【提案】关于EOS链TPT进行合约转换的社区说明

背景

12月8日下午8点，黑客账户itsspiderman 利用溢出漏洞在eCurve凭空增发 tripool 做市凭证，在PIZZA 质押并借出协议中的绝大部分代币。事后黑客创建一百三十余万账户并将盗窃资产分散。PIZZA 协议在本次攻击中的损失约折合 500万美元，被盗资产分布见下

11170×2006 82.5 KB

通过抵押了1100万美元的TRIPOOL资产，黑客已经将PIZZA的所有资产搬空。损失方面，第一大损失为USDT（包括OUSD等算稳）共计200万美元; 第二大损失为TPT，共7900万枚，折合190万美元，总共损失金额超过500万美元。

2021 年12月8日进展

PIZZA社区已联合慢雾、节点、流动性提供商，交易所共同进行追查，目前

1 EOS上主流SWAP交易、跨链及交易所充提暂时关闭，防止黑客转移资产。

2 目前黑客的主账号itsspiderman已被节点联合block

2021 年12月9日进展

1 通过主账号itsspiderman追查到的交易所KYC皆为虚假KYC，黑客目前IP地址在海外，未回应任何谈判需求。

2 7900W枚TPT已被黑客转至140万个分散账户中，目前节点无能力进行封禁。

3 在一天的封禁后，部分跨链桥正重新打开， 黑客随时可能将7900万枚TPT转出，一旦转至BSC链砸盘，将无法追回，并导致TPT持有者的重大损失。

几个解决思路

TPT跨链桥正在打开，时间非常紧迫，在与TPT持币者、官方沟通后，现提出以下几种方案供社区讨论。

1 确保封锁所有跨链桥及交易，为防止黑客的7900W TPT砸盘，暂时锁死EOS链TPT的所有交易和提现，直至黑客事件解决。

2 TP进行EOS合约换币，以黑客盗币前的时点进行快照，对于PIZZA受害者，TP直接将币补偿至受害者，并收取20%的手续费进入金库。

3 TP进行EOS合约换币，以黑客盗币前的时点进行快照，由于PIZZA对于TPT存币者没有尽到勤勉义务，构成了根本违约，TPTDAO要求TP官方与PIZZA基于友好协商与谈判，达成如下协议

(1)TP进行EOS合约换币，以黑客盗币前的时点进行快照，将被盗资产直接归还至PIZZA。

(2)由于没有妥善管理好用户的TPT资产，PIZZA自愿免除TPT持有者借贷发生的一切利息，并在TPT持有者归还其所借款项的本金后，将TPT全额直接归还至TPT持有者的账户。

(3)PIZZA承诺将TP持有者所归还的款项全部用以归还剩余债权人的债权，并接受社区监督。

4 根据去中心化精神，解锁冻结，任由黑客处置。我们要相信人性的光辉

几个解决思路的讨论分享

今天和大佬们针对这几个方案都做了讨论，也和社区做个汇报， 以下讨论都基于TPT持币者利益最大化

1 方案1 TP会尽力阻止TPT的转移及交换，使得节点和Pizza有时间追查黑客，风险是一旦任何一个跨链桥打开，这些TPT会在一个区块内被转移至BSC，到时将无法再追查。

2 方案2 TP是TP主动出面解决问题的方案，PIZZA弄丢了TPT投资者的币，构成了根本违约，TP官方出面消除黑客的影响。优点是

(1) 黑客的币变成空气了，无法再砸盘

(2) 所有交易无需通过PIZZA，没有PIZZA的道德风险

(3) 20%的资产进入Dao库

缺点是

(1) PIZZA的其他关联方可能会谴责TP只管自己的投资者

3 方案3 TP是基于信任PIZZA的前提下，帮助PIZZA尽力减少损失并恢复经营。由于PIZZA对于TPT存币者构成了根本违约，TPTDAO要求TP官方与PIZZA基于友好协商，达成如下协议

(1) TP进行EOS合约换币，以黑客盗币前的时点进行快照，将被盗资产直接归还至PIZZA

(2) 由于没有妥善管理好用户的资产，PIZZA自愿免除TPT持有者借贷发生的一切利息，并在TPT持有者归还其所借款项后，将TPT全额直接归还至TPT持有者的账户

