Der beste Twitter-Thread des Tages – 19. August

Wussten Sie, dass eine einfache Signatur in MetaMask Ihr gesamtes Guthaben leeren kann?

Ein sehr erfahrener Nutzer (Top 10 im Degen Score) verlor heute durch einen Exploit fast 500.000 USDC.

Sie könnten der Nächste sein…

In diesem kurzen Thread erfahren Sie, wie es dazu kam und wie Sie solche Exploits in Zukunft vermeiden können.

— korpi (@korpi87) 19. August 2022

Es war ein ruhiger Nachmittag, als Joe (Name geändert) bemerkte, dass 469.000 USDC aus seiner Wallet abgebucht worden waren.

Es handelte sich nicht um eine einfache Überweisung, was bedeutete, dass ein Angreifer offenbar keinen Zugriff auf Joes Wallet hatte.

Es war ein betrügerischer Vertragtracder sein gesamtes USDC-Guthaben abgezogen hatte… pic.twitter.com/pTgTjfMMeu

— korpi (@korpi87) 19. August 2022

Hier müssen wir kurz innehalten, um einige technische Details zu erklären.

Der USDC-Token ist ein VertragtracEthereum EthereumEr verfügt über zahlreiche Funktionen, die defi, wie wir mit USDC interagieren und was damit möglich ist.

Konzentrieren wir uns auf zwei Funktionen:
> transfer
> transferFrom pic.twitter.com/gekVmjmwvW

— korpi (@korpi87) 19. August 2022

Transfer

von USDC (oder anderen ERC20-Token) zwischen Wallets wird die Transferfunktion verwendet.

Diese überträgt Token von der aufrufenden Adresse (der Adresse, die die Funktion aufruft) an eine andere Adresse.

Um die Transferfunktion missbräuchlich in Ihrem Namen zu verwenden, müsste jemand Zugriff auf Ihre Wallet erlangen. pic.twitter.com/3Z3pYbBnRq

— korpi (@korpi87) 19. August 2022

> transferFrom

Wenn Sie mit Verträgen interagierentracverwenden diese transferFrom, um Ihre Token zu transferieren. Sie können bis zu dem von Ihnen in der Genehmigungsfunktion festgelegten Limit einbehalten.

Wenn Sie einem Vertrag erlauben,tracUSDC auszugeben, kann er den gesamten Betrag einbehalten.https://t.co/QdUgLuZfZH

— korpi (@korpi87) 19. August 2022

Zurück zu Joes Geschichte…

Die erwähntetrac, die Joes USDC aufgebraucht hat, war tatsächlich eine TransferFrom-Funktion.

genehmigt hättetrac.

Und Joe war hundertprozentig überzeugt, nichts genehmigt zu haben… pic.twitter.com/HH9xxYeQms

— korpi (@korpi87) 19. August 2022

Moment mal…

Die DeBank-Historie zeigt eindeutig, dass USDC den schädlichen Vertrag 10 Minuten vor dem Exploit unbegrenzt genehmigt hattracHat

Joe ihn tatsächlich genehmigt?

Ja. Aber auch nein. Nicht direkt. pic.twitter.com/AqQQs7GZAV

— korpi (@korpi87) 19. August 2022

Etherscan enthüllt, dass die unendliche Genehmigung nicht von Joe selbst, sondern von einer anderen Adresse aus erfolgte.

Dadurch erhielt der betrügerische VertragtracBerechtigung, Joes gesamtes USDC auszugeben.

Was soll das? Wie können anderetracin meinem Namen pic.twitter.com/TS3iDbhOXu

— korpi (@korpi87) 19. August 2022

Die Permit-Funktion wurde eingeführt, um die Benutzerfreundlichkeit auf Ethereum.

Sie ermöglicht es Nutzern, Genehmigungsbeträge zu ändern, ohne eine Transaktion abzusenden. Eine Signatur genügt.

Mit Ihrer Signatur kann jeder die Permit-Funktion aufrufen und Ihr Limit für einen Spender aktualisieren. pic.twitter.com/hem0lPsnW1

— korpi (@korpi87) 19. August 2022

Sie können die Funktionsweise der Genehmigung in Aktion sehen, wenn Sie die 1inch dApp verwenden.

