في 12 يوليو، أدت هجمة هاكر غير متوقعة إلى إصدار 1,000,000 عملة رقمية بشكل غير طبيعي لـ Pundi AI في غضون دقائق قليلة. في مواجهة هذه الأزمة، اختار الفريق أولاً تجميد وتتبع واستعادة الأصول، وأعلن عن ذلك في أقرب وقت ممكن بعد التأكد من سلامة الأموال. وفي النهاية، نجحوا في استعادة وتجميد ما يقرب من 90% من الأموال المسروقة، وتحملوا أكثر من مليون دولار لإكمال تعويض المستخدمين بالكامل. ومع ذلك، فإن الثغرة في عقد ERC1967Proxy التي استغلها الهاكر قد أثرت على عدة مشاريع في الصناعة. ومع ذلك، تم إبلاغ Pundi AI من قبل جمعية تبادل الأصول الرقمية الكورية (DAXA) التي تتكون من 5 بورصات رئيسية مثل Upbit وBithumb، بسحبها من البورصات الكورية، والسبب هو "عدم الإفصاح عن المعلومات في الوقت المناسب."
لمساعدة القراء على فهم سياق الأحداث بشكل أفضل، إليك مراجعة الجدول الزمني الرئيسي.
2 مارس - أعلنت Function X عن إعادة تشكيل العلامة التجارية إلى PUNDIAI واستبدال الرمز المميز بـ PUNDI، في ذلك الوقت كان المتسللون قد تسللوا، لكنهم لم يُكتشفوا بسبب كونهم خفيين للغاية.
12 يوليو — هاكرز يشنون هجومًا رسميًا، مما أدى إلى إصدار 1 مليون رمز مميز بشكل غير طبيعي؛ تم تجميد التحويلات وبدء تتبعها في ذلك اليوم؛ في مساء نفس اليوم، أعلن الرئيس التنفيذي للمجتمع عن وجود ثغرة في العقد، وكشف عن التدابير التي تم اتخاذها.
14 يوليو - الكشف الكامل عن نتائج التحقيق في حادثة الهجوم والحلول المقدمة للبورصة، والتواصل مع DAXA.
28 يوليو - أعلنت Upbit و Bithumb أنه سيتم إزالة PundiAI في 28 أغسطس ، وذلك بسبب "عدم الإفصاح عن المعلومات في الوقت المناسب".
31 يوليو — بيان رسمي يسترد أكثر من 80% من الأصول، ويتم تعويض جميع المستخدمين بالكامل خلال 11 يومًا.
في هذه المقابلة، تحدثت PANews حصريًا مع المؤسس المشارك لشركة Pundi AI، داني ليم، لاستعراض كامل لسير الأحداث، وتقديم تنبيهات للأمان لمشاريع أخرى تقوم بترحيل الرموز في الصناعة، وكذلك تقديم تنبيهات للأنظمة التشغيلية للمشاريع المدرجة في البورصات المتوافقة في كوريا. في الوقت نفسه، ناقش أيضًا من منظور الصناعة تخطيط منتجات Pundi AI في مجال بيانات الذكاء الاصطناعي، وكذلك تفكيره حول تطور مسار Web3 AI الحالي.
بالإضافة إلى ذلك، طرح سؤالاً صعبًا، هل يجب أن نضمن أمان أموال المستخدمين أولاً دون إزعاج المخترق أثناء التصدي له، أم يجب أن نكون شفافين أولاً ونبلغ المعلومات العامة في أسرع وقت، مما قد يؤدي إلى تسريع المخترق لعملية تحويل الأموال وبالتالي زيادة حجم الأضرار؟ هذه المرة، اختارت Pundi AI الخيار الأول، لكنها تحملت أيضًا تكلفة الاختيار بسبب "عيوب" الشفافية.
سائق الحظ خسر حصانه، فكيف نعرف أنه ليس نعمة؟ داني أطلق على الأمر المزاح بأن إزالته من بورصة متوافقة مع القوانين قد أزال "الطلاسم" عن تطوير المشروع. في السابق، لم يكن من الممكن إعادة شراء أو إتلاف الرموز بشكل عشوائي، وكان يتعين الحصول على موافقة البورصة. الآن يمكن استخدام اقتصاد الرموز بشكل أكثر مرونة لإفادة المجتمع. ستقوم Pundi AI أيضًا بإعادة شراء الرموز، وإجراء توزيع رمزي للمستخدمين، "شكرًا لهم على اختيارهم الوقوف معنا في الأوقات الصعبة".
تم السطو عليها، تم إزالتها والاختيار الصعب
PANews: مؤخراً رأيت إعلاناً، حيث طلبت جمعية تبادل الأصول الرقمية الكورية (DAXA) من الأعضاء إزالة توكن Pundi، وكان السبب هو أن Pundi AI تعرضت للاختلاس خلال عملية نقل التوكن ولم يتم الإفصاح عن ذلك في الوقت المناسب، هل يمكنك توضيح تفاصيل ما حدث؟
**داني: **حدث حادث أمني في حوالي الساعة 2:20 بعد الظهر في 12 يوليو، ونبه نظامنا في حوالي الساعة 2:40، مشيرًا إلى وجود صك غير طبيعي، وتم صك حوالي مليون رمز PUNDI. في البداية اعتقدنا أن هناك خطأ في العقد، وكان ذلك يوم السبت بالضبط، فاتصلنا بفريق التقنية بشكل عاجل للتحقق.
