Pada 12 Juli, sebuah serangan hacker yang tidak terduga membuat Pundi AI mengalami penerbitan 1 juta token yang tidak biasa dalam waktu singkat. Menghadapi krisis ini, tim memilih untuk membekukan, melacak, dan memulihkan aset, serta mengungkapkan secara terbuka pada waktu pertama yang memastikan keamanan dana. Akhirnya, hampir 90% dari dana yang dicuri berhasil dipulihkan dan dibekukan, dengan lebih dari satu juta dolar dibayarkan untuk menyelesaikan kompensasi penuh kepada pengguna. Namun, celah dalam kontrak ERC1967Proxy yang digunakan oleh hacker saat ini telah mempengaruhi beberapa proyek di industri. Namun, Pundi AI telah diberitahu oleh Asosiasi Pertukaran Aset Digital Korea (DAXA) yang terdiri dari 5 bursa besar seperti Upbit dan Bithumb untuk dihapus dari bursa Korea, dengan alasan "pengungkapan informasi yang tidak tepat waktu."
Untuk membantu pembaca memahami alur peristiwa dengan lebih baik, berikut adalah tinjauan garis waktu kunci.
2 Maret — Function X mengumumkan rebranding menjadi PUNDIAI dan pertukaran token menjadi PUNDI, pada saat itu hacker sudah menyusup, tetapi karena terlalu tersembunyi tidak terdeteksi.
12 Juli — Hacker secara resmi melancarkan serangan, secara abnormal mencetak 1 juta token; pada hari yang sama, transfer dibekukan dan pelacakan dimulai; pada malam hari yang sama, CEO mengungkapkan kepada komunitas bahwa kontrak mengalami kerentanan, dan mengumumkan langkah-langkah yang telah diambil.
14 Juli — Mengungkapkan hasil penyelidikan dan solusi untuk insiden serangan secara penuh kepada bursa, serta berkomunikasi dengan DAXA.
28 Juli — Upbit dan Bithumb mengumumkan bahwa mereka akan menghapus PundiAI pada 28 Agustus, dengan alasan "pengungkapan informasi yang tidak tepat waktu".
31 Juli — Pernyataan resmi untuk memulihkan lebih dari 80% aset, menyelesaikan kompensasi penuh pengguna dalam 11 hari.
Dalam wawancara kali ini, PANews secara eksklusif berbicara dengan Danny Lim, salah satu pendiri Pundi AI, untuk mereview keseluruhan proses kejadian, memberikan pengingat keamanan bagi proyek-proyek lain yang melakukan migrasi token di industri, serta memberikan pengingat tentang norma operasional bagi proyek-proyek yang terdaftar di bursa yang mematuhi peraturan di Korea. Selain itu, ia juga membahas dari sudut pandang industri tentang penempatan produk Pundi AI di bidang data AI, serta pemikirannya tentang perkembangan jalur Web3 AI saat ini.
Selain itu, dia juga mengajukan sebuah dilema, apakah dalam proses berjuang melawan hacker, lebih baik memastikan keamanan dana pengguna tanpa membangunkan hacker? Atau lebih mengutamakan transparansi, memberikan informasi kepada publik dengan cepat, tetapi mungkin mempercepat transfer dana oleh hacker sehingga memperbesar jumlah kerugian? Kali ini Pundi AI memilih pilihan pertama, tetapi juga harus menanggung konsekuensi dari pilihan tersebut karena "cacat" dalam transparansi.
Siapa yang tahu apakah kehilangan kuda itu sebuah berkah, Danny menyebut bahwa dicabutnya dari bursa yang sesuai dengan regulasi justru membuka "segel" untuk pengembangan proyek. Dulu, tidak bisa sembarangan membeli kembali atau menghancurkan token, harus mendapatkan persetujuan dari bursa. Sekarang bisa lebih fleksibel dalam menerapkan ekonomi token untuk memberikan kembali kepada komunitas. Pundi AI juga akan membeli kembali token, dan melakukan airdrop kepada pengguna, "untuk mengucapkan terima kasih karena mereka tetap memilih untuk berdiri bersama kami di saat-saat sulit."
dicuri, ditarik dari peredaran dan pilihan yang sulit
PANews: Baru-baru ini melihat pengumuman, Asosiasi Bursa Aset Digital Korea Selatan (DAXA) meminta anggotanya untuk mencabut Pundi token, karena Pundi AI dicuri selama proses migrasi token dan tidak segera mengungkapkannya. Bisakah Anda menjelaskan secara rinci tentang kejadian ini?
**Danny:**Kejadian keamanan terjadi sekitar pukul 2:20 sore pada 12 Juli, sistem kami memberikan peringatan sekitar pukul 2:40, menunjukkan adanya pencetakan yang tidak normal, sekitar 1 juta token PUNDI dicetak. Awalnya kami mengira ada bug pada kontrak , saat itu kebetulan adalah hari Sabtu, kami segera menghubungi tim teknis untuk melakukan pemeriksaan.
