MegaETH відповідає на запитання спільноти щодо події переддепозиту: безпека коштів та відкриття виведення

Джерело: MegaETH

Примітка редактора: Вчора MegaETH провела подію відкритого депозиту, під час якої тимчасові зміни ліміту (hard cap) та труднощі з внесенням коштів викликали невдоволення спільноти. Згодом офіційна команда MegaETH виступила з відповіддю в соціальних мережах, вибачившись і оголосивши про швидке відкриття виведення коштів, підкресливши безпеку активів користувачів.

Нижче наводиться звіт MegaETH про подію та відповідь спільноті:

Ситуація, що сталася раніше, була для нас неприйнятною. Низка дрібних технічних проблем у сукупності призвела до того, що користувацький досвід виявився нижчим за очікуваний стандарт.

Ми розуміємо, що деякі користувачі можуть захотіти вивести свої кошти, особливо ті учасники, які внесли активи, базуючись на очікуваному ліміті в 250 мільйонів доларів. Щоб вирішити цю проблему, ми запустимо сторінку виведення коштів у найближчі дні й одночасно опублікуємо детальні інструкції щодо події бриджингу депозитів. Кошти користувачів ніколи не були під загрозою, і ми щиро дякуємо всім за підтримку.

Звіт про подію

Враховуючи масштаб участі, ми вважаємо за необхідне і прозоре розповісти про події для спільного планування подальших кроків. Хоча активи завжди були в безпеці, це не виправдання — ми висуваємо до себе вищі вимоги.

Нижче представлена повна ретроспектива події:

Етап підготовки

Необхідно окреслити всі кроки, пов'язані з подією:

1. Сайт депозиту

→ Керується MegaETH

→ Надіслав запит на перевірку валідності KYC до Sonar API

2. Смарт контракт депозиту

→ Керується MegaETH через мультисиг-гаманець Safe (4/6)

→ Відповідає за встановлення часу продажу, параметрів ліміту та унікального ідентифікатора продажу Sonar (SaleUUID)

→ Приймав лише валідні підписані депозити з сайту, запобігаючи бот-операціям

3. Система Sonar

→ Керується Echo

→ Відповідає за перевірку інформації KYC для конкретних продажів

Першопричина проблеми

Нижче наведено проблеми, з якими зіткнулися під час події:

Виняток невідповідності SaleUUID

· Ініціація транзакції не вдалася через невідповідність між SaleUUID, що зберігається в контракті передоплати, і системою

· Виправлення помилкового значення вимагає мультисиг-транзакції (включаючи координацію 4 з 6 підписантів), що потребує значного часу на координацію

Обмеження швидкості Sonar та простій системи

· Sonar почав блокувати запити доступу через неправильно налаштовані ліміти швидкості (порогове значення встановлено занадто низько)

· Користувачі не могли завершити внесення коштів

· Ідентифікація першопричини та розгортання виправлення зайняли 23 хвилини після виявлення проблеми

Механізм випадкового перезавантаження

· Після вирішення всіх проблем із сервером система випадково перезавантажилася відповідно до визначеної автоматизації (розробленої для забезпечення справедливості)

· Однак після перезавантаження системи ліміт збору коштів був миттєво досягнутий

Несподіваний приплив коштів

· Раптовий приплив у 250 мільйонів доларів безперервно наповнював сайт передоплати

· Команда вирішила збільшити ліміт до 1 мільярда доларів до наступного часового відрізка (приблизно через 40 хвилин), що потребувало ще однієї мультисиг-транзакції 4 з 6 для коригування параметрів

· Команда завершила збір підписів і готова відправити транзакцію в запланований час

· Однак оператор, що виконує транзакцію зі збільшення ліміту, не знайомий із функціоналом гаманця Safe

Ліміт у 500 мільйонів доларів та рішення про паузу

· До цього моменту користувачі, що постійно оновлювали сайт, виявили можливість повторної відправки депозитів, у той час як користувачі, що стежили за офіційними каналами, не відразу усвідомили коригування ліміту

· Команда спочатку спробувала встановити новий ліміт у 4 мільярди доларів, щоб збалансувати перевагу ранніх вкладників, але депозити перевищили очікувану суму під час підтвердження транзакції

· Ліміт був зрештою успішно встановлений на рівні 5 мільярдів доларів (наразі повністю розподілений)

Через швидкі зміни в останньому коригуванні протягом останньої години ми вирішили призупинити заплановане збільшення ліміту до 10 мільярдів доларів. Оскільки все ще існує перешкода для перевірки KYC, яка не була усунена і заважає участі користувачів, ми більше не будемо продовжувати підвищувати ліміт збору коштів.

Ця стаття є контентом, наданим автором, і не відображає погляди BlockBeats.