حتى الخامسة مساءً، أكدنا أن هذا ليس خطأً، بل هجوم. اتصلنا على الفور بجميع البورصات الكبرى، طلباً لتعليق وظائف الإيداع والسحب لـ PUNDIAI.
كانت عملية الهجوم بأكملها دقيقة للغاية. استغل القراصنة ثغرة في عقد نقل رموزنا. خلال معاملة نشر العقد الجديد الخاص بنا في فبراير، قدم القراصنة في نفس الكتلة معاملة برسوم غاز أعلى من رسومنا، مما مكنهم من استدعاء العقد والحصول على صلاحيات المدير (admin key). كانت هذه الطريقة دقيقة للغاية، وتتطلب حساباً دقيقاً لتوقيت إرسال معاملتنا والكتلة.
PANews: كم عدد البروتوكولات التي قد يتأثر بها هذا الثغرة الأمنية؟ هل اتخذتم تدابير لتنبيه المؤسسات الأخرى؟
**Danny:**هذه ثغرة مخفية جدًا، لقد أكملنا تبادل العملات في فبراير، ولم تظهر حتى حدوث الهجوم في يوليو. مؤخرًا رأينا أيضًا، على شبكة Base والإيثيريوم، أن هناك عدة مشاريع تعرضت لهجمات مشابهة في الأسابيع الثلاثة أو الأربعة الأخيرة. القراصنة يتحلون بالصبر الشديد، وغالبًا ما يبقون مختبئين لعدة أشهر، في انتظار انتعاش السوق وارتفاع حماس المشاريع قبل أن يتحركوا. لذا فإن عرضنا لتفاصيل هذا الحدث يعتبر تنبيهًا لجميع الزملاء، وخاصة المشاريع التي تخطط للقيام بترحيل الرموز أو ترقية العقود، يجب أن تكون حذرة من هذه المخاطر الأمنية المحتملة المتعلقة بـ "هجمات السبق".
PANews: ما هي الإجراءات التي اتخذتموها بعد اكتشاف السرقة، وهل تم الإعلان عنها مع المجتمع؟
**داني: ** بالنظر إلى أن القراصنة لم يقوموا ببيع جميع الرموز المصدرة على الفور، بل قاموا بتحويلها ببطء، نحكم أن القراصنة قد لا يكونوا قد أدركوا أننا اكتشفنا أن الأموال قد سُرقت. من أجل استعادة الأصول إلى أقصى حد ممكن، اتخذنا قرارًا صعبًا: تجنب إحداث ضجة، ومتابعة الأصول وتجميدها بهدوء، بعد حماية الأصول، في ليلة 12 يوليو أعلنا على تويتر أن عقدنا واجه مشكلة، وكشفنا عن خطة معالجتنا.
تأثير هذه الاستراتيجية ملحوظ جداً. لقد نجحنا في اعتراض حوالي 95% من الأصول المسروقة على شبكة الإيثيريوم و على الشبكة الرئيسية الخاصة بنا F(x)Core. حدثت الخسائر الرئيسية على سلسلة BSC، لأننا اتصلنا بـ BSC من خلال جسر Axelar عبر السلاسل، وكان ذلك في عطلة نهاية الأسبوع، مما أدى إلى تأخير استجابة مقدمي الخدمات من الطرف الثالث. بالنسبة للمستخدمين الذين تضرروا بسبب الانخفاض الكبير في PancakeSwap و DEX الخاص بنا، قمنا بشراء تعويضي بأسعار عادلة، لضمان عدم تكبد المستخدمين لأي خسائر.
بصفة عامة، أدت هذه الهجمة إلى إصدار رموز بقيمة حوالي 6 ملايين دولار أمريكي بسعر السوق في ذلك الوقت، ومن خلال التجميد والاسترداد، نجحنا في استعادة حوالي 87% من الأصول، وفي النهاية قررنا تحمل خسارة تقارب 2 مليون دولار بأنفسنا. لقد قمنا بتعيين حد أقصى للإصدار الفردي في عقد التوكن، وإلا فإن الخسائر قد تكون أكبر.
PANews: هل هناك أي تأثير على مستوى المنتج بسبب سرقة الرموز فقط؟
داني: هناك تأثير بسيط. لأن لدينا جسر متعدد السلاسل للتواصل بين إيثريوم وBSC وF(x)Core، ولPrevent حدوث مثل هذه الأحداث مرة أخرى، قمنا بترقية عقد Token. لذا هناك تأثير معين على وظيفة الجسر المتعدد السلاسل، ولكن على مستوى المنتج بشكل عام الأمور جيدة، لم تتعرض لصدمة كبيرة.
PANews: هل تواصلتم مع DAXA؟ هل تعتقدون أن هذه الطريقة المباشرة للإزالة غير مناسبة، أو ما هي الدروس المستفادة؟
Danny: لقد أجرينا الكثير من التواصل مع DAXA. لقد أرسلوا لنا بريدًا إلكترونيًا في 14 يوليو، وقد قمنا بالرد عليهم ثلاث أو أربع مرات. خلال عملية التواصل بأكملها، لم يظهروا أي نية للوم، ولم يقدموا أي مطالب تصحيح محددة، بل كانوا يستفسرون باستمرار عن التفاصيل الفنية، والحلول، وتعويضات المستخدمين. لذلك شعرنا في ذلك الوقت أن المشكلة ليست كبيرة، واعتقدنا أننا استعدنا معظم الأموال، وعوضنا جميع خسائر المستخدمين، وتحملنا الخسائر بأنفسنا، ويجب أن نتجاوز الأمر. لكن لم نتوقع أنه في يوم الاثنين الماضي، تلقينا مباشرة إشعارًا بالرفع. لم تقدم DAXA سببًا محددًا، وفقًا لإعلان البورصة فإن سبب الرفع هو "عدم الإفصاح في الوقت المناسب"، ولم يعطونا أي مجال للدفاع عن أنفسنا أو للتخفيف من وطأة الأمر.