Sampai jam lima sore, kami mengonfirmasi bahwa ini bukan Bug, melainkan sebuah serangan. Kami segera menghubungi berbagai bursa, meminta untuk menangguhkan fungsi setoran dan penarikan PUNDIAI.
Seluruh proses serangan sangat cerdik. Hacker memanfaatkan celah dalam kontrak migrasi token kami. Dalam transaksi penyebaran kontrak baru kami di bulan Februari, hacker mengajukan transaksi dengan biaya Gas yang lebih tinggi dalam blok yang sama, mendahului panggilan dan mendapatkan hak administrator kontrak kami (admin key). Metode ini sangat tepat dan memerlukan perhitungan yang akurat tentang waktu pengiriman transaksi kami dan blok.
PANews: Berapa banyak protokol yang terpengaruh oleh celah keamanan ini? Apakah Anda telah mengambil langkah-langkah dan memberi peringatan kepada lembaga lain?
**Danny:**Ini adalah celah yang sangat tersembunyi, kami menyelesaikan pertukaran koin pada bulan Februari, dan baru terungkap pada bulan Juli saat serangan terjadi. Baru-baru ini kami juga melihat bahwa di jaringan Base dan Ethereum, beberapa proyek telah diserang dengan cara serupa dalam tiga sampai empat minggu terakhir. Para hacker sangat sabar, sering kali bersembunyi selama berbulan-bulan, menunggu hingga pasar pulih dan minat proyek meningkat sebelum bertindak. Jadi, detail kejadian yang kami ungkapkan kali ini juga bisa dianggap sebagai pelajaran bagi semua rekan, terutama bagi proyek yang berencana melakukan migrasi token atau pembaruan kontrak untuk waspada terhadap potensi risiko keamanan "serangan mendahului" ini.
PANews: Tindakan apa yang kalian lakukan setelah menemukan pencurian, apakah kalian memberitahukan komunitas?
Danny: Mengingat bahwa peretas tidak segera menjual semua token yang diterbitkan, tetapi mengubahnya menjadi uang secara perlahan, kami menilai bahwa peretas mungkin belum menyadari bahwa kami telah menemukan dana yang dicuri. Untuk memaksimalkan kemungkinan mengembalikan aset, kami membuat keputusan sulit: menghindari menarik perhatian, secara diam-diam melacak dan membekukan aset, setelah aset terlindungi, pada malam 12 Juli kami mengumumkan di Twitter bahwa kontrak kami mengalami masalah dan mengungkapkan rencana penanganan kami.
Strategi ini sangat efektif. Kami berhasil mengintersepsi sekitar 95% aset yang dicuri di Ethereum dan jaringan utama kami sendiri F(x)Core. Kerugian utama terjadi di jaringan BSC, karena kami terhubung dengan BSC melalui jembatan lintas rantai Axelar, dan pada saat itu adalah akhir pekan, respons dari penyedia layanan pihak ketiga mengalami keterlambatan. Untuk pengguna yang mengalami kerugian akibat penurunan harga di PancakeSwap dan DEX milik kami, kami telah melakukan pembelian kembali dengan harga yang wajar, memastikan bahwa pengguna tidak mengalami kerugian.
Secara keseluruhan, serangan kali ini menyebabkan penambahan token senilai sekitar 6 juta dolar AS pada harga pasar saat itu. Melalui pembekuan dan penagihan, kami akhirnya berhasil memulihkan sekitar 87% aset, dan akhirnya kami memutuskan untuk menanggung kerugian hampir 2 juta dolar AS sendiri. Kami telah menetapkan batas maksimum untuk penambahan token dalam kontrak Token, jika tidak, kerugian mungkin akan lebih besar.
PANews: Apakah pencurian yang hanya melibatkan token memiliki dampak pada tingkat produk?
**Danny:**Ada sedikit pengaruh. Karena kami memiliki jembatan lintas rantai yang menghubungkan Ethereum, BSC, dan F(x)Core, untuk mencegah kejadian serupa terjadi lagi, kami telah melakukan pembaruan pada kontrak Token. Jadi, ada pengaruh tertentu terhadap fungsi jembatan lintas rantai, tetapi secara keseluruhan, produk masih baik dan tidak mengalami guncangan besar.
PANews: Apakah kalian telah berkomunikasi dengan DAXA? Apakah kalian merasa bahwa cara penarikan langsung ini tidak tepat, atau adakah pengalaman dan pelajaran yang bisa diambil?
Danny: Kami telah melakukan banyak komunikasi dengan DAXA. Mereka mengirimkan email pada 14 Juli, dan kami membalas tiga atau empat kali. Selama seluruh proses komunikasi, mereka tidak menunjukkan niat untuk menyalahkan, dan tidak mengajukan permintaan perbaikan yang spesifik, hanya terus menanyakan rincian teknis, solusi, dan situasi kompensasi pengguna. Jadi kami saat itu merasa masalahnya tidak besar, menganggap kami telah memulihkan sebagian besar dana, mengompensasi semua kerugian pengguna, dan menanggung kerugian sendiri, seharusnya bisa lolos. Namun tidak disangka, pada hari Senin minggu ini, kami langsung menerima pemberitahuan penarikan. DAXA tidak memberikan alasan spesifik, menurut pengumuman bursa alasan penarikan adalah "pengungkapan yang tidak tepat waktu", tanpa memberikan kami kesempatan untuk membela diri atau penangguhan.
