Лучшая ветка обсуждений в Твиттере за день – 19 августа

Знаете ли вы, что простая подпись в Metamask может опустошить ваш кошелек?

Очень опытный пользователь (входит в топ-10 по рейтингу Degen Score) сегодня потерял почти 500 000 USDC из-за эксплойта.

Вы можете стать следующим…

Краткое описание того, как это произошло, и как избежать подобных эксплойтов в будущем.

— korpi (@korpi87) 19 августа 2022 г

Тихим днем ​​Джо (имя изменено) заметил, что из его кошелька вывели 469 000 USDC.

Это был не простой перевод, а значит, у злоумышленника, по всей видимости, не было доступа к кошельку Джо.

Это был злонамеренный контрактtracв результате которого все USDC были выведены с его адреса… pic.twitter.com/pTgTjfMMeu

— korpi (@korpi87) 19 августа 2022 г

Здесь нам нужно сделать паузу, чтобы объяснить некоторые технические детали.

Токен USDC — это контрактtracEthereum EthereumОн имеет множество функций, которые defi, как мы взаимодействуем с USDC и что с ним можно делать.

Давайте сосредоточимся на двух функциях:
> transfer
> transferFrom pic.twitter.com/gekVmjmwvW

— korpi (@korpi87) 19 августа 2022 г

> Перевод.

Когда вы перемещаете USDC (или другие ERC20) между кошельками, вы используете функцию перевода.

Она перемещает токены с адреса, вызывающего функцию, на другой адрес.

Чтобы злонамеренно использовать функцию перевода от вашего имени, кто-то должен получить контроль над вашим кошельком. pic.twitter.com/3Z3pYbBnRq

— korpi (@korpi87) 19 августа 2022 г

> transferFrom

При взаимодействии с контрактамиtracиспользуют transferFrom для перемещения ваших токенов. Они могут забрать сумму, не превышающую лимит, установленный в функции одобрения.

Если вы разрешите контрактуtracбесконечное количество USDC, он сможет забрать все.https://t.co/QdUgLuZfZH

— korpi (@korpi87) 19 августа 2022 г

Вернемся к истории Джо…

Упомянутое выше взаимодействие по контрактуtracкоторое истощило USDC Джо, действительно было функцией transferFrom.

Но transferFrom сработал бы только в том случае, если бы Джо одобрил контрактtracрасходование своих USDC.

А Джо был на 100% уверен, что ничего не одобрял… pic.twitter.com/HH9xxYeQms

— korpi (@korpi87) 19 августа 2022 г

Подождите минутку…

История DeBank ясно показывает, что USDC одобрил этот вредоносный контрактtrac10 минут до взлома…

Действительно ли Джо одобрил его?

Да. Но и нет. Не напрямую. pic.twitter.com/AqQQs7GZAV

— korpi (@korpi87) 19 августа 2022 г

Etherscan сообщает, что функция бесконечного одобрения была вызвана не самим Джо, а

функцией разрешения, вызванной другим адресом, и она предоставила злонамеренному контрактуtracпотратить все USDC Джо.

Что за бред? Как другие могут одобрять контрактыtracвашего имени? pic.twitter.com/TS3iDbhOXu

— korpi (@korpi87) 19 августа 2022 г

Функция «Разрешение» была введена для улучшения пользовательского опыта в Ethereum.

Она позволяет пользователю изменять суммы одобрения без отправки транзакции. Достаточно подписи.

С вашей подписью любой может вызвать функцию «Разрешение» и обновить ваш лимит для участника транзакции. pic.twitter.com/hem0lPsnW1

— korpi (@korpi87) 19 августа 2022 г

Вы можете увидеть работу разрешения, используя децентрализованное приложение 1inch.

Если вы хотите продать USDC, вам не нужно предварительно это одобрять.
Все, что вам нужно, это подписать сообщение.

Эта подпись дает 1inch разрешение потратить все ваши USDC. 1inch этого не сделает сам, но злонамеренный контрактtracэто сделать. pic.twitter.com/Dd7ggJFWtl

— korpi (@korpi87) 19 августа 2022 г

Джо, должно быть,dentподписал такое сообщение на вредоносном веб-сайте.

К сожалению, на этот раз он использовал «горячий кошелек», и подписание было всего лишь одним безобидным щелчком мыши.

С аппаратным кошельком, подписывая сообщение на внешнем устройстве, он бы не стал долго раздумывать.

— korpi (@korpi87) 19 августа 2022 г

Используя подпись Джо, злоумышленник отправил транзакцию с функцией разрешения.

Это дало злонамеренному контрактуtracпотратить все USDC из кошелька Джо.

Затем была вызвана функция transferFrom, и злонамеренный контрактtracсредства. pic.twitter.com/1U6lWr9pmw

— korpi (@korpi87) 19 августа 2022 г

По всей видимости, подписи могут быть катастрофическими.

В некоторых случаях Metamask предупреждает о том, что подписание сообщения может быть опасным.

Но не в случае подписанных подтверждений, которые технически работают так, как задумано, но могут нанести большой ущерб при неправильном использовании.https://t.co/5H9rNWVR3b

— korpi (@korpi87) 19 августа 2022 г

Как избежать подобных уязвимостей в будущем?

