أفضل سلسلة تغريدات على تويتر لهذا اليوم - 19 أغسطس

هل تعلم أن توقيعًا بسيطًا في ميتا ماسك قد يُفرغ محفظتك؟

خسر مستخدمٌ خبيرٌ جدًا (من بين أفضل 10 مستخدمين وفقًا لمؤشر Degen Score) ما يقارب 500 ألف دولار أمريكي (USDC) بسبب ثغرة أمنية اليوم.

قد تكون أنت التالي...

إليك شرحٌ موجزٌ لكيفية حدوث ذلك وكيفية تجنب مثل هذه الثغرات في المستقبل.

— كوربي (@korpi87) 19 أغسطس 2022

في ظهيرة هادئة، لاحظ جو (اسم مستعار) سحب 469 ألف دولار أمريكي من محفظته.

لم يكن الأمر مجرد تحويل عادي، ما يعني أن المهاجم لم يتمكن على ما يبدو من الوصول إلى محفظة جو.

بل كان عقدًا خبيثًاtracكل رصيده من عملة USDC... pic.twitter.com/pTgTjfMMeu

— كوربي (@korpi87) 19 أغسطس 2022

هنا نحتاج إلى التوقف مؤقتًا لشرح بعض الجوانب التقنية.

رمز USDC هو عقدtracشبكة Ethereum. له العديد من الوظائف التي defiكيفية تفاعلنا معه وما يمكن فعله به.

لنركز على وظيفتين:
> التحويل
> التحويل من pic.twitter.com/gekVmjmwvW

— كوربي (@korpi87) 19 أغسطس 2022

نقل

عملة USDC (أو أي عملة ERC20 أخرى) بين المحافظ، فإنك تستخدم وظيفة النقل.

تنقل هذه الوظيفة العملات من عنوان المحفظة المُستدعية (العنوان الذي يستدعي الوظيفة) إلى عنوان المحفظة الأخرى.

لاستخدام وظيفة النقل بشكل ضار نيابةً عنك، يجب على شخص ما السيطرة على محفظتك. pic.twitter.com/3Z3pYbBnRq

— كوربي (@korpi87) 19 أغسطس 2022

عند التفاعل معtracلتحويل رموزك. يمكنهم سحب ما يصل إلى الحد المسموح به الذي تحدده في وظيفة الموافقة. ، يستخدمون خدمة "transferFrom" إذا سمحتtracكمية غير محدودة من عملة USDC، فسيتمكن من سحبها بالكامل. لعقد https://t.co/QdUgLuZfZH

— كوربي (@korpi87) 19 أغسطس 2022

بالعودة إلى قصة جو...

المذكور سابقًاtracالذي استنزف رصيد جو من عملة USDC كان في الواقع وظيفة التحويل من.

لكن وظيفة التحويل من لا تعمل إلا إذا وافق جو على العقدtracرصيده من عملة USDC.

وكان جو متأكدًا تمامًا أنه لم يوافق على أي شيء... pic.twitter.com/HH9xxYeQms

— كوربي (@korpi87) 19 أغسطس 2022

لحظة من فضلك...

USDC الخبيثtracقبل 10 دقائق من استغلال الثغرة...

هل وافق جو عليه فعلاً؟

نعم. ولكن أيضاً لا. ليس بشكل مباشر. pic.twitter.com/AqQQs7GZAV

— كوربي (@korpi87) 19 أغسطس 2022

كشف موقع Etherscan أن الموافقة غير المحدودة لم تكن وظيفة موافقة استدعاها جو بنفسه، بل

كانت وظيفة إذن استدعاها عنوان آخر، ومنحت العقد الخبيثtracعلى إنفاق جميع عملات USDC الخاصة بجو.

يا للعجب! كيف يمكن للآخرين الموافقة على عقود نيابةًtrac؟ pic.twitter.com/TS3iDbhOXu

— كوربي (@korpi87) 19 أغسطس 2022

تم استحداث خاصية "التصاريح" لتحسين تجربة المستخدم على Ethereum.

تتيح هذه الخاصية للمستخدم تعديل مبالغ الموافقة دون الحاجة إلى إرسال معاملة، إذ يكفي التوقيع.

بتوقيعك، يمكن لأي شخص استدعاء خاصية "التصاريح" وتحديث رصيدك المسموح به لأي مُنفق. pic.twitter.com/hem0lPsnW1

— كوربي (@korpi87) 19 أغسطس 2022

يمكنك رؤية آلية عمل التصريح عند استخدام تطبيق 1inch اللامركزي.