Dari sudut pandang kami, kami tentu merasa sangat sayang, bahkan agak "kecewa". Kami adalah tim yang benar-benar bekerja, setelah diserang oleh hacker, kami menggunakan uang kami sendiri untuk mengganti kerugian pengguna, berusaha untuk memulihkan aset. Namun pada akhirnya yang kami dapatkan adalah hasil seperti ini. Terutama dibandingkan dengan kejadian hacker GMX baru-baru ini, mereka lolos dengan selamat, sementara kami justru dihapus.
Namun dari sudut pandang DAXA, mereka menjaga prinsip transparansi dan keterbukaan di seluruh pasar, dan tindakan mereka juga tidak dapat disalahkan. Kami memang memiliki kekurangan dalam prosedur.
Pelajaran terbesar adalah: di pasar Korea, ketepatan waktu dan transparansi informasi lebih penting daripada apapun. Ini adalah pelajaran yang menyakitkan, antara "mengembalikan aset secara diam-diam" dan "publikasi pada waktu pertama", kami tidak dapat menjaga keseimbangan yang baik. Semoga ini menjadi peringatan bagi semua proyek yang sudah meluncur atau yang berencana untuk meluncur di Korea.
PANews: Apakah penarikan bursa dapat memengaruhi reputasi Anda?
Danny: Ya, ini adalah hal yang paling kami khawatirkan. Kerugian transaksi yang disebabkan oleh penarikan itu sendiri adalah yang kedua, yang lebih menyakitkan adalah kerusakan pada reputasi kami. Banyak orang tidak akan mencari tahu alasan di baliknya, mereka hanya akan melihat "Pundi AI ditarik oleh DAXA", kemudian memberi kami label "perusahaan jahat" atau "penipu". Ini membuat upaya dan reputasi kami selama bertahun-tahun disalahpahami.
Tantangan dan Rencana Masa Depan Pasar Korea
PANews: Kapan Pundi AI diluncurkan di bursa Korea? Berapa banyak pengguna yang telah terakumulasi di pasar Korea?
**Danny:**Kami sudah berada di pasar Korea selama lama. Pendahulu Function X (FX) diluncurkan di Bithumb pada tahun 2019 dan di Upbit pada tahun 2020. Kami telah menggarap Korea selama lima atau enam tahun, dengan setidaknya dua ratus hingga tiga ratus ribu, bahkan mungkin lebih dari empat ratus ribu pengguna.
PANews: Saat ini, harga kimchi di Korea Selatan sangat tinggi, terutama di pasar beberapa koin kripto. Apa pengamatan kalian terhadap pasar Korea? Apakah kalian akan mencari cara untuk kembali meluncurkan di bursa Korea?
Danny: Pasar Korea sangat unik. Pengguna sangat bergantung pada CEX untuk bertransaksi, dan secara umum, penerimaan terhadap DeFi atau operasi di blockchain tidak tinggi. Sekitar 80% dari volume perdagangan kami dan 70% dari token yang dapat diperdagangkan berada di CEX Korea. Jadi, penarikan ini memiliki dampak besar terhadap likuiditas kami.
Mengenai peluncuran kembali, kami sudah bertanya ke berbagai pihak, dan umpan balik yang kami terima semua menganggap bahwa kesulitan sangat besar. Keputusan DAXA memiliki otoritas di Korea, dan sekali keputusan diambil, sangat sulit untuk dibalik dalam jangka pendek. Namun kami tetap aktif berkomunikasi dengan DAXA dan berbagai bursa, berharap bisa mendapatkan kepercayaan mereka untuk kembali ke pasar Korea.
Namun ada satu hal yang sangat menghibur dan menggerakkan kami. Setelah pengumuman penarikan, harga koin kami tidak jatuh seperti proyek lainnya, dan tetap stabil. Ini menunjukkan bahwa komunitas kami, pengguna yang memegang koin kami, masih percaya kepada kami. Ini juga merupakan bagian yang paling menyedihkan bagi kami, di satu sisi merasa tidak ingin mengecewakan kepercayaan ini, di sisi lain merasa kesulitan untuk menyediakan saluran perdagangan yang nyaman bagi mereka.
PANews: Apakah ada rencana untuk komunitas ke depannya?
**Danny:**Kami sekarang memiliki tiga rencana inti.
Pertama, mengingat bahwa jalur untuk bursa terpusat di Korea Selatan sementara sulit dilalui, kami akan meningkatkan investasi kami di blockchain, yaitu bursa terdesentralisasi. Kami akan menggunakan dana sendiri untuk membangun kumpulan dana yang lebih kuat di platform seperti PancakeSwap, Uniswap, untuk menyediakan likuiditas yang cukup bagi pengguna.
