Знаете ли вы, что простая подпись в Metamask может опустошить ваш кошелек?
Знаете ли вы, что простая подпись в Metamask может опустошить ваш кошелек?
Очень опытный пользователь (входит в десятку лучших по рейтингу Degen Score) сегодня потерял почти 10 тысяч долларов США из-за эксплойта.
Ты можешь быть следующим…
Краткий тред, как это произошло и как вы можете избежать подобных эксплойтов в будущем.
- корпи (@ korpi87) 19 августа 2022
Был тихий полдень, когда Джо (имя изменено) заметил, что 469 тысяч долларов США покинули его бумажник.
Это был не простой перевод, а это означало, что у злоумышленника, по-видимому, не было доступа к кошельку Джо.
Это был злонамеренный контракт, который слил все USDC с его адреса… pic.twitter.com/pTgTjfMMeu
- корпи (@ korpi87) 19 августа 2022
Здесь нам нужно приостановить историю, чтобы объяснить некоторые технические детали.
Токен USDC — это контракт на Ethereum. У него много функций, которые определяют, как мы взаимодействуем с USDC и что с ним можно сделать.
Давайте сосредоточимся на двух функциях:
> передача
> передача из pic.twitter.com/gekVmjmwvW- корпи (@ korpi87) 19 августа 2022
> передача
Когда вы перемещаете USDC (или другие ERC20) между кошельками, вы используете функцию перевода.
Он перемещает токены от вызывающей стороны (адрес, который вызывает функцию) на другой адрес.
Чтобы злонамеренно использовать перевод от вашего имени, кто-то должен получить контроль над вашим кошельком. pic.twitter.com/3Z3pYbBnRq
- корпи (@ korpi87) 19 августа 2022
> передача из
Когда вы взаимодействуете с контрактами, они используют TransferFrom для перемещения ваших токенов. Они могут достигать суммы пособия, которую вы установили в функции утверждения.
Если вы позволите контракту тратить бесконечное количество USDC, он может забрать все.https://t.co/QdUgLuZfZH
- корпи (@ korpi87) 19 августа 2022
Вернемся к истории Джо…
Вышеупомянутое взаимодействие с контрактом, которое истощило USDC Джо, действительно было функцией TransferFrom.
Но TransferFrom будет работать только в том случае, если Джо утвердит контракт на использование своего USDC.
И Джо был на 100% уверен, что ничего не одобряет… pic.twitter.com/HH9xxYeQms
- корпи (@ korpi87) 19 августа 2022
Подождите минутку…
История DeBank ясно показывает бесконечное одобрение USDC для вредоносного контракта за 10 минут до эксплойта…
Джо на самом деле одобрил это?
Да. Но тоже нет. Не напрямую. pic.twitter.com/AqQQs7GZAV
- корпи (@ korpi87) 19 августа 2022
Etherscan сообщает, что функция бесконечного утверждения не была вызвана самим Джо.
Это была функция разрешения, вызванная другим адресом, и она предоставила вредоносному контракту разрешение на использование всех USDC Джо.
ВТФ? Как другие могут утверждать контракты от вашего имени? pic.twitter.com/TS3iDbhOXu
- корпи (@ korpi87) 19 августа 2022
Функция разрешения была введена для улучшения взаимодействия с пользователем на Ethereum.
Это позволяет пользователю изменять суммы утверждения, не отправляя транзакцию. Достаточно подписи.
С вашей подписью любой может вызвать функцию разрешения и обновить размер пособия для транжиры. pic.twitter.com/hem0lPsnW1
- корпи (@ korpi87) 19 августа 2022
Вы можете увидеть разрешение в действии, когда используете 1inch dApp.
Если вы хотите продать USDC, вам не нужно сначала одобрять это.
Все, что вам нужно, это подписать сообщение.Эта подпись дает 1inch право тратить все ваши доллары США. 1inch не сделает этого, но злонамеренный контракт может. pic.twitter.com/Dd7ggJFWtl
- корпи (@ korpi87) 19 августа 2022
Джо, должно быть, случайно подписал такое сообщение на вредоносном веб-сайте.
К сожалению, на этот раз он использовал горячий кошелек, и для подписания был всего один невинный клик.
При использовании аппаратного кошелька при подписании сообщения на внешнем устройстве возникнет второстепенный момент.
- корпи (@ korpi87) 19 августа 2022
С подписью Джо злоумышленник отправил транзакцию с функцией разрешения.
Это дало вредоносному контракту разрешение потратить все USDC из кошелька Джо.
Затем была вызвана функция transferFrom, и вредоносный контракт слил средства. pic.twitter.com/1U6lWr9pmw
- корпи (@ korpi87) 19 августа 2022
Видимо сигнатуры могут быть катастрофическими.
В некоторых случаях Metamask предупредит вас, что подписание сообщения может быть опасным.
Но не в случае подписанных разрешений, которые технически работают так, как задумано, но могут нанести большой ущерб при неправильном использовании.https://t.co/5H9rNWVR3b
- корпи (@ korpi87) 19 августа 2022
Как избежать подобных эксплойтов в будущем?
– Не подписывайте все в Metamask.
– Потратьте время, чтобы понять, что вы подписываете.
