Pages:
Author

Topic: Axie infinity - O maior blockchain game na rede da ethereum - page 5. (Read 6634 times)

legendary
Activity: 1722
Merit: 4711
**In BTC since 2013**
ainda não li mas achei que poderia interessar
chegaram a ver?
vou ler agora.

O funcionário que permito a criação da blackdoor para o hack, já não trabalha lá...
E estão a melhorar os procedimentos internos, para evitar situações futuras.

Aprender com os erros e melhorar, faz parte do processo de crescimento.
legendary
Activity: 2506
Merit: 1113
There's no need to be upset
saiu o post-mortem do hack na ronin

Back to Building: Ronin Security Breach Postmortem

ainda não li mas achei que poderia interessar
chegaram a ver?
vou ler agora.
legendary
Activity: 2506
Merit: 1113
There's no need to be upset
e parece que o hacker não tá interessado num bounty e sim em pegar a grana mesmo, será que eles tem alguma pista de quem é?

dá pra lavar esse dinheiro todo usando mixers?

Dá para lavar se for feito em lotes pequenos, pode é demorar anos.
A pergunta agora é se o hacker tem a paciência necessária para esperar e ir limpando gradualmente.
Mas normalmente esses indevidos, não querem esperar.

como comentei ali em cima, o tornado tem volume mais que suficiente pra absorver isso, acho que ele poderia limpar a grana em meses, não necessariamente em anos.

continuo achando bizarro os devs terem dado esse mole
mas dizem que a fênix sempre renasce mais forte das cinzas... ou talvez não mais forte, mas renasce hahaha

Eles anunciaram essa semana que levantaram 150 milhões de dolares com a binance, animoca e outros parceiros e já tem um plano para restaurar a funcionalidade da bridge.
legendary
Activity: 1722
Merit: 4711
**In BTC since 2013**
e parece que o hacker não tá interessado num bounty e sim em pegar a grana mesmo, será que eles tem alguma pista de quem é?

dá pra lavar esse dinheiro todo usando mixers?

Dá para lavar se for feito em lotes pequenos, pode é demorar anos.
A pergunta agora é se o hacker tem a paciência necessária para esperar e ir limpando gradualmente.
Mas normalmente esses indevidos, não querem esperar.
legendary
Activity: 2506
Merit: 1113
There's no need to be upset
A Sky Mavis confirmou que rolou uma engenharia social nesse hack, mas não publicaram muitos detalhes além disso.
Respondendo a sua pergunta, acho que pode ter sido um ataque interno sim... só achei estranho terem vazado acesso aos 4 validadores de forma tão fácil. Considerando a natureza do negócio, como não colocaram cada um em um ambiente totalmente isolado? Tongue

Foi tipo criar uma multsig 4-of-9 e colocar as 4 keys no PC que tu usa pra acessar o Facebook, entende?

Sobre o hacker, também não acho que tenha um KYC com sua verdadeira identidade. Acho que ele aproveitou que estava "na surdina" para usar elas como um tipo de bridge (i.e deposita ETH e saca BTC pela chain nativa, depois usa mixers, etc...).

realmente, difícil saber sem divulgarem os detalhes
mas E SE eram ambientes isolados e o hacker conseguiu acesso a todos? (altamente improvável, mas provavel que seja o exemplo que vc deu, 4/9 com 4 no mesmo lugar, não imagino que estaria tão vulnerável quanto um pc do facebook mas dado o que aconteceu estava vulnerável o suficiente)

e parece que o hacker não tá interessado num bounty e sim em pegar a grana mesmo, será que eles tem alguma pista de quem é?

dá pra lavar esse dinheiro todo usando mixers?

