您知道 Metamask 中的简单签名会耗尽您的钱包吗? 一位经验丰富的用户(Degen 评分排名前 10 名)今天在一次漏洞利用中损失了近 500k USDC。 您可能就是下一个......简短的讨论它是如何发生的以及您将来如何避免此类漏洞。 — korpi (@korpi87) 2022 年 8 月 19 日
您知道 Metamask 中的简单签名会耗尽您的钱包吗? 一位经验丰富的用户(Degen 评分排名前 10 名)今天在一次漏洞利用中损失了近 500k USDC。 您可能就是下一个......简短的讨论它是如何发生的以及您将来如何避免此类漏洞。
那是一个安静的下午,Joe(化名)注意到 469k USDC 离开了他的钱包。 这不是一次简单的转账,这意味着攻击者显然无法访问乔的钱包。 这是一份恶意合约trac耗尽了他地址中的所有 USDC… pic.twitter.com/pTgTjfMMeu — korpi (@korpi87) 2022 年 8 月 19 日
那是一个安静的下午,Joe(化名)注意到 469k USDC 离开了他的钱包。 这不是一次简单的转账,这意味着攻击者显然无法访问乔的钱包。 这是一份恶意合约trac耗尽了他地址中的所有 USDC… pic.twitter.com/pTgTjfMMeu
在这里我们需要暂停故事来解释一些技术细节。 USDC 代币是Ethereum上的trac。 它具有许多功能,defi我们如何与 USDC 交互以及可以用它做什么。 让我们关注两个函数: > 转账> 转账来自pic.twitter.com/gekVmjmwvW — korpi (@korpi87) 2022 年 8 月 19 日
在这里我们需要暂停故事来解释一些技术细节。 USDC 代币是Ethereum上的trac。 它具有许多功能,defi我们如何与 USDC 交互以及可以用它做什么。 让我们关注两个函数: > 转账> 转账来自pic.twitter.com/gekVmjmwvW
> 转账当您在钱包之间移动 USDC(或其他 ERC20)时,您使用转账功能。 它将令牌从调用者(调用该函数的地址)移动到其他地址。 要代表您恶意使用转账,就必须有人控制您的钱包。 pic.twitter.com/3Z3pYbBnRq — korpi (@korpi87) 2022 年 8 月 19 日
> 转账当您在钱包之间移动 USDC(或其他 ERC20)时,您使用转账功能。 它将令牌从调用者(调用该函数的地址)移动到其他地址。 要代表您恶意使用转账,就必须有人控制您的钱包。 pic.twitter.com/3Z3pYbBnRq
>transferFromtrac交互时,他们使用transferFrom 来移动您的代币。 他们可以占用您在批准功能中设置的津贴金额。 如果你允许合约trac无限量的 USDC,它就可以拿走一切。 https://t.co/QdUgLuZfZH — korpi (@korpi87) 2022 年 8 月 19 日
>transferFromtrac交互时,他们使用transferFrom 来移动您的代币。 他们可以占用您在批准功能中设置的津贴金额。 如果你允许合约trac无限量的 USDC,它就可以拿走一切。 https://t.co/QdUgLuZfZH
回到Joe的故事……前面提到的耗尽Joe的USDC的合约trac确实是transferFrom函数。 但只有 Joe 批准了使用 USDC 的合约, trac 乔 100% 确信他没有批准任何事情…… pic.twitter.com/HH9xxYeQms — korpi (@korpi87) 2022 年 8 月 19 日
回到Joe的故事……前面提到的耗尽Joe的USDC的合约trac确实是transferFrom函数。 但只有 Joe 批准了使用 USDC 的合约, trac 乔 100% 确信他没有批准任何事情…… pic.twitter.com/HH9xxYeQms
等一下…… ,在漏洞利用前 10 分钟, trac无限批准了恶意合约 Joe 真的批准了它吗? 是的。 但也没有。 不直接。 pic.twitter.com/AqQQs7GZAV — korpi (@korpi87) 2022 年 8 月 19 日