من وجهة نظرنا، نشعر حقًا بالأسف، بل وحتى "بالخيبة". نحن فريق يعمل بجد، وبعد تعرضنا لهجوم من قراصنة، استخدمنا أموالنا لتعويض خسائر المستخدمين، وبذلنا جهدًا لاستعادة الأصول. لكن ما حصلنا عليه في النهاية هو هذا النوع من النتائج. خاصة مقارنةً بحادثة اختراق GMX الأخيرة، حيث أفلتوا من العقوبة بينما تم حذفنا.
لكن من وجهة نظر DAXA، فإنهم يحافظون على مبادئ الشفافية والعلنية في السوق بأكمله، وطريقتهم ليست بلا مبرر. نحن بالفعل لدينا عيوب في الإجراءات.
أكبر درس هو: في سوق كوريا، توقيت المعلومات وشفافيتها أهم من أي شيء آخر. هذه درس مؤلم، بين "استعادة الأصول بهدوء" و"الإفصاح في الوقت المناسب"، لم نقم بالتوازن بشكل جيد. نأمل أن يكون هذا تحذيرًا لجميع المشاريع التي تم إطلاقها في كوريا أو التي تخطط للإطلاق في كوريا.
PANews: هل قد يؤثر حذف البورصة على سمعتكم؟
**داني: ** نعم، هذا ما نخشاه أكثر. الخسارة التجارية الناتجة عن سحب المنتج هي ثانوية، والأكثر إيلامًا هو الضرر الذي يلحق بسمعتنا. الكثير من الناس لن يتعمقوا في الأسباب وراء ذلك، بل سيرون فقط "Pundi AI تم سحبها من قبل DAXA"، ثم يضعون علينا علامة "شركة سيئة" أو "محتال". هذا يجعل جهودنا وسمعتنا التي استمرت لسنوات تتعرض لسوء الفهم.
تحديات سوق كوريا والتخطيط المستقبلي
PANews:متى تم إطلاق Pundi AI في بورصة كوريا؟ كم عدد المستخدمين الذين تم جمعهم في السوق الكوري؟
داني: نحن في سوق كوريا منذ فترة طويلة. كان لدينا كيان سابق يسمى Function X (FX) الذي تم إطلاقه على Bithumb في 2019، وتم إطلاقه على Upbit في 2020. لقد عملنا في كوريا لمدة خمس أو ست سنوات، ولدينا على الأقل من 200,000 إلى 300,000 مستخدم، وقد يتجاوز العدد 400,000 مستخدم.
PANews: في كوريا الجنوبية، هناك حاليًا زيادة ملحوظة في سعر الكيمتشي، خاصة في بعض أسواق العملات البديلة. ما هي ملاحظاتكم حول السوق الكورية؟ هل تفكرون في إعادة إطلاق البورصات الكورية؟
داني: السوق الكورية فريدة من نوعها. يعتمد المستخدمون بشكل كبير على CEX للتداول، ونسبة قبولهم لـ DeFi أو العمليات على السلسلة عمومًا ليست عالية. حوالي 80% من حجم التداول لدينا و70% من الرموز القابلة للتداول موجودة في CEX الكوري. لذلك، فإن سحبها سيكون له تأثير كبير على سيولتنا.
فيما يتعلق بإعادة الإطلاق، قمنا بالسؤال حول ذلك، وكانت ردود الفعل التي حصلنا عليها تشير إلى أن الأمر سيكون صعبًا للغاية. قرار DAXA له مصداقية في كوريا، وعندما يتم اتخاذه، يكون من الصعب عكسه في فترة قصيرة. ولكن لا زلنا نتواصل بنشاط مع DAXA وجميع البورصات الكبرى، ونأمل أن نتمكن من كسب ثقتهم والعودة إلى السوق الكورية.
لكن هناك شيء واحد يجعلنا نشعر بالراحة والامتنان. بعد صدور إعلان الإزالة، لم ينخفض سعر عملتنا كما حدث مع مشاريع أخرى، بل ظل مستقراً بشكل أساسي. وهذا يدل على أن مجتمعنا، ومستخدمينا الذين يحملون العملة، لا يزالون يؤمنون بنا. وهذا أيضًا هو ما يجعلنا نشعر بالحزن، من جهة نشعر أنه يجب علينا عدم خيبة هذه الثقة، ومن جهة أخرى نعاني من عدم قدرتنا على توفير قنوات تداول مريحة لهم.
PANews: هل هناك خطط مستقبلية موجهة للمجتمع؟
**Danny:**لدينا الآن ثلاثة خطط أساسية.
أولاً، بما أن الطريق نحو البورصات المركزية في كوريا صعب في الوقت الحالي، سنقوم بزيادة استثماراتنا في السلسلة، أي البورصات اللامركزية. سندفع من أموالنا الخاصة لإنشاء صناديق أعمق على منصات مثل PancakeSwap وUniswap، لتوفير سيولة كافية للمستخدمين.
