2022年2月3日 Bonfida 域名事件之團隊聲明

Bonfida 團隊聲明

Bonfida 最近遇到了一個緊急狀況,在社區成員間引起了較大討論及疑問。我們希望在此解釋和澄清整個事件的前因後果,以緩解大家的焦慮。藉此,Bonfida 希望傳遞給社區成員們我們向來的行事指南——社區成員的最大利益是我們的首要出發點,即保護和防止社區成員受到任何不當傷害。

目前在傳的消息是,Bonfida 在沒有任何明確告知原因的情況下悄悄地轉移了用戶的域名。這當然是不實消息的誤傳,但無論如何都給用戶造成了一些困擾——Bonfida對此表示誠摯的歉意

TL;DR

  • Bonfida 解釋了導致禁止用戶質押並暫時持有其域名以與用戶取得聯繫的事件因果
  • 質押問題由 Solana 網絡不穩定造成
  • 某一用戶使用機器人,領取了超過 8萬不屬於自己的、本該分配給社區的獎勵
  • 這些行為純屬惡意: 盜領了超過 3400 次的獎勵,由此被判定為對 Bonfida 社區的直接攻擊
  • 如果 Bonfida 不介入,這些行為可能會影響我們其他用戶的正當收益
  • 該用戶重新質押了不屬於自己的獎勵,並將盜領的獎勵拋售
  • 該同一用戶還試圖通過利用自己盗领的通證,鑄造理事會代幣(council token)以成為理事會成員來操縱 DAO
  • 理事會是緊急情況下的決策組織,在可能會對社區帶來嚴重影響的不利的情況下可以迅速採取行動。因此該行為也被判定為對 DAO 和用戶的直接攻擊
  • 為了避免進一步的破壞性行為,一個緊急的措施被實施。相似的措施同時存在於 ENS (Ethereum Name Service,以太坊域名服務)
  • 質押與 Solana 域名服務相關——Solana 域名服務的收益為質押提供獎勵。因此 Bonfida 採取了雙重措施,禁止用戶進行質押和臨時撤銷其擁有的域名, 以此來迫使該用户和我們聯繫。
  • 該用戶對系統造成的攻擊漏洞證明了採取這些措施是合理的

以下是對此次一系列事件前因後果的詳細说明:

最近,Solana 網路性能出現了一些下滑,對我們的質押產生了一定影響。由於這些網絡問題,一些交易​​(crank transactions)沒能通過,導致質押用戶收到的獎勵被合併,有些質押獎勵就無法每天領取(因為他們一次領取了幾天的獎勵)。然而,這對分發的全部獎勵並無影響,而只是對這些獎勵可領取的時間產生了影響。同時這個情況也意味著用戶可以多次領取同一筆的獎勵。幸運的是,這個問題已經被解決了,並且沒有影響到任何質押者。

關於質押合約問題的說明,可以參考如下

https://forum.bonfida.org/t/announcement-staking-and-solana-outage/272

 
基於這些情況,我們也預料到可能會有一些用戶領取到比他們應得更多的獎勵。但沒想到其中有一個用戶有意地通過這種方法領取了價值超過 8 萬的獎勵,幾乎是該用戶質押 FIDA 數量的三倍。

 
經過調查,我們認為這是對我們社區的直接攻擊:盜取的獎勵本是社區共享的。這個惡意的攻擊不僅重複了一次、而是多次(準確地說是 3409 次)。因此,Bonfida 必須彌補這些獎勵,以確保沒有其他終端用戶受到影響。如果我們不這樣做,總價值 8 萬 FIDA 的獎勵將無法分發給其他質押用戶。

Bonfida 永遠將社區利益置於首位


在悄悄從質押合約盜取獎勵之後,該同一用戶又重新質押了盜領的資金,嘗試盜取更多的獎勵。 下面連結中可以查看相關交易 ID :

https://explorer.solana.com/tx/UQ2dJfJYyTDpja5St3iAakqaQ558QNk37QPPHoG1Uf9s8111kcXTcRsseyBzz9XGGBLdFq1kydugEuydtgyyKhJ

此外,這些盜領的 FIDA 獎勵在 FTX 上進行了拋售,並且資金(USDT TRC20) 在我們認為可疑的時間範圍內被轉移到 Binance:如果不是為了讓資金更難以追蹤,為什麼要在如此短的時間內拋售並轉移這些資產呢?

