【提案】关于EOS链TPT进行合约转换的社区说明

背景

12月8日下午8点,黑客账户itsspiderman 利用溢出漏洞在eCurve凭空增发 tripool 做市凭证,在PIZZA 质押并借出协议中的绝大部分代币。事后黑客创建一百三十余万账户并将盗窃资产分散。PIZZA 协议在本次攻击中的损失约折合 500万美元,被盗资产分布见下

通过抵押了1100万美元的TRIPOOL资产,黑客已经将PIZZA的所有资产搬空。损失方面,第一大损失为USDT(包括OUSD等算稳)共计200万美元; 第二大损失为TPT,共7900万枚,折合190万美元,总共损失金额超过500万美元。

2021 年12月8日进展

PIZZA社区已联合慢雾、节点、流动性提供商,交易所共同进行追查,目前

1 EOS上主流SWAP交易、跨链及交易所充提暂时关闭,防止黑客转移资产。

2 目前黑客的主账号itsspiderman已被节点联合block

2021 年12月9日进展

1 通过主账号itsspiderman追查到的交易所KYC皆为虚假KYC,黑客目前IP地址在海外,未回应任何谈判需求。

2 7900W枚TPT已被黑客转至140万个分散账户中,目前节点无能力进行封禁。

3 在一天的封禁后,部分跨链桥正重新打开, 黑客随时可能将7900万枚TPT转出,一旦转至BSC链砸盘,将无法追回,并导致TPT持有者的重大损失。
捕获

几个解决思路

TPT跨链桥正在打开,时间非常紧迫,在与TPT持币者、官方沟通后,现提出以下几种方案供社区讨论。

1 确保封锁所有跨链桥及交易,为防止黑客的7900W TPT砸盘,暂时锁死EOS链TPT的所有交易和提现,直至黑客事件解决。

2 TP进行EOS合约换币,以黑客盗币前的时点进行快照,对于PIZZA受害者,TP直接将币补偿至受害者,并收取20%的手续费进入金库。

3 TP进行EOS合约换币,以黑客盗币前的时点进行快照,由于PIZZA对于TPT存币者没有尽到勤勉义务,构成了根本违约,TPTDAO要求TP官方与PIZZA基于友好协商与谈判,达成如下协议

(1)TP进行EOS合约换币,以黑客盗币前的时点进行快照,将被盗资产直接归还至PIZZA。

(2)由于没有妥善管理好用户的TPT资产,PIZZA自愿免除TPT持有者借贷发生的一切利息,并在TPT持有者归还其所借款项的本金后,将TPT全额直接归还至TPT持有者的账户。

(3)PIZZA承诺将TP持有者所归还的款项全部用以归还剩余债权人的债权,并接受社区监督。

4 根据去中心化精神,解锁冻结,任由黑客处置。我们要相信人性的光辉
4

几个解决思路的讨论分享

今天和大佬们针对这几个方案都做了讨论,也和社区做个汇报, 以下讨论都基于TPT持币者利益最大化

1 方案1 TP会尽力阻止TPT的转移及交换,使得节点和Pizza有时间追查黑客,风险是一旦任何一个跨链桥打开,这些TPT会在一个区块内被转移至BSC,到时将无法再追查。

2 方案2 TP是TP主动出面解决问题的方案,PIZZA弄丢了TPT投资者的币,构成了根本违约,TP官方出面消除黑客的影响。优点是

(1) 黑客的币变成空气了,无法再砸盘

(2) 所有交易无需通过PIZZA,没有PIZZA的道德风险

(3) 20%的资产进入Dao库

缺点是

(1) PIZZA的其他关联方可能会谴责TP只管自己的投资者

3 方案3 TP是基于信任PIZZA的前提下,帮助PIZZA尽力减少损失并恢复经营。由于PIZZA对于TPT存币者构成了根本违约,TPTDAO要求TP官方与PIZZA基于友好协商,达成如下协议

(1) TP进行EOS合约换币,以黑客盗币前的时点进行快照,将被盗资产直接归还至PIZZA

(2) 由于没有妥善管理好用户的资产,PIZZA自愿免除TPT持有者借贷发生的一切利息,并在TPT持有者归还其所借款项后,将TPT全额直接归还至TPT持有者的账户

