Metamask の単純な署名が財布を使い果たす可能性があることをご存知ですか? 今日、非常に経験豊富なユーザー (Degen Score によるトップ 10) がエクスプロイトで約 500,000 USDC を失いました。 次はあなたかもしれません…それがどのように起こったか、そして今後そのような悪用をどのように回避するかについての短いスレッドです。 — コルピ (@korpi87) 2022 年 8 月 19 日
Metamask の単純な署名が財布を使い果たす可能性があることをご存知ですか? 今日、非常に経験豊富なユーザー (Degen Score によるトップ 10) がエクスプロイトで約 500,000 USDC を失いました。 次はあなたかもしれません…それがどのように起こったか、そして今後そのような悪用をどのように回避するかについての短いスレッドです。
ジョー (名前が変わりました) が 469,000 USDC が財布から出てきたことに気づいたのは、静かな午後でした。 これは単純な送金ではなかったので、攻撃者は明らかにジョーのウォレットにアクセスできなかったと考えられます。 それは、彼のアドレスからすべての USDC を流出させる悪意のある契約でしtrac… pic.twitter.com/pTgTjfMMeu — コルピ (@korpi87) 2022 年 8 月 19 日
ジョー (名前が変わりました) が 469,000 USDC が財布から出てきたことに気づいたのは、静かな午後でした。 これは単純な送金ではなかったので、攻撃者は明らかにジョーのウォレットにアクセスできなかったと考えられます。 それは、彼のアドレスからすべての USDC を流出させる悪意のある契約でしtrac… pic.twitter.com/pTgTjfMMeu
ここで、いくつかの技術的な点を説明するために話を一時停止する必要があります。 USDC トークンはEthereumのtrac。 には、USDC とのやり取り方法や、USDC で何ができるかをdefi多くの機能があります 2 つの機能に焦点を当てましょう: > transfer > transferFrom pic.twitter.com/gekVmjmwvW — コルピ (@korpi87) 2022 年 8 月 19 日
ここで、いくつかの技術的な点を説明するために話を一時停止する必要があります。 USDC トークンはEthereumのtrac。 には、USDC とのやり取り方法や、USDC で何ができるかをdefi多くの機能があります 2 つの機能に焦点を当てましょう: > transfer > transferFrom pic.twitter.com/gekVmjmwvW
> transfer USDC(または他のERC20)をウォレット間で移動する場合、transfer関数を使用します。 トークンを呼び出し元 (関数を呼び出すアドレス) から他のアドレスに移動します。 あなたに代わって転送を悪意を持って使用するには、誰かがあなたのウォレットを制御する必要があります。 pic.twitter.com/3Z3pYbBnRq — コルピ (@korpi87) 2022 年 8 月 19 日
> transfer USDC(または他のERC20)をウォレット間で移動する場合、transfer関数を使用します。 トークンを呼び出し元 (関数を呼び出すアドレス) から他のアドレスに移動します。 あなたに代わって転送を悪意を持って使用するには、誰かがあなたのウォレットを制御する必要があります。 pic.twitter.com/3Z3pYbBnRq
> transferFromtracと対話するとき、契約は transferFrom を使用してトークンを移動します。 承認機能で設定した許容量まで受け取ることができます。 tracに無制限の USDC の使用を許可すると https://t.co/QdUgLuZfZH — コルピ (@korpi87) 2022 年 8 月 19 日
> transferFromtracと対話するとき、契約は transferFrom を使用してトークンを移動します。 承認機能で設定した許容量まで受け取ることができます。 tracに無制限の USDC の使用を許可すると https://t.co/QdUgLuZfZH