Kedua, kami akan secara besar-besaran mempromosikan produk data AI terbaru kami. Kami percaya bahwa produk yang baik adalah penggerak inti perkembangan proyek.
Ketiga, kami akan meluncurkan program pembelian kembali token dan airdrop. Sejujurnya, di masa lalu, ketika kami meluncurkan di bursa terpusat yang patuh di Korea, tangan kami terikat, Anda tidak bisa sembarangan membeli kembali atau menghancurkan token, Anda perlu mendapatkan persetujuan mereka. Sekarang, bisa dibilang kami telah "membuka segel", dan dapat lebih fleksibel dalam menggunakan ekonomi token untuk memberikan kembali kepada komunitas. Kami akan membeli kembali token dan melakukan airdrop kepada pengguna yang mendukung kami, sebagai tanda terima kasih karena tetap memilih untuk berdiri bersama kami di saat-saat sulit.
Visi dan Tantangan Aset Data AI
PANews: Anda menyebutkan produk data AI yang sepenuhnya baru, dapatkah Anda menjelaskan lebih detail tentang produk ini dan rencana ke depannya?
**Danny:**Sebenarnya produk baru kami Data Pump sudah siap, dan sudah soft launching pada tanggal 10 Juli. Sangat kebetulan, kami diserang pada tanggal 12, sehingga tidak sempat melakukan promosi sama sekali.
Data Pump dapat dipahami sebagai "Launchpad dataset AI". Produk ini menggabungkan mekanisme serupa Pump.fun, tetapi aset dasarnya bukan meme coin, melainkan dataset. Ini bertujuan untuk mendaftar data (DataFi), pengguna dapat mengemas berbagai jenis data konten (cuitan, audio, video, dll.) menjadi NFT, kemudian, mereka dapat mempertaruhkan NFT ini di platform kami, menghasilkan token yang sesuai, dan langsung membuat pasangan perdagangan untuk diperdagangkan di DEX seperti PancakeSwap. Selanjutnya, semua fokus kami akan ditempatkan pada promosi dan operasi produk ini.
PANews: Dalam dua tahun terakhir, jalur AI menjadi salah satu jalur fokus Web3. Apa perbedaan produk Pundi AI di bidang data AI dibandingkan dengan beberapa perusahaan lain seperti Sahara dan openledger?
Danny: Pertama, dari sisi data, banyak proyek yang melakukan anotasi data umum, di mana pengguna utamanya adalah untuk "mendapatkan airdrop", nilai komersial dari data ini terbatas. Sedangkan kami sejak awal fokus pada bidang spesifik yang profesional, seperti citra medis (deteksi penyakit kardiovaskular), mengemudi otomatis (penyisiran objek dengan presisi tinggi), dokumen hukum, dan lain-lain. Kami mencari mahasiswa kedokteran di universitas di Indonesia untuk melakukan anotasi, memastikan profesionalisme dan kualitas tinggi dari data. Meskipun pengguna anotasi kami hanya beberapa puluh ribu, yang aktif kurang dari 1000, tetapi kualitasnya sangat tinggi.
Kedua, kami melakukan satu lapisan lebih banyak daripada mereka, mengembangkan AI AMM (Automated Market Maker). Pengguna hanya perlu memasukkan token LP, dan dapat secara otomatis melakukan transaksi di blockchain. Ini mewujudkan aset dan monetisasi data.
Akhirnya, kami memiliki basis data yang sangat besar. Saat ini, kami memiliki volume data sebesar satu PB (sekitar 1024 TB) di blockchain, yang seharusnya merupakan salah satu penyimpanan data terbesar di bidang Web3.
PANews: Sejak berakhirnya pasar fomo AI Agent di awal tahun ini, jalur AI telah berada dalam konsolidasi rendah. Menurut Anda, di mana kendala perkembangan di bidang Web3 AI saat ini? Apakah masih ada harapan untuk kembali ke antusiasme awal tahun?
**Danny:**Saya pribadi percaya bahwa hambatan pengembangan Web3 AI terletak pada kenyataan bahwa belum ada sesuatu yang benar-benar berguna dan dapat mengubah hidup yang muncul.
Pertama, apa yang disebut "daya komputasi terdesentralisasi" pada tahap ini lebih mirip dengan sebuah proposisi palsu. Menggunakan jaringan terdesentralisasi untuk menjalankan beberapa model bahasa kecil mungkin bisa, tetapi untuk menjalankan model besar yang benar-benar berarti seperti GPT-4, itu sama sekali tidak realistis.
Nilai sebenarnya dari blockchain di bidang AI terletak pada "lapisan data", yaitu melindungi kedaulatan data dan privasi pengguna. Setiap pertanyaan yang Anda ajukan di ChatGPT memberikan data kepadanya, dan Anda tidak dapat menghentikannya untuk mengakses riwayat Anda. Blockchain, khususnya yang memanfaatkan teknologi ZK (zero-knowledge proof), dapat menyelesaikan masalah ini dengan sempurna, memungkinkan pengguna untuk memberikan izin dengan aman agar AI dapat menggunakan data mereka.
