MegaETH หายนะสุดยิ่งใหญ่! สัญญาผิดพลาดทำให้การขายล่วงหน้า 5 แสนล้านดอลลาร์ทั้งหมดต้องคืนเงิน
MegaETH จะคืนเงินทั้งหมดที่ผู้ใช้ฝากเข้ามายัง “สะพานล่วงหน้า” ของตน ซึ่งทำให้การทำกิจกรรมที่มีจุดมุ่งหมายเพื่อเติมเต็มสภาพคล่องให้กับ USDm กลับคืนมา แต่กิจกรรมดังกล่าวกลับกลายเป็นหนึ่งในการพยายามระดมทุนที่ยุ่งเหยิงที่สุดในปีนี้ ทีมงานกล่าวว่าการดำเนินการ “มีความประมาท” ความคาดหวังของผู้ใช้เกี่ยวกับวงเงิน 250 ล้านดอลลาร์ไม่สอดคล้องกับเป้าหมายในการฉีดหลักประกันล่วงหน้า ทีมงานจะคืนเงินทั้งหมดผ่านสัญญาอัจฉริยะใหม่ ซึ่งขณะนี้กำลังอยู่ในระหว่างการตรวจสอบ.
การตอบสนองลูกโซ่ที่เกิดจาก SaleUUID ที่ผิดพลาด
(ที่มา: MegaETH)
แม้ว่า MegaETH จะเน้นย้ำว่าไม่มีเงินทุนใดๆ ที่มีความเสี่ยง แต่การตัดสินใจนี้เกิดขึ้นหลังจากที่ทีมได้วิเคราะห์อย่างละเอียดเกี่ยวกับความผิดพลาดทางเทคนิคขนาดเล็กหลายอย่าง (รวมถึงข้อผิดพลาดในการดำเนินงานและการกำหนดค่าพื้นฐานที่ผิดพลาด) ที่นำไปสู่กระบวนการขายที่ยุ่งเหยิงและไม่เป็นธรรม ปัญหาเกิดขึ้นทันทีเมื่อมีการเผยแพร่ เนื่องจากสัญญามี SaleUUID ที่ผิดพลาด ทำให้การทำธุรกรรมล้มเหลว และต้องมีการอัปเดตการลงนามหลายรายการ 4 จาก 6 รายการ
SaleUUID เป็นรหัสระบุเฉพาะที่ใช้ในสัญญาอัจฉริยะเพื่อตรวจสอบกิจกรรมการขายที่เฉพาะเจาะจง เมื่อรหัสระบุตัวนี้ผิดพลาด สัญญาอัจฉริยะจะไม่สามารถจัดการคำขอฝากเงินของผู้ใช้ได้อย่างถูกต้อง ส่งผลให้การทำธุรกรรมทั้งหมดล้มเหลว ข้อผิดพลาดนี้ควรจะถูกค้นพบในระยะการทดสอบก่อนการปรับใช้ แต่ชัดเจนว่ากระบวนการทดสอบของทีม MegaETH มีช่องโหว่ที่ร้ายแรง.
