Melhor thread do Twitter do dia – 19 de agosto

Você sabia que uma simples assinatura no Metamask pode esvaziar sua carteira?

Um usuário muito experiente (entre os 10 melhores no ranking Degen Score) perdeu quase 500 mil USDC em um ataque hoje.

Você pode ser o próximo…

Um breve relato de como isso aconteceu e como você pode evitar esse tipo de ataque no futuro.

— korpi (@korpi87) 19 de agosto de 2022

Era uma tarde tranquila quando Joe (nome fictício) percebeu que 469 mil USDC haviam saído de sua carteira.

Não se tratava de uma simples transferência, o que significava que um invasor aparentemente não tinha acesso à carteira de Joe.

Era um contrato maliciosotracdrenou todos os USDC de seu endereço… pic.twitter.com/pTgTjfMMeu

— korpi (@korpi87) 19 de agosto de 2022

Aqui precisamos pausar a história para explicar alguns detalhes técnicos.

O token USDC é um contratotracEthereum EthereumEle possui diversas funções que deficomo interagimos com o USDC e o que podemos fazer com ele.

Vamos nos concentrar em duas funções:
> transferir
> transferirDe pic.twitter.com/gekVmjmwvW

— korpi (@korpi87) 19 de agosto de 2022

> Transferir

Quando você move USDC (ou outros tokens ERC20) entre carteiras, você usa a função de transferência.

Ela move tokens do endereço que chama a função para outro endereço.

Para usar a função de transferência de forma maliciosa em seu nome, alguém precisaria obter controle sobre sua carteira. pic.twitter.com/3Z3pYbBnRq

— korpi (@korpi87) 19 de agosto de 2022

> transferFrom

Quando você interage comtrac, eles usam o transferFrom para mover seus tokens. Eles podem usar até o limite permitido que você definiu na função de aprovação.

Se você permitir que um contratotracuma quantidade infinita de USDC, ele poderá usar tudo.https://t.co/QdUgLuZfZH

— korpi (@korpi87) 19 de agosto de 2022

Voltando à história do Joe…

mencionadatracque drenou os USDCs do Joe foi de fato a função transferFrom.

Mas a função transferFrom só funcionaria se o Joe tivesse aprovado o contratotracgastar seus USDCs.

E o Joe estava 100% convencido de que não havia aprovado nada… pic.twitter.com/HH9xxYeQms

— korpi (@korpi87) 19 de agosto de 2022

Espere um momento…

O histórico do DeBank mostra claramente aprovação infinita de USDC para o contrato maliciosotracminutos antes da exploração…

Será que Joe realmente o aprovou?

Sim. Mas também não. Não diretamente. pic.twitter.com/AqQQs7GZAV

— korpi (@korpi87) 19 de agosto de 2022

O Etherscan revelou que a aprovação infinita não foi uma função de aprovação chamada pelo próprio Joe.

Foi uma função de permissão chamada por outro endereço, que concedeu ao contrato maliciosotracaprovação para gastar todos os USDC de Joe.

Que absurdo! Como outros podem aprovar contratostracseu nome? pic.twitter.com/TS3iDbhOXu

— korpi (@korpi87) 19 de agosto de 2022

A função de permissão foi introduzida para melhorar a experiência do usuário no Ethereum.

Ela permite que um usuário modifique os valores de aprovação sem precisar enviar uma transação. Uma assinatura é suficiente.

Com sua assinatura, qualquer pessoa pode chamar a função de permissão e atualizar sua permissão para um gastador. pic.twitter.com/hem0lPsnW1

— korpi (@korpi87) 19 de agosto de 2022

Você pode ver a permissão em ação ao usar o aplicativo descentralizado (dApp) 1inch.

Se você quiser vender USDC, não precisa aprová-lo primeiro.
Tudo o que você precisa fazer é assinar uma mensagem.

Essa assinatura concede ao 1inch a permissão para gastar todo o seu USDC. O 1inch não fará isso, mas um contrato maliciosotrac. pic.twitter.com/Dd7ggJFWtl

— korpi (@korpi87) 19 de agosto de 2022

Joe deve terdentuma mensagem desse tipo em um site malicioso.

Infelizmente, desta vez ele usou uma carteira online (hot wallet) e a assinatura foi apenas um clique aparentemente inofensivo.

Com uma carteira de hardware, ele pensaria duas vezes antes de assinar uma mensagem em um dispositivo externo.

— korpi (@korpi87) 19 de agosto de 2022

Com a assinatura de Joe, um agente malicioso submeteu uma transação com a função de permissão.

Isso deu ao contrato maliciosotracpermissão para gastar todos os USDC da carteira de Joe.

Em seguida, a função transferFrom foi chamada e o contrato maliciosotracos fundos. pic.twitter.com/1U6lWr9pmw

— korpi (@korpi87) 19 de agosto de 2022

Aparentemente, assinaturas podem ser catastróficas.

Em alguns casos, o Metamask avisa que assinar uma mensagem pode ser perigoso.

Mas isso não acontece com aprovações assinadas, que tecnicamente funcionam como deveriam, mas podem causar muitos danos se usadas incorretamente.https://t.co/5H9rNWVR3b

— korpi (@korpi87) 19 de agosto de 2022

Como evitar explorações semelhantes no futuro?

