Il miglior thread di Twitter del giorno – 19 agosto

Lo sapevi che una semplice firma su Metamask può svuotarti il ​​portafoglio?

Un utente molto esperto (tra i primi 10 per Degen Score) ha perso quasi 500.000 USDC a causa di una vulnerabilità oggi.

Potresti essere il prossimo...

Ecco un breve thread su come è successo e su come puoi evitare simili vulnerabilità in futuro.

— korpi (@korpi87) 19 agosto 2022

Era un tranquillo pomeriggio quando Joe (nome di fantasia) si accorse che 469.000 USDC erano stati prelevati dal suo portafoglio.

Non si trattava di un semplice trasferimento, il che significava che un malintenzionato apparentemente non aveva accesso al portafoglio di Joe.

malevolotracche aveva svuotato tutti gli USDC dal suo indirizzo… pic.twitter.com/pTgTjfMMeu

— korpi (@korpi87) 19 agosto 2022

Qui dobbiamo mettere in pausa la storia per spiegare alcuni aspetti tecnici.

Il token USDC è un contrattotracEthereum EthereumHa molte funzioni che deficome interagiamo con USDC e cosa possiamo farci.

Concentriamoci su due funzioni:
> transfer
> transferFrom pic.twitter.com/gekVmjmwvW

— korpi (@korpi87) 19 agosto 2022

> trasferimento

Quando si spostano USDC (o altri token ERC20) tra portafogli, si utilizza la funzione di trasferimento.

Questa sposta i token dal chiamante (l'indirizzo che chiama la funzione) a un altro indirizzo.

Per utilizzare in modo malevolo la funzione di trasferimento per tuo conto, qualcuno dovrebbe ottenere il controllo del tuo portafoglio. pic.twitter.com/3Z3pYbBnRq

— korpi (@korpi87) 19 agosto 2022

> transferFrom

Quando interagisci contrac, questi utilizzano transferFrom per spostare i tuoi token. Possono prelevare fino all'importo consentito che hai impostato nella funzione di approvazione.

Se consenti a un contrattotracspendere una quantità illimitata di USDC, può prelevarli tutti.https://t.co/QdUgLuZfZH

— korpi (@korpi87) 19 agosto 2022

Tornando alla storia di Joe...

La suddetta interazione contrattualetracha prosciugato gli USDC di Joe era effettivamente la funzione transferFrom.

Ma transferFrom avrebbe funzionato solo se Joe avesse approvato il contrattotracspendere i suoi USDC.

E Joe era convinto al 100% di non aver approvato nulla... pic.twitter.com/HH9xxYeQms

— korpi (@korpi87) 19 agosto 2022

Aspetta un attimo...

La cronologia di DeBank mostra chiaramente un'approvazione infinita di USDC per il contratto dannosotracminuti prima dell'exploit...

Joe l'ha davvero approvato?

Sì. Ma anche no. Non direttamente. pic.twitter.com/AqQQs7GZAV

— korpi (@korpi87) 19 agosto 2022

Etherscan rivela che l'approvazione infinita non è stata una funzione di approvazione chiamata da Joe stesso.

È stata una funzione di permesso chiamata da un altro indirizzo e ha concesso al contratto malevolotracautorizzazione a spendere tutti gli USDC di Joe.

Ma che diavolo? Come possono altri approvare contrattitractuo conto? pic.twitter.com/TS3iDbhOXu

— korpi (@korpi87) 19 agosto 2022

La funzione di autorizzazione è stata introdotta per migliorare l'esperienza utente su Ethereum.

Consente all'utente di modificare gli importi approvati senza inviare una transazione. È sufficiente una firma.

Con la tua firma, chiunque può richiamare la funzione di autorizzazione e aggiornare l'importo consentito per uno spender. pic.twitter.com/hem0lPsnW1

— korpi (@korpi87) 19 agosto 2022

Puoi vedere il permesso in azione quando usi la dApp 1inch.

Se vuoi vendere USDC, non devi prima dare la tua approvazione.
Tutto ciò che devi fare è firmare un messaggio.

Questa firma concede a 1inch il permesso di spendere tutti i tuoi USDC. 1inch non lo farà, ma un contratto malevolotrac. pic.twitter.com/Dd7ggJFWtl

— korpi (@korpi87) 19 agosto 2022

Joe deve averdentun messaggio del genere su un sito web dannoso.

Sfortunatamente, questa volta ha utilizzato un portafoglio elettronico e la firma è stata un semplice clic apparentemente innocente.

Con un portafoglio hardware, ci sarebbe stato un momento di ripensamento durante la firma di un messaggio sul dispositivo esterno.

— korpi (@korpi87) 19 agosto 2022

Con la firma di Joe, un malintenzionato ha inviato una transazione con la funzione "permit".

malevolotracil permesso di spendere tutti gli USDC dal portafoglio di Joe.

Successivamente è stata chiamata la funzione "transferFrom" e il contratto malevolotracprosciugato i fondi. pic.twitter.com/1U6lWr9pmw

— korpi (@korpi87) 19 agosto 2022

A quanto pare, le firme possono essere catastrofiche.

In alcuni casi, Metamask ti avvertirà che firmare un messaggio può essere pericoloso.

Ma non nel caso di approvazioni firmate, che tecnicamente funzionano come previsto, ma possono causare molti danni se utilizzate in modo improprio.https://t.co/5H9rNWVR3b

— korpi (@korpi87) 19 agosto 2022

Come evitare exploit simili in futuro?