إذا كنت ترغب في بيع عملة USDC، فلستَ بحاجة إلى الموافقة المسبقة.
كل ما عليك فعله هو توقيع رسالة.

خبيثtrac. pic.twitter.com/Dd7ggJFWtl

— كوربي (@korpi87) 19 أغسطس 2022

لا بد أن جو قدdentعلى رسالة كهذه في موقع ويب خبيث.

لسوء الحظ، استخدم هذه المرة محفظة ساخنة، وكان التوقيع مجرد نقرة تبدو بريئة.

أما مع محفظة الأجهزة، فسيتردد المرء قبل توقيع أي رسالة على الجهاز الخارجي.

— كوربي (@korpi87) 19 أغسطس 2022

باستخدام توقيع جو، قام مُخترق بإرسال معاملة مع تفعيل خاصية السماح.

منح هذا الإجراء المُخترقtracإنفاق جميع عملات USDC من محفظة جو.

المُخترقtracبسحب الأموال. pic.twitter.com/1U6lWr9pmw

— كوربي (@korpi87) 19 أغسطس 2022

يبدو أن التوقيعات قد تكون كارثية.

في بعض الحالات، يحذرك تطبيق ميتا ماسك من أن توقيع الرسالة قد يكون خطيرًا.

لكن هذا لا ينطبق على الموافقات الموقعة، التي تعمل تقنيًا كما هو مصمم لها، ولكنها قد تُسبب أضرارًا جسيمة في حال إساءة استخدامها.https://t.co/5H9rNWVR3b

— كوربي (@korpi87) 19 أغسطس 2022

كيف تتجنب مثل هذه الثغرات في المستقبل؟

– لا توقع على كل شيء في ميتا ماسك.
– خصص وقتًا لفهم ما توقع عليه.
– كن حذرًا عند استخدام الموافقات التقليدية (راجع الرابط المرفق)https://t.co/549NmPly5s

— كوربي (@korpi87) 19 أغسطس 2022

أتمنى أن يكون هذا الموضوع مفيدًا لكم.

تابعوني على @korpi87 واطلعوا على حسابي على Notion: https://t.co/ZTqYKmhCNk للمزيد.

أعجبوا/أعيدوا تغريد التغريدة الأولى أدناه لحماية الآخرين من عمليات استغلال مماثلة: https://t.co/9pqCSXi9JH

— كوربي (@korpi87) 19 أغسطس 2022

إيثيريومEthereumناتجة عن التركيز المستمر على تحسين اقتصاديات الرموز على حساب اللامركزية والأمان والمرونة. يبدو أن دمج إيثيريوم وتطبيق آلية إثبات الحصة سيؤديان إلى سيطرة كاملة من قبل منصات التداول المركزية ومنصات التخزين، ولا مفرّ لهم من ذلك. pic.twitter.com/Ur9tf42K5p

— سامسون مو (@Excellion) 19 أغسطس 2022

كيف وصلوا إلى هذه المرحلة؟ لقد قرروا فرض شرط إيداع 32 إيثيريوم كجزء من البروتوكول (لحصر المعروض وتحقيق أقصى استفادة من اقتصاديات الرموز). هذا جعل نظام إثبات الحصة مركزيًا قدر الإمكان، بالإضافة إلى أنهم لا يتبنون بيتكوين القائلةBitcoin بأن "ليست مفاتيحك، ليست عملاتك" pic.twitter.com/Ml4QV93ECP

— سامسون مو (@Excellion) 19 أغسطس 2022

الآن، أصبح 66% من المدققين مُلزمين بالامتثال للوائح مكتب مراقبة الأصول الأجنبية (OFAC). ولا يمكن سحب الإيثيريوم الذي أودعوه للتخزين لأن خاصية السحب لم تُبرمج - بسبب اقتصاديات الرموز. 📈 pic.twitter.com/BdjFqYk70J

— سامسون مو (@Excellion) 19 أغسطس 2022

لكن انتظروا! بإمكان مستخدمي إيثيريوم استخدام تقنية #UASF مثل Bitcoin ماكسي، أليس كذلك؟ هذا سيُظهر لـ Coinbase من هو صاحب الكلمة العليا! pic.twitter.com/LBSRDOF79o

— سامسون مو (@Excellion) 19 أغسطس 2022

لا. أولًا، لا يُشغّل مستخدمو إيثيريوم عُقدهم الخاصة، وثانيًا، تعتمد معظم الخدمات على إنفورا، لكن هذه ليست المشكلة الرئيسية. pic.twitter.com/8rI1FsDwuU

— سامسون مو (@Excellion) 19 أغسطس 2022

سأبدأ الجزء التالي بالتأكيد على أن اعتقال المطورين لكتابة البرامج أمرٌ مروع ويشكلdentخطيرة. مع ذلك..