แย่กว่านั้นคือ การแก้ไขข้อผิดพลาดนี้ต้องมีการอัปเดตลายเซ็นหลายลายเซ็น ลายเซ็นหลายลายเซ็นเป็นกลไกความปลอดภัยที่ต้องการให้ผู้มีอำนาจหลายคนร่วมลงนามเพื่อดำเนินการสำคัญ ในการตั้งค่า MegaETH จำเป็นต้องมีการเห็นชอบจาก 4 ใน 6 ผู้ลงนามเพื่ออัปเดตสัญญา แม้ว่ากลไกนี้จะให้การรับประกันความปลอดภัย แต่ในสถานการณ์ฉุกเฉินก็ลดความเร็วในการตอบสนองลงอย่างมาก เมื่อผู้ใช้พากันเข้ามาพยายามฝากเงิน ทีมงานกลับต้องรออย่างวิตกกังวลเพื่อให้ผู้ลงนามเพียงพอออนไลน์เพื่ออนุมัติการแก้ไข
ความล่าช้าเช่นนี้ไม่เพียงก่อให้เกิดปัญหาทางเทคนิค แต่ที่สำคัญกว่านั้นคือการทำลายความไว้วางใจของผู้ใช้ หลายคนประสบปัญหาการทำธุรกรรมล้มเหลวในไม่กี่นาทีแรกหลังจากการเริ่มขายล่วงหน้าทว่าไม่ชัดเจนว่าปัญหาเกิดจากอะไร เป็นเพราะการจราจรในเครือข่ายหรือ? หรือการตั้งค่ากระเป๋าเงินของพวกเขามีปัญหา? หรือการขายล่วงหน้าไม่ได้เริ่มต้นอย่างถูกต้อง? ความไม่แน่นอนนี้แพร่กระจายอย่างรวดเร็วในชุมชน ทำให้เกิดความตื่นตระหนกและความไม่พอใจขึ้นมา
การจำกัด KYC และการควบคุมเวลาล้มเหลวเป็นการโจมตีคู่
ในขณะเดียวกัน ผู้ให้บริการ KYC ที่รับผิดชอบการตรวจสอบตัวตนการฝากเงิน Sonar ได้ตั้งขีดจำกัดการเข้าชมที่เข้มงวดอย่างไม่คาดคิด ส่งผลให้การเข้าชมของผู้ใช้จำนวนมากถูกบล็อก ทีมใช้เวลากว่า 20 นาทีในการค้นหาและแก้ไขปัญหานี้ หลังจากที่ระบบฟื้นตัว เวลาเปิดฝากเงินเป็นแบบสุ่ม ผู้ใช้ที่รีเฟรชหน้าเว็บอย่างต่อเนื่องสามารถเติมเต็มขีดจำกัดการฝากเงิน 250 ล้านดอลลาร์ได้ภายในไม่กี่นาที ขณะที่ผู้ใช้ที่พึ่งพาช่องทางอย่างเป็นทางการกลับถูกปฏิเสธโดยสิ้นเชิง.
กระบวนการ KYC (รู้จักลูกค้าของคุณ) เป็นขั้นตอนที่จำเป็นสำหรับโครงการสกุลเงินดิจิทัลในการปฏิบัติตามข้อกำหนดการต่อต้านการฟอกเงิน MegaETH ได้เลือก Sonar เป็นผู้ให้บริการ KYC แต่เห็นได้ชัดว่าการสื่อสารระหว่างทั้งสองฝ่ายเกี่ยวกับความสามารถในการรองรับการจราจรนั้นมีข้อบกพร่องอย่างร้ายแรง เมื่อมีผู้ใช้จำนวนมากเข้ามาพร้อมกัน กลไกการจำกัดของ Sonar จะถูกกระตุ้นและปฏิเสธคำขอส่วนใหญ่โดยอัตโนมัติ.
ความรุนแรงของปัญหานี้อยู่ที่ว่า มันไม่ได้ส่งผลกระทบต่อผู้ใช้ทุกคนอย่างเท่าเทียมกัน แต่กลับทำให้เกิดความไม่เป็นธรรมแบบสุ่ม โดยบางผู้ใช้สามารถส่งคำขอผ่านไปได้อย่างพอดีก่อนที่การจำกัดการไหลจะถูกเปิดใช้งาน และสำเร็จในการทำ KYC และการฝากเงิน ในขณะที่ผู้ใช้คนอื่นๆ กลับถูกระบบปฏิเสธ แม้ว่าพวกเขาจะส่งคำขอในเวลาเดียวกัน ความสุ่มนี้ขัดแย้งกับหลักการความเป็นธรรม “มาก่อนได้ก่อน” ทำให้การขายล่วงหน้ากลายเป็นเกมแห่งโชคชะตา.