- por curiosidade fui procurar
no Tornado mesmo já daria, tem 2.7 milhões de ETH depositados
Já vi alguém comentando que o breadcrumbs poderia quebrar a anonimização do tornado mas não vi nada que realmente comprovasse isso.
No Chipmixer não encontrei o volume, nem sei se eles são o maior mixer de btc, inclusive.
legendary
Activity: 1722
Merit: 4711
**In BTC since 2013**
sim, teria problemas joker_josue
mas a galera que é golpipsta profissional provavelmente tem formas de contornas isso
já ouvi de tudo, desde gente que pedia pra alguém na rua fazer o KYC pagando uma merreca e a pessoa não se importava, até gente criando identidades completamente falsas para fazer contas.

Se pensarmos bem, nem precisam disso.
Na Dark Web, existe muitos dados KYC a venda, que foram roubados de algum lado. Enfim, formas de fazer golpes não há muitos, é só preciso ter a coragem e saber o que fazer.
legendary
Activity: 2758
Merit: 6830
A Sky Mavis confirmou que rolou uma engenharia social nesse hack, mas não publicaram muitos detalhes além disso.
Respondendo a sua pergunta, acho que pode ter sido um ataque interno sim... só achei estranho terem vazado acesso aos 4 validadores de forma tão fácil. Considerando a natureza do negócio, como não colocaram cada um em um ambiente totalmente isolado? Tongue

Foi tipo criar uma multsig 4-of-9 e colocar as 4 keys no PC que tu usa pra acessar o Facebook, entende?

Sobre o hacker, também não acho que tenha um KYC com sua verdadeira identidade. Acho que ele aproveitou que estava "na surdina" para usar elas como um tipo de bridge (i.e deposita ETH e saca BTC pela chain nativa, depois usa mixers, etc...).
legendary
Activity: 2506
Merit: 1113
There's no need to be upset
sim, teria problemas joker_josue
mas a galera que é golpipsta profissional provavelmente tem formas de contornas isso
já ouvi de tudo, desde gente que pedia pra alguém na rua fazer o KYC pagando uma merreca e a pessoa não se importava, até gente criando identidades completamente falsas para fazer contas.

por isso aquilo papo de KYC muitas vezes é inútil e incentiva um mercado paralelo nefasto.



A Sky Mavis confirmou que rolou uma engenharia social nesse hack, mas não publicaram muitos detalhes além disso.
legendary
Activity: 1722
Merit: 4711
**In BTC since 2013**
o rekt.news publicou o report e realmente eles pegaram o lugar número 1 na leaderboard.

lá eles mencionam que não é tão difícil comprar contas da binance com KYC
https://rekt.news/ronin-rekt/

talvez o hacker dê alguma bobeira, talvez não.

ele mandou uma grana pra ftx e pra huobi também mas como mencionei antes nada garante que essas contas sejam dele e não de laranjas

Mas, quem vendeu a conta ou emprestou a conta, irá ficar com problemas, se o processo for tratado por via judicial.
A menos que a pessoa consiga provar que a sua conta foi roubada, fica dificil.

Isto é o mesmo de emprestar o carro para um amigo, e ele for apanhado pelo radar. A multa vai para a sua casa. Depois se quiser evitar ela, tem de provar que não era você que conduzia e dizer quem era. A menos que tenha dado o carro como roubado, mas se não deu, não tem como evitar a multa.
legendary
Activity: 2506
Merit: 1113
There's no need to be upset
A bridge é um smartcontract e não uma exchange. Como eles teriam uma "cold wallet"?

já li o Vitalik falando da dificuldade de deixar bridges seguras
não dá pra mandar tudo pra uma cold wallet pq se rolar uma bank run vai ter gente sem poder sacar por falta de liquidez
melhorar a segurança dos validadores seria um caminho, provavelmente existem outros, o que acham?
<..>

Se o roubo passou pela Binance, pode ser que eles ajudem a encontrar o autor do roubo.

o rekt.news publicou o report e realmente eles pegaram o lugar número 1 na leaderboard.

lá eles mencionam que não é tão difícil comprar contas da binance com KYC
https://rekt.news/ronin-rekt/

talvez o hacker dê alguma bobeira, talvez não.

ele mandou uma grana pra ftx e pra huobi também mas como mencionei antes nada garante que essas contas sejam dele e não de laranjas



Faz todo sentido TryNinja,
provável que o caminho seria aumentar o número de validadores e em hipótese nenhuma sacrificar segurança por escalabilidade e velocidade.