– Будьте осторожны с традиционными утверждениями (см. связанную ветку)https://t.co/549NmPly5s- корпи (@ korpi87) 19 августа 2022
Я надеюсь, что вы нашли эту тему полезной.
Следуйте за мной @korpi87 и проверьте мое понятие: https://t.co/ZTqYKmhCNk больше.
Поставьте лайк или ретвитните первый твит ниже, чтобы защитить других от подобных эксплойтов: https://t.co/9pqCSXi9JH
- корпи (@ korpi87) 19 августа 2022
Приведет ли слияние Ethereum к регулятивному захвату?
#Ethereumпроблемы вызваны постоянной оптимизацией токеномики, а не децентрализацией, безопасностью и отказоустойчивостью. Похоже, что слияние и POS приведут к полному регулятивному захвату централизованными биржами и платформами для ставок, и у них нет выхода. ?? pic.twitter.com/Ur9tf42K5p
- Самсон Моу (@Excellion) 19 августа 2022
Так как же они сюда попали? Принятие решения о требовании 32 ETH для стейкинга в рамках протокола (чтобы заблокировать предложение и максимизировать токеномику). Это в значительной степени сделало POS как можно более централизованным, и, кроме того, у них нет #Bitcoin культура не ваших ключей, не ваших монет. pic.twitter.com/Ml4QV93ECP
- Самсон Моу (@Excellion) 19 августа 2022
Итак, теперь у вас есть 66% валидаторов, которые должны соблюдать правила OFAC. И ETH, который они вложили в стейкинг, не могут быть сняты, потому что функция вывода не была закодирована — из-за токеномики. ? pic.twitter.com/BdjFqYk70J
- Самсон Моу (@Excellion) 19 августа 2022
Но ждать! Этерианцы могут просто #UASF как те Биткойн Макси, верно? Например, полностью показать Coinbase, кто здесь главный! pic.twitter.com/LBSDOF79o
- Самсон Моу (@Excellion) 19 августа 2022
Нет. Во-первых, у эфирианцев нет собственных узлов, а во-вторых, большинство сервисов зависят от Infura, но это не главная проблема. pic.twitter.com/8rI1FsDwuU
- Самсон Моу (@Excellion) 19 августа 2022
Я предварю эту следующую часть и заявлю, что арест разработчиков за написание кода ужасен и создает ужасный прецедент. Это сказало…
- Самсон Моу (@Excellion) 19 августа 2022
к #UASF вам нужно программное обеспечение для запуска. Теперь все форки Ethereum имеют крутые названия городов, такие как Стамбул, Лондон, Берлин и т. д. Давайте назовем этот гипотетический форк Ethereum UASF «Пхеньян». Пхеньян не позволит Coinbase и 66%-му большинству цензурировать транзакции, санкционированные OFAC.
- Самсон Моу (@Excellion) 19 августа 2022
Еще одним способом сказать «предотвратить цензуру операций, санкционированных OFAC», может быть «помощь в обходе санкций». Может быть, мы забыли о Верджиле. В любом случае, кто будет кодировать Пхеньян? Парень из Tornado Cash был арестован, так что разработчики из Пхеньяна, скорее всего, тоже будут арестованы. pic.twitter.com/HQNtkyTQkg
- Самсон Моу (@Excellion) 19 августа 2022
Кто будет управлять Пхеньяном? Ребята, сигнализирующие «Х»?? Собираются ли они связать свой узел в Пхеньяне со своей учетной записью .eth? Coinbase, Kraken, Bitcoin Suisse и другие, составляющие большинство в 66%, определенно не управляют Пхеньяном.
- Самсон Моу (@Excellion) 19 августа 2022
Хорошо, так что эфириум #UASF вне стола.
«Но мы можем просто урезать Coinbase и других, если они посмеют подчиниться!» pic.twitter.com/rmlgn8Cb2Y
- Самсон Моу (@Excellion) 19 августа 2022
Я могу быть жалким биткойн-макси™, но я потратил 10 минут на исследования и обнаружил, что нет механики, способной нанести удар по Coinbase. Не существует кода для обнаружения и наказания кого-либо за цензуру транзакций. Механика Slashing работает только для наказания за простои или двойную подпись.
- Самсон Моу (@Excellion) 19 августа 2022
Таким образом, мы снова нуждаемся в форке Пхеньяна, который никто не будет кодировать или запускать. Даже если бы Пхеньян мог существовать, у пользователей не было бы возможности вывести ETH. И даже если бы они могли уйти, это не имеет значения, потому что имеет значение только Инфура. pic.twitter.com/RQ44BWUqzE
- Самсон Моу (@Excellion) 19 августа 2022
Предполагая, что все звезды волшебным образом сошлись, и у пользователей Ethereum был способ сократить Coinbase и т. д., что это значит? Это означает, что у меньшинства будет механизм для произвольного наказания большинства. Это не сработает в долгосрочной перспективе.
- Самсон Моу (@Excellion) 19 августа 2022
И поэтому мы называем #Ethereum a #шиткоин. Это бесполезное упражнение, изобилующее ужасными дизайнерскими решениями и разработанное с единственной целью — накачать токен. pic.twitter.com/irYDrzJcOO
- Самсон Моу (@Excellion) 19 августа 2022
Источник: https://www.cryptopolitan.com/best-twitter-thread-of-the-day-august-19th/