FTX上 $FIDA 資產的轉入相關交易記錄已附在此文最後可供查看。

基于此情况,Bonfida 決定禁止該用戶進一步質押,並禁止他領取更多獎勵。我們不期望用戶負責地披露其所經歷的與 Bonfida 產品相關的事件經過,但我們至少希望他們不會損害我們其他誠信用戶的利益。

此外,該用戶繼續嘗試利用我們的 DAO 系統。由於持有大量 gFIDA(Bonfida治理通证),他們試圖以鑄造理事會通證(council token) 操縱 DAO ,從而成為理事會成員。理事會的主要目的是作為緊急情況下的最後手段,在對社區不利的情況下快速採取行動。破壞理事會的安全保障也是對 Bonfida 日益珍重的 DAO 和用戶群體的直接攻擊。

此外,經過進一步調查,我們意識到這個用戶實際上是一個大型域名持有者。遍歷其擁有的域名,我們發現該用戶似乎曾嘗試利用某些域名去欺騙其他用戶:許多看上去珍稀有價值的域名是包含零寬字符的。這實質上相當於 SNS 仿冒,使得不符合官方規範的異常 .sol 域名看起來像有效域名。

這種毫無止境的惡意行為最终使得 Bonfida 決定 暫時撤銷 該持有人的域名。我們有責任保護我們的社區,該用戶利用腳本為了他們的一己私利對社區利益造成重大傷害。考慮到上述行為模式,團隊擔心他們非常有可能會對社群利益造成更大伤害。我們從來沒有打算永遠保留這些域名,也沒有隨意處置,而只是希望用戶能夠承認他們的所作所為。所有的域名都可以返還給持有者。

關於Solana Name Service合約的安全問題

目前社群對 Solana 域名服務合約安全性的不確定性非常關注,傳言域名可以在未經所有者許可的情況下轉讓。因為 Bonfida 最近更新了 Solana 域名服務的智能合約。執行此更改的決定由來已久,並且與當前描述的事件完全無關。以下是為什麼會與 Solana 團隊合作實施此更改的幾個原因:

  1. 用戶可以購買域名並為該特定的 .sol 域創建子域。
  2. 這些子域名可以被轉讓至非母域名的地址。
  3. 然而,用戶可以出售他們的母域名。
  4. 這會導致新的域名所有者需要拿回子域名的所有權。

基於這個原因,子域名無需母域的簽名即可轉讓。這是為了確保新的域名所有者完全控制其主域名的所有部分。

這些也是以太坊域名服務(ENS)採用的標準做法,其中特別指出“所有權僅用於實現管理更改,例如引入新 TLD,或從緊急情況(如 TLD 註冊系統中的關鍵漏洞)中恢復”。

“這意味著密鑰持有者可以替換掌控域名發行和管理的合約,讓它們最終控制 ENS 系統的結構和其中註冊的域名。”

更多相關訊息請見如下連結:

https://docs.ens.domains/frequently-asked-questions#who-owns-the-ens-rootnode-what-powers-does-that-grant-them

因此,我們要強調的是,從該用戶已造成並且毫無停止之意,可能繼續造成的後果來看,絕對有理由認定其為緊急情況和嚴重漏洞——這迫使我們採取嚴厲措施強制執行域名管理權限的更改。在我們的案例中,雖然管理權限的更改並沒有涉及到直接的 Solana 域名服務的緊急情況——但基於如下所述的質押(Staking)和SNS(Solana域名服務)之間的內在聯繫,執行此操作並無不妥。我們是為了與該用戶取得聯繫,試圖讓他們有機會解釋自身行為的原因,以最終全面了解該用戶的誠信度和意圖,從而對此採取恰當的後續行為。

沒有任何一個用戶受到過上述措施的約束,並且我們將不惜一切代價試圖避免這種情況,我們完全了解,這樣的不確定性會引發我們用戶的疑慮。但在當前狀況下,我們不得不採取措施,以防對更廣大社區成員造成進一步的傷害。

很多人可能會誤以為質押和 Solana 域名服務無關。並非如此,因為從域名獲得的收益都分配給了 $FIDA 質押者。這些收益中的大部分都用於回購和銷毀,而回購和銷毀的一部分就包含了那些投給質押者的 FIDA。所以,事實上它們確實是非常相關的。

如上所述,這個合約變化與上述情況的發生純屬巧合。以前從未有人從任何人手中奪取域名,以後也不會發生。這不僅會導致社區成員和 Bonfida 之間存在重大信任問題,而且還意味著我們不尊重項目的去中心化性質。如果我們開始以這種方式開展業務,社群就不需要我們的產品和服務了——這很容易導致 Bonfida 的消亡。這是我們希望完完全全避免並且永遠不會讓其發生的事情。此次事件是針對一個不誠實用戶的孤立案例,在我們看來,這是一個徹頭徹尾的緊急狀況。如果您對我們的流程有任何疑問,請隨時通過我們的官方渠道與我們聯繫。

