12 Temmuz'da, beklenmedik bir hacker saldırısı, Pundi AI'nın kısa süre içinde 1 milyon tokenin anormal bir şekilde artırılmasına neden oldu. Bu krize karşı ekip, öncelikle varlıkları dondurmayı, izlemeyi ve geri almayı seçti ve fonların güvenliğini sağladıktan sonra hemen kamuoyuna açıkladı. Nihayetinde, çalınan fonların neredeyse %90'ını geri almayı ve dondurmayı başardılar, ayrıca 1 milyondan fazla doları önceden ödeyerek kullanıcıların tamamına tazminat sağladılar. Ancak hackerın kullandığı ERC1967Proxy sözleşmesindeki açık şu anda birçok sektörde projeleri etkiledi. Ancak Pundi AI, bu nedenle Upbit, Bithumb gibi 5 büyük borsa tarafından oluşturulan Kore Dijital Varlık Borsası Derneği (DAXA) tarafından Kore borsasında listeden çıkarılma bildirimi aldı, nedeni ise "bilgi ifşası zamanında yapılmadı".
Okuyucuların olayın bağlamını daha iyi anlamalarına yardımcı olmak için, aşağıda önemli zaman çizelgesinin gözden geçirilmesi yer almaktadır.
2 Mart — Function X, markasını PUNDIAI olarak yeniden tasarladığını ve token'ların PUNDI ile değiştirileceğini duyurdu, bu sırada hackerlar sızmıştı ancak çok gizli oldukları için fark edilmediler.
12 Temmuz — Hackerlar resmi olarak saldırıya geçti, 1 milyon token anormal şekilde basıldı; aynı gün para transferleri donduruldu ve izleme başlatıldı; aynı akşam CEO, topluluğa sözleşmede bir açığın bulunduğunu açıkladı ve alınan önlemleri duyurdu.
14 Temmuz — Borsa'ya saldırı olayının araştırma sonuçlarını ve çözümlerini tamamen açıklamak ve DAXA ile iletişime geçmek.
28 Temmuz — Upbit ve Bithumb, 28 Ağustos'ta PundiAI'yi kaldıracaklarını duyurdu, gerekçe olarak "bilgi açıklamalarının zamanında yapılmaması" gösterildi.
31 Temmuz — Resmi açıklama, %80'den fazla varlığın geri alındığını ve 11 gün içinde tüm kullanıcı tazminatlarının tamamlandığını belirtti.
Bu bölümde, PANews, Pundi AI'nin kurucu ortağı Danny Lim ile özel bir röportaj gerçekleştirdi. Olay sürecinin tamamını gözden geçirerek, sektördeki diğer token taşımalarını yapan projelere güvenlik hatırlatmaları yapıldı ve Kore'deki düzenleyici borsalarda listelenen projeler için operasyonel standartlar hatırlatıldı. Aynı zamanda, sektörel bir bakış açısıyla Pundi AI'nin AI veri alanındaki ürün yerleşimi ve mevcut Web3 AI alanındaki gelişmelere dair düşünceleri de ele alındı.
Ayrıca, bir ikilem sorusu ortaya koydu, siber saldırganlarla zekice mücadele ederken, saldırganı rahatsız etmeden kullanıcı fonlarının güvenliğini sağlamak mı öncelikli olmalı? Yoksa şeffaflıktan yana olmak, bilgiyi ilk sırada kamuya açıklamak mı, fakat bu durum saldırganın fonların transferini hızlandırmasına ve böylece zarar gören miktarı artırmasına neden olabilir mi? Bu sefer Pundi AI birincisini seçti, ancak şeffaflığın "kusurları" yüzünden seçim bedelini ödedi.
Sağlam bir atın kaybı, kimin bilebilir ki bu bir nimettir. Danny, düzenlemelere tabi bir borsa tarafından listeden çıkarılmanın aslında proje gelişimi için bir "mühür" açtığını belirtti. Geçmişte, token'ları geri almak veya imha etmek için borsa onayı almak gerekiyordu. Şimdi token ekonomisini daha esnek bir şekilde topluluğa geri dönüştürmek mümkün. Pundi AI, token'ları geri alacak ve kullanıcılara airdrop yapacak, "zor zamanlarda bile bizimle durmayı seçtikleri için onlara teşekkür ediyoruz."
çalındı, kaldırıldı ve zor seçim
PANews: Son günlerde bir duyuru gördüm, Kore Dijital Varlık Borsa Derneği (DAXA) üyelerinden Pundi token'ını kaldırmalarını talep etti. Bunun nedeni, Pundi AI'nın token transferi sırasında çalınması ve zamanında duyurulmaması. Olayın detaylarını açıklayabilir misiniz?
Danny: Güvenlik olayı 12 Temmuz'da saat 14:20 civarında meydana geldi, sistemimiz saat 14:40 civarında uyarı verdi ve anormal bir madencilik olduğunu bildirdi, yaklaşık 1.000.000 PUNDI tokeni madencilik yapıldı. Başlangıçta bir hata olduğunu düşündük; o sırada Cumartesi günüydü ve acil olarak teknik ekiple iletişime geçerek inceleme başlattık.