Tetapi kendalanya adalah, pada tahap ini, pengguna biasa belum merasakan seberapa penting privasi data mereka. Orang-orang belum memiliki kesadaran ini.
Jadi, saat Web3 AI mulai mengalami gelombang nyata, saya percaya kita harus menunggu momen "kompatibilitas ke bawah". Artinya, kita harus menunggu raksasa AI tradisional, seperti OpenAI atau Google, menyadari pentingnya privasi data pengguna karena suatu momen (seperti skandal kebocoran data besar-besaran) dan kemudian secara aktif mengadopsi teknologi blockchain, untuk memberikan fungsi perlindungan data kepada pengguna. Tren ini pasti akan dipimpin oleh raksasa tradisional, bukan didorong dari bawah ke atas oleh proyek-proyek asli Web3. Saya percaya, hari itu tidak akan terlalu jauh.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
Masuk ke Korea selama 5 tahun terpaksa pergi, Pundi AI memprioritaskan perlindungan aset pengguna tetapi itu adalah "keputusan yang salah"?
Wawancara: Tong, PANews
Editor: Yuliya, PANews
Pada 12 Juli, sebuah serangan hacker yang tidak terduga membuat Pundi AI mengalami penerbitan 1 juta token yang tidak biasa dalam waktu singkat. Menghadapi krisis ini, tim memilih untuk membekukan, melacak, dan memulihkan aset, serta mengungkapkan secara terbuka pada waktu pertama yang memastikan keamanan dana. Akhirnya, hampir 90% dari dana yang dicuri berhasil dipulihkan dan dibekukan, dengan lebih dari satu juta dolar dibayarkan untuk menyelesaikan kompensasi penuh kepada pengguna. Namun, celah dalam kontrak ERC1967Proxy yang digunakan oleh hacker saat ini telah mempengaruhi beberapa proyek di industri. Namun, Pundi AI telah diberitahu oleh Asosiasi Pertukaran Aset Digital Korea (DAXA) yang terdiri dari 5 bursa besar seperti Upbit dan Bithumb untuk dihapus dari bursa Korea, dengan alasan "pengungkapan informasi yang tidak tepat waktu."
Untuk membantu pembaca memahami alur peristiwa dengan lebih baik, berikut adalah tinjauan garis waktu kunci.
Dalam wawancara kali ini, PANews secara eksklusif berbicara dengan Danny Lim, salah satu pendiri Pundi AI, untuk mereview keseluruhan proses kejadian, memberikan pengingat keamanan bagi proyek-proyek lain yang melakukan migrasi token di industri, serta memberikan pengingat tentang norma operasional bagi proyek-proyek yang terdaftar di bursa yang mematuhi peraturan di Korea. Selain itu, ia juga membahas dari sudut pandang industri tentang penempatan produk Pundi AI di bidang data AI, serta pemikirannya tentang perkembangan jalur Web3 AI saat ini.
Selain itu, dia juga mengajukan sebuah dilema, apakah dalam proses berjuang melawan hacker, lebih baik memastikan keamanan dana pengguna tanpa membangunkan hacker? Atau lebih mengutamakan transparansi, memberikan informasi kepada publik dengan cepat, tetapi mungkin mempercepat transfer dana oleh hacker sehingga memperbesar jumlah kerugian? Kali ini Pundi AI memilih pilihan pertama, tetapi juga harus menanggung konsekuensi dari pilihan tersebut karena "cacat" dalam transparansi.
Siapa yang tahu apakah kehilangan kuda itu sebuah berkah, Danny menyebut bahwa dicabutnya dari bursa yang sesuai dengan regulasi justru membuka "segel" untuk pengembangan proyek. Dulu, tidak bisa sembarangan membeli kembali atau menghancurkan token, harus mendapatkan persetujuan dari bursa. Sekarang bisa lebih fleksibel dalam menerapkan ekonomi token untuk memberikan kembali kepada komunitas. Pundi AI juga akan membeli kembali token, dan melakukan airdrop kepada pengguna, "untuk mengucapkan terima kasih karena mereka tetap memilih untuk berdiri bersama kami di saat-saat sulit."
dicuri, ditarik dari peredaran dan pilihan yang sulit
PANews: Baru-baru ini melihat pengumuman, Asosiasi Bursa Aset Digital Korea Selatan (DAXA) meminta anggotanya untuk mencabut Pundi token, karena Pundi AI dicuri selama proses migrasi token dan tidak segera mengungkapkannya. Bisakah Anda menjelaskan secara rinci tentang kejadian ini?
**Danny:**Kejadian keamanan terjadi sekitar pukul 2:20 sore pada 12 Juli, sistem kami memberikan peringatan sekitar pukul 2:40, menunjukkan adanya pencetakan yang tidak normal, sekitar 1 juta token PUNDI dicetak. Awalnya kami mengira ada bug pada kontrak , saat itu kebetulan adalah hari Sabtu, kami segera menghubungi tim teknis untuk melakukan pemeriksaan.