Daria para usar uma cold wallet e dar permissão a um smar contract pra acessá-la, mas claro aí não faria tanta diferença assim ser cold ou não nesse caso.

Agora, como acha que o hacker conseguiu o controle das 4 chaves privadas da sky mavis? não tá com cara de inside job isso?
legendary
Activity: 2758
Merit: 6830
já li o Vitalik falando da dificuldade de deixar bridges seguras
não dá pra mandar tudo pra uma cold wallet pq se rolar uma bank run vai ter gente sem poder sacar por falta de liquidez
melhorar a segurança dos validadores seria um caminho, provavelmente existem outros, o que acham?
Smartcontract/bridge + cold wallet não fazem sentido. Como isso funcionaria?

Cold wallet por natureza é desconectado de qualquer meio de comunicação e requer um acesso manual.

Se requer acesso manual, não é descentralizado. Se não requer, não tem como ser uma cold wallet pois a função de mover as moedas deve ocorrer de forma programável, exatamente o motivo pelo qual ele geralmente é um smartcontract: o user manda tantas moedas na rede A e um sistema avisa à contraparte na rede B para liberar o valor do outro lado, seja via validadores com staking e penalidades de slashing ou via criptografia.

Cold storage só funciona quando se envolve uma parte centralizada, pois ele vai deter do controle absoluto das moedas de qualquer forma.
legendary
Activity: 1722
Merit: 4711
**In BTC since 2013**
A bridge é um smartcontract e não uma exchange. Como eles teriam uma "cold wallet"?

já li o Vitalik falando da dificuldade de deixar bridges seguras
não dá pra mandar tudo pra uma cold wallet pq se rolar uma bank run vai ter gente sem poder sacar por falta de liquidez
melhorar a segurança dos validadores seria um caminho, provavelmente existem outros, o que acham?

Realmente tem de se começar apostar nessa segurança.
Visto que nos últimos tempos tem surgindo vários roubos do género, via smartcontracts.
Parece-me que a malta está a descorar um pouco isso.

Se o roubo passou pela Binance, pode ser que eles ajudem a encontrar o autor do roubo.
legendary
Activity: 2506
Merit: 1113
There's no need to be upset
1 minuto de silencio para o pessoal da Sky Mavis...

Eles acabaram de ter a brige da Ronin hackeada e perderam mais de 600 MILHÕES DE DÓLARES em ETH e USDC!!!

E o pior de tudo é que esse ataque aconteceu há 6 dias e só descobriram agora, depois que um user tentou sacar 5k ETH pela bridge e não conseguiu: https://www.theblockcrypto.com/post/139761/axie-infinitys-ethereum-sidechain-ronin-hit-by-600-million-exploit

timing cruel pra eles e erro tenso, foi um problema com os validadores, eles postaram um report aqui hoje:
Community Alert: Ronin Validators Compromised

não tenho dúvida que o time vai continuar e dar a volta por cima, mas pode ser uma lição bem cara se não conseguirem recuperar a grana

curiosamente o cara fez o funding da carteira por uma conta da binance
https://etherscan.io/tx/0xe0669bbaaa12cf5ecc682848ddc373a9b86e1351bccc01092b744099bf52a87d

ou seja, talvez consigam descobrir a identidade dele, se não usou algum laranja...
e aí ele pode acabar devolvendo a grana, pedindo desculpas e de quebra ainda recebendo um bounty, como já vimos acontecer... ou será que a história será diferente dessa vez?

curioso pra ver o rekt.news
de todos os times no espaço de crypto não esperava que a sky mavis pegaria o primeiro lugar na leaderboard
https://rekt.news/leaderboard/

na frente da poly, que também foi um hack de estilo semelhante, bridge.