Saat beşte, bunun bir hata değil, bir saldırı olduğunu doğruladık. Hemen büyük borsalarla iletişime geçtik ve PUNDIAI'nin para yatırma ve çekme işlevlerinin durdurulmasını talep ettik.
Tüm saldırı süreci oldukça incelikliydi. Hacker, token geçiş sözleşmemizdeki bir açığı kullandı. Şubat ayında yeni sözleşmeyi dağıttığımız işlemde, hacker aynı blok içinde, bizimkinin üzerinde bir Gas ücreti ödeyerek bir işlem sundu ve sözleşmemizin yönetici anahtarını (admin key) hızla çağırarak elde etti. Bu yöntem oldukça hassastı, işlemlerimizi gönderme zamanımızı ve bloğu hassas bir şekilde hesaplamayı gerektiriyordu.
PANews: Bu güvenlik açığı hangi protokolleri potansiyel olarak etkiliyor? Diğer kuruluşlara herhangi bir önlem aldınız mı, onlara bildirimde bulundunuz mu?
**Danny:**Bu çok gizli bir açık, Şubat ayında token değişimi gerçekleştirdik, Temmuz'da saldırı meydana geldiğinde ortaya çıktı. Son zamanlarda, Base ağında ve Ethereum üzerinde, son üç dört hafta içinde benzer yöntemlerle birçok projenin saldırıya uğradığını da gördük. Hackerlar çok sabırlıdır, genellikle birkaç ay gizlice beklerler, piyasa ısındığında ve projelerin popülaritesi arttığında harekete geçerler. Bu nedenle, bu olayı kamuya açık bir şekilde paylaşmamız, kendi dersimizi tüm sektöre, özellikle token geçişi veya sözleşme güncellemesi yapmayı planlayan proje sahiplerine bir uyarı niteliğinde, bu "önceden saldırı" potansiyel güvenlik riskine dikkat etmeleri gerektiğini hatırlatmaktadır.
PANews: Hırsızlık tespit edildikten sonra hangi önlemleri aldınız, toplulukla açık bir şekilde paylaştınız mı?
Danny: Hackerların hemen tüm yeni basılan tokenleri satmadığını ve yavaş yavaş nakde çevirdiğini göz önünde bulundurarak, hackerların muhtemelen çalınan fonların farkında olmadığını düşünüyoruz. Varlıkları mümkün olduğunca geri alabilmek için zor bir karar verdik: Dikkat çekmemek, varlıkları gizlice takip etmek ve dondurmak. Varlıklar korunduğunda, 12 Temmuz akşamı Twitter'da sözleşmemizin bir sorunla karşılaştığını duyurduk ve çözüm planımızı açıkladık.
Bu stratejinin etkisi oldukça belirgin. Ethereum ve kendi ana ağımız F(x)Core üzerinde yaklaşık %95 oranında çalınan varlıkları başarıyla engelledik. Ana kayıplar BSC zincirinde yaşandı, çünkü Axelar köprü aracılığıyla BSC ile bağlantı kurduk ve o sırada hafta sonuydu, üçüncü taraf hizmet sağlayıcılarının tepkisi gecikti. PancakeSwap ve kendi DEX'imizde çöküş nedeniyle zarar gören kullanıcılar için, kullanıcıların kayıpları olmaması için adil fiyatla geri alım tazminatı gerçekleştirdik.
Genel olarak, bu saldırı o dönemdeki piyasa değerine göre yaklaşık 600 bin dolarlık tokenin artırılmasına neden oldu, dondurma ve geri alma yoluyla, sonunda varlıkların yaklaşık %87'sini kurtarmayı başardık, sonunda yaklaşık 200 bin dolarlık zararı kendimiz üstlenmeye karar verdik. Token sözleşmesinde tek seferde artırma için bir üst sınır belirledik, aksi takdirde zarar daha fazla olabilirdi.
PANews: Çalınan yalnızca tokenler, ürün seviyesinde ne gibi bir etki var?
**Danny:**Biraz etkisi var. Çünkü Ethereum, BSC ve F(x)Core arasındaki köprü ile ilgili bir iletişimimiz var, benzer olayların tekrar meydana gelmesini önlemek için Token sözleşmesini güncelledik. Yani köprü işlevine belli bir etkisi var ama genel ürün seviyesinde pek bir sorun yok, büyük bir darbe almadı.
PANews: DAXA ile iletişim kurdunuz mu? Bu doğrudan kaldırma yönteminin uygun olmadığını mı düşünüyorsunuz, yoksa bu konuda hangi deneyim ve derslere sahipsiniz?
Danny: DAXA ile çok fazla iletişim kurduk. 14 Temmuz'da bize e-posta gönderdiler, biz de üç dört kez yanıt verdik. İletişim süreci boyunca, bize suçlama yöneltmediler ve herhangi bir spesifik düzeltme talebinde de bulunmadılar, sadece sürekli teknik detaylar, çözüm önerileri ve kullanıcı tazminat durumu hakkında sorular sordular. Bu yüzden o anda sorunun büyük olmadığını düşündük, çoğu fonu geri aldığımızı, tüm kullanıcı kayıplarını tazmin ettiğimizi ve kendi zararlarımızı üstlendiğimizi, geçeceğimizi düşündük. Ama beklenmedik bir şekilde bu hafta pazartesi doğrudan ürünün kaldırıldığına dair bir bildirim aldık. DAXA herhangi bir spesifik neden belirtmedi, borsa bildirisine göre kaldırılma sebebi "zamanında açıklama yapılmaması" idi, bize herhangi bir savunma veya telafi imkanı tanımadı.