(3) PIZZA承诺将TP持有者所归还的款项全部用以归还剩余债权人的债权,并接受社区监督

优点

(1) 黑客的币变成空气了,无法再砸盘

(2) TPT持有者的借款利息得以免除

(3) PIZZA受害者获得TPT抵押者归还的借款本金,得以进一步弥补损失

(4) PIZZA可能获救重新运营

缺点

(1)相比方案2,不必要的协商成本增加,黑客可能在这段时间内转移资产砸盘,导致TPT持有者的重大损失

(2)Pizza官某的道德风险,在TPT抵押者归还借款本金后,不积极作为使得TPT抵押者无法获得全额TPT抵押退回的风险

4 支持方案4的应该还没TPT或者是黑客本人

讨论期限

由于黑客随时可能成功跨链导致7900万TPT转至BSC砸盘,建议今晚讨论酌定后由社区2021年12月11日发起投票,并督促官方尽快执行。

附上此次事件的相关链接

Pizza Twitter: https://twitter.com/PizzaProFi

Tokenpocket Twitter: https://twitter.com/heipacker

Telegram CN: Telegram: Contact @pizzairCN

Telegram EN: Telegram: Contact @PIZZAUSDE

PS: 笔者今天进入了Telegram群,虽然之前不认识官某,但发现大家即使在这个环境下也非常支持和信任官某,官某也持续在线寻求解决方案。虽然方案2对于TPT的持有者是最优解,在PIZZA官方全力配合的情况下,大家也可以支持方案3,也非常希望大家群策群力,共同找到共赢最优的解决方案。

For English version, please refer to Proposal on contract conversion of EOS chain TPT — Mirror

方案4 的(1)改成  TP进行EOS合约换币,以黑客盗币前的时点进行快照,将被盗tpt扣除10%-20%后发入被盗用户账户并锁仓,在用户还款后申请解锁。

防范pizza社区不作为,防范用户不还款。解决抛压。10%-20%回收注入dao或者销毁随便。毕竟需要团队出力,这些算是支付团队的工资了,毕竟transit 收入75%在团队,团队值这个钱。
而且投资有风险,算是花10%-20%买个教训,毕竟不是所有人丢币都能找回。这次提案就很出奇,一直觉得dao应该是发展社区的,而不是解决这种问题的,币在你们自己手里想做什么是你们个人的事,而不是社区的事,应该自己承担风险。
  社区是发展开拓tpt,保障大多数持有tpt者利益的地方,我想只不过因为这次数额大或者有大户在里面所以才有了这次提案,很多人丢个几百,几千几万,连上个提案被讨论的资格都没有。所以有些人也不要道德绑架。

 并且这次以后希望社区出统一标准,再有此类事情一律锁住,或者不管,或者最少收多少费(数额大的提百分之多少),不能因为这种事情分裂大户与散户态度,变成散户丢币不管,大户丢币积极的两面派作风。
2 Likes

直接把地址锁死吧

提个建议,能不能把百分之20改为百分之10~15。毕竟被盗的数额巨大,即使是百分之10,也是个非常夸张的数字了。

140万个黑名单目前节点能力做不到,现在只能暂时关掉Hoo 抹茶的TPT提现,但这样所有EOS的TPT都出不去了,跨链也永远不能开,一旦被黑客转出去,8000W慢慢砸至少几年TPT起不来了

是否可以综合两种方案:

PIZZA需要质押一定内容作为担保,归还给持币者后方可解冻。

综合考虑到避免社会产生“丢币对交易所毫无成本”的错误认知和“PIZZA在本次事件中遭遇较大财务损失”的现实情况。虽然我们可以配合操作,但是:

1.作为配合PIZZA平复此次事件的成本,PIZZA需要用一定时间的广告和推广行为作为报酬。
2.本次事件如要向交易所会员发放补偿,应优先用一部分TPT支付。

tpt在柚子的跨链桥就是虎符吧 虎符不开能通过什么转?

8000万一千多万人民币 影响不了几年的

还是选择方案3合适!

不知道是不是我理解有误,如果直接给受害者,那受害者的贷款是不是不用还了,有些存款人的质押比例低,说不定还有赚,那就等于pizza出了金库的钱,所以20%可能并不高

停掉桥,应该写一个合约兑换让持有人进行兑换就可以了,兑换的新的合约启动正常没有兑换的继续放在哪里就行了

这个不靠谱 黑客也可以兑

贷款要还的,还完之后的百分之20。

不好办 需要好好参详

黑客账户写个白名单关联名单就行了

黑名单需要BP投票配合,140W个账户技术上目前有困难,黑客这次是有备而来

几年🥲🥲牛几年呢。

黑名单是tp写一个兑换合约,映射一下被黑前的地址持有者,把黑前和黑后的地址设在成白名单和黑名单不就可以了

好像2并没有说要还贷款,3是明确说了要还。

1 Like

嗯,我看错了。