Wenn Sie USDC verkaufen möchten, müssen Sie dies nicht vorher genehmigen.
Es genügt, eine Nachricht zu signieren.

Diese Signatur erteilt 1inch die Berechtigung, Ihr gesamtes USDC-Guthaben auszugeben. 1inch wird dies nicht tun, aber ein betrügerischer Vertragtraces. pic.twitter.com/Dd7ggJFWtl

— korpi (@korpi87) 19. August 2022

Joe mussdentdie Nachricht versehentlich auf einer schädlichen Website signiert haben.

nutzte er diesmal eine mobile Wallet, und die Signierung war mit einem einzigen, harmlos wirkenden Klick erledigt.

Bei einer Hardware-Wallet hätte er beim Signieren einer Nachricht auf dem externen Gerät sicherlich kurz innegehalten.

— korpi (@korpi87) 19. August 2022

Mit Joes Unterschrift reichte ein Angreifer eine Transaktion mit der Permit-Funktion ein.

Dadurch erhielt der Angreifertracalle USDC aus Joes Wallet auszugeben.

Anschließend wurde die TransferFrom-Funktion aufgerufen, und der Angreifertracdas gesamte Guthaben ab. pic.twitter.com/1U6lWr9pmw

— korpi (@korpi87) 19. August 2022

Signaturen können offenbar katastrophale Folgen haben.

In manchen Fällen warnt MetaMask davor, dass das Signieren einer Nachricht gefährlich sein kann. Dies gilt

jedoch nicht für signierte Genehmigungen, die zwar technisch wie vorgesehen funktionieren, aber bei Missbrauch großen Schaden anrichten können.https://t.co/5H9rNWVR3b

— korpi (@korpi87) 19. August 2022

Wie lassen sich ähnliche Sicherheitslücken in Zukunft vermeiden?

– Signieren Sie nicht alles in MetaMask.
– Nehmen Sie sich Zeit, um zu verstehen, was Sie signieren.
– Seien Sie vorsichtig bei herkömmlichen Genehmigungsverfahren (siehe verlinkten Thread): https://t.co/549NmPly5s

— korpi (@korpi87) 19. August 2022

Ich hoffe, dieser Thread war hilfreich.

Folgt mir auf @korpi87 und schaut auf meinem Notion-Profil vorbei: https://t.co/ZTqYKmhCNk für mehr Infos.

Liket/Retweetet den ersten Tweet unten, um andere vor ähnlichen Angriffen zu schützen: https://t.co/9pqCSXi9JH

— korpi (@korpi87) 19. August 2022

,Ethereumdass die Tokenomics ständig auf Kosten von Dezentralisierung, Sicherheit und Stabilität optimiert werden. Es sieht so aus, als würden die Zusammenführung und der Proof-of-Stake-Prozess (PoS) zu einer vollständigen regulatorischen Vereinnahmung durch zentralisierte Börsen und Staking-Plattformen führen – und es gibt für sie keinen Ausweg. 🧵👇 pic.twitter.com/Ur9tf42K5p

— Samson Mow (@Excellion) 19. August 2022

Wie kam es dazu? Sie entschieden sich für eine Staking-Anforderung von 32 ETH im Rahmen des Protokolls (um das Angebot zu begrenzen und die Tokenomics zu maximieren). Dadurch wurde Proof-of-Stake so zentralisiert wie möglich. Außerdem fehlt ihnen die BitcoinBitcoin Kultur des Prinzips „Nicht deine Schlüssel, nicht deine Coins“. pic.twitter.com/Ml4QV93ECP

— Samson Mow (@Excellion) 19. August 2022

Nun müssen sich 66 % der Validatoren an die OFAC-Bestimmungen halten. Und die von ihnen zum Staking hinterlegten ETH können nicht abgehoben werden, da die Auszahlungsfunktion nicht implementiert wurde – ganz im Sinne der Tokenomics. 📈 pic.twitter.com/BdjFqYk70J