Bizim açımızdan, elbette çok yazık olduğunu düşünüyoruz, hatta biraz "kalbimiz kırıldı". Biz gerçekten iş yapan bir ekibiz, hacker saldırısına uğradıktan sonra kullanıcı kayıplarını telafi etmek için kendi paramızı harcadık, varlıkları geri almaya çalıştık. Ama sonunda böyle bir sonuçla karşılaştık. Özellikle son zamanlardaki GMX hacker olayı ile karşılaştırıldığında, onlar sorunsuz geçerken, biz kaldırıldık.
Ancak DAXA'nın bakış açısından, tüm pazarın şeffaflık ve açıklık ilkesini koruyorlar ve bu yaklaşımında bir sakınca yok. Gerçekten de prosedürel olarak kusurlarımız var.
En büyük ders şudur: Kore pazarında, bilginin zamanında ulaşması ve şeffaflığı, her şeyden daha önemlidir. Bu, "varlıkları gizlice geri almak" ile "ilk anda kamuya açıklamak" arasında iyi bir denge kuramadığımız acı bir derstir. Umarım, Kore'de faaliyete geçen veya Kore'de faaliyete geçmeyi planlayan tüm projelere bir uyarı niteliği taşır.
PANews: Borsa liste dışına alma, itibarinizi etkileyebilir mi?
Danny: Evet, bu en çok endişelendiğimiz şey. Liste dışı kalmanın getirdiği ticari kayıplar ikinci planda, asıl acı veren ise itibarımıza verilen zarar. Birçok insan arka plandaki nedenleri derinlemesine araştırmayacak, sadece "Pundi AI DAXA tarafından liste dışı bırakıldı" diyecek ve ardından bize "kötü şirket" veya "dolandırıcı" etiketi yapıştıracak. Bu, yıllarca süren çabalarımızı ve itibarımızı yanlış bir şekilde anlamalarına yol açıyor.
Güney Kore pazarının zorlukları ve gelecekteki planları
PANews: Pundi AI ne zaman Güney Kore borsasında faaliyete geçti? Güney Kore pazarında kaç kullanıcı biriktirdi?
**Danny:**Kore pazarında uzun zamandır bulunuyoruz. Önceki adı Function X (FX) 2019'da Bithumb'da, 2020'de Upbit'te yayınlandı. Biz Kore'de beş altı yıl çalıştık, en az iki yüz otuz bin, hatta belki de dört yüz binin üzerinde kullanıcımız var.
PANews: Kore'de şu anda lahana turşusu fiyatları belirgin şekilde yüksek, özellikle bazı alternatif kripto para piyasalarında. Kore piyasası hakkında ne gibi gözlemleriniz var? Kore borsalarını yeniden başlatmak için bir yol arayacak mısınız?
Danny: Kore pazarı oldukça benzersiz. Kullanıcılar ticaret için CEX'e çok bağımlı, DeFi veya zincir üstü işlemlere kabul oranı genel olarak düşük. İşlem hacmimizin yaklaşık %80'i, işlem yapılabilir token'larımızın %70'i Kore'deki CEX'te. Bu nedenle, bu liste kaldırma işlemi likiditemiz üzerinde büyük bir etki yaratıyor.
Yeniden çevrimiçi olma konusunda, bir tur soruşturma yaptık ve aldığımız geri bildirimler bunun son derece zor olduğunu düşünüyor. DAXA'nın kararı Kore'de otoriteye sahiptir ve bir kez alındığında, kısa vadede tersine çevrilmesi zordur. Ancak DAXA ve büyük borsalarla aktif bir şekilde iletişim kurmaya devam ediyoruz, onların güvenini kazanarak Kore pazarına geri dönmeyi umuyoruz.
Ama bizi çok sevindiren ve duygulandıran bir nokta var. Listeden kaldırma duyurusu yapıldıktan sonra, token fiyatımız diğer projeler gibi büyük bir düşüş göstermedi, temelde stabil kaldı. Bu, topluluğumuzun, token sahiplerimizin hala bize inandığını gösteriyor. Bu da bizi en çok üzen yer; bir yandan bu güveni boşa çıkarmamak istiyoruz, diğer yandan onlara kolay bir ticaret kanalı sunamadığımız için zorlanıyoruz.
PANews: Topluluk için herhangi bir plan var mı?
**Danny:**Şu anda üç ana planımız var.
İlk olarak, Güney Kore merkezli borsa yolunun geçici olarak zor olduğunu düşünerek, blok zinciri üzerinde, yani merkeziyetsiz borsa yatırımlarımızı artıracağız. Kendi paramızla, PancakeSwap, Uniswap gibi platformlarda daha derin bir likidite havuzu oluşturacağız ve kullanıcılara yeterli likidite sağlayacağız.
