Si bien la semana pasada ha sido estresante para todo el equipo VeChain, también es una de las experiencias más gratificantes para el equipo. Al lidiar con el incidente, nuestro equipo y comunidad se fortalecieron.
La seguridad es siempre una de las principales prioridades de VeChain. Nos gustaría volver a enfatizar que la seguridad de las aplicaciones VeChainThor y wallet están intactas y no se ven afectadas. Hemos trabajado mucho en los últimos años para garantizar la seguridad de la infraestructura y, a partir del incidente, acabamos de enterarnos de que se debe atribuir una importancia justa a otros elementos, como el cumplimiento del proceso. En el futuro, todavía estamos comprometidos a proporcionar servicios de seguros a todas nuestras partes interesadas, incluidos los miembros de la comunidad, los titulares de tokens, los socios empresariales y los propietarios de aplicaciones.
Desde que ocurrió el incidente, junto con la comunidad, los desarrolladores y nuestros socios, hemos tomado las medidas necesarias e inmediatas para controlar la situación y reducir el impacto en la comunidad. La buena noticia es que creemos que el daño ha sido contenido con éxito hasta ahora.
El 13 de diciembre, tan pronto como notamos la transacción anormal de la billetera de recompra de la Fundación, informamos al Comité Directivo para que lanzara el protocolo de respuesta a incidentes y convocamos una reunión urgente con líderes en diversas funciones. Verificamos de inmediato la seguridad del resto de las billeteras de la Fundación, notificamos los principales intercambios y tomamos todas las medidas necesarias para reducir los posibles impactos en el mercado para proteger a todos los interesados.
Poco después del incidente, VeChainStats, que es bien conocido en toda la comunidad VeChain como desarrollador dedicado de herramientas de análisis de datos para el ecosistema, ofreció crear una lista negra para rastrear los fondos robados. Permitió a los intercambios tomar medidas preventivas y evitar que los depósitos de las direcciones incluidas en la lista negra lleguen directamente al mercado. Además, el equipo de Hacken que está trabajando con más de 2,000 hackers de sombrero blanco estaba ayudando a rastrear los fondos y los intercambios notificados en la Alianza de Defensores Criptográficos.
Gracias a las respuestas rápidas de OceanEx, Binance, Huobi, Kucoin, Bitrue, Bitfinex, Bittrex y otros intercambios, pudimos evitar que el ladrón creara un impacto negativo deliberado aún mayor en el mercado. Sin embargo, el ladrón intensificó la acción en los próximos días, como crear miles de billeteras nuevas con una pequeña cantidad de tokens para lavar los fondos robados y lanzar ataques DDoS a la lista negra de VeChainStats, etc., lo que nos hizo pensar que necesitamos tomar medidas más decisivas para contener el daño y, lo que es más importante, ganar más tiempo para la investigación y la recopilación de comentarios de la comunidad.
Por lo tanto, el Secretario General del Comité Directivo, Sunny Lu, convocó una reunión urgente del Comité Directivo interno para discutir las posibilidades de acciones preventivas. Después de una cuidadosa consideración, el Comité Directivo votó y aprobó una moción para contactar a todos los Masternodes de la Autoridad y lanzar un parche de emergencia, es decir, VeChainThor v1.1.5 el 18 de diciembre, para que el Masternode de la Autoridad pueda votar si aceptan o no implementar un bloqueo temporal. en las direcciones controladas por el ladrón.
Esto fue bien recibido por todos los titulares de Masternodes de Autoridad, y gracias a su rápida respuesta, dentro de las 72 horas posteriores al lanzamiento del parche, la situación estuvo rápidamente bajo control a medida que vemos que más y más Masternodes de Autoridad optaron por implementar las nuevas actualizaciones. . Todos los Masternodes de la Autoridad han confirmado que la lista de bloqueo ha sido implementada, por lo tanto, es casi imposible que el ladrón mueva los fondos robados por ahora.
Actualmente, 469 direcciones propiedad del ladrón han sido bloqueadas por Authority Masternodes, que congeló alrededor de 727 millones de VET. Para los fondos que ya se han trasladado a intercambios, continuaremos trabajando con los intercambios para recuperar los fondos robados.
VeChain siempre tiene como objetivo la iteración y el equilibrio profundo de la descentralización para la transparencia y la confianza, y la eficiencia de ejecución.
Es imperativo que la comunidad tome la decisión final sobre el destino de la dirección bloqueada y los fondos robados dentro de ellos. De acuerdo con lo aprobado recientemente VeChain Governance Charter, el Comité Directivo está convencido de que se necesita una votación de todos los interesados en este tipo de casos extremos. Por lo tanto, vamos a anunciar una votación de todos los interesados muy pronto para implementar o no la lista de bloqueo introducida en VeChainThor v1.1.5 de forma permanente, para convertir estas 469 direcciones contaminadas en direcciones quemadas, y de hecho para quemar los 727 millones de tokens VET fichas, restadas para siempre del suministro total y circulante. Los detalles serán anunciados pronto.
En el lado de la investigación, estamos trabajando con firmas profesionales de seguridad cibernética para llevar a cabo controles ciber forenses en los dispositivos que se vieron potencialmente comprometidos para causar este robo. Esperamos descubrir evidencia y rastros que el ladrón haya dejado para confirmar la causa exacta del incidente. También estamos colaborando con intercambios para interrogar a las pruebas, la policía tomará medidas si surgen pruebas sólidas.
Mientras que el empleado relacionado ha sido responsabilizado por el error, el jefe del Comité de Operaciones de la Fundación VeChain que supervisa la unidad de finanzas se responsabilizará de este incidente que ocurrió bajo su cargo. Jay Zhang dejará su cargo como CFO y será reemplazado de manera interina por el controlador financiero actual. Además, Jay Zhang también renuncia a su candidatura para la próxima elección del Comité Directivo en 2020 y renuncia al 50% de su compensación para todo el año 2020.
Además, Sunny Lu, que es el CEO, es el responsable final de este incidente, aunque no fue la persona directamente implicada, también tendrá su parte de las consecuencias. Al igual que Jay Zhang, Sunny Lu renunciará al 50% de su compensación durante todo el año 2020.
El equipo de la Fundación ha decidido planes internos de remediación y mejora para fortalecer aún más la gestión de la seguridad de los activos digitales, tanto desde una perspectiva técnica como procesal. Y este robo de clave privada ha puesto nuestro procedimiento de respuesta a incidentes en una prueba de la vida real, y también aprovecharemos la oportunidad para mejorar aún más el proceso.
En resumen, este incidente no afectará el desarrollo a largo plazo de VeChain. Nos gustaría disculparnos nuevamente por las fallas no intencionadas y expresar nuestra sincera gratitud por la ayuda y la comprensión de todos los interesados.