Metamask의 간단한 서명이 지갑을 비울 수 있다는 것을 알고 있습니까? 매우 숙련된 사용자(Degen Score 기준 상위 10위)가 오늘 악용으로 거의 500,000 USDC를 잃었습니다. 당신은 다음이 될 수 있습니다… 어떻게 이런 일이 발생했는지 그리고 앞으로 그러한 악용을 피할 수 있는 방법에 대한 짧은 스레드입니다. — 코르피(@korpi87) 2022년 8월 19일
Metamask의 간단한 서명이 지갑을 비울 수 있다는 것을 알고 있습니까? 매우 숙련된 사용자(Degen Score 기준 상위 10위)가 오늘 악용으로 거의 500,000 USDC를 잃었습니다. 당신은 다음이 될 수 있습니다… 어떻게 이런 일이 발생했는지 그리고 앞으로 그러한 악용을 피할 수 있는 방법에 대한 짧은 스레드입니다.
Joe(이름 변경됨)가 지갑에서 469k USDC를 떠난 것을 발견한 것은 조용한 오후였습니다. 단순한 이체가 아니었기 때문에 공격자는 분명히 Joe의 지갑에 액세스할 수 없었습니다. 그의 주소에서 모든 USDC를 고갈시킨 것은 trac 이었습니다 pic.twitter.com/pTgTjfMMeu — 코르피(@korpi87) 2022년 8월 19일
Joe(이름 변경됨)가 지갑에서 469k USDC를 떠난 것을 발견한 것은 조용한 오후였습니다. 단순한 이체가 아니었기 때문에 공격자는 분명히 Joe의 지갑에 액세스할 수 없었습니다. 그의 주소에서 모든 USDC를 고갈시킨 것은 trac 이었습니다 pic.twitter.com/pTgTjfMMeu
여기서 우리는 몇 가지 기술적인 부분을 설명하기 위해 이야기를 잠시 멈출 필요가 있습니다. USDC 토큰은 Ethereum 의 trac . USDC와 상호 작용하는 방법과 USDC로 수행할 수 있는 작업을 defi 많은 기능이 있습니다 두 가지 기능에 집중합시다: > transfer > transferFrom pic.twitter.com/gekVmjmwvW — 코르피(@korpi87) 2022년 8월 19일
여기서 우리는 몇 가지 기술적인 부분을 설명하기 위해 이야기를 잠시 멈출 필요가 있습니다. USDC 토큰은 Ethereum 의 trac . USDC와 상호 작용하는 방법과 USDC로 수행할 수 있는 작업을 defi 많은 기능이 있습니다 두 가지 기능에 집중합시다: > transfer > transferFrom pic.twitter.com/gekVmjmwvW
> 전송 지갑간에 USDC(또는 다른 ERC20)를 이동할 때 전송 기능을 사용합니다. 호출자(함수를 호출하는 주소)에서 다른 주소로 토큰을 이동합니다. 귀하를 대신하여 악의적으로 전송을 사용하려면 누군가 귀하의 지갑을 제어해야 합니다. pic.twitter.com/3Z3pYbBnRq — 코르피(@korpi87) 2022년 8월 19일
> 전송 지갑간에 USDC(또는 다른 ERC20)를 이동할 때 전송 기능을 사용합니다. 호출자(함수를 호출하는 주소)에서 다른 주소로 토큰을 이동합니다. 귀하를 대신하여 악의적으로 전송을 사용하려면 누군가 귀하의 지갑을 제어해야 합니다. pic.twitter.com/3Z3pYbBnRq
> transferFrom trac 작용할 때 그들은 transferFrom을 사용하여 토큰을 이동합니다. 승인 기능에서 설정한 허용량만큼 가져갈 수 있습니다. trac USDC를 무한대로 사용하도록 허용하면 https://t.co/QdUgLuZfZH — 코르피(@korpi87) 2022년 8월 19일
> transferFrom trac 작용할 때 그들은 transferFrom을 사용하여 토큰을 이동합니다. 승인 기능에서 설정한 허용량만큼 가져갈 수 있습니다. trac USDC를 무한대로 사용하도록 허용하면 https://t.co/QdUgLuZfZH
Joe의 이야기로 돌아가서… Joe의 USDC를 고갈시킨 앞서 언급한 계약 trac USDC를 사용하도록 trac 을 승인한 경우에만 작동합니다 그리고 Joe는 그가 아무것도 승인하지 않았다고 100% 확신했습니다… pic.twitter.com/HH9xxYeQms — 코르피(@korpi87) 2022년 8월 19일