ثانياً، سنقوم بالترويج بقوة لمنتجات البيانات الجديدة الخاصة بنا المدعومة بالذكاء الاصطناعي. نحن نؤمن أن المنتجات الجيدة هي القوة الدافعة الأساسية لتطور المشروع.
ثالثًا، سوف نعلن عن خطة لاستعادة الرموز وإجراء توزيع للرموز. بصراحة، كان إطلاقها في مراكز تداول مركزية متوافقة في كوريا مقيدًا، فلا يمكنك استعادة أو إتلاف الرموز بشكل عشوائي، بل تحتاج إلى الحصول على موافقتهم. الآن، يمكننا القول إننا "فككنا الختم"، ويمكننا استخدام اقتصاد الرموز بشكل أكثر مرونة لرد الجميل للمجتمع. سوف نستعيد الرموز، وسنجري توزيعًا للرموز للمستخدمين الذين دعمونا، شكرًا لهم على اختيارهم الوقوف معنا في الأوقات الصعبة.
رؤية وتحديات أصول البيانات الذكية
PANews: لقد ذكرت منتج بيانات AI جديد تمامًا، هل يمكنك تقديم تفاصيل حول هذا المنتج والخطط المستقبلية؟
داني: في الحقيقة، لقد أصبحت منتجاتنا الجديدة Data Pump جاهزة، وتم إطلاقها تجريبيًا في 10 يوليو، ومن المصادفة أننا تعرضنا لهجوم في 12، مما أدى إلى عدم تمكننا من الترويج لها.
Data Pump يمكن أن يُفهم كـ "منصة إطلاق مجموعات بيانات AI". يجمع هذا المنتج بين آلية مشابهة لـ Pump.fun، ولكن الأصول الأساسية ليست عملة ميم، بل هي مجموعات بيانات. يهدف إلى توكين البيانات (DataFi)، يمكن للمستخدمين حزم بيانات المحتوى المختلفة (تغريدات، صوت، فيديو، إلخ) في NFT، ثم يمكنهم رهن هذا NFT على منصتنا، لإنشاء الرموز المقابلة، وإنشاء أزواج تداول للتداول مباشرة في DEX مثل PancakeSwap. بعد ذلك، سيكون كل تركيزنا على الترويج والتشغيل لهذا المنتج.
PANews: على مدار العامين الماضيين، أصبحت مسارات الذكاء الاصطناعي واحدة من المسارات الرئيسية في Web3، وبالمثل في مجال بيانات الذكاء الاصطناعي، ما الفرق بين منتجات Pundi AI وغيرها من الشركات مثل Sahara و openledger؟
**داني: ** أولاً، على المستوى البياني، تقوم العديد من المشاريع بعمل تسمية بيانات عامة، والهدف الرئيسي للمستخدمين هو "الحصول على إيردروب"، لذا فإن القيمة التجارية لهذه البيانات محدودة. بينما نحن منذ البداية ركزنا على مجالات متخصصة مثل التصوير الطبي (التعرف على أمراض القلب والأوعية الدموية)، القيادة الذاتية (رسم حدود العقبات بدقة عالية)، والمستندات القانونية. نحن نبحث عن طلاب تخصص الطب في الجامعات في إندونيسيا للقيام بالتسمية، لضمان احترافية البيانات وجودتها العالية. على الرغم من أن عدد مستخدمي التسمية لدينا لا يتجاوز بضع عشرات الآلاف، وأقل من 1000 منهم نشط، إلا أن الجودة عالية جدًا.
ثانياً، قمنا بعمل طبقة إضافية مقارنة بهم، حيث طورنا AI AMM (صانع سوق تلقائي). يمكن للمستخدمين ببساطة إدخال رموز LP، وسيتمكنون من التداول تلقائياً على السلسلة. وهذا يحقق تحويل البيانات إلى أصول وتسييلها.
أخيرًا، لدينا أساس بيانات ضخم. لدينا حاليًا كمية بيانات على السلسلة بمستوى PB (حوالي 1024 تيرابايت)، والتي يجب أن تكون واحدة من أكبر تخزين البيانات في مجال Web3.
PANews: منذ انتهاء فومو سوق AI Agent في بداية هذا العام، كانت مسارات AI في حالة من التماسك عند مستويات منخفضة، ما رأيك في مكان وجود عنق الزجاجة في تطوير مجال Web3 AI الآن؟ هل هناك أمل في العودة إلى الحماس الذي كان في بداية العام؟
داني: أعتقد شخصيًا أن العقبة في تطوير Web3 AI هي أنه لا يوجد شيء مفيد حقًا يمكن أن يغير الحياة حتى الآن.
أولاً، ما يسمى "قوة الحوسبة اللامركزية" في المرحلة الحالية يبدو أكثر كأنه فرضية زائفة. قد يكون من الممكن تشغيل بعض نماذج اللغة الصغيرة على شبكة لامركزية، لكن تشغيل نموذج كبير ذو معنى حقيقي مثل GPT-4، هو أمر غير واقعي تمامًا.
تتمثل القيمة الحقيقية لل blockchain في مجال الذكاء الاصطناعي في "طبقة البيانات"، أي حماية سيادة بيانات المستخدم وخصوصيته. كل سؤال تطرحه على ChatGPT هو بمثابة تقديم بيانات له، ولا يمكنك منعها من الوصول إلى سجلاتك السابقة. يمكن ل blockchain، وخاصة باستخدام تقنية ZK (إثبات عدم المعرفة)، أن يحل هذه المشكلة بشكل مثالي، مما يسمح للمستخدمين باستخدام بياناتهم بأمان من خلال التفويض.