İkincisi, yeni AI veri ürünlerimizi büyük bir şekilde tanıtacağız. İyi ürünlerin, projelerin gelişiminde temel itici güç olduğuna inanıyoruz.
Üçüncü olarak, bir token geri alım ve airdrop planı açıklayacağız. Dürüst olmak gerekirse, geçmişte Kore'deki uyumlu merkezi borsa platformlarında yer almak, kollarımızın bağlı olduğu bir durumdu; token'ları geri almak veya yok etmek için onların onayını almak zorundaydınız. Şimdi, "mühürümüzü kırdık" diyebiliriz ve token ekonomisini topluluğa geri vermek için daha esnek bir şekilde kullanabiliriz. Token'ları geri alacağız ve bizleri destekleyen kullanıcılara airdrop yapacağız, zorlu zamanlarda yanımızda durmayı tercih ettikleri için onlara teşekkür ederiz.
AI veri varlıklaştırmanın vizyonu ve zorlukları
PANews: Yeni AI veri ürününüzden bahsettiniz, bu ürünü ve gelecek planlarını detaylandırabilir misiniz?
Danny: Aslında yeni ürünümüz Data Pump hazır ve 10 Temmuz'da soft launch'ı yapıldı. Çok ilginç bir şekilde, 12'sinde saldırıya uğradık ve tanıtım yapmaya fırsat bulamadık.
Data Pump, bir "AI veri setleri için Launchpad" olarak anlaşılabilir. Bu ürün, Pump.fun'a benzer bir mekanizmayı birleştiriyor, ancak temel varlık meme coinleri değil, veri setleri. Amacı verileri tokenleştirmek (DataFi), kullanıcılar çeşitli içerik verilerini (tweetler, sesler, videolar vb.) NFT'ye paketleyebilir, ardından bu NFT'yi platformumuzda teminat olarak göstererek karşılık gelen token'ları üretebilir ve doğrudan PancakeSwap gibi DEX'lerde işlem yapmak için ticaret çiftleri oluşturabilirler. Bundan sonra tüm odak noktamız bu ürünün tanıtımı ve işletimi olacak.
PANews: Son iki yılda AI alanı Web3'ün önemli alanlarından biri haline geldi, aynı zamanda AI veri alanında Pundi AI'nın ürünleri ve Sahara, openledger gibi diğer birkaç firma arasında ne fark var?
Danny: İlk olarak, veri düzeyinde, birçok projenin genel veri etiketlemesi yaptığını, kullanıcıların esasen "airdrop almak" için bunu yaptığını, bu verilerin ticari değerinin sınırlı olduğunu belirtmek gerekir. Biz ise başından itibaren tıbbi görüntüleme (kardiyovasküler hastalık tanıma), otonom sürüş (yüksek hassasiyetli engel çizimi), hukuki belgeler gibi uzmanlaşmış alt alanlara odaklandık. Veri etiketleme için Endonezya'daki üniversitelerde tıp öğrencileri buluyoruz, verilerin uzmanlık ve yüksek kalitesini garanti ediyoruz. Etiketleme kullanıcılarımız sadece birkaç on bin, aktif olanların sayısı 1000'in altında ama kaliteleri çok yüksek.
İkincisi, onlardan daha fazla bir katman ekledik ve AI AMM (Otomatik Piyasa Yapıcı) geliştirdik. Kullanıcılar sadece LP tokenlerini yerleştirerek, zincir üzerinde otomatik olarak işlem yapabilirler. Bu, verilerin varlıklaştırılmasını ve paraya dönüştürülmesini sağladı.
Son olarak, büyük bir veri temeline sahibiz. Şu anda zincir üzerinde bir PB (yaklaşık 1024 TB) seviyesinde veri miktarına sahibiz, bu da Web3 alanındaki en büyük veri depolarından biri olmalı.
PANews: Bu yılın başında AI Agent'ın fomo piyasası sona erdiğinden beri, AI alanı sürekli olarak düşük seviyelerde konsolide oluyor. Sizce şu anda Web3 AI alanında gelişimin engelleri nerede? Yılın başındaki heyecana geri dönme umudu var mı?
Danny: Kişisel olarak, Web3 AI'nın gelişiminde bir engel olduğunu düşünüyorum; şu anda gerçekten faydalı ve hayatı değiştiren bir şey ortaya çıkmadı.
Öncelikle, "dağıtık hesaplama gücü" olarak adlandırılan şey şu aşamada daha çok bir sahte kavram gibi. Dağıtık bir ağda bazı küçük dil modelleri çalıştırmak mümkün olabilir, ancak GPT-4 gibi gerçekten anlamlı büyük bir modeli çalıştırmak tamamen gerçekçi değildir.
Blockchain'ın AI alanındaki gerçek değeri "veri katmanı"dır, yani kullanıcıların veri egemenliğini ve gizliliğini korumaktır. ChatGPT'de sorduğunuz her soru, ona veri sağlamakta ve tarihçenize erişimini engelleyemezsiniz. Blockchain, özellikle ZK (sıfır bilgi kanıtı) teknolojisini kullanarak, bu sorunu mükemmel bir şekilde çözebilir ve kullanıcıların yetki verdiği durumlarda, AI'nin kendi verilerini güvenli bir şekilde kullanmasına olanak tanır.