— Samson Mow (@Excellion) 19. August 2022

Aber Moment mal! Ethereum-Nutzer können doch einfach #UASF wie diese Bitcoin Maxi-Tokens nutzen, oder? Zeigen sie Coinbase, wer hier das Sagen hat! pic.twitter.com/LBSRDOF79o

— Samson Mow (@Excellion) 19. August 2022

Nein. Erstens betreiben Ethereum-Nutzer keine eigenen Nodes, und zweitens sind die meisten Dienste von Infura abhängig. Das ist aber nicht das Hauptproblem. pic.twitter.com/8rI1FsDwuU

— Samson Mow (@Excellion) 19. August 2022

Ich möchte dem nächsten Abschnitt vorausschicken, dass es entsetzlich ist, Entwickler für das Schreiben von Code zu verhaften, und dass dies einen verheerendendentschafft. Nun aber…

— Samson Mow (@Excellion) 19. August 2022

Für #UASF wird Software benötigt. Alle Ethereum Forks tragen mittlerweile coole Städtenamen wie Istanbul, London, Berlin usw. Nennen wir diesen hypothetischen Ethereum UASF-Fork „Pjöngjang“. Pjöngjang würde Coinbase und die 66%-Mehrheit daran hindern, OFAC-sanktionierte Transaktionen zu zensieren.

— Samson Mow (@Excellion) 19. August 2022

Eine andere Formulierung für „die Zensur von OFAC-sanktionierten Transaktionen verhindern“ wäre „bei der Umgehung von Sanktionen helfen“. Vielleicht haben wir Virgil vergessen. Also, wer programmiert Pyongyang? Der Typ von Tornado Cash wurde verhaftet, daher werden die Pyongyang-Entwickler wahrscheinlich auch verhaftet. pic.twitter.com/HQNtkyTQkg

— Samson Mow (@Excellion) 19. August 2022

Wer wird Pyongyang leiten? Die, die mit „X 🏴“ signalisieren? Werden sie ihren Pyongyang-Node auch mit ihrem .eth-Konto verknüpfen? Coinbase, Kraken, Bitcoin Suisse und die anderen, die die Mehrheit von 66 % ausmachen, betreiben Pyongyang definicht.

— Samson Mow (@Excellion) 19. August 2022

Okay, ein Ethereum #UASF ist also vom Tisch.

„Aber wir können Coinbase und andere ganz schön hart treffen, wenn sie sich weigern, mitzumachen!“ pic.twitter.com/rmlgn8Cb2Y

— Samson Mow (@Excellion) 19. August 2022

Ich bin vielleicht ein armseliger Bitcoin Fanatiker, aber ich habe zehn Minuten recherchiert und herausgefunden, dass es keinen Mechanismus gibt, um Coinbase zu bestrafen. Es gibt keinen Code, der Transaktionen zensiert und bestraft. Der Bestrafungsmechanismus dient lediglich dazu, Ausfallzeiten oder doppelte Signaturen zu ahnden.

— Samson Mow (@Excellion) 19. August 2022

Wir sind also wieder auf den Pyongyang-Fork angewiesen, den niemand programmieren oder betreiben wird. Selbst wenn Pyongyang existieren könnte, gäbe es für Nutzer keine Möglichkeit, ETH abzuheben. Und selbst wenn sie abheben könnten, spielt das keine Rolle, denn nur Infura zählt. pic.twitter.com/RQ44BWUqzE

— Samson Mow (@Excellion) 19. August 2022

Angenommen, alle Voraussetzungen wären optimal und Ethereum Nutzer könnten Coinbase und Co. massiv bestrafen, was würde das bedeuten? Es hieße, dass Minderheitsaktionäre einen Mechanismus hätten, um die Mehrheit willkürlich zu bestrafen. Das wird langfristig nicht funktionieren.

— Samson Mow (@Excellion) 19. August 2022

Und genau deshalb nennen wir #EthereumEthereum einen #Shitcoin. Es ist ein sinnloses Unterfangen, voller grauenhafter Designentscheidungen und wurde einzig und allein zu dem Zweck entwickelt, den Token-Kurs in die Höhe zu treiben pic.twitter.com/irYDrzJcOO

— Samson Mow (@Excellion) 19. August 2022