Joe의 이야기로 돌아가서… Joe의 USDC를 고갈시킨 앞서 언급한 계약 trac USDC를 사용하도록 trac 을 승인한 경우에만 작동합니다 그리고 Joe는 그가 아무것도 승인하지 않았다고 100% 확신했습니다… pic.twitter.com/HH9xxYeQms
잠깐만요... 익스플로잇 10분 전에 악의적인 컨트랙트에 대해 무한 USDC 승인을 명확하게 보여줍니다... trac 가 실제로 승인했나요? 예. 그러나 또한 아닙니다. 직접적으로는 아닙니다. pic.twitter.com/AqQQs7GZAV — 코르피(@korpi87) 2022년 8월 19일
잠깐만요... 익스플로잇 10분 전에 악의적인 컨트랙트에 대해 무한 USDC 승인을 명확하게 보여줍니다... trac 가 실제로 승인했나요? 예. 그러나 또한 아닙니다. 직접적으로는 아닙니다. pic.twitter.com/AqQQs7GZAV
Etherscan은 무한 승인이 Joe 자신이 호출한 승인 기능이 아님을 밝힙니다. 다른 주소에 의해 호출된 허가 함수였으며 악의적인 계약자에게 trac 의 USDC를 모두 사용하도록 승인했습니다. 뭐야? 다른 사람이 어떻게 trac 를 대신하여 계약을 승인할 수 있습니까? pic.twitter.com/TS3iDbhOXu — 코르피(@korpi87) 2022년 8월 19일
Etherscan은 무한 승인이 Joe 자신이 호출한 승인 기능이 아님을 밝힙니다. 다른 주소에 의해 호출된 허가 함수였으며 악의적인 계약자에게 trac 의 USDC를 모두 사용하도록 승인했습니다. 뭐야? 다른 사람이 어떻게 trac 를 대신하여 계약을 승인할 수 있습니까? pic.twitter.com/TS3iDbhOXu
Ethereum 의 사용자 경험을 개선하기 위해 도입되었습니다 . 사용자가 트랜잭션을 제출하지 않고 승인 금액을 수정할 수 있습니다. 서명이면 충분합니다. 귀하의 서명으로 누구든지 허가 기능을 호출하고 지출자를 위해 귀하의 수당을 업데이트할 수 있습니다. pic.twitter.com/hem0lPsnW1 — 코르피(@korpi87) 2022년 8월 19일
Ethereum 의 사용자 경험을 개선하기 위해 도입되었습니다 . 사용자가 트랜잭션을 제출하지 않고 승인 금액을 수정할 수 있습니다. 서명이면 충분합니다. 귀하의 서명으로 누구든지 허가 기능을 호출하고 지출자를 위해 귀하의 수당을 업데이트할 수 있습니다. pic.twitter.com/hem0lPsnW1
1inch dApp을 사용하면 허가가 실행되는 것을 볼 수 있습니다. USDC를 판매하려는 경우 먼저 승인할 필요가 없습니다. 메시지에 서명하기만 하면 됩니다. 이 서명은 모든 USDC를 사용할 수 있는 권한을 1inch에 부여합니다. 1inch는 할 수 없지만 악의적인 계약은 trac 수 있습니다. pic.twitter.com/Dd7ggJFWtl — 코르피(@korpi87) 2022년 8월 19일
1inch dApp을 사용하면 허가가 실행되는 것을 볼 수 있습니다. USDC를 판매하려는 경우 먼저 승인할 필요가 없습니다. 메시지에 서명하기만 하면 됩니다. 이 서명은 모든 USDC를 사용할 수 있는 권한을 1inch에 부여합니다. 1inch는 할 수 없지만 악의적인 계약은 trac 수 있습니다. pic.twitter.com/Dd7ggJFWtl
Joe는 악의적인 웹 사이트에서 그러한 메시지에 dent 불행히도 이번에는 그가 핫 월렛을 사용했고 서명은 순진해 보이는 클릭 한 번에 불과했습니다. 하드웨어 지갑을 사용하면 외부 장치에서 메시지에 서명하는 동안 다시 생각하는 순간이 있을 것입니다. — 코르피(@korpi87) 2022년 8월 19일
Joe는 악의적인 웹 사이트에서 그러한 메시지에 dent 불행히도 이번에는 그가 핫 월렛을 사용했고 서명은 순진해 보이는 클릭 한 번에 불과했습니다. 하드웨어 지갑을 사용하면 외부 장치에서 메시지에 서명하는 동안 다시 생각하는 순간이 있을 것입니다.