Ama sorun şu ki, şu anda sıradan kullanıcılar verilerinin gizliliğinin ne kadar önemli olduğunu henüz hissetmiyor. Herkesin bu farkındalığı yok.
Bu nedenle, Web3 AI alanının gerçek bir patlama yaşaması için, "aşağıya uyumlu" bir anı beklememiz gerektiğini düşünüyorum. Yani, kullanıcı verilerinin gizliliğinin önemini fark eden bir geleneksel AI devinin, örneğin OpenAI veya Google, büyük bir veri sızıntısı skandalı gibi bir fırsatla, blok zinciri teknolojisini benimsemesi gerekiyor ve kullanıcılara veri koruma özellikleri sunması gerekiyor. Bu eğilim kesinlikle geleneksel devler tarafından yönlendirilecek, Web3 yerel projeleri tarafından aşağıdan yukarıya itilmeyecek. Bu günün çok uzak olmadığını düşünüyorum.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Kore'ye 5 yıl boyunca zorla ayrılmak, Pundi AI'nın kullanıcı varlıklarını koruma önceliği "hatalı bir karar" mı?
Röportaj: Tong, PANews
Editör: Yuliya, PANews
12 Temmuz'da, beklenmedik bir hacker saldırısı, Pundi AI'nın kısa süre içinde 1 milyon tokenin anormal bir şekilde artırılmasına neden oldu. Bu krize karşı ekip, öncelikle varlıkları dondurmayı, izlemeyi ve geri almayı seçti ve fonların güvenliğini sağladıktan sonra hemen kamuoyuna açıkladı. Nihayetinde, çalınan fonların neredeyse %90'ını geri almayı ve dondurmayı başardılar, ayrıca 1 milyondan fazla doları önceden ödeyerek kullanıcıların tamamına tazminat sağladılar. Ancak hackerın kullandığı ERC1967Proxy sözleşmesindeki açık şu anda birçok sektörde projeleri etkiledi. Ancak Pundi AI, bu nedenle Upbit, Bithumb gibi 5 büyük borsa tarafından oluşturulan Kore Dijital Varlık Borsası Derneği (DAXA) tarafından Kore borsasında listeden çıkarılma bildirimi aldı, nedeni ise "bilgi ifşası zamanında yapılmadı".
Okuyucuların olayın bağlamını daha iyi anlamalarına yardımcı olmak için, aşağıda önemli zaman çizelgesinin gözden geçirilmesi yer almaktadır.
Bu bölümde, PANews, Pundi AI'nin kurucu ortağı Danny Lim ile özel bir röportaj gerçekleştirdi. Olay sürecinin tamamını gözden geçirerek, sektördeki diğer token taşımalarını yapan projelere güvenlik hatırlatmaları yapıldı ve Kore'deki düzenleyici borsalarda listelenen projeler için operasyonel standartlar hatırlatıldı. Aynı zamanda, sektörel bir bakış açısıyla Pundi AI'nin AI veri alanındaki ürün yerleşimi ve mevcut Web3 AI alanındaki gelişmelere dair düşünceleri de ele alındı.
Ayrıca, bir ikilem sorusu ortaya koydu, siber saldırganlarla zekice mücadele ederken, saldırganı rahatsız etmeden kullanıcı fonlarının güvenliğini sağlamak mı öncelikli olmalı? Yoksa şeffaflıktan yana olmak, bilgiyi ilk sırada kamuya açıklamak mı, fakat bu durum saldırganın fonların transferini hızlandırmasına ve böylece zarar gören miktarı artırmasına neden olabilir mi? Bu sefer Pundi AI birincisini seçti, ancak şeffaflığın "kusurları" yüzünden seçim bedelini ödedi.
Sağlam bir atın kaybı, kimin bilebilir ki bu bir nimettir. Danny, düzenlemelere tabi bir borsa tarafından listeden çıkarılmanın aslında proje gelişimi için bir "mühür" açtığını belirtti. Geçmişte, token'ları geri almak veya imha etmek için borsa onayı almak gerekiyordu. Şimdi token ekonomisini daha esnek bir şekilde topluluğa geri dönüştürmek mümkün. Pundi AI, token'ları geri alacak ve kullanıcılara airdrop yapacak, "zor zamanlarda bile bizimle durmayı seçtikleri için onlara teşekkür ediyoruz."
çalındı, kaldırıldı ve zor seçim
PANews: Son günlerde bir duyuru gördüm, Kore Dijital Varlık Borsa Derneği (DAXA) üyelerinden Pundi token'ını kaldırmalarını talep etti. Bunun nedeni, Pundi AI'nın token transferi sırasında çalınması ve zamanında duyurulmaması. Olayın detaylarını açıklayabilir misiniz?
Danny: Güvenlik olayı 12 Temmuz'da saat 14:20 civarında meydana geldi, sistemimiz saat 14:40 civarında uyarı verdi ve anormal bir madencilik olduğunu bildirdi, yaklaşık 1.000.000 PUNDI tokeni madencilik yapıldı. Başlangıçta bir hata olduğunu düşündük; o sırada Cumartesi günüydü ve acil olarak teknik ekiple iletişime geçerek inceleme başlattık.
