Сбой на $500 млн: как операционные ошибки привели к хаосу при запуске MegaETH |

25 ноября запуск кампании предварительных депозитов L2-проекта MegaETH обернулся техническими проблемами. Вместо запланированного сбора $250 млн проект привлек $500 млн из-за потери контроля над управлением смарт-контрактом.

Причиной стал не взлом кода, а человеческий фактор и неверная работа с мультиподписью.

Содержание:

Хронология сбоя

Команда MegaETH планировала собрать ликвидность перед запуском основной сети в декабре. Условия выглядели просто: старт в 9:00 утра (ET), лимит в $250 млн, принцип «первым пришел — первым обслужен» и KYC через платформу Sonar.

Проблемы начались сразу после старта:

падение Sonar — инфраструктура для верификации пользователей не выдержала нагрузки. Серверы отключились в 9:01 из-за превышения лимитов запросов. Нагрузочное тестирование перед запуском на такую сумму не проводилось;

ошибка в смарт-контракте — даже до падения сайта депозиты не проходили. Параметр идентификатора продажи (SaleUUID) в контракте не совпадал с настройками Sonar.

Для исправления ошибки команде потребовалось 23 минуты. Нужно было собрать подписи в мультисиг-кошельке для обновления параметров. В это время тысячи пользователей безуспешно пытались отправить средства.

Как только мост заработал, лимит в $250 млн заполнили за 156 секунд.

Из-за отсутствия официального анонса о починке, места достались ботам и пользователям, непрерывно обновлявшим страницу.

Инцидент с мультисигом Safe

После волны критики команда решила увеличить лимит до $1 млрд и открыть прием средств повторно в 11:00. Для этого требовалось снова изменить параметры контракта через мультисиг-кошелек Safe.

Схема управления кошельком требовала четыре подписи из шести возможных, и разработчики собрали их заранее, чтобы просто отправить транзакцию в блокчейн ровно в 11:00. Это стало главной ошибкой.

В кошельках Safe, как только собрано необходимое количество подписей, транзакцию может выполнить кто угодно. Это задокументированная особенность протокола, обеспечивающая децентрализацию.

Пользователь под псевдонимом chud.eth заметил в мемпуле полностью подписанную транзакцию и исполнил ее самостоятельно на 34 минуты раньше плана команды.

Итоги хаоса

Неожиданное открытие депозитов вызвало новый наплыв средств. Команда наблюдала, как баланс стремительно растет без их контроля:

попытка ограничить сбор на уровне $400 млн провалилась — транзакция прошла слишком поздно, когда сумма уже превысила этот порог;

удалось установить лимит на отметке $500 млн.

Разработчики признали поражение и отказались от планов повышать сборы до $1 млрд.

В MegaETH признали вину, назвав произошедшее «неприемлемым». Разработчики подчеркнули: смарт-контракты работали идеально, уязвимостей не было, средства пользователей в безопасности. Причина сбоя — человеческий фактор и незнание документации используемых инструментов.

Несмотря на проблемы, менее 5% пользователей воспользовались предложенной опцией вывода средств. Запуск основной сети MegaETH по-прежнему запланирован на декабрь, а выпуск токена — на начало 2026 года.

Напомним, 30 октября по итогам токенсейла MegaETH привлек $1,39 млрд — переподписка составила более 27x.

Источник: forklog.com