لكن العقبة تكمن في أن المستخدمين العاديين في المرحلة الحالية لم يشعروا بعد بأهمية خصوصية بياناتهم. لا يزال الجميع ليس لديهم هذا الوعي.
لذا، لكي يشهد مجال Web3 AI موجة حقيقية، أعتقد أنه يجب الانتظار لحظة "التوافق العكسي". بمعنى آخر، يجب الانتظار حتى يدرك عملاق تقليدي في الذكاء الاصطناعي، مثل OpenAI أو Google، أهمية خصوصية بيانات المستخدم من خلال بعض الفرص (مثل فضيحة تسرب البيانات على نطاق واسع) ويصبحوا داعمين لتقنية blockchain، لتوفير ميزات حماية البيانات للمستخدمين. يجب أن يقود هذا الاتجاه عمالقة التقليديين، وليس من خلال المشاريع الأصلية في Web3 من الأسفل إلى الأعلى. أعتقد أن هذا اليوم لن يكون بعيدًا.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
بعد خمس سنوات من الدخول إلى كوريا، الاضطرار إلى المغادرة، هل كان قرار "Pundi AI" لحماية أصول المستخدمين هو "قرار خاطئ"؟
مقابلة: Tong، PANews
المحرر: يولييا، PANews
في 12 يوليو، أدت هجمة هاكر غير متوقعة إلى إصدار 1,000,000 عملة رقمية بشكل غير طبيعي لـ Pundi AI في غضون دقائق قليلة. في مواجهة هذه الأزمة، اختار الفريق أولاً تجميد وتتبع واستعادة الأصول، وأعلن عن ذلك في أقرب وقت ممكن بعد التأكد من سلامة الأموال. وفي النهاية، نجحوا في استعادة وتجميد ما يقرب من 90% من الأموال المسروقة، وتحملوا أكثر من مليون دولار لإكمال تعويض المستخدمين بالكامل. ومع ذلك، فإن الثغرة في عقد ERC1967Proxy التي استغلها الهاكر قد أثرت على عدة مشاريع في الصناعة. ومع ذلك، تم إبلاغ Pundi AI من قبل جمعية تبادل الأصول الرقمية الكورية (DAXA) التي تتكون من 5 بورصات رئيسية مثل Upbit وBithumb، بسحبها من البورصات الكورية، والسبب هو "عدم الإفصاح عن المعلومات في الوقت المناسب."
لمساعدة القراء على فهم سياق الأحداث بشكل أفضل، إليك مراجعة الجدول الزمني الرئيسي.
في هذه المقابلة، تحدثت PANews حصريًا مع المؤسس المشارك لشركة Pundi AI، داني ليم، لاستعراض كامل لسير الأحداث، وتقديم تنبيهات للأمان لمشاريع أخرى تقوم بترحيل الرموز في الصناعة، وكذلك تقديم تنبيهات للأنظمة التشغيلية للمشاريع المدرجة في البورصات المتوافقة في كوريا. في الوقت نفسه، ناقش أيضًا من منظور الصناعة تخطيط منتجات Pundi AI في مجال بيانات الذكاء الاصطناعي، وكذلك تفكيره حول تطور مسار Web3 AI الحالي.
بالإضافة إلى ذلك، طرح سؤالاً صعبًا، هل يجب أن نضمن أمان أموال المستخدمين أولاً دون إزعاج المخترق أثناء التصدي له، أم يجب أن نكون شفافين أولاً ونبلغ المعلومات العامة في أسرع وقت، مما قد يؤدي إلى تسريع المخترق لعملية تحويل الأموال وبالتالي زيادة حجم الأضرار؟ هذه المرة، اختارت Pundi AI الخيار الأول، لكنها تحملت أيضًا تكلفة الاختيار بسبب "عيوب" الشفافية.
سائق الحظ خسر حصانه، فكيف نعرف أنه ليس نعمة؟ داني أطلق على الأمر المزاح بأن إزالته من بورصة متوافقة مع القوانين قد أزال "الطلاسم" عن تطوير المشروع. في السابق، لم يكن من الممكن إعادة شراء أو إتلاف الرموز بشكل عشوائي، وكان يتعين الحصول على موافقة البورصة. الآن يمكن استخدام اقتصاد الرموز بشكل أكثر مرونة لإفادة المجتمع. ستقوم Pundi AI أيضًا بإعادة شراء الرموز، وإجراء توزيع رمزي للمستخدمين، "شكرًا لهم على اختيارهم الوقوف معنا في الأوقات الصعبة".
تم السطو عليها، تم إزالتها والاختيار الصعب
PANews: مؤخراً رأيت إعلاناً، حيث طلبت جمعية تبادل الأصول الرقمية الكورية (DAXA) من الأعضاء إزالة توكن Pundi، وكان السبب هو أن Pundi AI تعرضت للاختلاس خلال عملية نقل التوكن ولم يتم الإفصاح عن ذلك في الوقت المناسب، هل يمكنك توضيح تفاصيل ما حدث؟
**داني: **حدث حادث أمني في حوالي الساعة 2:20 بعد الظهر في 12 يوليو، ونبه نظامنا في حوالي الساعة 2:40، مشيرًا إلى وجود صك غير طبيعي، وتم صك حوالي مليون رمز PUNDI. في البداية اعتقدنا أن هناك خطأ في العقد، وكان ذلك يوم السبت بالضبط، فاتصلنا بفريق التقنية بشكل عاجل للتحقق.
