Il co-fondatore di deBridge solleva dubbi sui piani di riavvio post-hack di Flow

Alex Smirnov, co-fondatore di deBridge, ha sottolineato alcuni aspetti che ritiene passi falsi critici mentre il team Flow continua a riprendersi dal recente attacco che ha colpito la sua rete. 

Nell'ambito dei suoi sforzi di recupero, il team di Flow ha suggerito un rollback, il che ha destato perplessità poiché critici come Smirnov, la cui azienda deBridge è integrata con Flow, hanno affermato di non aver ricevuto alcuna comunicazione o coordinamento dal team di Flow.

Questo nonostante Flow abbia affermato di essersi sincronizzata con partner critici.

Perché di deBridge si preoccupa del concetto di Flow?

Secondo Smirnov, la decisione di tornare indietro è stata affrettata e probabilmente comporterà danni finanziari di gran lunga superiori all'impatto dell'attacco originale.

"Un rollback introduce problemi sistemici che incidono sui bridge, sui custodi, sugli utenti e sulle controparti che hanno agito onestamente durante il periodo interessato", ha spiegato Smirnov prima di esortare tutti i validatori di Flow a non convalidare le transazioni sulla catena sottoposta a rollback finché non avranno ricevuto una risposta chiara ad alcune domande cruciali.

Una di queste domande riguarda il modo in cui Flow intende gestire i saldi raddoppiati per gli utenti che sono usciti da Flow durante la finestra di rollback e hanno visto raddoppiare i loro saldi a causa del ripristino, e come verranno rimborsati gli utenti che sono entrati in Flow durante la finestra di rollback.

Un'altra domanda a cui vuole trovare risposta è come i custodi dell'ecosistema come LayerZero gestiranno i casi di transazioni eseguite proprio all'interno della finestra di rollback.

Smirnov ha evidenziatodentsimili, sostenendo che sono stati gestiti in modo molto più professionale e che gli hacker sono stati isolati senza la necessità di un rollback.

"Perché Flow sta adottando un approccio diverso?" ha chiesto. "Chi ha preso specificamente la decisione di ripristinare la catena?"

Smirnov ha esortato i validatori di Flow a mettere in pausa i nodi e a interrompere la convalida finché il team non avrà comunicato chiari piani di rimedio, i partner dell'ecosistema non saranno stati adeguatamente coordinati e non saranno stati coinvolti gruppi di sicurezza come Security Alliance.

In un tweet separato, Smirnov ha ribadito l'inutilità della soluzione di Flow, sottolineando che l'attaccante ha già "trasferito circa 4 milioni di dollari e consolidato i fondi a questo indirizzo prima di procedere ulteriormente".

"In questa fase, un rollback non ha alcun impatto sull'attaccante di Flow e danneggia solo gli utenti innocenti, i fornitori di liquidità e i partner dell'ecosistema che hanno agito onestamente durante il periodo di rollback", ha scritto.

delle richieste di rimborsoèil modo più sicuro per procedere

Secondo il team di Flow, non esiste altra soluzione logica se non quella di ripristinare la rete a un punto di controllo precedente all'attacco. Il piano è quello di rimuovere le transazioni non autorizzate dal registro.

La finestra di rollback riguarderà le transazioni inviate tra le 23:25 PST circa (26 dicembre) e l'interruzione della rete alle 5:30 PST ( 27 dicembre); dovranno essere reinviate dopo il riavvio, compresi tutti gli utenti legittimi a cui la soluzione proposta creerà inconvenienti.

I validatori hanno accettato e implementato la correzione Mainnet-28, ma la rete è ancora in modalità di sola lettura per la sincronizzazione con bridge, CEX e DEX per evitare discrepanze di stato.

A partire dal 28 dicembre, la sincronizzazione è stata estesa per garantire che tutti i partner vengano ripristinati allo stato precedente all'exploit.