Saat beşte, bunun bir hata değil, bir saldırı olduğunu doğruladık. Hemen büyük borsalarla iletişime geçtik ve PUNDIAI'nin para yatırma ve çekme işlevlerinin durdurulmasını talep ettik.
Tüm saldırı süreci oldukça incelikliydi. Hacker, token geçiş sözleşmemizdeki bir açığı kullandı. Şubat ayında yeni sözleşmeyi dağıttığımız işlemde, hacker aynı blok içinde, bizimkinin üzerinde bir Gas ücreti ödeyerek bir işlem sundu ve sözleşmemizin yönetici anahtarını (admin key) hızla çağırarak elde etti. Bu yöntem oldukça hassastı, işlemlerimizi gönderme zamanımızı ve bloğu hassas bir şekilde hesaplamayı gerektiriyordu.
PANews: Bu güvenlik açığı hangi protokolleri potansiyel olarak etkiliyor? Diğer kuruluşlara herhangi bir önlem aldınız mı, onlara bildirimde bulundunuz mu?
**Danny:**Bu çok gizli bir açık, Şubat ayında token değişimi gerçekleştirdik, Temmuz'da saldırı meydana geldiğinde ortaya çıktı. Son zamanlarda, Base ağında ve Ethereum üzerinde, son üç dört hafta içinde benzer yöntemlerle birçok projenin saldırıya uğradığını da gördük. Hackerlar çok sabırlıdır, genellikle birkaç ay gizlice beklerler, piyasa ısındığında ve projelerin popülaritesi arttığında harekete geçerler. Bu nedenle, bu olayı kamuya açık bir şekilde paylaşmamız, kendi dersimizi tüm sektöre, özellikle token geçişi veya sözleşme güncellemesi yapmayı planlayan proje sahiplerine bir uyarı niteliğinde, bu "önceden saldırı" potansiyel güvenlik riskine dikkat etmeleri gerektiğini hatırlatmaktadır.
PANews: Hırsızlık tespit edildikten sonra hangi önlemleri aldınız, toplulukla açık bir şekilde paylaştınız mı?
Danny: Hackerların hemen tüm yeni basılan tokenleri satmadığını ve yavaş yavaş nakde çevirdiğini göz önünde bulundurarak, hackerların muhtemelen çalınan fonların farkında olmadığını düşünüyoruz. Varlıkları mümkün olduğunca geri alabilmek için zor bir karar verdik: Dikkat çekmemek, varlıkları gizlice takip etmek ve dondurmak. Varlıklar korunduğunda, 12 Temmuz akşamı Twitter'da sözleşmemizin bir sorunla karşılaştığını duyurduk ve çözüm planımızı açıkladık.
Bu stratejinin etkisi oldukça belirgin. Ethereum ve kendi ana ağımız F(x)Core üzerinde yaklaşık %95 oranında çalınan varlıkları başarıyla engelledik. Ana kayıplar BSC zincirinde yaşandı, çünkü Axelar köprü aracılığıyla BSC ile bağlantı kurduk ve o sırada hafta sonuydu, üçüncü taraf hizmet sağlayıcılarının tepkisi gecikti. PancakeSwap ve kendi DEX'imizde çöküş nedeniyle zarar gören kullanıcılar için, kullanıcıların kayıpları olmaması için adil fiyatla geri alım tazminatı gerçekleştirdik.
Genel olarak, bu saldırı o dönemdeki piyasa değerine göre yaklaşık 600 bin dolarlık tokenin artırılmasına neden oldu, dondurma ve geri alma yoluyla, sonunda varlıkların yaklaşık %87'sini kurtarmayı başardık, sonunda yaklaşık 200 bin dolarlık zararı kendimiz üstlenmeye karar verdik. Token sözleşmesinde tek seferde artırma için bir üst sınır belirledik, aksi takdirde zarar daha fazla olabilirdi.
PANews: Çalınan yalnızca tokenler, ürün seviyesinde ne gibi bir etki var?
**Danny:**Biraz etkisi var. Çünkü Ethereum, BSC ve F(x)Core arasındaki köprü ile ilgili bir iletişimimiz var, benzer olayların tekrar meydana gelmesini önlemek için Token sözleşmesini güncelledik. Yani köprü işlevine belli bir etkisi var ama genel ürün seviyesinde pek bir sorun yok, büyük bir darbe almadı.
PANews: DAXA ile iletişim kurdunuz mu? Bu doğrudan kaldırma yönteminin uygun olmadığını mı düşünüyorsunuz, yoksa bu konuda hangi deneyim ve derslere sahipsiniz?
