週刊
トップの座を維持する
最高の仮想通貨情報をあなたの受信トレイに直接お届けします。.
もっと…ニュース
ディープ クリプト
速習コース
速習コース
- どの仮想通貨でお金が稼げるか
- ウォレットを使ってセキュリティを強化する方法(そして実際に使う価値のあるウォレットはどれか)
- プロが使う、あまり知られていない投資戦略
- 仮想通貨への投資を始める方法(どの取引所を使うべきか、購入すべき最適な仮想通貨など)
私たちに従ってください
最高の仮想通貨情報をあなたの受信トレイに直接お届けします。.
MetaMaskの簡単な署名でウォレットの残高がゼロになる可能性があることをご存知ですか?
— コルピ(@korpi87) 2022年8月19日
非常に経験豊富なユーザー(Degen Scoreでトップ10)が、本日、エクスプロイトによって約50万USDCを失いました。次は
あなたの番かもしれません…
何が起こったのか、そして今後このようなエクスプロイトを回避するにはどうすればよいのか、簡単なスレッドで解説します。
静かな午後、ジョー(仮名)は自分のウォレットから469,000 USDCが引き落とされていることに気づきました。
— コルピ(@korpi87) 2022年8月19日
これは単純な送金ではなく、攻撃者がジョーのウォレットにアクセスできなかったことを意味していました。
、悪意のあるコントラクトでしtrac… pic.twitter.com/pTgTjfMMeu
ここで少し話を中断して、技術的な詳細を説明しましょう。USDC
— コルピ(@korpi87) 2022年8月19日
トークンはtrac上の Ethereumの機能があります defiとのやり取り方法や、USDCで何ができるかを定義する
ここでは、次の2つの機能に注目してみましょう。
> transfer
> transferFrom pic.twitter.com/gekVmjmwvW
> 転送
— コルピ(@korpi87) 2022年8月19日
ウォレット間でUSDC(またはその他のERC20トークン)を移動する場合、転送関数を使用します。
この関数は、呼び出し元(関数を呼び出すアドレス)から別のアドレスにトークンを移動します。
悪意を持ってあなたに代わって転送関数を使用するには、誰かがあなたのウォレットを制御する必要があります。 pic.twitter.com/3Z3pYbBnRq
> transferFrom
— コルピ(@korpi87) 2022年8月19日
とやり取りする際trac、コントラクトはtransferFromを使用してトークンを移動します。承認機能で設定した許容額まで引き出すことができます。
許可した場合trac、すべてのUSDCを引き出すことができます。https://t.co/QdUgLuZfZH
ジョーの話に戻りましょう…
— コルピ(@korpi87) 2022年8月19日
前述の契約tracジョーのUSDCを消費した
を承認した場合にのみ機能しますtrac。
そして、ジョーは自分が何も承認していないと100%確信していました… pic.twitter.com/HH9xxYeQms
ちょっと待って…
— コルピ(@korpi87) 2022年8月19日
悪意のある契約に対するUSDCの無制限承認が明確に示されているtrac、エクスプロイトの10分前に
ジョーは実際にそれを承認したのか?
はい。でも、いいえ。直接は承認していません。 pic.twitter.com/AqQQs7GZAV
Etherscanによると、無限承認はJoe自身が呼び出した承認関数ではなく、
— コルピ(@korpi87) 2022年8月19日
別のアドレスが呼び出した許可関数であり、悪意のあるコントラクトにJoeのUSDCをすべて消費する承認を与えていたとのことですtrac一体
を承認できるのでしょうかtracあなたの代わりに pic.twitter.com/TS3iDbhOXu
のユーザーエクスペリエンスを向上させるために、Permit関数が導入されました Ethereum。
— コルピ(@korpi87) 2022年8月19日
これにより、ユーザーはトランザクションを送信せずに承認額を変更できます。署名だけで十分です。
署名があれば、誰でもPermit関数を呼び出して、支出者への許可額を更新できます。pic.twitter.com/ hem0lPsnW1
1inch dAppを使用すると、許可が実際にどのように機能するかを確認できます。USDC
— コルピ(@korpi87) 2022年8月19日
を売却したい場合、事前に承認する必要はありません。
必要なのはメッセージに署名することだけです。
この署名により、1inchはあなたのUSDCをすべて使用する許可を得ます。1inchは実際には使用しませんが、悪意のあるコントラクトであればtracです。pic.twitter.com /Dd7ggJFWtl
ジョーはdent悪意のあるウェブサイトで、うっかりこのようなメッセージに署名してしまったに
— コルピ(@korpi87) 2022年8月19日
残念ながら、今回はホットウォレットを使用していたため、署名は一見無害そうなクリック1回だけで済みました。
ハードウェアウォレットであれば、外部デバイスでメッセージに署名する際に、一瞬ためらってしまうでしょう。
ジョーの署名を使って、悪意のある人物がpermit関数付きのトランザクションを送信しました。
— コルピ(@korpi87) 2022年8月19日
これにより、悪意のあるコントラクトはジョーのウォレットからすべてのUSDCを消費する権限を得ましたtracその後
、transferFrom関数が呼び出され、悪意のあるコントラクトtrac資金を抜き取りました。pic.twitter.com /1U6lWr9pmw
どうやら署名は壊滅的な被害をもたらす可能性があるようです。Metamask
— コルピ(@korpi87) 2022年8月19日
は、メッセージへの署名が危険である可能性があると警告する場合があります。
しかし、署名による承認の場合は警告が表示されません。署名による承認は技術的には設計通りに機能しますが、誤用されると大きな損害を引き起こす可能性があります。https://t.co/5H9rNWVR3b
今後同様の攻撃を回避するには?