ข้อผิดพลาดทางเทคนิค 5 ประการที่ทำให้การพรีเซล MegaETH ล้มเหลว
รหัส SaleUUID ที่ผิดพลาด: สัญญาอัจฉริยะมีรหัสการขายที่ผิดพลาด ทำให้ธุรกรรมทั้งหมดล้มเหลว
KYC จำกัดการไหล: การจำกัดการไหลที่เข้มงวดที่ตั้งค่าโดย Sonar ได้ปิดกั้นคำขอจากผู้ใช้จำนวนมาก
การหน่วงเวลาลายเซ็นหลายตัว: ต้องการการอนุมัติการอัปเดตจาก 4 ใน 6 ลายเซ็น, ความเร็วในการตอบสนองช้า
การควบคุมเวลาไม่ทำงาน: การทำธุรกรรมที่ไม่มีขีดจำกัดถูกดำเนินการล่วงหน้า ทำให้สูญเสียการควบคุมเวลา
การปรับขีดจำกัดล้มเหลว: พยายามปรับขีดจำกัดการฝากเงิน แต่ความเร็วในการไหลเข้าของเงินทุนเกินความเร็วในการยืนยันการทำธุรกรรม
ต่อมาจึงตัดสินใจเพิ่มขีดจำกัดเป็น 1,000 ล้านเหรียญสหรัฐ แต่การทำธุรกรรมที่ยกเลิกขีดจำกัดถูกดำเนินการโดยฝ่ายภายนอกล่วงหน้าประมาณ 30 นาที เนื่องจากธุรกรรมการลงนามหลายครั้งที่มีความปลอดภัย หากเป็นไปตามข้อกำหนดการลงนามที่จำเป็น ใครก็สามารถดำเนินการได้ ทำให้ทีมสูญเสียการควบคุมเวลาที่กำหนด นี่คือตัวอย่างอีกครั้งที่แสดงให้เห็นว่าทีม MegaETH ไม่เข้าใจกลไกการลงนามหลายครั้งอย่างเพียงพอ
การขยายตัวที่ไม่สามารถควบคุมได้จาก 250 ล้านดอลลาร์สหรัฐ ถึง 500 ล้านดอลลาร์สหรัฐ
เพื่อควบคุมการไหลเข้าของทุน เคยพยายามลดเพดานลงเหลือ 4 ร้อยล้านดอลลาร์สหรัฐ แต่เนื่องจากความเร็วในการไหลเข้าของทุนสูงกว่าความเร็วในการยืนยันการทำธุรกรรม ความพยายามนี้จึงล้มเหลว ความพยายามครั้งที่สองในการเพิ่มเพดานขึ้นเป็น 5 ร้อยล้านดอลลาร์สหรัฐก็นับว่าล้มเหลวเช่นกัน แต่ในขณะนั้น ทีมงานได้ระงับแผนการขยายที่ตั้งใจไว้ 10 ร้อยล้านดอลลาร์สหรัฐ และหยุดทั้งกระบวนการ โดยให้เหตุผลว่ามีช่องโหว่ที่ยังไม่ได้แก้ไขในกระบวนการ KYC.
ข้อความนี้เปิดเผยถึงความสับสนและการขาดการควบคุมของทีม MegaETH ตลอดกระบวนการ ขีดจำกัด 250 ล้านดอลลาร์ที่ตั้งไว้ในตอนแรกถูกเติมเต็มในไม่กี่นาที ทีมงานตัดสินใจอย่างรีบเร่งที่จะเพิ่มขีดจำกัดเป็น 1 พันล้านดอลลาร์ อย่างไรก็ตาม เมื่อพวกเขาตระหนักว่านี่อาจมากเกินไป พวกเขาจึงพยายามลดลงเป็น 400 ล้านดอลลาร์ เมื่อความพยายามนี้ล้มเหลว พวกเขาจึงพยายามตั้งขีดจำกัดที่ 500 ล้านดอลลาร์อีกครั้ง.