Danny: DAXA ile çok fazla iletişim kurduk. 14 Temmuz'da bize e-posta gönderdiler, biz de üç dört kez yanıt verdik. İletişim süreci boyunca, bize suçlama yöneltmediler ve herhangi bir spesifik düzeltme talebinde de bulunmadılar, sadece sürekli teknik detaylar, çözüm önerileri ve kullanıcı tazminat durumu hakkında sorular sordular. Bu yüzden o anda sorunun büyük olmadığını düşündük, çoğu fonu geri aldığımızı, tüm kullanıcı kayıplarını tazmin ettiğimizi ve kendi zararlarımızı üstlendiğimizi, geçeceğimizi düşündük. Ama beklenmedik bir şekilde bu hafta pazartesi doğrudan ürünün kaldırıldığına dair bir bildirim aldık. DAXA herhangi bir spesifik neden belirtmedi, borsa bildirisine göre kaldırılma sebebi "zamanında açıklama yapılmaması" idi, bize herhangi bir savunma veya telafi imkanı tanımadı.
Bizim açımızdan, elbette çok yazık olduğunu düşünüyoruz, hatta biraz "kalbimiz kırıldı". Biz gerçekten iş yapan bir ekibiz, hacker saldırısına uğradıktan sonra kullanıcı kayıplarını telafi etmek için kendi paramızı harcadık, varlıkları geri almaya çalıştık. Ama sonunda böyle bir sonuçla karşılaştık. Özellikle son zamanlardaki GMX hacker olayı ile karşılaştırıldığında, onlar sorunsuz geçerken, biz kaldırıldık.
Ancak DAXA'nın bakış açısından, tüm pazarın şeffaflık ve açıklık ilkesini koruyorlar ve bu yaklaşımında bir sakınca yok. Gerçekten de prosedürel olarak kusurlarımız var.
En büyük ders şudur: Kore pazarında, bilginin zamanında ulaşması ve şeffaflığı, her şeyden daha önemlidir. Bu, "varlıkları gizlice geri almak" ile "ilk anda kamuya açıklamak" arasında iyi bir denge kuramadığımız acı bir derstir. Umarım, Kore'de faaliyete geçen veya Kore'de faaliyete geçmeyi planlayan tüm projelere bir uyarı niteliği taşır.
PANews: Borsa liste dışına alma, itibarinizi etkileyebilir mi?
Danny: Evet, bu en çok endişelendiğimiz şey. Liste dışı kalmanın getirdiği ticari kayıplar ikinci planda, asıl acı veren ise itibarımıza verilen zarar. Birçok insan arka plandaki nedenleri derinlemesine araştırmayacak, sadece "Pundi AI DAXA tarafından liste dışı bırakıldı" diyecek ve ardından bize "kötü şirket" veya "dolandırıcı" etiketi yapıştıracak. Bu, yıllarca süren çabalarımızı ve itibarımızı yanlış bir şekilde anlamalarına yol açıyor.
Güney Kore pazarının zorlukları ve gelecekteki planları
PANews: Pundi AI ne zaman Güney Kore borsasında faaliyete geçti? Güney Kore pazarında kaç kullanıcı biriktirdi?
**Danny:**Kore pazarında uzun zamandır bulunuyoruz. Önceki adı Function X (FX) 2019'da Bithumb'da, 2020'de Upbit'te yayınlandı. Biz Kore'de beş altı yıl çalıştık, en az iki yüz otuz bin, hatta belki de dört yüz binin üzerinde kullanıcımız var.
PANews: Kore'de şu anda lahana turşusu fiyatları belirgin şekilde yüksek, özellikle bazı alternatif kripto para piyasalarında. Kore piyasası hakkında ne gibi gözlemleriniz var? Kore borsalarını yeniden başlatmak için bir yol arayacak mısınız?
Danny: Kore pazarı oldukça benzersiz. Kullanıcılar ticaret için CEX'e çok bağımlı, DeFi veya zincir üstü işlemlere kabul oranı genel olarak düşük. İşlem hacmimizin yaklaşık %80'i, işlem yapılabilir token'larımızın %70'i Kore'deki CEX'te. Bu nedenle, bu liste kaldırma işlemi likiditemiz üzerinde büyük bir etki yaratıyor.
Yeniden çevrimiçi olma konusunda, bir tur soruşturma yaptık ve aldığımız geri bildirimler bunun son derece zor olduğunu düşünüyor. DAXA'nın kararı Kore'de otoriteye sahiptir ve bir kez alındığında, kısa vadede tersine çevrilmesi zordur. Ancak DAXA ve büyük borsalarla aktif bir şekilde iletişim kurmaya devam ediyoruz, onların güvenini kazanarak Kore pazarına geri dönmeyi umuyoruz.
Ama bizi çok sevindiren ve duygulandıran bir nokta var. Listeden kaldırma duyurusu yapıldıktan sonra, token fiyatımız diğer projeler gibi büyük bir düşüş göstermedi, temelde stabil kaldı. Bu, topluluğumuzun, token sahiplerimizin hala bize inandığını gösteriyor. Bu da bizi en çok üzen yer; bir yandan bu güveni boşa çıkarmamak istiyoruz, diğer yandan onlara kolay bir ticaret kanalı sunamadığımız için zorlanıyoruz.
PANews: Topluluk için herhangi bir plan var mı?
**Danny:**Şu anda üç ana planımız var.
AI veri varlıklaştırmanın vizyonu ve zorlukları
PANews: Yeni AI veri ürününüzden bahsettiniz, bu ürünü ve gelecek planlarını detaylandırabilir misiniz?