— コルピ(@korpi87) 2022年8月19日
– Metamaskで全てに署名しない。
– 署名する内容を理解するために時間をかける。
– 従来の承認には注意する(リンク先のスレッドを参照)https://t.co/549NmPly5s
このスレッドがお役に立てば幸いです。
— コルピ(@korpi87) 2022年8月19日
をフォローして @korpi87 、私の Notion をチェックしてください: https://t.co/ZTqYKmhCNk で 詳細をご覧ください。
同様の悪用から他の人を守るために、以下の最初のツイートに「いいね」またはリツイートしてください: https://t.co/9pqCSXi9JH
#Ethereumの問題は、分散化、セキュリティ、回復力よりもトークノミクスを常に最適化してきたことに起因しています。マージとPOSは中央集権型取引所とステーキングプラットフォームによる完全な規制支配につながり、彼らには逃げ道がないようです。🧵👇 pic.twitter.com/Ur9tf42K5p
— サムソン・モウ(@Excellion) 2022年8月19日
では、彼らはどうやってここにたどり着いたのでしょうか?プロトコルの一部としてステーキングに32 ETHの要件を設定したのです(供給量をロックアップし、トークノミクスを最大化するため)。これにより、POSはほぼ中央集権化され、さらに 「Bitcoin 鍵がなければコインも自分のものにならない」という文化もなくなりました。 pic.twitter.com/Ml4QV93ECP
— サムソン・モウ(@Excellion) 2022年8月19日
つまり、バリデーターの66%がOFAC規制を遵守する必要があるということです。そして、ステーキングのために預け入れたETHは、トークノミクスのせいで引き出し機能が実装されていないため、引き出すことができません。📈 pic.twitter.com/BdjFqYk70J
— サムソン・モウ(@Excellion) 2022年8月19日
でも待って!イーサリアムは #UASF みたいに Bitcoin マキシ pic.twitter.com/LBSRDOF79o
— サムソン・モウ(@Excellion) 2022年8月19日
いいえ。まず、イーサリアムは独自のノードを運用していませんし、次に、ほとんどのサービスはInfuraに依存していますが、それが主な問題ではありません。 pic.twitter.com/8rI1FsDwuU
— サムソン・モウ(@Excellion) 2022年8月19日
この次の部分の前置きとして、開発者をコードを書いただけで逮捕するのはひどい行為であり、恐ろしいdentなることを述べておきます。とはいえ…
— サムソン・モウ(@Excellion) 2022年8月19日
には #UASFを ソフトウェアが必要です。現在、すべての EthereumEthereumEthereum EthereumEthereumEthereumEthereum EthereumEthereum UASFフォークを「平壌」と呼びましょう。平壌は、Coinbaseと66%の多数派がOFAC制裁対象の取引を検閲するのを阻止します。
— サムソン・モウ(@Excellion) 2022年8月19日
「OFAC制裁対象取引の検閲を阻止する」という言い方は、「制裁回避を支援する」とも言えるでしょう。ヴァージルのことを忘れていたのかもしれませんね。ところで、誰が平壌のコードを書くことになるのでしょうか?Tornado Cash 開発者が逮捕されたので、平壌の開発者も逮捕される可能性が高いでしょう。pic.twitter.com /HQNtkyTQkg
— サムソン・モウ(@Excellion) 2022年8月19日
平壌を運営するのは誰だ?「X 🏴」でシグナルを送っている人たちだ?彼らも平壌ノードを.ethアカウントにリンクさせるつもりなのか?Coinbase、Kraken、 Bitcoin Suisse、そして66%の大多数を占める他の仮想通貨は、 defiなく平壌を運営していない。.
— サムソン・モウ(@Excellion) 2022年8月19日
よし、 Ethereum #UASF は却下だ。
— サムソン・モウ(@Excellion) 2022年8月19日
「でも、もし彼らが従う勇気があるなら、Coinbaseや他の企業を潰せばいい!」 pic.twitter.com/rmlgn8Cb2Y
私は哀れな Bitcoin マキシ™かもしれませんが、10分ほど調べた結果、Coinbaseをスラッシングする仕組みは存在しないことがわかりました。取引を検閲した者を検知して罰するコードも存在しません。スラッシングの仕組みは、ダウンタイムや二重署名を罰するためにしか機能しません。.
— サムソン・モウ(@Excellion) 2022年8月19日
つまり、誰もコーディングも実行もしないピョンヤンフォークが再び必要になるということだ。たとえピョンヤンが存在したとしても、ユーザーがETHを引き出す方法はない。そして、たとえ引き出せたとしても、Infuraだけが重要なので意味がない。 pic.twitter.com/RQ44BWUqzE
— サムソン・モウ(@Excellion) 2022年8月19日
仮に全ての条件が魔法のように整い、 Ethereum ユーザーがCoinbaseなどを大幅に削減できると仮定すると、それは何を意味するのでしょうか?少数株主が多数派を恣意的に罰する仕組みを持つことになるということです。しかし、長期的にはうまくいかないでしょう。.
— サムソン・モウ(@Excellion) 2022年8月19日
だからこそ、 #Ethereum と #クソコインのです。無益な試みであり、ひどい設計上の選択に満ちており、トークン価格を吊り上げるためだけに作られたものです。 pic.twitter.com/irYDrzJcOO
— サムソン・モウ(@Excellion) 2022年8月19日
仮想通貨ニュースを読むだけでなく、理解を深めましょう。ニュースレターにご登録ください。 無料です。
イビアム・ウェイアスは、2019年から活動する暗号資産ライターです。ナイジェリア国立オープン大学でコンピュータサイエンスを学びました。彼の記事は、Coinfomania、Crypto News Australia、AltcoinBuzzなど、様々な暗号資産ニュースプラットフォームに掲載されています。現在は Cryptopolitanで寄稿・編集を担当しています。.
