Официальное заявление команды Cellframe Network

Команда Cellframe сообщает о выявлении и пресечении схемы, связанной с выпуском и обращением нелегальных mCELL-токенов, а также о первичных мерах защиты интересов легальных верификаторов.

1. Описание уязвимости и её последствий

В сети Cellframe ранее существовала техническая уязвимость, связанная с токеном mCELL и функционалом LP-стейкинга, который был закрыт в январе этого года. Уязвимость не затрагивала основной токен CELL, но давала возможность создавать m-токены в обход правил, либо не сжигать их при анстейке.

В результате в сети появились нелегальные m-токены, которые не были обеспечены реальными CELL, но при этом давали возможность запускать мастерноды в нашей сети.

В итоге появилось 12 валидаторов, которые в совокупности владели значительным объемом нелегальных mCELL (всего 1295 m-токенов). При этом, у тех же валидаторов имелся запас легальных mCELL — это дополнительно запутывало аудит и усложняло процесс обнаружения злоупотреблений.

Нелегальные токены реализовывались через OTC-сделки и через Cellframe DEX с заметным дисконтом по отношению к номинальной стоимости. Исходя из данных анализа чейнов, такие покупки преимущественно совершались в малых объёмах, а затем эти нелегальные m-токены «подмешивались» к легальным m-токенам, смешивая их и затрудняя отслеживаемость.

2. Реакция команды и обоснование действий

Обнаружив эти факты, команда проекта обратилась к внутренней технической документации и White Paper Cellframe, которые предусматривают возможность использования системы «чёрных/белых списков» и арбитража транзакций в экстренных случаях.

В частности, в White Paper Cellframe описан механизм, который позволяет маркировать транзакции как недействительные и отменять их (roll back) в случае обнаружения злоумышленных действий, как временную меру защиты сети.

Хотя в публичной версии документа нет прямой детальной инструкции по управлению бан-листами mCELL или отдельным выходам, сама концепция гибкой структуры и возможности централизации в случаях критических сбоев предусмотрена архитектурно. Мы исходили из того, что на старте проекта неизбежны попытки злоупотреблений, и именно поэтому в стандарт токена CF-20 была заложена возможность управления бан-листами внутри протокола.

В рамках расследования и диагностики злоупотреблений эта возможность была активирована: все держатели подозрительных mCELL-выходов были заблокированы, а ключи верификаторов, связанные с этими выходами, отозваны.

3. Текущие ограничения и планируемые меры

Сейчас команда имеет ограниченный набор инструментов для арбитрирования реестра. В данный момент проводятся оперативные технические работы по патчу протокола Cellframe, который позволит более выборочно арбитрировать отдельные нелегальные выходы mCELL, а не применять всеобъемлющий бан. Мы ориентируемся на завершение работ в течение примерно одной недели.

После внедрения патча текущий бан по адресам будет заменён на бан конкретно по непотраченным нелегальным выходам. Дополнительно будет введён штраф за участие в нелегальных операциях в форме мирового соглашения, средства которого будут направлены на компенсацию ущерба легальным верификаторам, потерявшим доход из-за подмешивания злоумышленниками.

4. Защита CELL и компенсации ущерба

Токен CELL не подвергался риску и не был затронут данной схемой. Ущерб нанесён исключительно легальным верификаторам. В случае, если на заблокированных кошельках злоумышленников будут обнаружены легальные средства, они будут использованы на пользу пострадавших верификаторов, особенно тем, кто использовал 100% легальных mCELL-активов в своём стейке.

5. Правовая ответственность и предупреждение участникам

Обращаем особое внимание всех верификаторов и пользователей системы на то, что правила получения и использования токенов mCELL регулируются токеномикой проекта. В частности, они могут быть получены только в результате стейка токенов CELL и могут быть использованы только в качестве залога для запуска мастерноды. Они не являются платежным средством и не подлежат обмену и передаче третьим лицам. Получение и использование m-токенов способами, не предусмотренными разработчиками, которое приводит к денежному ущербу, в большинстве юрисдикций квалифицируется как уголовно наказуемое деяние. В РФ, в частности, можно рассмотреть применение статьи 272 УК РФ — «неправомерный доступ к компьютерной информации». Тем не менее мы готовы предложить мировое соглашение всем вовлечённым сторонам, как только завершится расследование и подтвердится степень участия сторон в злоупотреблениях.

6. Заключение и дальнейшие шаги

Оставайтесь на связи, мы продолжим публиковать обновления по ходу расследования и прогресса по техническому патчу.

Мы прилагаем все усилия, чтобы минимизировать риски, восстановить справедливость и полностью защитить пользователей Cellframe.

С уважением,

Команда Cellframe Network