Joe의 서명으로 악의적인 행위자가 허가 기능이 있는 트랜잭션을 제출했습니다. trac Joe의 지갑에서 모든 USDC를 사용할 수 있는 권한을 부여했습니다 그런 다음 transferFrom 함수가 호출되었고 악의적인 계약이 trac 을 고갈시켰습니다. pic.twitter.com/1U6lWr9pmw — 코르피(@korpi87) 2022년 8월 19일
Joe의 서명으로 악의적인 행위자가 허가 기능이 있는 트랜잭션을 제출했습니다. trac Joe의 지갑에서 모든 USDC를 사용할 수 있는 권한을 부여했습니다 그런 다음 transferFrom 함수가 호출되었고 악의적인 계약이 trac 을 고갈시켰습니다. pic.twitter.com/1U6lWr9pmw
분명히 서명은 치명적일 수 있습니다. 경우에 따라 Metamask는 메시지에 서명하는 것이 위험할 수 있다고 경고합니다. 그러나 기술적으로 설계된 대로 작동하지만 오용될 경우 많은 피해를 초래할 수 있는 서명된 승인의 경우에는 그렇지 않습니다. https://t.co/5H9rNWVR3b — 코르피(@korpi87) 2022년 8월 19일
분명히 서명은 치명적일 수 있습니다. 경우에 따라 Metamask는 메시지에 서명하는 것이 위험할 수 있다고 경고합니다. 그러나 기술적으로 설계된 대로 작동하지만 오용될 경우 많은 피해를 초래할 수 있는 서명된 승인의 경우에는 그렇지 않습니다. https://t.co/5H9rNWVR3b
향후 유사한 익스플로잇을 방지하는 방법은 무엇입니까? – Metamask의 모든 항목에 서명하지 마십시오. – 서명 내용을 이해하는 데 시간을 할애하십시오. – 전통적인 승인에 주의하십시오(링크된 스레드 참조) https://t.co/549NmPly5s — 코르피(@korpi87) 2022년 8월 19일
향후 유사한 익스플로잇을 방지하는 방법은 무엇입니까? – Metamask의 모든 항목에 서명하지 마십시오. – 서명 내용을 이해하는 데 시간을 할애하십시오. – 전통적인 승인에 주의하십시오(링크된 스레드 참조) https://t.co/549NmPly5s
이 스레드가 도움이 되었기를 바랍니다. @korpi87을 팔로우 하고 내 Notion( https://t.co/ZTqYKmhCNk) 에서 자세한 내용을 확인하세요. 유사한 공격으로부터 다른 사람을 보호하려면 아래의 첫 번째 트윗에 좋아요/리트윗을 해주세요: https://t.co/9pqCSXi9JH — 코르피(@korpi87) 2022년 8월 19일
이 스레드가 도움이 되었기를 바랍니다. @korpi87을 팔로우 하고 내 Notion( https://t.co/ZTqYKmhCNk) 에서 자세한 내용을 확인하세요. 유사한 공격으로부터 다른 사람을 보호하려면 아래의 첫 번째 트윗에 좋아요/리트윗을 해주세요: https://t.co/9pqCSXi9JH
# Ethereum 의 문제는 탈중앙화, 보안, 복원력보다 토크노믹스를 지속적으로 최적화함으로써 발생합니다. Merge와 POS는 중앙 집중식 교환 및 스테이킹 플랫폼에 의한 완전한 규제 캡처로 이어질 것으로 보이며 탈출구가 없습니다. 🧵👇 pic.twitter.com/Ur9tf42K5p — 샘슨 모우(@Excellion) 2022년 8월 19일
# Ethereum 의 문제는 탈중앙화, 보안, 복원력보다 토크노믹스를 지속적으로 최적화함으로써 발생합니다. Merge와 POS는 중앙 집중식 교환 및 스테이킹 플랫폼에 의한 완전한 규제 캡처로 이어질 것으로 보이며 탈출구가 없습니다. 🧵👇 pic.twitter.com/Ur9tf42K5p
그래서 그들은 어떻게 여기에 왔습니까? 프로토콜의 일부로 스테이킹하기 위한 32 ETH 요구 사항을 결정합니다(공급을 잠그고 토크노믹스를 극대화하기 위해). 그것은 거의 POS를 가능한 한 중앙 집중식으로 만들었고, 게다가 그들은 당신의 열쇠가 아닌, 당신의 동전이 아닌 비트코인 문화를 가지고 Bitcoin pic.twitter.com/Ml4QV93ECP — 샘슨 모우(@Excellion) 2022년 8월 19일