Sampai jam lima sore, kami mengonfirmasi bahwa ini bukan Bug, melainkan sebuah serangan. Kami segera menghubungi berbagai bursa, meminta untuk menangguhkan fungsi setoran dan penarikan PUNDIAI.
Seluruh proses serangan sangat cerdik. Hacker memanfaatkan celah dalam kontrak migrasi token kami. Dalam transaksi penyebaran kontrak baru kami di bulan Februari, hacker mengajukan transaksi dengan biaya Gas yang lebih tinggi dalam blok yang sama, mendahului panggilan dan mendapatkan hak administrator kontrak kami (admin key). Metode ini sangat tepat dan memerlukan perhitungan yang akurat tentang waktu pengiriman transaksi kami dan blok.
PANews: Berapa banyak protokol yang terpengaruh oleh celah keamanan ini? Apakah Anda telah mengambil langkah-langkah dan memberi peringatan kepada lembaga lain?
**Danny:**Ini adalah celah yang sangat tersembunyi, kami menyelesaikan pertukaran koin pada bulan Februari, dan baru terungkap pada bulan Juli saat serangan terjadi. Baru-baru ini kami juga melihat bahwa di jaringan Base dan Ethereum, beberapa proyek telah diserang dengan cara serupa dalam tiga sampai empat minggu terakhir. Para hacker sangat sabar, sering kali bersembunyi selama berbulan-bulan, menunggu hingga pasar pulih dan minat proyek meningkat sebelum bertindak. Jadi, detail kejadian yang kami ungkapkan kali ini juga bisa dianggap sebagai pelajaran bagi semua rekan, terutama bagi proyek yang berencana melakukan migrasi token atau pembaruan kontrak untuk waspada terhadap potensi risiko keamanan "serangan mendahului" ini.
PANews: Tindakan apa yang kalian lakukan setelah menemukan pencurian, apakah kalian memberitahukan komunitas?
Danny: Mengingat bahwa peretas tidak segera menjual semua token yang diterbitkan, tetapi mengubahnya menjadi uang secara perlahan, kami menilai bahwa peretas mungkin belum menyadari bahwa kami telah menemukan dana yang dicuri. Untuk memaksimalkan kemungkinan mengembalikan aset, kami membuat keputusan sulit: menghindari menarik perhatian, secara diam-diam melacak dan membekukan aset, setelah aset terlindungi, pada malam 12 Juli kami mengumumkan di Twitter bahwa kontrak kami mengalami masalah dan mengungkapkan rencana penanganan kami.
Strategi ini sangat efektif. Kami berhasil mengintersepsi sekitar 95% aset yang dicuri di Ethereum dan jaringan utama kami sendiri F(x)Core. Kerugian utama terjadi di jaringan BSC, karena kami terhubung dengan BSC melalui jembatan lintas rantai Axelar, dan pada saat itu adalah akhir pekan, respons dari penyedia layanan pihak ketiga mengalami keterlambatan. Untuk pengguna yang mengalami kerugian akibat penurunan harga di PancakeSwap dan DEX milik kami, kami telah melakukan pembelian kembali dengan harga yang wajar, memastikan bahwa pengguna tidak mengalami kerugian.
Secara keseluruhan, serangan kali ini menyebabkan penambahan token senilai sekitar 6 juta dolar AS pada harga pasar saat itu. Melalui pembekuan dan penagihan, kami akhirnya berhasil memulihkan sekitar 87% aset, dan akhirnya kami memutuskan untuk menanggung kerugian hampir 2 juta dolar AS sendiri. Kami telah menetapkan batas maksimum untuk penambahan token dalam kontrak Token, jika tidak, kerugian mungkin akan lebih besar.
PANews: Apakah pencurian yang hanya melibatkan token memiliki dampak pada tingkat produk?
**Danny:**Ada sedikit pengaruh. Karena kami memiliki jembatan lintas rantai yang menghubungkan Ethereum, BSC, dan F(x)Core, untuk mencegah kejadian serupa terjadi lagi, kami telah melakukan pembaruan pada kontrak Token. Jadi, ada pengaruh tertentu terhadap fungsi jembatan lintas rantai, tetapi secara keseluruhan, produk masih baik dan tidak mengalami guncangan besar.
PANews: Apakah kalian telah berkomunikasi dengan DAXA? Apakah kalian merasa bahwa cara penarikan langsung ini tidak tepat, atau adakah pengalaman dan pelajaran yang bisa diambil?
