Pundi AI遭遇攻击后被韩国交易所下架，联合创始人Danny Lim回应

7月12日，Pundi AI遭遇黑客攻击，导致100万枚代币被异常增发。团队迅速采取行动冻结、追踪并追回资产，最终成功追回并冻结近90%被盗资金，并垫付超百万美元完成全额用户赔偿。然而，Pundi AI却因"信息披露不及时"被韩国数字资产交易所协会（DAXA）通知在韩国交易所下架。

为了更好理解事件脉络，以下为关键时间线回顾：

• 3月2日 - Function X宣布品牌重塑为PUNDIAI与代币置换为PUNDI，此时黑客已经潜伏。

• 7月12日 - 黑客发动攻击，异常增发100万枚代币；当日冻结转账并启动追踪；当晚CEO向社区公开合约遇到漏洞。

• 7月14日 - 向交易所全面披露攻击事件调查结果和解决方案，并与DAXA沟通。

• 7月28日 - 某些韩国交易所宣布将于8月28日下架PundiAI。

• 7月31日 - 官方声明追回超80%资产，11天内完成全额用户赔偿。

PANews独家采访了Pundi AI联合创始人Danny Lim，全面复盘整个事件过程。Danny还提出了一个两难的选择题：在与黑客斗智斗勇的过程中，是不惊动黑客优先确保用户资金安全？还是保持透明度优先，第一时间公开信息，但可能让黑客加速资金转移从而扩大受损金额？这一次Pundi AI选择了前者，但也因透明度的"瑕疵"而承受了选择的代价。

Danny表示，被合规交易所下架反而为项目发展解开了"封印"，过去不能随便回购或销毁代币，需要征得交易所同意。现在可以更灵活地运用代币经济学来回馈社区。Pundi AI也将回购代币，并向用户进行空投，"感谢他们在危难时刻依然选择和我们站在一起"。

被盗、下架与艰难抉择

Danny解释说，安全事件发生在7月12日下午2点20分左右，系统在2:40左右发出预警。起初团队以为是合约出了Bug，但到下午五点确认这是一次攻击。他们立刻联系了各大交易所，请求暂停PUNDIAI的充值和提现功能。

黑客利用了代币迁移合约的一个漏洞。在2月份部署新合约时，黑客在同一个区块内提交了一笔Gas费更高的交易，抢先调用并取得了合约的管理员权限。这个手法非常精准，需要精确计算交易的时机和区块。

Danny提醒，这是一个很隐蔽的漏洞，直到7月份攻击发生时才暴露出来。近期在Base链和以太坊上，有几个项目都在最近三四周内被类似的手法攻击了。他呼吁所有同行，尤其是有计划做代币迁移或合约升级的项目方注意这种"抢跑攻击"的潜在安全风险。

在发现被盗后，团队为了最大可能地追回资产，决定避免打草惊蛇，悄悄地追踪并冻结资产。这个策略效果显著，成功在以太坊和自有主网F(x)Core上拦截了大约95%的被盗资产。主要的损失发生在BSC链上，因为周末第三方服务商的响应有所延迟。

总的来说，这次攻击导致了按当时市价约600多万美元的代币被增发，通过冻结和追缴，最终成功挽回了约87%的资产。团队决定自己承担近200万美元的损失。

Danny表示，他们和DAXA进行了大量沟通，但最终还是收到了下架的通知。DAXA并未给出具体理由，根据交易所公告下架原因是"披露不及时"，没有给予任何辩解或缓冲的余地。

Danny认为，最大的教训是：在韩国市场，信息的及时性、透明度比任何事情都重要。这是一个惨痛的教训，在"悄悄追回资产"和"第一时间公开"之间，他们没有做好平衡。他希望给所有在韩国上线或计划在韩国上线的项目方一个警示。

韩国市场的困境与未来规划

Pundi AI在韩国市场耕耘已久，从2019年就开始上线韩国交易所。他们在韩国积累了至少二三十万，甚至可能超过四十万的用户。

Danny表示，韩国市场比较独特，用户非常依赖中心化交易所进行交易，对DeFi或者链上操作的接受度普遍不高。约80%的交易量、70%的可交易代币都在韩国的中心化交易所里。所以这次下架对他们的流动性影响是巨大的。

尽管重新上线的难度极大，但他们仍在与DAXA和各大交易所积极沟通，希望能够获得信任，重新回归韩国市场。

值得欣慰的是，在下架公告出来后，Pundi AI的币价基本保持稳定，这说明社区和持币用户依然相信他们。

针对社区，Danny表示他们有三个核心计划：

1. 加大在链上、去中心化交易所的投入，自己出钱在主要DEX平台建立更深厚的资金池。

2. 大力推广全新的AI数据产品。

3. 发布代币回购和空投计划，更灵活地运用代币经济学来回馈社区。

AI数据资产化的愿景与挑战

Danny介绍了他们的新产品Data Pump，这是一个"AI数据集的Launchpad"。用户可以将各种内容数据打包成NFT，然后在平台上抵押这个NFT，生成对应的代币，并直接在DEX里创建交易对进行交易。

与其他AI数据项目相比，Pundi AI专注于专业细分领域，如医疗影像、自动驾驶、法律文书等，确保数据的专业性和高质量。他们还开发了AI AMM（自动做市商），实现了数据的资产化和货币化。此外，他们在链上拥有PB级别的数据量，这在Web3领域是相当可观的。

对于Web3 AI领域的发展瓶颈，Danny认为目前还没有真正有用的、能改变生活的东西出现。所谓的"去中心化算力"在现阶段更像是一个伪命题。区块链在AI领域真正的价值在于"数据层"，即保护用户的数据主权和隐私。

Danny预测，Web3 AI赛道要迎来真正的热潮，可能需要等待一个传统的AI巨头因某个契机主动拥抱区块链技术，为用户提供数据保护功能。他相信，这一天应该不会太远了。