그래서 그들은 어떻게 여기에 왔습니까? 프로토콜의 일부로 스테이킹하기 위한 32 ETH 요구 사항을 결정합니다(공급을 잠그고 토크노믹스를 극대화하기 위해). 그것은 거의 POS를 가능한 한 중앙 집중식으로 만들었고, 게다가 그들은 당신의 열쇠가 아닌, 당신의 동전이 아닌 비트코인 문화를 가지고 Bitcoin pic.twitter.com/Ml4QV93ECP
이제 OFAC 규정을 준수해야 하는 유효성 검사기의 66%가 있습니다. 그리고 그들이 지분에 예치한 ETH는 인출 기능이 코딩되지 않았기 때문에 인출할 수 없습니다. 토크노믹스 때문입니다. 📈 pic.twitter.com/BdjFqYk70J — 샘슨 모우(@Excellion) 2022년 8월 19일
이제 OFAC 규정을 준수해야 하는 유효성 검사기의 66%가 있습니다. 그리고 그들이 지분에 예치한 ETH는 인출 기능이 코딩되지 않았기 때문에 인출할 수 없습니다. 토크노믹스 때문입니다. 📈 pic.twitter.com/BdjFqYk70J
하지만 기다려! Ethereans는 Bitcoin Maxi 처럼 #UASF를 코인베이스에게 누가 보스인지 완전히 보여주듯! pic.twitter.com/LBSRDOF79o — 샘슨 모우(@Excellion) 2022년 8월 19일
하지만 기다려! Ethereans는 Bitcoin Maxi 처럼 #UASF를 코인베이스에게 누가 보스인지 완전히 보여주듯! pic.twitter.com/LBSRDOF79o
아니요. 첫째, Ethereans는 자체 노드를 실행하지 않으며 둘째, 대부분의 서비스가 Infura에 의존하지만 이것이 주요 문제는 아닙니다. pic.twitter.com/8rI1FsDwuU — 샘슨 모우(@Excellion) 2022년 8월 19일
아니요. 첫째, Ethereans는 자체 노드를 실행하지 않으며 둘째, 대부분의 서비스가 Infura에 의존하지만 이것이 주요 문제는 아닙니다. pic.twitter.com/8rI1FsDwuU
저는 이 다음 부분의 서문에서 코드 작성을 위해 개발자를 체포하는 것은 끔찍한 일이며 끔찍한 dent 남긴다고 말할 것입니다. 즉… — 샘슨 모우(@Excellion) 2022년 8월 19일
저는 이 다음 부분의 서문에서 코드 작성을 위해 개발자를 체포하는 것은 끔찍한 일이며 끔찍한 dent 남긴다고 말할 것입니다. 즉…
#UASF를 하려면 소프트웨어가 필요합니다. 이제 모든 Ethereum Ethereum UASF 포크를 "평양" 이라고 부르겠습니다 평양은 코인베이스와 66% 다수가 OFAC 승인 거래를 검열하는 것을 막을 것입니다. — 샘슨 모우(@Excellion) 2022년 8월 19일
#UASF를 하려면 소프트웨어가 필요합니다. 이제 모든 Ethereum Ethereum UASF 포크를 "평양" 이라고 부르겠습니다 평양은 코인베이스와 66% 다수가 OFAC 승인 거래를 검열하는 것을 막을 것입니다.
"OFAC 제재 거래의 검열 방지"를 말하는 또 다른 방법은 "제재 회피를 돕는 것"일 수 있습니다. 버질을 잊었을 수도 있습니다. 어쨌든 누가 평양을 코드화할 것인가? 토네이도 Cash 녀석이 체포되었으니 평양 개발자들도 체포될 가능성이 높습니다. pic.twitter.com/HQNtkyTQkg — 샘슨 모우(@Excellion) 2022년 8월 19일
"OFAC 제재 거래의 검열 방지"를 말하는 또 다른 방법은 "제재 회피를 돕는 것"일 수 있습니다. 버질을 잊었을 수도 있습니다. 어쨌든 누가 평양을 코드화할 것인가? 토네이도 Cash 녀석이 체포되었으니 평양 개발자들도 체포될 가능성이 높습니다. pic.twitter.com/HQNtkyTQkg
누가 평양을 운영할 것인가? "X 🏴"로 신호를 보내는 사람들? 그들은 평양 노드를 .eth 계정에도 연결할 예정입니까? Coinbase, Kraken, Bitcoin Suisse 및 66%의 다수를 구성하는 다른 기업들은 defi 평양을 운영하지 않습니다. — 샘슨 모우(@Excellion) 2022년 8월 19일
누가 평양을 운영할 것인가? "X 🏴"로 신호를 보내는 사람들? 그들은 평양 노드를 .eth 계정에도 연결할 예정입니까? Coinbase, Kraken, Bitcoin Suisse 및 66%의 다수를 구성하는 다른 기업들은 defi 평양을 운영하지 않습니다.