حتى الخامسة مساءً، أكدنا أن هذا ليس خطأً، بل هجوم. اتصلنا على الفور بجميع البورصات الكبرى، طلباً لتعليق وظائف الإيداع والسحب لـ PUNDIAI.
كانت عملية الهجوم بأكملها دقيقة للغاية. استغل القراصنة ثغرة في عقد نقل رموزنا. خلال معاملة نشر العقد الجديد الخاص بنا في فبراير، قدم القراصنة في نفس الكتلة معاملة برسوم غاز أعلى من رسومنا، مما مكنهم من استدعاء العقد والحصول على صلاحيات المدير (admin key). كانت هذه الطريقة دقيقة للغاية، وتتطلب حساباً دقيقاً لتوقيت إرسال معاملتنا والكتلة.
PANews: كم عدد البروتوكولات التي قد يتأثر بها هذا الثغرة الأمنية؟ هل اتخذتم تدابير لتنبيه المؤسسات الأخرى؟
**Danny:**هذه ثغرة مخفية جدًا، لقد أكملنا تبادل العملات في فبراير، ولم تظهر حتى حدوث الهجوم في يوليو. مؤخرًا رأينا أيضًا، على شبكة Base والإيثيريوم، أن هناك عدة مشاريع تعرضت لهجمات مشابهة في الأسابيع الثلاثة أو الأربعة الأخيرة. القراصنة يتحلون بالصبر الشديد، وغالبًا ما يبقون مختبئين لعدة أشهر، في انتظار انتعاش السوق وارتفاع حماس المشاريع قبل أن يتحركوا. لذا فإن عرضنا لتفاصيل هذا الحدث يعتبر تنبيهًا لجميع الزملاء، وخاصة المشاريع التي تخطط للقيام بترحيل الرموز أو ترقية العقود، يجب أن تكون حذرة من هذه المخاطر الأمنية المحتملة المتعلقة بـ "هجمات السبق".
PANews: ما هي الإجراءات التي اتخذتموها بعد اكتشاف السرقة، وهل تم الإعلان عنها مع المجتمع؟
**داني: ** بالنظر إلى أن القراصنة لم يقوموا ببيع جميع الرموز المصدرة على الفور، بل قاموا بتحويلها ببطء، نحكم أن القراصنة قد لا يكونوا قد أدركوا أننا اكتشفنا أن الأموال قد سُرقت. من أجل استعادة الأصول إلى أقصى حد ممكن، اتخذنا قرارًا صعبًا: تجنب إحداث ضجة، ومتابعة الأصول وتجميدها بهدوء، بعد حماية الأصول، في ليلة 12 يوليو أعلنا على تويتر أن عقدنا واجه مشكلة، وكشفنا عن خطة معالجتنا.
تأثير هذه الاستراتيجية ملحوظ جداً. لقد نجحنا في اعتراض حوالي 95% من الأصول المسروقة على شبكة الإيثيريوم و على الشبكة الرئيسية الخاصة بنا F(x)Core. حدثت الخسائر الرئيسية على سلسلة BSC، لأننا اتصلنا بـ BSC من خلال جسر Axelar عبر السلاسل، وكان ذلك في عطلة نهاية الأسبوع، مما أدى إلى تأخير استجابة مقدمي الخدمات من الطرف الثالث. بالنسبة للمستخدمين الذين تضرروا بسبب الانخفاض الكبير في PancakeSwap و DEX الخاص بنا، قمنا بشراء تعويضي بأسعار عادلة، لضمان عدم تكبد المستخدمين لأي خسائر.
بصفة عامة، أدت هذه الهجمة إلى إصدار رموز بقيمة حوالي 6 ملايين دولار أمريكي بسعر السوق في ذلك الوقت، ومن خلال التجميد والاسترداد، نجحنا في استعادة حوالي 87% من الأصول، وفي النهاية قررنا تحمل خسارة تقارب 2 مليون دولار بأنفسنا. لقد قمنا بتعيين حد أقصى للإصدار الفردي في عقد التوكن، وإلا فإن الخسائر قد تكون أكبر.
PANews: هل هناك أي تأثير على مستوى المنتج بسبب سرقة الرموز فقط؟
داني: هناك تأثير بسيط. لأن لدينا جسر متعدد السلاسل للتواصل بين إيثريوم وBSC وF(x)Core، ولPrevent حدوث مثل هذه الأحداث مرة أخرى، قمنا بترقية عقد Token. لذا هناك تأثير معين على وظيفة الجسر المتعدد السلاسل، ولكن على مستوى المنتج بشكل عام الأمور جيدة، لم تتعرض لصدمة كبيرة.