我們希望這篇聲明能清楚地表明我們的立場。如果您有任何疑問,請立即與我們聯繫。感謝您抽出寶貴時間閱讀此篇聲明。


以下地址為該用戶在 FTX 進行的 $FIDA 存款交易記錄:

  • EMFSprzoDZpHmiZEqDsE92iXydLx9c7nbmjVA1cDze3r :
  • gNW8ygXjNXbJ1GXQAotyGzDYFdAbbCLuDwfxZ8L1DVzhMk6vnHkSUy9Rd5MeUM9J4Tv6UKc7gmzZdTy8LhVsZjv
  • 3ep4XpK2mXyfhNHiuL5ow94vnJyeKFhMjmP2tz3u2ubLgbzmn84WekWFCYe6KUhhjxJcQh8jsBbyki3f4NNBWg3K
  • 5GSDVAUN74DDMVhAWdyovK3SeaFr7A8cTqstmT6oG8ReVyeACKUFJC6Zpbcg6P89ZyqkLzNoxJ8KJGrpZFdFoUUM
  • 3qFcDPCrb7Rj7Mf7ZQ9PcfBNSoLRVz62RdHwvdXo8gsBe61THGpLX3taNCLEiRiu4Uv8sqri8rxjvhhf4adbpYud
  • 58XrNp9ixi1YVtLcyMf6G4WtwGrsHpdRnYnqDBAVevh6uAorX48w18Y46ZPqHgXUVGU3rVwYPd7Z7QeeyNP8z9aK
  • 22xXULTbCZHcr4cV4T4v14GBPp8TntB4sh1r7iJYMxiCviGFtdPB9jZefgTyKmeFmWPBdm72Ubc5iAvPLGScqKzA
  • 55cYt8iHqvRoPzNFyB6s8Ca3bdFhpgnQPjra3dFejFWk9TE3nudt83Hzz7hDoZcmhshJZ7Qk5qi4tXGLtcX3x5tp
  • 4XKBASm2EDRsrvK6AJfKZEyAHKts7T53XNMkC95ph4kauZANPa4UWG9DTefW7xZt1NNRrbd5dtB9fozzPdqWjQsM
  • 2RfKA3A6V2GGG2WUPYZynBKA1cJhLmAVVwYodwGKUKHXQDgZqVyfdZbt9jjhQXCjpwXzp3DiGrTt31pZuY4xUFWp
  • bQsTivbg9P1k1zxkjbBXWU4anfGw5kjzMRnazG7FcCLxLzMu7kMUUcBbhw4qHUQgpPgTa8GBHXKfd4nDhFcEscM
  • 2XauHbBuKnWRU7QCyPhb3xd9WrBzw5urSHtcVg7BH6caEmE9WXL4v6yxKcyGA4WCwZWjaevvT5KBdNsbNzcgrbaC
  • 5PqjzVtFPQ1mX62W8iKGEtDEQ4SBiDo85JCSmnAPgpbCQ9cn8cPEBaH3XoQ69iTtcfc3n6B1Ei4WYyHmoHdkhzxd
  • 5aE1H1UN3pgWD9g7LsUPsy82U7LQxmyNqSpnMaxgD7upC623oacFhxG9kU4We4Z7J5N75PDPkp1TB5aWnDYGUtkP
  • uv6xpjT9ZfTCiRGbPVL1VFqVb4krPV5QgSJhBiFHSS6CVPkwcDgs1NLa8P3uWoeHgzmEN5hmrqRq42FqR3vRRna
  • 5Qndi1kyZHecmT6yMsuTXbkZDsgT8jD1wrfh35cNMuYonxSWg5BmsCHaCacVQYwzykE4xChdhFzRBmbTaNtc5bHv
  • 25DDRayN1gCa6vzxvSfDrSydnj17DoZPvvyJvBwzEvz3uRvup4sXpRxucoqms2stpT6kcQ4329C7yFK2WmhnyJaY
  • 4fDcZYEoMbwRSXHKx8AcWyZJNu1WD7hrHT5DwRSVJwqocWX58F2sNbygyPzm9YzR5ZXyUyF8jGbfBrjG84rhXpQZ
  • DhKwk7pzB8USff7Q4u6S4cXJXB2qQsXdc34Qf8cpqgrgWN87Vr1Ss5DjL5dz4j3v9aHEmCBohSbeFXM3EDyyJ3p
  • 2QQBWcu9mLu3xqM6yEDXrnV1JzF6nDXGd4HqCiWU74F8ZcrDweJEqCukcACbt8PQ2ahMtHd96sXNyHmEHWrc36Xk
  • 3RRVzENc3jG8YeqUSPLgQ8K5tZDcYzAS64oXNaBwPuMExhyqCYtYQPZN1GCtkmjxxhH7XTecrroYuAqZX3wanpAJ
  • 4hkwSKGs3yRtin7go2fhFgUSZud6D6Xm19F6UW8AZgkk8k7W6jhpEvqC7cGkvoZPrJ2rXXcBFTM9Mz62SBUfZMzF
  • 4gHEtzx6rSXR8hvrQ2emQUybZmqGpMPTbfAy1kTgBrVkZ4W6yzTJYNxDKweSEYr16429W8hkvCXiXXnz7KLPMJkA
  • 3S6DE2PxkmvqLiVbRPyaPiqwkLT17HWnymcetU4Yyfzhw4cN9yXr9gRU8V68W2A74k8CM6K4yNni9y6q5pugBF92
  • 4MUbTUUcdukinN5VpwZCNMznVKoSJ4FpFPnpRLXa1DALbPd6DtoYS2tH2NAsQuekbJ5kb8pyFM8fHr1fCYetUqVh
  • 3K7J8Nc2Lp8NA48Ue3ygYxb3ByYEpwKntXxXogWnnYePhXowqctFbYLkofoYdrohHTTPoJmRSB9aTTwW3HsNPBWH
  • 4bHD29Xtcfb5zbjscHA1h2AwW7wMRPXqxw7zYr4H8bkoTNBtDrmt7CAJ3P8E51FYoVLNuDKTt6iLqs48N6PrwiUf
  • dzU3NtJYBYeiFiubexvu9m7vUYq3SSTd4WQpc6Ts8Ti99hnYNsYCFUgRzBVMYc25ev3QveK43mSs7ZFSwVeuYD8
  • SE9gwuq96UYuLm4P7akfFZz5CyzpAHUAi3aMayRN6N7bDtuXNqH6euzeGwAED3xXHZAC7xFJmuniqYUKAwmrrWn
  • 4wc19PXKCmkEkAGrWGoPDwTTpPNCJE5Zk39Z4q7zP5cr7MmTnLLHtL9WuuWJwuCQptMSBCb4WXsEDuM97HHWd3Fc
  • 2kpyMjo5xRE3dW8ASE6tg9WqFYPvx3k3fG1ZqaLN8EKSGxmvrjzJRuMMpE3obWd52ZkRohDcTZEXkRoZXRKNgHhP
  • 27HwsmN7aYoj3RiWnohGXwsh4iqnUqfsGv2WxxnBKtov91JxvxridpK2SdooBcC4po9X9oVGzn6Uz457ZTyRtT7K
  • 44kTBbQJyrwbW8zBddqqyGqi8CJPQLCWY98ZvJuqC7XFsQd2wVebYznJgE5APNMcPXhY4VdywCu1yQioWDJS1DMY
  • 5EVvBBV17x9A6i2tF1pPCMhJDDMHkkjLRKbDTrCuDhEpcoWfGuGsPVhaeUy5c4Lhp1ghsUESHxKbvvCN6cWfb9pj
  • 4MAnBBPXez9rMcnn9nir76xkYXejQj4QXHtMStsDkxvPsACXd1DAm5XnZMhg3NP4wzDBjALB32mX7T6UtcNLAs13
  • 3pdfvgGQb6sYYXUH8urmDDETvzhE8UnqatiSszEjDrozHk5fqbT74otA8qjdaWVAHWtAuunCVPmzFCcApSsvP3P3
  • 4WYfcGWx4LvLgX58Pu92LcyPyYN87UVrxBCuMtmaYu6rwVa9B7dbkRnifSUYAtKwbto6Xp7CUapuRpVmAvZUMtwN
  • 3oyqsF4GJ2QHyPkM8nLZGVkbUpgVYrY2yWNKn7xWjakwRsbbb1bzDPEouSimFMaDwv311gDomhwkEYkhhBd8KN8w
  • 4dyLPpLpwZJTa6wYCnVPZAsEiFSxRURBoNejzSsxKHjZgHnFj73hc57PnGuY7wdhqdoKEeiSQ3hK3dixKemTmtaa
  • 47hkcziES1TRRWwxxx6rxrgvEhyV4QcXKTPUNjPZJN7kGhRMcx99Vz1ErfzMt9sYzhXh5QJeoArRf54V9TE2UdvA

本文不構成投資建議,虛擬貨幣波動大請謹慎小心

掌握虛擬貨幣、區塊鏈大小事

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。