El mejor hilo de Twitter del día – 19 de agosto

¿Sabías que una simple firma en Metamask puede vaciar tu billetera?

Un usuario muy experimentado (entre los 10 primeros por su puntuación Degen) perdió casi 500.000 USDC en una vulnerabilidad hoy.

Tú podrías ser el próximo…

Aquí tienes un breve hilo donde explicamos cómo ocurrió y cómo puedes evitar este tipo de vulnerabilidades en el futuro.

— korpi (@korpi87) 19 de agosto de 2022

Era una tarde tranquila cuando Joe (nombre ficticio) notó que le habían robado 469.000 USDC de su billetera.

No se trataba de una simple transferencia, lo que significaba que, aparentemente, el atacante no tenía acceso a la billetera de Joe.

Era un contrato maliciosotracle había vaciado todos los USDC de su cuenta… pic.twitter.com/pTgTjfMMeu

— korpi (@korpi87) 19 de agosto de 2022

Aquí necesitamos hacer una pausa en la historia para explicar algunos aspectos técnicos.

El token USDC es untracen Ethereum. Tiene muchas funciones que deficómo interactuamos con USDC y qué se puede hacer con él.

Centrémonos en dos funciones:
> transferir
> transferirDesde pic.twitter.com/gekVmjmwvW

— korpi (@korpi87) 19 de agosto de 2022

> Transferencia

Cuando mueves USDC (u otros ERC20) entre billeteras, usas la función de transferencia.

Esta mueve tokens desde la dirección que llama a la función a otra dirección.

Para usar la función de transferencia de forma maliciosa en tu nombre, alguien tendría que obtener el control de tu billetera. pic.twitter.com/3Z3pYbBnRq

— korpi (@korpi87) 19 de agosto de 2022

> transferFrom

Cuando interactúas con lostrac, estos utilizan transferFrom para transferir tus tokens. Pueden tomar hasta el límite permitido que hayas establecido en la función de aprobación.

Si permites que un contratotracuna cantidad ilimitada de USDC, puede tomarlo todo.https://t.co/QdUgLuZfZH

— korpi (@korpi87) 19 de agosto de 2022

Volviendo a la historia de Joe…

Latracinteracción contractual mencionada anteriormente que agotó los USDC de Joe fue, de hecho, una función transferFrom.

transferFrom solo funcionaría si Joe hubiera aprobado el contratotracgastar sus USDC.

Y Joe estaba 100% convencido de que no había aprobado nada… pic.twitter.com/HH9xxYeQms

— korpi (@korpi87) 19 de agosto de 2022

Un momento…

El historial de DeBank muestra claramente una aprobación infinita de USDC para el contrato maliciosotracminutos antes del ataque…

¿Joe realmente lo aprobó?

Sí. Pero también no. No directamente. pic.twitter.com/AqQQs7GZAV

— korpi (@korpi87) 19 de agosto de 2022

Etherscan revela que la aprobación infinita no fue una función de aprobación llamada por el propio Joe.

Fue una función de permiso llamada por otra dirección y otorgó al contrato maliciosotracaprobación para gastar todos los USDC de Joe.

¿Qué demonios? ¿Cómo pueden otros aprobar contratostractu nombre? pic.twitter.com/TS3iDbhOXu

— korpi (@korpi87) 19 de agosto de 2022

La función de permiso se introdujo para mejorar la experiencia del usuario en Ethereum.

Permite modificar los montos aprobados sin enviar una transacción. Basta con una firma.

Con tu firma, cualquiera puede activar la función de permiso y actualizar la asignación para un usuario. pic.twitter.com/hem0lPsnW1

— korpi (@korpi87) 19 de agosto de 2022

Puedes ver el permiso en acción cuando usas la dApp de 1inch.

Si quieres vender USDC, no necesitas aprobarlo primero.
Solo necesitas firmar un mensaje.

Esta firma le otorga a 1inch permiso para gastar todos tus USDC. 1inch no lo hará, pero un contrato maliciosotracpodría. pic.twitter.com/Dd7ggJFWtl

— korpi (@korpi87) 19 de agosto de 2022

Joe debió haberdentun mensaje así en un sitio web malicioso.

Desafortunadamente, esta vez usó una billetera caliente y la firma fue solo un clic aparentemente inocente.

Con una billetera de hardware, habría un momento de duda al firmar un mensaje en el dispositivo externo.

— korpi (@korpi87) 19 de agosto de 2022

Con la firma de Joe, un actor malicioso envió una transacción con la función de permiso.

maliciosotracpermiso para gastar todos los USDC de la billetera de Joe.

Luego se llamó a la función transferFrom y el contrato maliciosotraclos fondos. pic.twitter.com/1U6lWr9pmw

— korpi (@korpi87) 19 de agosto de 2022

Al parecer, las firmas pueden ser catastróficas.

En algunos casos, Metamask te advertirá de que firmar un mensaje puede ser peligroso.

Pero no en el caso de las aprobaciones firmadas, que técnicamente funcionan según lo previsto, pero pueden causar graves daños si se usan incorrectamente.https://t.co/5H9rNWVR3b

— korpi (@korpi87) 19 de agosto de 2022

¿Cómo evitar exploits similares en el futuro?