ジョーの話に戻ります…ジョーの USDC を消耗させた前述の契約tracUSDC を使用するtracを承認した場合にのみ機能します そしてジョーは自分が何も承認していないと100%確信していました… pic.twitter.com/HH9xxYeQms — コルピ (@korpi87) 2022 年 8 月 19 日
ジョーの話に戻ります…ジョーの USDC を消耗させた前述の契約tracUSDC を使用するtracを承認した場合にのみ機能します そしてジョーは自分が何も承認していないと100%確信していました… pic.twitter.com/HH9xxYeQms
ちょっと待ってください… DeBank の履歴を見ると、悪用の 10 分前に悪意のある契約に対する USDC の承認が無限に続いていることが明らかに示されています… tracは実際にそれを承認しましたか? はい。 しかし、そうでもありません。 直接ではありません。 pic.twitter.com/AqQQs7GZAV — コルピ (@korpi87) 2022 年 8 月 19 日
ちょっと待ってください… DeBank の履歴を見ると、悪用の 10 分前に悪意のある契約に対する USDC の承認が無限に続いていることが明らかに示されています… tracは実際にそれを承認しましたか? はい。 しかし、そうでもありません。 直接ではありません。 pic.twitter.com/AqQQs7GZAV
Etherscan は、無限承認はジョー自身によって呼び出された承認関数ではないことを明らかにしています。 これは他のアドレスによって呼び出された許可関数であり、悪意のある契約にtracの USDC をすべて使用する承認を与えました。 なんと? trac承認するにはどうすればよいですか? pic.twitter.com/TS3iDbhOXu — コルピ (@korpi87) 2022 年 8 月 19 日
Etherscan は、無限承認はジョー自身によって呼び出された承認関数ではないことを明らかにしています。 これは他のアドレスによって呼び出された許可関数であり、悪意のある契約にtracの USDC をすべて使用する承認を与えました。 なんと? trac承認するにはどうすればよいですか? pic.twitter.com/TS3iDbhOXu
許可機能は、Ethereum。 これにより、ユーザーはトランザクションを送信せずに承認金額を変更できます。 署名だけで十分です。 あなたの署名があれば、誰でも許可機能を呼び出して、支出者の小遣いを更新できます。 pic.twitter.com/hem0lPsnW1 — コルピ (@korpi87) 2022 年 8 月 19 日
許可機能は、Ethereum。 これにより、ユーザーはトランザクションを送信せずに承認金額を変更できます。 署名だけで十分です。 あなたの署名があれば、誰でも許可機能を呼び出して、支出者の小遣いを更新できます。 pic.twitter.com/hem0lPsnW1
1インチ dApp を使用すると、許可の動作が確認できます。 USDC を販売したい場合、最初に承認する必要はありません。 必要なのはメッセージに署名することだけです。 この署名により、1inch にすべての USDC を使用する許可が与えられます。 1 インチではできませんが、悪意のある契約でtracば可能です。 pic.twitter.com/Dd7ggJFWtl — コルピ (@korpi87) 2022 年 8 月 19 日
1インチ dApp を使用すると、許可の動作が確認できます。 USDC を販売したい場合、最初に承認する必要はありません。 必要なのはメッセージに署名することだけです。 この署名により、1inch にすべての USDC を使用する許可が与えられます。 1 インチではできませんが、悪意のある契約でtracば可能です。 pic.twitter.com/Dd7ggJFWtl
dentそのようなメッセージに署名したに違いありません 残念なことに、今回彼はホットウォレットを使用しており、署名は無害に見える 1 回のクリックだけでした。 ハードウェア ウォレットの場合、外部デバイスでメッセージに署名するときに考え直す瞬間が発生します。 — コルピ (@korpi87) 2022 年 8 月 19 日
dentそのようなメッセージに署名したに違いありません 残念なことに、今回彼はホットウォレットを使用しており、署名は無害に見える 1 回のクリックだけでした。 ハードウェア ウォレットの場合、外部デバイスでメッセージに署名するときに考え直す瞬間が発生します。