– Non firmare tutto in Metamask.
– Prenditi del tempo per capire cosa firmi.
– Fai attenzione alle approvazioni tradizionali (vedi il thread collegato)https://t.co/549NmPly5s

— korpi (@korpi87) 19 agosto 2022

Spero che questo thread ti sia stato utile.

Seguimi su @korpi87 e dai un'occhiata al mio Notion: https://t.co/ZTqYKmhCNk per saperne di più.

Metti "Mi piace" o ritwitta il primo tweet qui sotto per proteggere gli altri da simili attacchi: https://t.co/9pqCSXi9JH

— korpi (@korpi87) 19 agosto 2022

#Ethereumsono causati dalla costante ottimizzazione della tokenomics a discapito della decentralizzazione, della sicurezza e della resilienza. Sembra che la fusione e il Proof-of-Stake porteranno alla completa cattura della regolamentazione da parte di exchange centralizzati e piattaforme di staking, e per loro non c'è via d'uscita. 🧵👇 pic.twitter.com/Ur9tf42K5p

— Samson Mow (@Excellion) 19 agosto 2022

Quindi come ci sono arrivati? Decidendo di imporre un requisito di 32 ETH per lo staking come parte del protocollo (al fine di bloccare l'offerta e massimizzare la tokenomics). Questo ha praticamente reso il PoS il più centralizzato possibile, e in più non hanno la #BitcoinBitcoin se non hai le chiavi, non hai le monete". pic.twitter.com/Ml4QV93ECP

— Samson Mow (@Excellion) 19 agosto 2022

Quindi ora il 66% dei validatori deve rispettare le normative OFAC. E gli ETH che hanno depositato in staking non possono essere prelevati perché la funzionalità di prelievo non è stata codificata, a causa della tokenomics. 📈 pic.twitter.com/BdjFqYk70J

— Samson Mow (@Excellion) 19 agosto 2022

Ma aspetta! Gli Etherean possono semplicemente #UASF come quei Bitcoin Maxi, giusto? Come per mostrare a Coinbase chi comanda! pic.twitter.com/LBSRDOF79o

— Samson Mow (@Excellion) 19 agosto 2022

No. Innanzitutto, gli utenti di Ethereum non gestiscono i propri nodi e, in secondo luogo, la maggior parte dei servizi dipende da Infura, ma questo non è il problema principale. pic.twitter.com/8rI1FsDwuU

— Samson Mow (@Excellion) 19 agosto 2022

Premetto che arrestare gli sviluppatori per aver scritto codice è orribile e crea undentterribile. Detto questo..

— Samson Mow (@Excellion) 19 agosto 2022

Per #UASF serve un software da eseguire. Ora tutti Ethereum hanno nomi di città fighi come Istanbul, Londra, Berlino, ecc. Chiamiamo questo ipotetico Ethereum "Pyongyang". Pyongyang impedirebbe a Coinbase e alla maggioranza del 66% di censurare le transazioni sanzionate dall'OFAC.

— Samson Mow (@Excellion) 19 agosto 2022

Un altro modo per dire "impedire la censura delle transazioni sanzionate dall'OFAC" potrebbe essere "aiutare a eludere le sanzioni". Forse ci siamo dimenticati di Virgil. Comunque, chi si occuperà di programmare Pyongyang? Il tizio di Tornado Cash è stato arrestato, quindi probabilmente anche gli sviluppatori di Pyongyang verranno arrestati. pic.twitter.com/HQNtkyTQkg

— Samson Mow (@Excellion) 19 agosto 2022

Chi governerà Pyongyang? Quelli che segnalano con "X 🏴"? Collegheranno anche il loro nodo di Pyongyang al loro account .eth? Coinbase, Kraken, Bitcoin Suisse e gli altri che costituiscono la maggioranza del 66% non governeranno defiPyongyang.

— Samson Mow (@Excellion) 19 agosto 2022

Bene, quindi un Ethereum #UASF è fuori discussione.

"Ma possiamo semplicemente tagliare Coinbase e altri se osano conformarsi!" pic.twitter.com/rmlgn8Cb2Y

— Samson Mow (@Excellion) 19 agosto 2022

Potrei anche essere un patetico Bitcoin Maxi™, ma ho passato 10 minuti a fare ricerche e ho scoperto che non esiste un meccanismo per colpire Coinbase. Non esiste un codice per rilevare e punire chi censura le transazioni. Il meccanismo di taglio funziona solo per punire i tempi di inattività o la doppia firma.

— Samson Mow (@Excellion) 19 agosto 2022

Quindi siamo di nuovo tornati ad aver bisogno del fork di Pyongyang, che nessuno programmerà o eseguirà. Anche se Pyongyang potesse esistere, non ci sarebbe modo per gli utenti di prelevare ETH. E anche se potessero prelevare, non importerebbe perché conta solo Infura. pic.twitter.com/RQ44BWUqzE

— Samson Mow (@Excellion) 19 agosto 2022

Supponendo che tutte le stelle si allineino magicamente e che ci sia un modo per gli utenti Ethereum di tagliare Coinbase ecc., cosa significa? Significa che gli azionisti di minoranza avrebbero un meccanismo per punire arbitrariamente la maggioranza. Questo non funzionerà a lungo termine.

— Samson Mow (@Excellion) 19 agosto 2022

Ed è per questo #EthereumEthereum chiamiamo una #shitcoin . È un esercizio di futilità, pieno di scelte di design atroci e progettato con il solo scopo di gonfiare il valore del token. pic.twitter.com/irYDrzJcOO

— Samson Mow (@Excellion) 19 agosto 2022