PANews: هل تواصلتم مع DAXA؟ هل تعتقدون أن هذه الطريقة المباشرة للإزالة غير مناسبة، أو ما هي الدروس المستفادة؟
Danny: لقد أجرينا الكثير من التواصل مع DAXA. لقد أرسلوا لنا بريدًا إلكترونيًا في 14 يوليو، وقد قمنا بالرد عليهم ثلاث أو أربع مرات. خلال عملية التواصل بأكملها، لم يظهروا أي نية للوم، ولم يقدموا أي مطالب تصحيح محددة، بل كانوا يستفسرون باستمرار عن التفاصيل الفنية، والحلول، وتعويضات المستخدمين. لذلك شعرنا في ذلك الوقت أن المشكلة ليست كبيرة، واعتقدنا أننا استعدنا معظم الأموال، وعوضنا جميع خسائر المستخدمين، وتحملنا الخسائر بأنفسنا، ويجب أن نتجاوز الأمر. لكن لم نتوقع أنه في يوم الاثنين الماضي، تلقينا مباشرة إشعارًا بالرفع. لم تقدم DAXA سببًا محددًا، وفقًا لإعلان البورصة فإن سبب الرفع هو "عدم الإفصاح في الوقت المناسب"، ولم يعطونا أي مجال للدفاع عن أنفسنا أو للتخفيف من وطأة الأمر.
من وجهة نظرنا، نشعر حقًا بالأسف، بل وحتى "بالخيبة". نحن فريق يعمل بجد، وبعد تعرضنا لهجوم من قراصنة، استخدمنا أموالنا لتعويض خسائر المستخدمين، وبذلنا جهدًا لاستعادة الأصول. لكن ما حصلنا عليه في النهاية هو هذا النوع من النتائج. خاصة مقارنةً بحادثة اختراق GMX الأخيرة، حيث أفلتوا من العقوبة بينما تم حذفنا.
لكن من وجهة نظر DAXA، فإنهم يحافظون على مبادئ الشفافية والعلنية في السوق بأكمله، وطريقتهم ليست بلا مبرر. نحن بالفعل لدينا عيوب في الإجراءات.
أكبر درس هو: في سوق كوريا، توقيت المعلومات وشفافيتها أهم من أي شيء آخر. هذه درس مؤلم، بين "استعادة الأصول بهدوء" و"الإفصاح في الوقت المناسب"، لم نقم بالتوازن بشكل جيد. نأمل أن يكون هذا تحذيرًا لجميع المشاريع التي تم إطلاقها في كوريا أو التي تخطط للإطلاق في كوريا.
PANews: هل قد يؤثر حذف البورصة على سمعتكم؟
**داني: ** نعم، هذا ما نخشاه أكثر. الخسارة التجارية الناتجة عن سحب المنتج هي ثانوية، والأكثر إيلامًا هو الضرر الذي يلحق بسمعتنا. الكثير من الناس لن يتعمقوا في الأسباب وراء ذلك، بل سيرون فقط "Pundi AI تم سحبها من قبل DAXA"، ثم يضعون علينا علامة "شركة سيئة" أو "محتال". هذا يجعل جهودنا وسمعتنا التي استمرت لسنوات تتعرض لسوء الفهم.
تحديات سوق كوريا والتخطيط المستقبلي
PANews:متى تم إطلاق Pundi AI في بورصة كوريا؟ كم عدد المستخدمين الذين تم جمعهم في السوق الكوري؟
داني: نحن في سوق كوريا منذ فترة طويلة. كان لدينا كيان سابق يسمى Function X (FX) الذي تم إطلاقه على Bithumb في 2019، وتم إطلاقه على Upbit في 2020. لقد عملنا في كوريا لمدة خمس أو ست سنوات، ولدينا على الأقل من 200,000 إلى 300,000 مستخدم، وقد يتجاوز العدد 400,000 مستخدم.
PANews: في كوريا الجنوبية، هناك حاليًا زيادة ملحوظة في سعر الكيمتشي، خاصة في بعض أسواق العملات البديلة. ما هي ملاحظاتكم حول السوق الكورية؟ هل تفكرون في إعادة إطلاق البورصات الكورية؟
داني: السوق الكورية فريدة من نوعها. يعتمد المستخدمون بشكل كبير على CEX للتداول، ونسبة قبولهم لـ DeFi أو العمليات على السلسلة عمومًا ليست عالية. حوالي 80% من حجم التداول لدينا و70% من الرموز القابلة للتداول موجودة في CEX الكوري. لذلك، فإن سحبها سيكون له تأثير كبير على سيولتنا.
فيما يتعلق بإعادة الإطلاق، قمنا بالسؤال حول ذلك، وكانت ردود الفعل التي حصلنا عليها تشير إلى أن الأمر سيكون صعبًا للغاية. قرار DAXA له مصداقية في كوريا، وعندما يتم اتخاذه، يكون من الصعب عكسه في فترة قصيرة. ولكن لا زلنا نتواصل بنشاط مع DAXA وجميع البورصات الكبرى، ونأمل أن نتمكن من كسب ثقتهم والعودة إلى السوق الكورية.
لكن هناك شيء واحد يجعلنا نشعر بالراحة والامتنان. بعد صدور إعلان الإزالة، لم ينخفض سعر عملتنا كما حدث مع مشاريع أخرى، بل ظل مستقراً بشكل أساسي. وهذا يدل على أن مجتمعنا، ومستخدمينا الذين يحملون العملة، لا يزالون يؤمنون بنا. وهذا أيضًا هو ما يجعلنا نشعر بالحزن، من جهة نشعر أنه يجب علينا عدم خيبة هذه الثقة، ومن جهة أخرى نعاني من عدم قدرتنا على توفير قنوات تداول مريحة لهم.