等一下…… ,在漏洞利用前 10 分钟, trac无限批准了恶意合约 Joe 真的批准了它吗? 是的。 但也没有。 不直接。 pic.twitter.com/AqQQs7GZAV
Etherscan 透露,无限批准并不是 Joe 自己调用的批准函数。 这是其他地址调用的许可函数,它批准恶意合约trac所有 Joe 的 USDC。 搞什么? 其他人如何代表trac合同? pic.twitter.com/TS3iDbhOXu — korpi (@korpi87) 2022 年 8 月 19 日
Etherscan 透露,无限批准并不是 Joe 自己调用的批准函数。 这是其他地址调用的许可函数,它批准恶意合约trac所有 Joe 的 USDC。 搞什么? 其他人如何代表trac合同? pic.twitter.com/TS3iDbhOXu
引入许可功能是为了改善Ethereum。 它允许用户在不提交交易的情况下修改批准金额。 签名就足够了。 通过您的签名,任何人都可以调用许可功能并更新您的消费者津贴。 pic.twitter.com/hem0lPsnW1 — korpi (@korpi87) 2022 年 8 月 19 日
引入许可功能是为了改善Ethereum。 它允许用户在不提交交易的情况下修改批准金额。 签名就足够了。 通过您的签名,任何人都可以调用许可功能并更新您的消费者津贴。 pic.twitter.com/hem0lPsnW1
当您使用 1inch dApp 时,您可以看到正在运行的许可。 如果您想出售 USDC,则无需先批准。 您所需要的只是签署一条消息。 此签名授予 1inch 花费您所有 USDC 的权限。 1inch 不会这么做,但恶意合约trac。 pic.twitter.com/Dd7ggJFWtl — korpi (@korpi87) 2022 年 8 月 19 日
当您使用 1inch dApp 时,您可以看到正在运行的许可。 如果您想出售 USDC,则无需先批准。 您所需要的只是签署一条消息。 此签名授予 1inch 花费您所有 USDC 的权限。 1inch 不会这么做,但恶意合约trac。 pic.twitter.com/Dd7ggJFWtl
乔一定是无意中dent恶意网站上签署了这样一条消息。 不幸的是,这次他使用了热钱包,签名只是看似无辜的点击。 使用硬件钱包,在外部设备上签署消息时会需要重新考虑。 — korpi (@korpi87) 2022 年 8 月 19 日
乔一定是无意中dent恶意网站上签署了这样一条消息。 不幸的是,这次他使用了热钱包,签名只是看似无辜的点击。 使用硬件钱包,在外部设备上签署消息时会需要重新考虑。
通过 Joe 的签名,恶意行为者提交了具有许可功能的交易。 它允许恶意合约tracJoe 钱包中的所有 USDC。 然后调用transferFrom函数,恶意合约trac了资金。 pic.twitter.com/1U6lWr9pmw — korpi (@korpi87) 2022 年 8 月 19 日
通过 Joe 的签名,恶意行为者提交了具有许可功能的交易。 它允许恶意合约tracJoe 钱包中的所有 USDC。 然后调用transferFrom函数,恶意合约trac了资金。 pic.twitter.com/1U6lWr9pmw
显然签名可能是灾难性的。 在某些情况下,Metamask 会警告您签署消息可能很危险。 但如果已签署的批准在技术上按设计工作,但如果滥用可能会造成很大的损害。 https://t.co/5H9rNWVR3b — korpi (@korpi87) 2022 年 8 月 19 日
显然签名可能是灾难性的。 在某些情况下,Metamask 会警告您签署消息可能很危险。 但如果已签署的批准在技术上按设计工作,但如果滥用可能会造成很大的损害。 https://t.co/5H9rNWVR3b
今后如何避免类似的利用? – 不要在 Metamask 中签署所有内容。 – 花时间理解您签署的内容。 – 小心传统批准(参见链接线程) https://t.co/549NmPly5s — korpi (@korpi87) 2022 年 8 月 19 日
今后如何避免类似的利用? – 不要在 Metamask 中签署所有内容。 – 花时间理解您签署的内容。 – 小心传统批准(参见链接线程) https://t.co/549NmPly5s