Mas eles não podiam ter boa parte disso em cold wallet?
Digo eu, que não percebo muito do assunto.
A bridge é um smartcontract e não uma exchange. Como eles teriam uma "cold wallet"?

já li o Vitalik falando da dificuldade de deixar bridges seguras
não dá pra mandar tudo pra uma cold wallet pq se rolar uma bank run vai ter gente sem poder sacar por falta de liquidez
melhorar a segurança dos validadores seria um caminho, provavelmente existem outros, o que acham?



Lembrete que o tesouro da sky mavis tem mais de um bilhão em ativos então eles poderiam cobrir isso, mas seria um erro bem doloroso.

Agora, pq será que o hacker só pegou ETH e USDC e não pegou também AXS e SLP?

EDIT:

não é surreal transferir 600 milhões de dólares pagando só 68 usd de taxa?
https://etherscan.io/tx/0xc28fad5e8d5e0ce6a2eaf67b6687be5d58113e16be590824d6cfa1a94467d0b7
legendary
Activity: 2758
Merit: 6830
Mas eles não podiam ter boa parte disso em cold wallet?
Digo eu, que não percebo muito do assunto.
A bridge é um smartcontract e não uma exchange. Como eles teriam uma "cold wallet"?
legendary
Activity: 1722
Merit: 4711
**In BTC since 2013**
Por que cada 1 ETH na Ronin tem que ser lastreado por 1 ETH na Ethereum, naturalmente. Assim como cada 1 USDC tem que ser lastreado... caso contrário eles não tem valor.

Mas eles não podiam ter boa parte disso em cold wallet?
Digo eu, que não percebo muito do assunto.
legendary
Activity: 2758
Merit: 6830
Agora, porque é que eles tinha tanto dinheiro na brige?
Por que cada 1 ETH na Ronin tem que ser lastreado por 1 ETH na Ethereum, naturalmente. Assim como cada 1 USDC tem que ser lastreado... caso contrário eles não tem valor.
legendary
Activity: 2688
Merit: 2297
legendary
Activity: 1722
Merit: 4711
**In BTC since 2013**
Eles acabaram de ter a brige da Ronin hackeada e perderam mais de 600 MILHÕES DE DÓLARES em ETH e USDC!!!

 Shocked
É preciso estar sempre em cima da rede, e estar sempre a procura de falhas, para tentar evitar estas situações.
Isto mostra que todos os cuidados são poucos, para tentarmos estar minimamente protegidos.

Agora, porque é que eles tinha tanto dinheiro na brige?

Como está o mercado a reagir?

legendary
Activity: 2758
Merit: 6830
1 minuto de silencio para o pessoal da Sky Mavis...

Eles acabaram de ter a brige da Ronin hackeada e perderam mais de 600 MILHÕES DE DÓLARES em ETH e USDC!!!

E o pior de tudo é que esse ataque aconteceu há 6 dias e só descobriram agora, depois que um user tentou sacar 5k ETH pela bridge e não conseguiu: https://www.theblockcrypto.com/post/139761/axie-infinitys-ethereum-sidechain-ronin-hit-by-600-million-exploit
legendary
Activity: 1428
Merit: 1568

Viram isso?
Sky Mavis lançou um novo artigo falando sobre a progressiva descentralização do tesouro, que será governado pelos holders de AXS.
Atualmente tem mais de 1 bilhão de dólares em ativos, principalmente AXS e ETH, e no futuro isso será governado pelos holders de AXS.


Acho que vai ser um marco para o mercado. Temos visto as promessas de descentralização de grandes protocolos e de games, mas é sempre algo colocado como um super futuro, acho que o Axie vai ser um  teste nunca antes feito para a estrutura das DAOS. E vai ser super interessante, devido ao tamanho da comunidade, a complexididade que o ecossistema está tendo e o todos os players, scholarships e guildas que nasceram e se desenvolveram em torno do AXIE.

To animada pra assistir isso rolar
Pages:
Jump to: