมีการผันผวนตามเวลาที่ส่งคืน
• ไม่มีการรับประกันแบบมาก่อน: ในขณะที่ข้อเสนอการกู้คืนนอกเครือข่ายที่คล้ายคลึงกันได้รับการผ่านในธรรมาภิบาล Terra Classic (เช่น การเรียกคืนทรัพย์สินในกระเป๋าเงินหลายลายเซ็น) ผลลัพธ์ก็แตกต่างกันไป

ไทม์ไลน์

• การผ่านข้อเสนอ: ส่งสัญญาณทันทีเมื่อลงคะแนนเสียงอนุมัติ
• การเริ่มต้นการฟื้นฟู: ภายใน 30 วันหลังจากการผ่าน
• การอัปเดตความคืบหน้า: รายงานรายเดือนจนกว่าจะแก้ไขปัญหาได้
• เป้าหมายการเสร็จสิ้น: ภายใน 6-12 เดือน ขึ้นอยู่กับความซับซ้อน

บทสรุป

ข้อเสนอนี้อยู่ในรูปร่างและเปิดให้มีการหารือ โปรดแบ่งปันคำติชมเพื่อให้เราสามารถร่วมกันปรับปรุงให้เป็นแผนปฏิบัติการขั้นสุดท้ายได้

ข้อเสนอนี้มุ่งแก้ไขปัญหาช่องโหว่สำคัญ โดยช่วยให้สามารถกู้คืนทรัพย์สินที่สูญหายได้อย่างเป็นธรรม มีแรงจูงใจ และได้รับการสนับสนุนจากชุมชน การลงคะแนนเสียง “ใช่” สนับสนุนการฟื้นฟูมูลค่าให้กับ Terra Classic ให้รางวัลแก่การสนับสนุนด้านความปลอดภัยเชิงรุก และการสร้างความโปร่งใสผ่านการกำกับดูแลของผู้เสนอโครงการ ผู้ค้นพบและผู้เสนอโครงการมุ่งมั่นที่จะปฏิบัติตามกฎหมายและจริยธรรมตลอดกระบวนการ