我希望您发现此主题有帮助。 关注我@korpi87并查看我的概念: https://t.co/ZTqYKmhCNk了解更多信息。 点赞/转发下面的第一条推文,以保护其他人免受类似攻击: https://t.co/9pqCSXi9JH — korpi (@korpi87) 2022 年 8 月 19 日
我希望您发现此主题有帮助。 关注我@korpi87并查看我的概念: https://t.co/ZTqYKmhCNk了解更多信息。 点赞/转发下面的第一条推文,以保护其他人免受类似攻击: https://t.co/9pqCSXi9JH
#Ethereum的问题是由于在去中心化、安全性和弹性方面不断优化通证经济而造成的。 看起来合并和 POS 将导致中心化交易所和质押平台完全监管,他们没有出路。 🧵👇 pic.twitter.com/Ur9tf42K5p — Samson Mow (@Excellion) 2022 年 8 月 19 日
#Ethereum的问题是由于在去中心化、安全性和弹性方面不断优化通证经济而造成的。 看起来合并和 POS 将导致中心化交易所和质押平台完全监管,他们没有出路。 🧵👇 pic.twitter.com/Ur9tf42K5p
那么他们是怎么来到这里的呢? 作为协议的一部分,决定质押 32 ETH 的要求(以锁定供应并最大化代币经济)。 这几乎使得 POS 尽可能中心化,而且他们没有#Bitcoin文化,即不是你的钥匙,不是你的硬币。 pic.twitter.com/Ml4QV93ECP — Samson Mow (@Excellion) 2022 年 8 月 19 日
那么他们是怎么来到这里的呢? 作为协议的一部分,决定质押 32 ETH 的要求(以锁定供应并最大化代币经济)。 这几乎使得 POS 尽可能中心化,而且他们没有#Bitcoin文化,即不是你的钥匙,不是你的硬币。 pic.twitter.com/Ml4QV93ECP
因此,现在 66% 的验证者需要遵守 OFAC 法规。 而且他们存入质押的 ETH 无法提取,因为提取功能没有编码——因为代币经济学。 📈 pic.twitter.com/BdjFqYk70J — Samson Mow (@Excellion) 2022 年 8 月 19 日
因此,现在 66% 的验证者需要遵守 OFAC 法规。 而且他们存入质押的 ETH 无法提取,因为提取功能没有编码——因为代币经济学。 📈 pic.twitter.com/BdjFqYk70J
可是等等! 以太坊可以像那些BitcoinMaxi#UASF, 就像彻底向 Coinbase 展示谁是老大一样! pic.twitter.com/LBSRDOF79o — Samson Mow (@Excellion) 2022 年 8 月 19 日
可是等等! 以太坊可以像那些BitcoinMaxi#UASF, 就像彻底向 Coinbase 展示谁是老大一样! pic.twitter.com/LBSRDOF79o
不。首先,以太坊不运行自己的节点,其次,大多数服务都依赖于 Infura,但这不是主要问题。 pic.twitter.com/8rI1FsDwuU — Samson Mow (@Excellion) 2022 年 8 月 19 日
不。首先,以太坊不运行自己的节点,其次,大多数服务都依赖于 Infura,但这不是主要问题。 pic.twitter.com/8rI1FsDwuU
我将在下一部分前言中指出,逮捕开发人员编写代码是可怕的,并且开创了一个可怕的dent。 那是说…… — Samson Mow (@Excellion) 2022 年 8 月 19 日
我将在下一部分前言中指出,逮捕开发人员编写代码是可怕的,并且开创了一个可怕的dent。 那是说……
对于#UASF,您需要软件才能运行。 现在,所有Ethereum坊分叉都有很酷的城市名称,如伊斯坦布尔、伦敦、柏林等。我们将这个假设的Ethereum坊 UASF 分叉称为“平壤”。 平壤将阻止 Coinbase 和 66% 多数人审查 OFAC 批准的交易。 — Samson Mow (@Excellion) 2022 年 8 月 19 日
对于#UASF,您需要软件才能运行。 现在,所有Ethereum坊分叉都有很酷的城市名称,如伊斯坦布尔、伦敦、柏林等。我们将这个假设的Ethereum坊 UASF 分叉称为“平壤”。 平壤将阻止 Coinbase 和 66% 多数人审查 OFAC 批准的交易。