– No firmes todo en Metamask.
– Dedica tiempo a comprender lo que firmas.
– Ten cuidado con las aprobaciones tradicionales (consulta el hilo enlazado)https://t.co/549NmPly5s

— korpi (@korpi87) 19 de agosto de 2022

Espero que este hilo te haya sido útil.

Sígueme en @korpi87 y visita mi Notion: https://t.co/ZTqYKmhCNk para más información.

Dale a "Me gusta" o retuitea el primer tuit a continuación para proteger a otros de ataques similares: https://t.co/9pqCSXi9JH

— korpi (@korpi87) 19 de agosto de 2022

LosEthereumse deben a la constante priorización de la tokenómica sobre la descentralización, la seguridad y la resiliencia. Parece que la fusión y la prueba de participación (PoS) conducirán a una completa captura regulatoria por parte de los exchanges centralizados y las plataformas de staking, y no hay escapatoria para ellos. 🧵👇 pic.twitter.com/Ur9tf42K5p

— Samson Mow (@Excellion) 19 de agosto de 2022

¿Cómo llegaron hasta aquí? Decidieron establecer un requisito de 32 ETH para el staking como parte del protocolo (para bloquear el suministro y maximizar la tokenómica). Esto prácticamente centralizó al máximo el POS, y además, no tienen la "Bitcoin si no tienes las claves, no tienes las monedas". pic.twitter.com/Ml4QV93ECP

— Samson Mow (@Excellion) 19 de agosto de 2022

Así que ahora tienes un 66% de validadores que deben cumplir con las regulaciones de la OFAC. Y el ETH que han depositado para hacer staking no se puede retirar porque la función de retiro no se programó, debido a la tokenómica. 📈 pic.twitter.com/BdjFqYk70J

— Samson Mow (@Excellion) 19 de agosto de 2022

¡Pero esperen! Los ethereanos pueden simplemente #UASF como esos Bitcoin Maxi, ¿verdad? ¡Como para mostrarle a Coinbase quién manda! pic.twitter.com/LBSRDOF79o

— Samson Mow (@Excellion) 19 de agosto de 2022

No. Primero, los etherianos no administran sus propios nodos y segundo, la mayoría de los servicios dependen de Infura, pero ese no es el problema principal. pic.twitter.com/8rI1FsDwuU

— Samson Mow (@Excellion) 19 de agosto de 2022

Comenzaré la siguiente parte diciendo que arrestar a los desarrolladores por escribir código es horrible y sienta undentterrible. Dicho esto…

— Samson Mow (@Excellion) 19 de agosto de 2022

Para #UASF necesitas software. Ahora todas EthereumEthereumEthereum EthereumEthereumEthereumEthereum EthereumEthereum UASF "Pyongyang". Pyongyang impediría que Coinbase y la mayoría del 66% censuraran las transacciones sancionadas por la OFAC.

— Samson Mow (@Excellion) 19 de agosto de 2022

Otra forma de decir “prevenir la censura de transacciones sancionadas por la OFAC” podría ser “ayudar a evadir sanciones”. Quizás nos olvidamos de Virgil. En fin, ¿quién va a programar Pyongyang? El tipo de Tornado Cash fue arrestado, así que probablemente los desarrolladores de Pyongyang también serán arrestados. pic.twitter.com/HQNtkyTQkg

— Samson Mow (@Excellion) 19 de agosto de 2022

¿Quién gobernará Pyongyang? ¿Los que señalan con "X 🏴"? ¿Vincularán también su nodo de Pyongyang a su cuenta .eth? Coinbase, Kraken, Bitcoin Suisse y los demás, que conforman el 66%, defino gobernarán Pyongyang.

— Samson Mow (@Excellion) 19 de agosto de 2022

Bueno, entonces un Ethereum #UASF queda descartado.

“¡Pero podemos recortar Coinbase y otros si se atreven a cumplir!” pic.twitter.com/rmlgn8Cb2Y

— Samson Mow (@Excellion) 19 de agosto de 2022

Puede que sea un Bitcoin Maxi™ patético, pero dediqué 10 minutos a investigar y descubrí que no hay ningún mecanismo para recortar Coinbase. No hay código para detectar y sancionar a nadie por censurar transacciones. El mecanismo de recorte solo funciona para castigar el tiempo de inactividad o la doble firma.

— Samson Mow (@Excellion) 19 de agosto de 2022

Así que volvemos a necesitar la bifurcación de Pyongyang, que nadie programará ni ejecutará. Incluso si Pyongyang existiera, no habría forma de que los usuarios retiraran ETH. E incluso si pudieran retirarlo, no importaría porque solo importa Infura. pic.twitter.com/RQ44BWUqzE

— Samson Mow (@Excellion) 19 de agosto de 2022

Suponiendo que todo se alineara mágicamente y hubiera una manera para que los usuarios Ethereum recortaran a Coinbase, etc., ¿qué significa eso? Significa que los accionistas minoritarios tendrían un mecanismo para castigar arbitrariamente a la mayoría. Eso no va a funcionar a largo plazo.

— Samson Mow (@Excellion) 19 de agosto de 2022

Y por eso llamamos unaEthereum #monedabasura .Es un ejercicio inútil, plagado de decisiones de diseño atroces y creado con el único propósito de inflar el precio del token. pic.twitter.com/irYDrzJcOO

— Samson Mow (@Excellion) 19 de agosto de 2022