(3) PIZZA承诺将TP持有者所归还的款项全部用以归还剩余债权人的债权，并接受社区监督

优点

(1) 黑客的币变成空气了，无法再砸盘

(2) TPT持有者的借款利息得以免除

(3) PIZZA受害者获得TPT抵押者归还的借款本金，得以进一步弥补损失

(4) PIZZA可能获救重新运营

缺点

(1)相比方案2，不必要的协商成本增加，黑客可能在这段时间内转移资产砸盘，导致TPT持有者的重大损失

(2)Pizza官某的道德风险，在TPT抵押者归还借款本金后，不积极作为使得TPT抵押者无法获得全额TPT抵押退回的风险

4 支持方案4的应该还没TPT或者是黑客本人

讨论期限

由于黑客随时可能成功跨链导致7900万TPT转至BSC砸盘，建议今晚讨论酌定后由社区2021年12月11日发起投票，并督促官方尽快执行。

附上此次事件的相关链接

Pizza Twitter: https://twitter.com/PizzaProFi

Tokenpocket Twitter: https://twitter.com/heipacker

Telegram CN: Telegram: Contact @pizzairCN

Telegram EN: Telegram: Contact @PIZZAUSDE

PS: 笔者今天进入了Telegram群，虽然之前不认识官某，但发现大家即使在这个环境下也非常支持和信任官某，官某也持续在线寻求解决方案。虽然方案2对于TPT的持有者是最优解，在PIZZA官方全力配合的情况下，大家也可以支持方案3，也非常希望大家群策群力，共同找到共赢最优的解决方案。

For English version, please refer to Proposal on contract conversion of EOS chain TPT — Mirror

方案4 的(1)改成  TP进行EOS合约换币，以黑客盗币前的时点进行快照，将被盗tpt扣除10%-20%后发入被盗用户账户并锁仓，在用户还款后申请解锁。

防范pizza社区不作为，防范用户不还款。解决抛压。10%-20%回收注入dao或者销毁随便。毕竟需要团队出力，这些算是支付团队的工资了，毕竟transit 收入75%在团队，团队值这个钱。
而且投资有风险，算是花10%-20%买个教训，毕竟不是所有人丢币都能找回。这次提案就很出奇，一直觉得dao应该是发展社区的，而不是解决这种问题的，币在你们自己手里想做什么是你们个人的事，而不是社区的事，应该自己承担风险。
  社区是发展开拓tpt，保障大多数持有tpt者利益的地方，我想只不过因为这次数额大或者有大户在里面所以才有了这次提案，很多人丢个几百，几千几万，连上个提案被讨论的资格都没有。所以有些人也不要道德绑架。

 并且这次以后希望社区出统一标准，再有此类事情一律锁住，或者不管，或者最少收多少费(数额大的提百分之多少），不能因为这种事情分裂大户与散户态度，变成散户丢币不管，大户丢币积极的两面派作风。

直接把地址锁死吧

提个建议，能不能把百分之20改为百分之10～15。毕竟被盗的数额巨大，即使是百分之10，也是个非常夸张的数字了。

140万个黑名单目前节点能力做不到，现在只能暂时关掉Hoo 抹茶的TPT提现，但这样所有EOS的TPT都出不去了，跨链也永远不能开，一旦被黑客转出去，8000W慢慢砸至少几年TPT起不来了

是否可以综合两种方案：

PIZZA需要质押一定内容作为担保，归还给持币者后方可解冻。

综合考虑到避免社会产生“丢币对交易所毫无成本”的错误认知和“PIZZA在本次事件中遭遇较大财务损失”的现实情况。虽然我们可以配合操作，但是：

1.作为配合PIZZA平复此次事件的成本，PIZZA需要用一定时间的广告和推广行为作为报酬。
2.本次事件如要向交易所会员发放补偿，应优先用一部分TPT支付。

tpt在柚子的跨链桥就是虎符吧 虎符不开能通过什么转？

8000万一千多万人民币 影响不了几年的

还是选择方案3合适！

不知道是不是我理解有误，如果直接给受害者，那受害者的贷款是不是不用还了，有些存款人的质押比例低，说不定还有赚，那就等于pizza出了金库的钱，所以20%可能并不高

停掉桥，应该写一个合约兑换让持有人进行兑换就可以了，兑换的新的合约启动正常没有兑换的继续放在哪里就行了

这个不靠谱 黑客也可以兑

贷款要还的，还完之后的百分之20。

不好办 需要好好参详

黑客账户写个白名单关联名单就行了

黑名单需要BP投票配合，140W个账户技术上目前有困难，黑客这次是有备而来

几年🥲🥲牛几年呢。

黑名单是tp写一个兑换合约，映射一下被黑前的地址持有者，把黑前和黑后的地址设在成白名单和黑名单不就可以了

好像2并没有说要还贷款，3是明确说了要还。

嗯，我看错了。