PANews: هل هناك خطط مستقبلية موجهة للمجتمع؟
**Danny:**لدينا الآن ثلاثة خطط أساسية.
رؤية وتحديات أصول البيانات الذكية
PANews: لقد ذكرت منتج بيانات AI جديد تمامًا، هل يمكنك تقديم تفاصيل حول هذا المنتج والخطط المستقبلية؟
داني: في الحقيقة، لقد أصبحت منتجاتنا الجديدة Data Pump جاهزة، وتم إطلاقها تجريبيًا في 10 يوليو، ومن المصادفة أننا تعرضنا لهجوم في 12، مما أدى إلى عدم تمكننا من الترويج لها.
Data Pump يمكن أن يُفهم كـ "منصة إطلاق مجموعات بيانات AI". يجمع هذا المنتج بين آلية مشابهة لـ Pump.fun، ولكن الأصول الأساسية ليست عملة ميم، بل هي مجموعات بيانات. يهدف إلى توكين البيانات (DataFi)، يمكن للمستخدمين حزم بيانات المحتوى المختلفة (تغريدات، صوت، فيديو، إلخ) في NFT، ثم يمكنهم رهن هذا NFT على منصتنا، لإنشاء الرموز المقابلة، وإنشاء أزواج تداول للتداول مباشرة في DEX مثل PancakeSwap. بعد ذلك، سيكون كل تركيزنا على الترويج والتشغيل لهذا المنتج.
PANews: على مدار العامين الماضيين، أصبحت مسارات الذكاء الاصطناعي واحدة من المسارات الرئيسية في Web3، وبالمثل في مجال بيانات الذكاء الاصطناعي، ما الفرق بين منتجات Pundi AI وغيرها من الشركات مثل Sahara و openledger؟
**داني: ** أولاً، على المستوى البياني، تقوم العديد من المشاريع بعمل تسمية بيانات عامة، والهدف الرئيسي للمستخدمين هو "الحصول على إيردروب"، لذا فإن القيمة التجارية لهذه البيانات محدودة. بينما نحن منذ البداية ركزنا على مجالات متخصصة مثل التصوير الطبي (التعرف على أمراض القلب والأوعية الدموية)، القيادة الذاتية (رسم حدود العقبات بدقة عالية)، والمستندات القانونية. نحن نبحث عن طلاب تخصص الطب في الجامعات في إندونيسيا للقيام بالتسمية، لضمان احترافية البيانات وجودتها العالية. على الرغم من أن عدد مستخدمي التسمية لدينا لا يتجاوز بضع عشرات الآلاف، وأقل من 1000 منهم نشط، إلا أن الجودة عالية جدًا.
ثانياً، قمنا بعمل طبقة إضافية مقارنة بهم، حيث طورنا AI AMM (صانع سوق تلقائي). يمكن للمستخدمين ببساطة إدخال رموز LP، وسيتمكنون من التداول تلقائياً على السلسلة. وهذا يحقق تحويل البيانات إلى أصول وتسييلها.
أخيرًا، لدينا أساس بيانات ضخم. لدينا حاليًا كمية بيانات على السلسلة بمستوى PB (حوالي 1024 تيرابايت)، والتي يجب أن تكون واحدة من أكبر تخزين البيانات في مجال Web3.
PANews: منذ انتهاء فومو سوق AI Agent في بداية هذا العام، كانت مسارات AI في حالة من التماسك عند مستويات منخفضة، ما رأيك في مكان وجود عنق الزجاجة في تطوير مجال Web3 AI الآن؟ هل هناك أمل في العودة إلى الحماس الذي كان في بداية العام؟
داني: أعتقد شخصيًا أن العقبة في تطوير Web3 AI هي أنه لا يوجد شيء مفيد حقًا يمكن أن يغير الحياة حتى الآن.
أولاً، ما يسمى "قوة الحوسبة اللامركزية" في المرحلة الحالية يبدو أكثر كأنه فرضية زائفة. قد يكون من الممكن تشغيل بعض نماذج اللغة الصغيرة على شبكة لامركزية، لكن تشغيل نموذج كبير ذو معنى حقيقي مثل GPT-4، هو أمر غير واقعي تمامًا.
تتمثل القيمة الحقيقية لل blockchain في مجال الذكاء الاصطناعي في "طبقة البيانات"، أي حماية سيادة بيانات المستخدم وخصوصيته. كل سؤال تطرحه على ChatGPT هو بمثابة تقديم بيانات له، ولا يمكنك منعها من الوصول إلى سجلاتك السابقة. يمكن ل blockchain، وخاصة باستخدام تقنية ZK (إثبات عدم المعرفة)، أن يحل هذه المشكلة بشكل مثالي، مما يسمح للمستخدمين باستخدام بياناتهم بأمان من خلال التفويض.
لكن العقبة تكمن في أن المستخدمين العاديين في المرحلة الحالية لم يشعروا بعد بأهمية خصوصية بياناتهم. لا يزال الجميع ليس لديهم هذا الوعي.
لذا، لكي يشهد مجال Web3 AI موجة حقيقية، أعتقد أنه يجب الانتظار لحظة "التوافق العكسي". بمعنى آخر، يجب الانتظار حتى يدرك عملاق تقليدي في الذكاء الاصطناعي، مثل OpenAI أو Google، أهمية خصوصية بيانات المستخدم من خلال بعض الفرص (مثل فضيحة تسرب البيانات على نطاق واسع) ويصبحوا داعمين لتقنية blockchain، لتوفير ميزات حماية البيانات للمستخدمين. يجب أن يقود هذا الاتجاه عمالقة التقليديين، وليس من خلال المشاريع الأصلية في Web3 من الأسفل إلى الأعلى. أعتقد أن هذا اليوم لن يكون بعيدًا.