ジョーの署名を使用して、悪意のある攻撃者は許可機能を備えたトランザクションを送信しました。 これにより、悪意のある契約に、ジョーのウォレットからすべての USDC を使用する許可が与えられましtrac。 その後、transferFrom 関数が呼び出され、悪意のある契約trac資金が流出しました。 pic.twitter.com/1U6lWr9pmw — コルピ (@korpi87) 2022 年 8 月 19 日
ジョーの署名を使用して、悪意のある攻撃者は許可機能を備えたトランザクションを送信しました。 これにより、悪意のある契約に、ジョーのウォレットからすべての USDC を使用する許可が与えられましtrac。 その後、transferFrom 関数が呼び出され、悪意のある契約trac資金が流出しました。 pic.twitter.com/1U6lWr9pmw
どうやら、署名は致命的な結果をもたらす可能性があります。 場合によっては、メタマスクは、メッセージに署名することは危険である可能性があることを警告します。 ただし、技術的には設計どおりに機能する署名済みの承認の場合は異なりますが、誤用すると多大な損害を引き起こす可能性があります。 https://t.co/5H9rNWVR3b — コルピ (@korpi87) 2022 年 8 月 19 日
どうやら、署名は致命的な結果をもたらす可能性があります。 場合によっては、メタマスクは、メッセージに署名することは危険である可能性があることを警告します。 ただし、技術的には設計どおりに機能する署名済みの承認の場合は異なりますが、誤用すると多大な損害を引き起こす可能性があります。 https://t.co/5H9rNWVR3b
今後同様の悪用を避けるにはどうすればよいでしょうか? – メタマスク内のすべてに署名しないでください。 – 署名する内容を理解するために時間をかけてください。 – 従来の承認には注意してください (リンクされたスレッドを参照) https://t.co/549NmPly5s — コルピ (@korpi87) 2022 年 8 月 19 日
今後同様の悪用を避けるにはどうすればよいでしょうか? – メタマスク内のすべてに署名しないでください。 – 署名する内容を理解するために時間をかけてください。 – 従来の承認には注意してください (リンクされたスレッドを参照) https://t.co/549NmPly5s
このスレッドがお役に立てば幸いです。 @korpi87をフォローし詳細については私の Notion をチェックしてください: https://t.co/ZTqYKmhCNk 他の人を同様の悪用から守るために、以下の最初のツイートを「いいね」/リツイートしてください: https://t.co/9pqCSXi9JH — コルピ (@korpi87) 2022 年 8 月 19 日
このスレッドがお役に立てば幸いです。 @korpi87をフォローし詳細については私の Notion をチェックしてください: https://t.co/ZTqYKmhCNk 他の人を同様の悪用から守るために、以下の最初のツイートを「いいね」/リツイートしてください: https://t.co/9pqCSXi9JH
#Ethereumの問題は、分散化、セキュリティ、回復力を重視してトークンノミクスを常に最適化することによって引き起こされます。 Merge と POS は、集中型取引所とステーキング プラットフォームによる規制の完全な掌握につながるようですが、それらに出口はありません。 🧵👇 pic.twitter.com/Ur9tf42K5p — サムソン・モウ (@Excellion) 2022 年 8 月 19 日
#Ethereumの問題は、分散化、セキュリティ、回復力を重視してトークンノミクスを常に最適化することによって引き起こされます。 Merge と POS は、集中型取引所とステーキング プラットフォームによる規制の完全な掌握につながるようですが、それらに出口はありません。 🧵👇 pic.twitter.com/Ur9tf42K5p
それで、彼らはどうやってここに来たのでしょうか? プロトコルの一部としてステークするための 32 ETH 要件を決定します (供給をロックアップし、トークンノミクスを最大化するため)。 これにより、POS は可能な限り一元化され、さらにキーではなくコインでは# Bitcoin pic.twitter.com/Ml4QV93ECP — サムソン・モウ (@Excellion) 2022 年 8 月 19 日