— سامسون مو (@Excellion) 19 أغسطس 2022

يتطلب تشغيل #UASF برمجيات. الآن، تحمل جميع Ethereum لنُسمِّ هذه النسخة المتفرعة الافتراضية Ethereum UASF "بيونغ يانغ". ستمنع بيونغ يانغ منصة Coinbase والأغلبية المطلقة (66%) من فرض رقابة على المعاملات الخاضعة لعقوبات مكتب مراقبة الأصول الأجنبية (OFAC). نسخ المتفرعة أسماء مدن جذابة مثل إسطنبول ولندن وبرلين، إلخ .

— سامسون مو (@Excellion) 19 أغسطس 2022

بمعنى آخر، يمكن القول إن "منع فرض رقابة على المعاملات الخاضعة لعقوبات مكتب مراقبة الأصول الأجنبية" هو "المساعدة على التهرب من العقوبات". ربما نسينا أمر فيرجيل. على أي حال، من سيتولى برمجة بيونغ يانغ؟ تم القبض على صاحب مشروع تورنادو Cash ، لذا من المرجح أن يتم القبض على مطوري بيونغ يانغ أيضًا. pic.twitter.com/HQNtkyTQkg

— سامسون مو (@Excellion) 19 أغسطس 2022

من سيدير ​​بيونغ يانغ؟ هل هم من يرسلون إشارة "X 🏴"؟ هل سيربطون عقدة بيونغ يانغ بحساباتهم على شبكة إيثيريوم أيضًا؟ من defiأن منصات مثل كوين بيس، وكراكن، Bitcoin سويس، وغيرها من المنصات التي تشكل أغلبية 66%، لن تدير بيونغ يانغ.

— سامسون مو (@Excellion) 19 أغسطس 2022

حسنًا، إذًا، Ethereum تم استبعاد مشروع #UASF . "لكن يمكننا ببساطة تقليص حصة كوين بيس وغيرها إذا تجرأت على الامتثال!" pic.twitter.com/rmlgn8Cb2Y

— سامسون مو (@Excellion) 19 أغسطس 2022

قد أكون مجرد مستخدم مبتدئ Bitcoin ، لكنني خصصت عشر دقائق للبحث واكتشفت أنه لا توجد آلية لفرض عقوبات على منصة كوين بيس. لا يوجد نظام لكشف ومعاقبة أي شخص يقوم بحجب المعاملات. آلية العقوبات تعمل فقط لمعاقبة حالات توقف الخدمة أو التوقيع المزدوج.

— سامسون مو (@Excellion) 19 أغسطس 2022

إذن، عدنا مجدداً إلى الحاجة إلى نسخة بيونغ يانغ المتفرعة، والتي لن يقوم أحد ببرمجتها أو تشغيلها. حتى لو أمكن إنشاء نسخة بيونغ يانغ، فلا توجد طريقة للمستخدمين لسحب عملة الإيثيريوم. وحتى لو تمكنوا من السحب، فلن يُجدي ذلك نفعاً لأن إنفورا هي العملة الوحيدة المهمة. pic.twitter.com/RQ44BWUqzE

— سامسون مو (@Excellion) 19 أغسطس 2022

بافتراض أن كل الظروف سارت على ما يرام، وأن هناك طريقة لمستخدمي Ethereum لخفض أسعار كوين بيس وغيرها، فماذا يعني ذلك؟ يعني ذلك أن أصحاب الحصص الأقلية سيملكون آلية لمعاقبة الأغلبية بشكل تعسفي. وهذا لن ينجح على المدى البعيد.

— سامسون مو (@Excellion) 19 أغسطس 2022

ولهذا السبب نطلق على #Ethereum # عملة_عديمة_القيمة. إنها محاولة عبثية، مليئة بخيارات تصميمية سيئة للغاية، ومصممة لغرض وحيد هو رفع قيمة العملة. pic.twitter.com/irYDrzJcOO

— سامسون مو (@Excellion) 19 أغسطس 2022