Danny: Aslında yeni ürünümüz Data Pump hazır ve 10 Temmuz'da soft launch'ı yapıldı. Çok ilginç bir şekilde, 12'sinde saldırıya uğradık ve tanıtım yapmaya fırsat bulamadık.
Data Pump, bir "AI veri setleri için Launchpad" olarak anlaşılabilir. Bu ürün, Pump.fun'a benzer bir mekanizmayı birleştiriyor, ancak temel varlık meme coinleri değil, veri setleri. Amacı verileri tokenleştirmek (DataFi), kullanıcılar çeşitli içerik verilerini (tweetler, sesler, videolar vb.) NFT'ye paketleyebilir, ardından bu NFT'yi platformumuzda teminat olarak göstererek karşılık gelen token'ları üretebilir ve doğrudan PancakeSwap gibi DEX'lerde işlem yapmak için ticaret çiftleri oluşturabilirler. Bundan sonra tüm odak noktamız bu ürünün tanıtımı ve işletimi olacak.
PANews: Son iki yılda AI alanı Web3'ün önemli alanlarından biri haline geldi, aynı zamanda AI veri alanında Pundi AI'nın ürünleri ve Sahara, openledger gibi diğer birkaç firma arasında ne fark var?
Danny: İlk olarak, veri düzeyinde, birçok projenin genel veri etiketlemesi yaptığını, kullanıcıların esasen "airdrop almak" için bunu yaptığını, bu verilerin ticari değerinin sınırlı olduğunu belirtmek gerekir. Biz ise başından itibaren tıbbi görüntüleme (kardiyovasküler hastalık tanıma), otonom sürüş (yüksek hassasiyetli engel çizimi), hukuki belgeler gibi uzmanlaşmış alt alanlara odaklandık. Veri etiketleme için Endonezya'daki üniversitelerde tıp öğrencileri buluyoruz, verilerin uzmanlık ve yüksek kalitesini garanti ediyoruz. Etiketleme kullanıcılarımız sadece birkaç on bin, aktif olanların sayısı 1000'in altında ama kaliteleri çok yüksek.
İkincisi, onlardan daha fazla bir katman ekledik ve AI AMM (Otomatik Piyasa Yapıcı) geliştirdik. Kullanıcılar sadece LP tokenlerini yerleştirerek, zincir üzerinde otomatik olarak işlem yapabilirler. Bu, verilerin varlıklaştırılmasını ve paraya dönüştürülmesini sağladı.
Son olarak, büyük bir veri temeline sahibiz. Şu anda zincir üzerinde bir PB (yaklaşık 1024 TB) seviyesinde veri miktarına sahibiz, bu da Web3 alanındaki en büyük veri depolarından biri olmalı.
PANews: Bu yılın başında AI Agent'ın fomo piyasası sona erdiğinden beri, AI alanı sürekli olarak düşük seviyelerde konsolide oluyor. Sizce şu anda Web3 AI alanında gelişimin engelleri nerede? Yılın başındaki heyecana geri dönme umudu var mı?
Danny: Kişisel olarak, Web3 AI'nın gelişiminde bir engel olduğunu düşünüyorum; şu anda gerçekten faydalı ve hayatı değiştiren bir şey ortaya çıkmadı.
Öncelikle, "dağıtık hesaplama gücü" olarak adlandırılan şey şu aşamada daha çok bir sahte kavram gibi. Dağıtık bir ağda bazı küçük dil modelleri çalıştırmak mümkün olabilir, ancak GPT-4 gibi gerçekten anlamlı büyük bir modeli çalıştırmak tamamen gerçekçi değildir.
Blockchain'ın AI alanındaki gerçek değeri "veri katmanı"dır, yani kullanıcıların veri egemenliğini ve gizliliğini korumaktır. ChatGPT'de sorduğunuz her soru, ona veri sağlamakta ve tarihçenize erişimini engelleyemezsiniz. Blockchain, özellikle ZK (sıfır bilgi kanıtı) teknolojisini kullanarak, bu sorunu mükemmel bir şekilde çözebilir ve kullanıcıların yetki verdiği durumlarda, AI'nin kendi verilerini güvenli bir şekilde kullanmasına olanak tanır.
Ama sorun şu ki, şu anda sıradan kullanıcılar verilerinin gizliliğinin ne kadar önemli olduğunu henüz hissetmiyor. Herkesin bu farkındalığı yok.
Bu nedenle, Web3 AI alanının gerçek bir patlama yaşaması için, "aşağıya uyumlu" bir anı beklememiz gerektiğini düşünüyorum. Yani, kullanıcı verilerinin gizliliğinin önemini fark eden bir geleneksel AI devinin, örneğin OpenAI veya Google, büyük bir veri sızıntısı skandalı gibi bir fırsatla, blok zinciri teknolojisini benimsemesi gerekiyor ve kullanıcılara veri koruma özellikleri sunması gerekiyor. Bu eğilim kesinlikle geleneksel devler tarafından yönlendirilecek, Web3 yerel projeleri tarafından aşağıdan yukarıya itilmeyecek. Bu günün çok uzak olmadığını düşünüyorum.