それで、彼らはどうやってここに来たのでしょうか? プロトコルの一部としてステークするための 32 ETH 要件を決定します (供給をロックアップし、トークンノミクスを最大化するため)。 これにより、POS は可能な限り一元化され、さらにキーではなくコインでは# Bitcoin pic.twitter.com/Ml4QV93ECP
つまり、66% のバリデーターが OFAC 規制に準拠する必要があることになります。 そして、彼らがステークに預けたETHは、引き出し機能がコーディングされていないため、つまりトケノミクスのため引き出すことができません。 📈 pic.twitter.com/BdjFqYk70J — サムソン・モウ (@Excellion) 2022 年 8 月 19 日
つまり、66% のバリデーターが OFAC 規制に準拠する必要があることになります。 そして、彼らがステークに預けたETHは、引き出し機能がコーディングされていないため、つまりトケノミクスのため引き出すことができません。 📈 pic.twitter.com/BdjFqYk70J
ちょっと待って! #UASFをBitcoinにいいねするだけでいいですよね? Coinbase に誰がボスであるかを完全に示すようなものです! pic.twitter.com/LBSRDOF79o — サムソン・モウ (@Excellion) 2022 年 8 月 19 日
ちょっと待って! #UASFをBitcoinにいいねするだけでいいですよね? Coinbase に誰がボスであるかを完全に示すようなものです! pic.twitter.com/LBSRDOF79o
いいえ。第一に、イーサリアンは独自のノードを実行していません。第二に、ほとんどのサービスは Infura に依存していますが、それが主な問題ではありません。 pic.twitter.com/8rI1FsDwuU — サムソン・モウ (@Excellion) 2022 年 8 月 19 日
いいえ。第一に、イーサリアンは独自のノードを実行していません。第二に、ほとんどのサービスは Infura に依存していますが、それが主な問題ではありません。 pic.twitter.com/8rI1FsDwuU
この次の部分では、コードを書いたという理由で開発者を逮捕することは恐ろしいことであり、恐ろしいdentとなることを述べておきます。 そうは言っても… — サムソン・モウ (@Excellion) 2022 年 8 月 19 日
この次の部分では、コードを書いたという理由で開発者を逮捕することは恐ろしいことであり、恐ろしいdentとなることを述べておきます。 そうは言っても…
#UASF をには、ソフトウェアを実行する必要があります。 現在、すべてのEthereumEthereumUASF フォークを「平壌」と呼びましょう 北朝鮮は、Coinbaseと66%の過半数がOFAC認可の取引を検閲することを阻止するだろう。 — サムソン・モウ (@Excellion) 2022 年 8 月 19 日
#UASF をには、ソフトウェアを実行する必要があります。 現在、すべてのEthereumEthereumUASF フォークを「平壌」と呼びましょう 北朝鮮は、Coinbaseと66%の過半数がOFAC認可の取引を検閲することを阻止するだろう。
「OFAC の制裁対象取引の検閲を阻止する」を言い換えると、「制裁回避を支援する」とも言えます。 もしかしたら私たちはヴァージルのことを忘れているかもしれません。 それにしても、誰が北朝鮮を暗号化するのでしょうか? Tornado Cashの担当者が逮捕されたため、平壌の開発者も逮捕される可能性があります。 pic.twitter.com/HQNtkyTQkg — サムソン・モウ (@Excellion) 2022 年 8 月 19 日
「OFAC の制裁対象取引の検閲を阻止する」を言い換えると、「制裁回避を支援する」とも言えます。 もしかしたら私たちはヴァージルのことを忘れているかもしれません。 それにしても、誰が北朝鮮を暗号化するのでしょうか? Tornado Cashの担当者が逮捕されたため、平壌の開発者も逮捕される可能性があります。 pic.twitter.com/HQNtkyTQkg