Danny: Kami telah melakukan banyak komunikasi dengan DAXA. Mereka mengirimkan email pada 14 Juli, dan kami membalas tiga atau empat kali. Selama seluruh proses komunikasi, mereka tidak menunjukkan niat untuk menyalahkan, dan tidak mengajukan permintaan perbaikan yang spesifik, hanya terus menanyakan rincian teknis, solusi, dan situasi kompensasi pengguna. Jadi kami saat itu merasa masalahnya tidak besar, menganggap kami telah memulihkan sebagian besar dana, mengompensasi semua kerugian pengguna, dan menanggung kerugian sendiri, seharusnya bisa lolos. Namun tidak disangka, pada hari Senin minggu ini, kami langsung menerima pemberitahuan penarikan. DAXA tidak memberikan alasan spesifik, menurut pengumuman bursa alasan penarikan adalah "pengungkapan yang tidak tepat waktu", tanpa memberikan kami kesempatan untuk membela diri atau penangguhan.
Dari sudut pandang kami, kami tentu merasa sangat sayang, bahkan agak "kecewa". Kami adalah tim yang benar-benar bekerja, setelah diserang oleh hacker, kami menggunakan uang kami sendiri untuk mengganti kerugian pengguna, berusaha untuk memulihkan aset. Namun pada akhirnya yang kami dapatkan adalah hasil seperti ini. Terutama dibandingkan dengan kejadian hacker GMX baru-baru ini, mereka lolos dengan selamat, sementara kami justru dihapus.
Namun dari sudut pandang DAXA, mereka menjaga prinsip transparansi dan keterbukaan di seluruh pasar, dan tindakan mereka juga tidak dapat disalahkan. Kami memang memiliki kekurangan dalam prosedur.
Pelajaran terbesar adalah: di pasar Korea, ketepatan waktu dan transparansi informasi lebih penting daripada apapun. Ini adalah pelajaran yang menyakitkan, antara "mengembalikan aset secara diam-diam" dan "publikasi pada waktu pertama", kami tidak dapat menjaga keseimbangan yang baik. Semoga ini menjadi peringatan bagi semua proyek yang sudah meluncur atau yang berencana untuk meluncur di Korea.
PANews: Apakah penarikan bursa dapat memengaruhi reputasi Anda?
Danny: Ya, ini adalah hal yang paling kami khawatirkan. Kerugian transaksi yang disebabkan oleh penarikan itu sendiri adalah yang kedua, yang lebih menyakitkan adalah kerusakan pada reputasi kami. Banyak orang tidak akan mencari tahu alasan di baliknya, mereka hanya akan melihat "Pundi AI ditarik oleh DAXA", kemudian memberi kami label "perusahaan jahat" atau "penipu". Ini membuat upaya dan reputasi kami selama bertahun-tahun disalahpahami.
Tantangan dan Rencana Masa Depan Pasar Korea
PANews: Kapan Pundi AI diluncurkan di bursa Korea? Berapa banyak pengguna yang telah terakumulasi di pasar Korea?
**Danny:**Kami sudah berada di pasar Korea selama lama. Pendahulu Function X (FX) diluncurkan di Bithumb pada tahun 2019 dan di Upbit pada tahun 2020. Kami telah menggarap Korea selama lima atau enam tahun, dengan setidaknya dua ratus hingga tiga ratus ribu, bahkan mungkin lebih dari empat ratus ribu pengguna.
PANews: Saat ini, harga kimchi di Korea Selatan sangat tinggi, terutama di pasar beberapa koin kripto. Apa pengamatan kalian terhadap pasar Korea? Apakah kalian akan mencari cara untuk kembali meluncurkan di bursa Korea?
Danny: Pasar Korea sangat unik. Pengguna sangat bergantung pada CEX untuk bertransaksi, dan secara umum, penerimaan terhadap DeFi atau operasi di blockchain tidak tinggi. Sekitar 80% dari volume perdagangan kami dan 70% dari token yang dapat diperdagangkan berada di CEX Korea. Jadi, penarikan ini memiliki dampak besar terhadap likuiditas kami.
Mengenai peluncuran kembali, kami sudah bertanya ke berbagai pihak, dan umpan balik yang kami terima semua menganggap bahwa kesulitan sangat besar. Keputusan DAXA memiliki otoritas di Korea, dan sekali keputusan diambil, sangat sulit untuk dibalik dalam jangka pendek. Namun kami tetap aktif berkomunikasi dengan DAXA dan berbagai bursa, berharap bisa mendapatkan kepercayaan mereka untuk kembali ke pasar Korea.
Namun ada satu hal yang sangat menghibur dan menggerakkan kami. Setelah pengumuman penarikan, harga koin kami tidak jatuh seperti proyek lainnya, dan tetap stabil. Ini menunjukkan bahwa komunitas kami, pengguna yang memegang koin kami, masih percaya kepada kami. Ini juga merupakan bagian yang paling menyedihkan bagi kami, di satu sisi merasa tidak ingin mengecewakan kepercayaan ini, di sisi lain merasa kesulitan untuk menyediakan saluran perdagangan yang nyaman bagi mereka.
PANews: Apakah ada rencana untuk komunitas ke depannya?