자, 이더 Ethereum #UASF 는 테이블에서 벗어났습니다. "그러나 우리는 그들이 감히 따르기만 한다면 Coinbase와 다른 사람들을 삭감할 수 있습니다!" pic.twitter.com/rmlgn8Cb2Y — 샘슨 모우(@Excellion) 2022년 8월 19일
자, 이더 Ethereum #UASF 는 테이블에서 벗어났습니다. "그러나 우리는 그들이 감히 따르기만 한다면 Coinbase와 다른 사람들을 삭감할 수 있습니다!" pic.twitter.com/rmlgn8Cb2Y
저는 한심한 Bitcoin Maxi™일지 모르지만 10분 동안 연구를 했고 Coinbase를 깎을 수 있는 메커니즘이 없다는 것을 알았습니다. 거래를 검열하는 사람을 감지하고 처벌하는 코드는 없습니다. 슬래싱 메커니즘은 다운타임이나 이중 서명을 처벌하는 데만 적용됩니다. — 샘슨 모우(@Excellion) 2022년 8월 19일
저는 한심한 Bitcoin Maxi™일지 모르지만 10분 동안 연구를 했고 Coinbase를 깎을 수 있는 메커니즘이 없다는 것을 알았습니다. 거래를 검열하는 사람을 감지하고 처벌하는 코드는 없습니다. 슬래싱 메커니즘은 다운타임이나 이중 서명을 처벌하는 데만 적용됩니다.
그래서 우리는 아무도 코딩하거나 실행하지 않을 평양 분기점을 다시 필요로 합니다. 평양이 존재할 수 있다 해도 사용자가 ETH를 인출할 수 있는 방법은 없습니다. 그리고 그들이 철회할 수 있더라도 Infura만이 중요하기 때문에 그것은 중요하지 않습니다. pic.twitter.com/RQ44BWUqzE — 샘슨 모우(@Excellion) 2022년 8월 19일
그래서 우리는 아무도 코딩하거나 실행하지 않을 평양 분기점을 다시 필요로 합니다. 평양이 존재할 수 있다 해도 사용자가 ETH를 인출할 수 있는 방법은 없습니다. 그리고 그들이 철회할 수 있더라도 Infura만이 중요하기 때문에 그것은 중요하지 않습니다. pic.twitter.com/RQ44BWUqzE
모든 별들이 마법처럼 정렬되어 있고 Ethereum 사용자들이 코인베이스 등을 깎을 수 있는 방법이 있다고 가정하면, 그게 무슨 뜻인가요? 이는 소수 이해관계자가 다수를 자의적으로 처벌할 수 있는 메커니즘을 갖게 된다는 것을 의미합니다. 그것은 장기적으로 작동하지 않을 것입니다. — 샘슨 모우(@Excellion) 2022년 8월 19일
모든 별들이 마법처럼 정렬되어 있고 Ethereum 사용자들이 코인베이스 등을 깎을 수 있는 방법이 있다고 가정하면, 그게 무슨 뜻인가요? 이는 소수 이해관계자가 다수를 자의적으로 처벌할 수 있는 메커니즘을 갖게 된다는 것을 의미합니다. 그것은 장기적으로 작동하지 않을 것입니다.
이것이 우리가 #Ethereum Ethereum #shitcoin 이라고 . 그것은 무익한 운동이며 끔찍한 디자인 선택으로 가득 차 있으며 토큰을 펌핑하는 유일한 목적으로 설계되었습니다. pic.twitter.com/irYDrzJcOO — 샘슨 모우(@Excellion) 2022년 8월 19일
이것이 우리가 #Ethereum Ethereum #shitcoin 이라고 . 그것은 무익한 운동이며 끔찍한 디자인 선택으로 가득 차 있으며 토큰을 펌핑하는 유일한 목적으로 설계되었습니다. pic.twitter.com/irYDrzJcOO
Ibiam은 낙관적인 암호화 저널리스트입니다. 지금으로부터 5년 후, 그는 암호화 세계와 일반 대중 사이의 격차를 해소할 고유한 암호화 미디어 아울렛을 설립하는 자신을 봅니다. 그는 같은 생각을 가진 사람들과 어울리고 유사한 프로젝트에서 그들과 협력하는 것을 좋아합니다. 그는 글쓰기와 비판적 사고 기술을 연마하는 데 많은 시간을 할애합니다.