– Não assine tudo no Metamask.
– Dedique um tempo para entender o que você está assinando.
– Tenha cuidado com as aprovações tradicionais (veja o tópico vinculado)https://t.co/549NmPly5s

— korpi (@korpi87) 19 de agosto de 2022

Espero que este tópico tenha sido útil.

Siga-me @korpi87 e confira meu perfil no Notion: https://t.co/ZTqYKmhCNk para mais informações.

Curta/Retuite o primeiro tweet abaixo para proteger outras pessoas de explorações semelhantes: https://t.co/9pqCSXi9JH

— korpi (@korpi87) 19 de agosto de 2022

sãoEthereumcausados ​​pela constante otimização da tokenomics em detrimento da descentralização, segurança e resiliência. Parece que a fusão e o Proof-of-Stake levarão à completa captura regulatória por exchanges centralizadas e plataformas de staking, e não há saída para elas. 🧵👇 pic.twitter.com/Ur9tf42K5p

— Samson Mow (@Excellion) 19 de agosto de 2022

Então, como eles chegaram a isso? Decidindo por um requisito de staking de 32 ETH como parte do protocolo (para bloquear o fornecimento e maximizar a tokenomics). Isso praticamente centralizou o Proof-of-Stake ao máximo, e além disso, eles não têm a "Bitcoin não são suas chaves, não são suas moedas". pic.twitter.com/Ml4QV93ECP

— Samson Mow (@Excellion) 19 de agosto de 2022

Agora, 66% dos validadores precisam cumprir as regulamentações do OFAC. E o ETH que eles depositaram para staking não pode ser sacado porque a funcionalidade de saque não foi programada – por causa da tokenomics. 📈 pic.twitter.com/BdjFqYk70J

— Samson Mow (@Excellion) 19 de agosto de 2022

Mas espere! Os usuários de Ethereum podem simplesmente usar o #UASF como aqueles Bitcoin Maxi, certo? Tipo, mostrar para a Coinbase quem manda! pic.twitter.com/LBSRDOF79o

— Samson Mow (@Excellion) 19 de agosto de 2022

Não. Primeiro, os usuários do Ethereum não executam seus próprios nós e, segundo, a maioria dos serviços depende da Infura, mas esse não é o principal problema. pic.twitter.com/8rI1FsDwuU

— Samson Mow (@Excellion) 19 de agosto de 2022

Antes de prosseguir, gostaria de deixar claro que prender desenvolvedores por escreverem código é horrível e cria umdentterrível. Dito isso…

— Samson Mow (@Excellion) 19 de agosto de 2022

Para o #UASF, executar EthereumEthereumEthereum EthereumEthereumEthereumEthereum EthereumEthereum com UASF de "Pyongyang". Pyongyang impediria a Coinbase e a maioria de 66% de censurar transações sancionadas pelo OFAC.

— Samson Mow (@Excellion) 19 de agosto de 2022

Outra forma de dizer "impedir a censura de transações sancionadas pelo OFAC" seria "ajudar a burlar as sanções". Talvez tenhamos esquecido do Virgil. Enfim, quem vai programar o Pyongyang? O cara do Tornado Cash foi preso, então os desenvolvedores do Pyongyang provavelmente também serão. pic.twitter.com/HQNtkyTQkg

— Samson Mow (@Excellion) 19 de agosto de 2022

Quem vai comandar Pyongyang? Os caras que sinalizam com “X 🏴”? Eles também vão vincular seus nós de Pyongyang às suas contas .eth? Coinbase, Kraken, Bitcoin Suisse e os outros que compõem a maioria de 66% definão estão comandando Pyongyang.

— Samson Mow (@Excellion) 19 de agosto de 2022

Certo, então um Ethereum #UASF está fora de questão.

"Mas podemos simplesmente penalizar a Coinbase e outras empresas se elas ousarem cooperar!" pic.twitter.com/rmlgn8Cb2Y

— Samson Mow (@Excellion) 19 de agosto de 2022

Posso ser um completo leigo Bitcoin ™, mas dediquei 10 minutos à pesquisa e descobri que não existe nenhum mecanismo para penalizar a Coinbase. Não há nenhum código para detectar e punir quem censura transações. O mecanismo de penalização só funciona para punir períodos de inatividade ou assinaturas duplas.

— Samson Mow (@Excellion) 19 de agosto de 2022

Então, voltamos à necessidade do fork Pyongyang, que ninguém vai programar ou executar. Mesmo que Pyongyang pudesse existir, não há como os usuários sacarem ETH. E mesmo que pudessem sacar, não importa, porque só a Infura importa. pic.twitter.com/RQ44BWUqzE

— Samson Mow (@Excellion) 19 de agosto de 2022

Supondo que todos os astros se alinhassem magicamente e houvesse uma maneira de os usuários Ethereum prejudicarem a Coinbase, etc., o que isso significaria? Significaria que os acionistas minoritários teriam um mecanismo para punir arbitrariamente a maioria. Isso não vai funcionar a longo prazo.

— Samson Mow (@Excellion) 19 de agosto de 2022

E é por isso que chamamos oEthereum de #shitcoin. É um exercício de futilidade, repleto de escolhas de design atrozes e projetado com o único propósito de inflar o valor do token. pic.twitter.com/irYDrzJcOO

— Samson Mow (@Excellion) 19 de agosto de 2022