**Danny:**Kami sekarang memiliki tiga rencana inti.
Visi dan Tantangan Aset Data AI
PANews: Anda menyebutkan produk data AI yang sepenuhnya baru, dapatkah Anda menjelaskan lebih detail tentang produk ini dan rencana ke depannya?
**Danny:**Sebenarnya produk baru kami Data Pump sudah siap, dan sudah soft launching pada tanggal 10 Juli. Sangat kebetulan, kami diserang pada tanggal 12, sehingga tidak sempat melakukan promosi sama sekali.
Data Pump dapat dipahami sebagai "Launchpad dataset AI". Produk ini menggabungkan mekanisme serupa Pump.fun, tetapi aset dasarnya bukan meme coin, melainkan dataset. Ini bertujuan untuk mendaftar data (DataFi), pengguna dapat mengemas berbagai jenis data konten (cuitan, audio, video, dll.) menjadi NFT, kemudian, mereka dapat mempertaruhkan NFT ini di platform kami, menghasilkan token yang sesuai, dan langsung membuat pasangan perdagangan untuk diperdagangkan di DEX seperti PancakeSwap. Selanjutnya, semua fokus kami akan ditempatkan pada promosi dan operasi produk ini.
PANews: Dalam dua tahun terakhir, jalur AI menjadi salah satu jalur fokus Web3. Apa perbedaan produk Pundi AI di bidang data AI dibandingkan dengan beberapa perusahaan lain seperti Sahara dan openledger?
Danny: Pertama, dari sisi data, banyak proyek yang melakukan anotasi data umum, di mana pengguna utamanya adalah untuk "mendapatkan airdrop", nilai komersial dari data ini terbatas. Sedangkan kami sejak awal fokus pada bidang spesifik yang profesional, seperti citra medis (deteksi penyakit kardiovaskular), mengemudi otomatis (penyisiran objek dengan presisi tinggi), dokumen hukum, dan lain-lain. Kami mencari mahasiswa kedokteran di universitas di Indonesia untuk melakukan anotasi, memastikan profesionalisme dan kualitas tinggi dari data. Meskipun pengguna anotasi kami hanya beberapa puluh ribu, yang aktif kurang dari 1000, tetapi kualitasnya sangat tinggi.
Kedua, kami melakukan satu lapisan lebih banyak daripada mereka, mengembangkan AI AMM (Automated Market Maker). Pengguna hanya perlu memasukkan token LP, dan dapat secara otomatis melakukan transaksi di blockchain. Ini mewujudkan aset dan monetisasi data.
Akhirnya, kami memiliki basis data yang sangat besar. Saat ini, kami memiliki volume data sebesar satu PB (sekitar 1024 TB) di blockchain, yang seharusnya merupakan salah satu penyimpanan data terbesar di bidang Web3.
PANews: Sejak berakhirnya pasar fomo AI Agent di awal tahun ini, jalur AI telah berada dalam konsolidasi rendah. Menurut Anda, di mana kendala perkembangan di bidang Web3 AI saat ini? Apakah masih ada harapan untuk kembali ke antusiasme awal tahun?
**Danny:**Saya pribadi percaya bahwa hambatan pengembangan Web3 AI terletak pada kenyataan bahwa belum ada sesuatu yang benar-benar berguna dan dapat mengubah hidup yang muncul.
Pertama, apa yang disebut "daya komputasi terdesentralisasi" pada tahap ini lebih mirip dengan sebuah proposisi palsu. Menggunakan jaringan terdesentralisasi untuk menjalankan beberapa model bahasa kecil mungkin bisa, tetapi untuk menjalankan model besar yang benar-benar berarti seperti GPT-4, itu sama sekali tidak realistis.
Nilai sebenarnya dari blockchain di bidang AI terletak pada "lapisan data", yaitu melindungi kedaulatan data dan privasi pengguna. Setiap pertanyaan yang Anda ajukan di ChatGPT memberikan data kepadanya, dan Anda tidak dapat menghentikannya untuk mengakses riwayat Anda. Blockchain, khususnya yang memanfaatkan teknologi ZK (zero-knowledge proof), dapat menyelesaikan masalah ini dengan sempurna, memungkinkan pengguna untuk memberikan izin dengan aman agar AI dapat menggunakan data mereka.
Tetapi kendalanya adalah, pada tahap ini, pengguna biasa belum merasakan seberapa penting privasi data mereka. Orang-orang belum memiliki kesadaran ini.
Jadi, saat Web3 AI mulai mengalami gelombang nyata, saya percaya kita harus menunggu momen "kompatibilitas ke bawah". Artinya, kita harus menunggu raksasa AI tradisional, seperti OpenAI atau Google, menyadari pentingnya privasi data pengguna karena suatu momen (seperti skandal kebocoran data besar-besaran) dan kemudian secara aktif mengadopsi teknologi blockchain, untuk memberikan fungsi perlindungan data kepada pengguna. Tren ini pasti akan dipimpin oleh raksasa tradisional, bukan didorong dari bawah ke atas oleh proyek-proyek asli Web3. Saya percaya, hari itu tidak akan terlalu jauh.