– Не подписывайте всё в Metamask.
– Уделите время тому, чтобы понять, что вы подписываете.
– Будьте осторожны с традиционными процедурами подтверждения (см. ссылку на обсуждение)https://t.co/549NmPly5s

— korpi (@korpi87) 19 августа 2022 г

Надеюсь, эта ветка обсуждений оказалась для вас полезной.

Подписывайтесь на меня @korpi87 и заходите на мой Notion: https://t.co/ZTqYKmhCNk, чтобы узнать больше.

Поставьте лайк/сделайте ретвит первого твита ниже, чтобы защитить других от подобных атак: https://t.co/9pqCSXi9JH

— korpi (@korpi87) 19 августа 2022 г

EthereumEthereumвызваны постоянной оптимизацией токеномики в ущерб децентрализации, безопасности и устойчивости. Похоже, что слияние и POS приведут к полному захвату регулирования централизованными биржами и платформами для стейкинга, и выхода для них нет. pic.twitter.com/Ur9tf42K5p

— Самсон Моу (@Excellion) 19 августа 2022 г

Так как же они дошли до этого? Приняв решение о требовании 32 ETH для стейкинга в рамках протокола (чтобы заблокировать предложение и максимизировать токеномику). Это сделало POS максимально централизованным, и к тому же у них нет #BitcoinBitcoin . pic.twitter.com/Ml4QV93ECP

— Самсон Моу (@Excellion) 19 августа 2022 г

Таким образом, теперь 66% валидаторов должны соблюдать правила OFAC. И внесенные ими для стейкинга ETH нельзя вывести, потому что функция вывода не была реализована — из-за токеномики. 📈 pic.twitter.com/BdjFqYk70J

— Самсон Моу (@Excellion) 19 августа 2022 г

Но подождите! Эфирианцы могут просто #UASF, как эти Bitcoin Maxi, верно? Вот так, показать Coinbase, кто здесь главный! pic.twitter.com/LBSRDOF79o

— Самсон Моу (@Excellion) 19 августа 2022 г

Нет. Во-первых, пользователи Ethereum не запускают собственные узлы, а во-вторых, большинство сервисов зависят от Infura, но это не главная проблема. pic.twitter.com/8rI1FsDwuU

— Самсон Моу (@Excellion) 19 августа 2022 г

Прежде чем перейти к следующей части, я отмечу, что арест разработчиков за написание кода — это ужасно и создает ужасныйdent. Тем не менее…

— Самсон Моу (@Excellion) 19 августа 2022 г

Для #UASF требуется программное обеспечение. Сейчас у всех Ethereum есть крутые названия городов, такие как Стамбул, Лондон, Берлин и т. д. Давайте назовем этот гипотетический Ethereum UASF «Пхеньян». Пхеньян предотвратил бы цензуру транзакций, санкционированных OFAC, со стороны Coinbase и 66% большинства.

— Самсон Моу (@Excellion) 19 августа 2022 г

Другой способ сказать «предотвратить цензуру транзакций, находящихся под санкциями OFAC» — это «помочь обойти санкции». Возможно, мы забыли про Вирджила. Так кто же будет разрабатывать Пхеньян? Парня из Tornado Cash арестовали, так что разработчиков из Пхеньяна, скорее всего, тоже арестуют. pic.twitter.com/HQNtkyTQkg

— Самсон Моу (@Excellion) 19 августа 2022 г

Кто будет управлять Пхеньяном? Те, кто сигнализирует «X 🏴»? Собираются ли они также привязать свой пхеньянский узел к своему .eth-аккаунту? Coinbase, Kraken, Bitcoin Suisse и другие, составляющие 66% большинства, defiне будут управлять Пхеньяном.

— Самсон Моу (@Excellion) 19 августа 2022 г

Итак, проект Ethereum #UASF отменяется.

«Но мы можем просто обрушить Coinbase и другие компании, если они осмелятся подчиниться!» pic.twitter.com/rmlgn8Cb2Y

— Самсон Моу (@Excellion) 19 августа 2022 г

Возможно, я и жалкий Bitcoin магнат, но я потратил 10 минут на исследование и обнаружил, что в Coinbase нет механизма для наложения штрафов. Нет кода, который бы обнаруживал и наказывал кого-либо за цензуру транзакций. Механизм наложения штрафов работает только для наказания за простои или двойную подпись.

— Самсон Моу (@Excellion) 19 августа 2022 г

Так что мы снова вернулись к необходимости создания и запуска форка Пхеньяна, который никто не станет кодировать или запускать. Даже если бы Пхеньян существовал, у пользователей не было бы возможности вывести ETH. И даже если бы они могли это сделать, это не имело бы значения, потому что важна только Infura. pic.twitter.com/RQ44BWUqzE

— Самсон Моу (@Excellion) 19 августа 2022 г

Предположим, что все звезды волшебным образом сошлись и у пользователей Ethereum появился способ обменять Coinbase и т.д. Что это будет означать? Это будет означать, что у миноритарных акционеров появится механизм для произвольного наказания большинства. В долгосрочной перспективе это не сработает.

— Самсон Моу (@Excellion) 19 августа 2022 г

Именно поэтому мы называем #Ethereum #Ethereum . бессмысленноезанятие, изобилующее ужасными дизайнерскими решениями и созданное исключительно для искусственного завышения стоимости токена. pic.twitter.com/irYDrzJcOO

— Самсон Моу (@Excellion) 19 августа 2022 г