誰が平壌を統治するのか? 「×🏴」って合図してる奴ら? 彼らは平壌ノードも.ethアカウントにリンクするつもりなのでしょうか? Coinbase、Kraken、 Bitcoin Swiss、およびその他の多数派の66%を構成する企業は、defiなく平壌を運営しているわけではない。 — サムソン・モウ (@Excellion) 2022 年 8 月 19 日
誰が平壌を統治するのか? 「×🏴」って合図してる奴ら? 彼らは平壌ノードも.ethアカウントにリンクするつもりなのでしょうか? Coinbase、Kraken、 Bitcoin Swiss、およびその他の多数派の66%を構成する企業は、defiなく平壌を運営しているわけではない。
Ethereumです #UASFは議論の対象外です。 「しかし、Coinbase やその他の企業があえて従うなら、我々はただ斬ることもできます!」 pic.twitter.com/rmlgn8Cb2Y — サムソン・モウ (@Excellion) 2022 年 8 月 19 日
Ethereumです #UASFは議論の対象外です。 「しかし、Coinbase やその他の企業があえて従うなら、我々はただ斬ることもできます!」 pic.twitter.com/rmlgn8Cb2Y
私は哀れなBitcoin Maxi™ かもしれませんが、10 分かけて調査したところ、Coinbase を打ち負かすメカニズムが存在しないことがわかりました。 取引を検閲する人を検出して罰するコードはありません。 斬撃メカニズムは、ダウンタイムまたは二重署名を罰するためにのみ機能します。 — サムソン・モウ (@Excellion) 2022 年 8 月 19 日
私は哀れなBitcoin Maxi™ かもしれませんが、10 分かけて調査したところ、Coinbase を打ち負かすメカニズムが存在しないことがわかりました。 取引を検閲する人を検出して罰するコードはありません。 斬撃メカニズムは、ダウンタイムまたは二重署名を罰するためにのみ機能します。
したがって、誰もコードを作成したり実行したりしない平壌フォークが必要になるという状況に再び戻ります。 たとえ北朝鮮が存在したとしても、ユーザーがETHを引き出す方法はありません。 そして、たとえ撤退できたとしても、重要なのはインフラだけなので問題ではありません。 pic.twitter.com/RQ44BWUqzE — サムソン・モウ (@Excellion) 2022 年 8 月 19 日
したがって、誰もコードを作成したり実行したりしない平壌フォークが必要になるという状況に再び戻ります。 たとえ北朝鮮が存在したとしても、ユーザーがETHを引き出す方法はありません。 そして、たとえ撤退できたとしても、重要なのはインフラだけなので問題ではありません。 pic.twitter.com/RQ44BWUqzE
すべての星が魔法のように整列し、Ethereumユーザーがコインベースなどを斬る方法があったと仮定すると、それは何を意味するのでしょうか? それは、少数の利害関係者が多数を恣意的に罰するメカニズムを持つことを意味します。 それは長期的にはうまくいきません。 — サムソン・モウ (@Excellion) 2022 年 8 月 19 日
すべての星が魔法のように整列し、Ethereumユーザーがコインベースなどを斬る方法があったと仮定すると、それは何を意味するのでしょうか? それは、少数の利害関係者が多数を恣意的に罰するメカニズムを持つことを意味します。 それは長期的にはうまくいきません。
これが、私たちが#EthereumEthereum#shitcoinと。 それは無益な行為であり、ひどい設計上の選択肢が満載であり、トークンをポンピングすることだけを目的として設計されています。 pic.twitter.com/irYDrzJcOO — サムソン・モウ (@Excellion) 2022 年 8 月 19 日
これが、私たちが#EthereumEthereum#shitcoinと。 それは無益な行為であり、ひどい設計上の選択肢が満載であり、トークンをポンピングすることだけを目的として設計されています。 pic.twitter.com/irYDrzJcOO
アイビアムは楽観的な仮想通貨ジャーナリストです。 今から 5 年後、彼は仮想通貨の世界と一般大衆との間のギャップを打ち破る独自の仮想通貨メディアを確立すると考えています。 彼は同じ考えを持つ人々と交流し、同様のプロジェクトで協力するのが大好きです。 彼は執筆と批判的思考のスキルを磨くことに多くの時間を費やしています。