การปรับเปลี่ยนซ้ำ ๆ นี้แสดงให้เห็นว่าทีมขาดการตัดสินใจที่ถูกต้องเกี่ยวกับความต้องการจริงและความสามารถทางเทคนิค ปัญหาที่ว่าความเร็วในการไหลของเงินทุนเกินความเร็วในการยืนยันการทำธุรกรรมควรถูกพิจารณาและแก้ไขตั้งแต่ขั้นตอนการออกแบบ เวลาการยืนยันบล็อกของ Ethereum อยู่ที่ประมาณ 12-15 วินาที ซึ่งอาจนานกว่านั้นในช่วงเวลาที่มีความต้องการสูง หากทีมต้องการควบคุมขีดจำกัดการฝากเงินแบบเรียลไทม์ พวกเขาจำเป็นต้องสร้างกลไกการควบคุมส่วนหน้าที่ซับซ้อนมากขึ้น แทนที่จะพึ่งพาการทำธุรกรรมบนบล็อกเชนเพียงอย่างเดียว.
สุดท้าย เมื่อยอดเงินรวมถึงประมาณ 500 ล้านดอลลาร์ ทีมงานจึงเลือกที่จะหยุดกระบวนการทั้งหมด การตัดสินใจนี้แม้จะหลีกเลี่ยงความยุ่งเหยิงเพิ่มเติม แต่ก็หมายถึงการยอมรับความล้มเหลวโดยสิ้นเชิงของกิจกรรมการขายล่วงหน้า ทีมงานอ้างว่า “มีช่องโหว่ที่ยังไม่ได้แก้ไขในกระบวนการ KYC” แต่ในความเป็นจริงปัญหานั้นมากกว่านั้นมาก โครงสร้างทางเทคนิคทั้งหมด ขั้นตอนการดำเนินการ และกลไกการจัดการฉุกเฉินมีข้อบกพร่องอย่างรุนแรง.
คำมั่นสัญญาคืนเงินเต็มจำนวนและเริ่มต้นใหม่
MegaETH ระบุว่าจะยืนยันสิทธิของผู้ฝากในภายหลัง แต่ไม่ได้เปิดเผยรายละเอียดที่เฉพาะเจาะจง ดังนั้น สะพานการแปลง USDM และ USDC เป็น USDM จะเปิดใหม่ก่อนที่ Frontier Mainnet จะเปิดตัว เพื่อสร้างสภาพคล่องในสภาพแวดล้อมที่ควบคุมได้มากขึ้น เงินฝากทั้งหมดจะถูกคืนผ่านสัญญาอัจฉริยะใหม่ ซึ่งขณะนี้กำลังอยู่ในระหว่างการตรวจสอบ.
การตัดสินใจคืนเงินเต็มจำนวนแม้ว่าจะหลีกเลี่ยงความเสียหายทางเศรษฐกิจของผู้ใช้ แต่ก็ไม่สามารถชดเชยความเสียหายต่อแบรนด์และชื่อเสียงของ MegaETH ได้ ในวงการ cryptocurrency ความสามารถในการดำเนินการทางเทคนิคเป็นหัวใจสำคัญของความน่าเชื่อถือของโครงการ เมื่อโครงการที่อ้างว่าจะสร้างบล็อกเชนที่มีประสิทธิภาพสูง ไม่สามารถดำเนินการกิจกรรมการขายล่วงพื้นฐานได้อย่างราบรื่น นักลงทุนมีเหตุผลที่จะตั้งคำถามเกี่ยวกับความน่าเชื่อถือของเครือข่ายหลักของมัน
เหตุการณ์ครั้งนี้ก่อให้เกิดแรงกดดันใหม่ต่อ MegaETH โดยเรียกร้องให้พิสูจน์ว่าภาคส่วนที่เหลือในแผนงานได้เตรียมพร้อมสำหรับการผลิต ทีมจำเป็นต้องทำการวิเคราะห์ภายหลังอย่างละเอียดเพื่อตรวจสอบปัญหาที่เป็นระบบทั้งหมดและดำเนินการปรับปรุง เมื่อเปิดสะพานการแปลงอีกครั้ง จะต้องมั่นใจว่าปัญหาที่ทราบทั้งหมดได้รับการแก้ไขแล้ว และมีการจัดตั้งกลไกฉุกเฉินที่เพียงพอเพื่อตอบสนองต่อสถานการณ์ที่ไม่คาดคิด.