“防止审查 OFAC 制裁的交易”的另一种说法可能是“帮助逃避制裁”。 也许我们忘记了维吉尔。 那么无论如何,谁来对平壤进行编码呢? 龙卷风Cash的人被捕了,所以平壤的开发者也可能会被捕。 pic.twitter.com/HQNtkyTQkg — Samson Mow (@Excellion) 2022 年 8 月 19 日
“防止审查 OFAC 制裁的交易”的另一种说法可能是“帮助逃避制裁”。 也许我们忘记了维吉尔。 那么无论如何,谁来对平壤进行编码呢? 龙卷风Cash的人被捕了,所以平壤的开发者也可能会被捕。 pic.twitter.com/HQNtkyTQkg
谁来管理平壤? 那些用“X 🏴”发出信号的人? 他们是否也会将平壤节点链接到他们的 .eth 帐户? Coinbase、Kraken、 Bitcoin Suisse 以及其他占 66% 多数的公司defi不是在管理平壤。 — Samson Mow (@Excellion) 2022 年 8 月 19 日
谁来管理平壤? 那些用“X 🏴”发出信号的人? 他们是否也会将平壤节点链接到他们的 .eth 帐户? Coinbase、Kraken、 Bitcoin Suisse 以及其他占 66% 多数的公司defi不是在管理平壤。
好吧,以太Ethereum #UASF已不在讨论范围内。 “但如果 Coinbase 和其他人敢遵守,我们就可以砍掉他们!” pic.twitter.com/rmlgn8Cb2Y — Samson Mow (@Excellion) 2022 年 8 月 19 日
好吧,以太Ethereum #UASF已不在讨论范围内。 “但如果 Coinbase 和其他人敢遵守,我们就可以砍掉他们!” pic.twitter.com/rmlgn8Cb2Y
我可能是一个可悲的Bitcoin Maxi™,但我确实花了 10 分钟研究,发现没有任何机制可以削减 Coinbase。 没有代码可以检测和惩罚任何审查交易的人。 Slashing 机制仅用于惩罚停机或双重签名。 — Samson Mow (@Excellion) 2022 年 8 月 19 日
我可能是一个可悲的Bitcoin Maxi™,但我确实花了 10 分钟研究,发现没有任何机制可以削减 Coinbase。 没有代码可以检测和惩罚任何审查交易的人。 Slashing 机制仅用于惩罚停机或双重签名。
因此,我们再次需要平壤分叉,但没有人会编写或运行它。 即使平壤能够存在,用户也无法提取 ETH。 即使他们可以退出,也没关系,因为只有 Infura 才重要。 pic.twitter.com/RQ44BWUqzE — Samson Mow (@Excellion) 2022 年 8 月 19 日
因此,我们再次需要平壤分叉,但没有人会编写或运行它。 即使平壤能够存在,用户也无法提取 ETH。 即使他们可以退出,也没关系,因为只有 Infura 才重要。 pic.twitter.com/RQ44BWUqzE
假设所有星星都神奇地排列在一起,并且Ethereum用户有办法削减 Coinbase 等,这意味着什么? 这意味着少数利益相关者将拥有一个任意惩罚多数利益相关者的机制。 从长远来看,这是行不通的。 — Samson Mow (@Excellion) 2022 年 8 月 19 日
假设所有星星都神奇地排列在一起,并且Ethereum用户有办法削减 Coinbase 等,这意味着什么? 这意味着少数利益相关者将拥有一个任意惩罚多数利益相关者的机制。 从长远来看,这是行不通的。
这就是为什么我们称#Ethereum为#shitcoin 。 这是一种徒劳的行为,充满了残酷的设计选择,其设计的唯一目的就是增加代币。 pic.twitter.com/irYDrzJcoO — Samson Mow (@Excellion) 2022 年 8 月 19 日
这就是为什么我们称#Ethereum为#shitcoin 。 这是一种徒劳的行为,充满了残酷的设计选择,其设计的唯一目的就是增加代币。 pic.twitter.com/irYDrzJcoO
Ibiam 是一位乐观的加密货币记者。 五年后,他预计自己将建立一个独特的加密媒体渠道,打破加密世界与公众之间的鸿沟。 他喜欢与志同道合的人交往,并与他们合作开展类似的项目。 他花了很多时间磨练自己的写作和批判性思维能力。