Pages:
Author

Topic: Como (não) perder todo seu dinheiro com DeFi. (RektHQ) (Read 691 times)

legendary
Activity: 2758
Merit: 6830
que migué bizarro falar que um hack desse foi uma estratégia de trading lucrativa.  Shocked
Não colou. Grin

Update sobre esse caso do exploit na Mango:

A novela se agrava... Cheesy

Descobriram a identidade do hacker da Mango. Ele é um player já famoso no ecossistema DeFi e já foi desenvolvedor de outro projeto chamado FortressDAO (que eu inclusive participei momentaneamente!) cujo tesouro também foi roubado por ele. Tongue

Agora ele quer fugir da lei dizendo que o hack da Mango foi uma "estrategia de trading super lucrativa", e que ele não fez nada de errado ou ilegal. Seu thread no twitter: https://twitter.com/avi_eisen/status/1581326197241180160

Quote
I believe all of our actions were legal open market actions, using the protocol as designed, even if the development team did not fully anticipate all the consequences of setting parameters the way they are.

[...]



Procuradores dos EUA estão atrás do autor do exploit (""estrategia de trading lucrativa"") por tentar roubar $110 milhões da exchange descentralizada: https://twitter.com/Tree_of_Alpha/status/1607865144889016320/photo/1

U.S. vs. Eisenberg, U.S. District Court, Southern District of New York, No. 22-mj-10337.

Acabou o drama do "code is law" absoluto. Exploit também é roubo. Grin
legendary
Activity: 2758
Merit: 6830
Depois de farmar quase todos os protocolos DeFi na existência, o SBF da FTX agora quer guiar uma regulamentação do mercado. Gostei bastante desse novo post da rekt: SBF - THE REGULATOR

Esse thread mostra como o SBF e o pessoal da Alameda Research são super tubarões que tentam extrair o máximo do mercado, especialmente do retail: https://twitter.com/CroissantEth/status/1583279221853794304
legendary
Activity: 2506
Merit: 1113
There's no need to be upset
como descobriram a identidade dele? ele que falou mesmo ou teve uns breadcrumbs no processo?
Não sei dizer exatamente, mas acho que conectaram com alguns papos em um servidor do Discord. Vou procurar saber mais.

E hoje rolou outro hack no mesmo estilo. Alguém depositou a moeda CELO em uma plataforma de empréstimos e as utilizou como colateral para pegar outra moeda. Depois ele redepositou essa moeda e, pumpando seu preço, a utilizou como colateral para limpar a plataforma. Tongue

https://twitter.com/FrankResearcher/status/1582448720985014273

os hacks do mesmo "estilo" poderiam ter um nome
esse combina com "ouro de tolo"
vc infla um colateral para conseguir pegar um empréstimo que pelo protocolo pareceria undercollaterized mas na verdade é overcollaterized

interessante

ao que parece o dinheiro foi devolvido e o hacker levou um bug bounty
https://twitter.com/FrankResearcher/status/1582507387415846913?s=20&t=agDVp1euRuxMcmNl4nfDnQ
legendary
Activity: 2758
Merit: 6830
como descobriram a identidade dele? ele que falou mesmo ou teve uns breadcrumbs no processo?
Não sei dizer exatamente, mas acho que conectaram com alguns papos em um servidor do Discord. Vou procurar saber mais.

E hoje rolou outro hack no mesmo estilo. Alguém depositou a moeda CELO em uma plataforma de empréstimos e as utilizou como colateral para pegar outra moeda. Depois ele redepositou essa moeda e, pumpando seu preço, a utilizou como colateral para limpar a plataforma. Tongue

https://twitter.com/FrankResearcher/status/1582448720985014273
legendary
Activity: 1862
Merit: 5154
**In BTC since 2013**
como descobriram a identidade dele? ele que falou mesmo ou teve uns breadcrumbs no processo?

Mesmo que ainda não se tenha descoberto, mais cedo ou mais tarde, vai se descobrir.

Essa malta é tão "viciada" neste tipo de esquemas, que não conseguem parar e em algum momento vai se conseguir descobrir.
legendary
Activity: 2506
Merit: 1113
There's no need to be upset
que migué bizarro falar que um hack desse foi uma estratégia de trading lucrativa.  Shocked

como descobriram a identidade dele? ele que falou mesmo ou teve uns breadcrumbs no processo?
legendary
Activity: 1862
Merit: 5154
**In BTC since 2013**
Agora ele quer fugir da lei dizendo que o hack da Mango foi uma "estrategia de trading super lucrativa", e que ele não fez nada de errado ou ilegal. Seu thread no twitter: https://twitter.com/avi_eisen/status/1581326197241180160

Essa esta boa!
Ai e tal "nos criamos isto para vos roubar, não temos culpa que vocês aceitassem os termos".  Roll Eyes

O dinheiro deixa muita gente doida, a fazerem coisas que numa situação normal nunca fariam.
legendary
Activity: 2758
Merit: 6830
A novela se agrava... Cheesy

Descobriram a identidade do hacker da Mango. Ele é um player já famoso no ecossistema DeFi e já foi desenvolvedor de outro projeto chamado FortressDAO (que eu inclusive participei momentaneamente!) cujo tesouro também foi roubado por ele. Tongue

Agora ele quer fugir da lei dizendo que o hack da Mango foi uma "estrategia de trading super lucrativa", e que ele não fez nada de errado ou ilegal. Seu thread no twitter: https://twitter.com/avi_eisen/status/1581326197241180160

Quote
I believe all of our actions were legal open market actions, using the protocol as designed, even if the development team did not fully anticipate all the consequences of setting parameters the way they are.

[...]

Para quem quiser ler sobre o seu envolvimento com o FortressDAO: https://twitter.com/valuekingdom33/status/1491089936128552960
legendary
Activity: 1862
Merit: 5154
**In BTC since 2013**
O que mais tá complicando esse exploit da Mango é que postaram um screenshot onde um user explicava o ataque passo-a-passo MESES antes do ocorrido, sendo que o time ignorou tudo. Tongue

Isso é que é grave. Parece que o time já sabia, e se calhar até aproveitava isso mesmo. Atenção, que não estou a dizer que queriam-se aproveitar, apenas digo que quase passa essa ideia.

Infelizmente esta é a parte mais triste deste mercado, que acaba por ter muita influencia e prejudicar muita gente. Isso acaba por só trazer má reputação para o mercado.
No final, quem ganha é o Bitcoin, porque as pessoas começam a olhar para ele com mais confiança.
legendary
Activity: 2758
Merit: 6830
Bem... que esquema. Começo a pensar quantos projetos "fake-DeFi" andam por ai para criar estes esquemas!?

Na vossa opinião, acham que com o aumento destes esquemas - pelo menos a tornarem-se públicos, a credibilidade comece a diminuir nesse tipo de projetos?
Sim e não. A verdade é que um projeto com time anon pode muito bem ter sido criado apenas para dar um golpe no futuro através de um exploit premeditado. Tem como saber quais são legítimos e quais foram criados com esse intuito? Não. Sad

Mas esse tipo de ocorrido com certeza acaba tirando confiança e dinheiro desse mercado, então começam a ser exigidos golpes e esquemais ainda mais complexos e bem pensados.

O que mais tá complicando esse exploit da Mango é que postaram um screenshot onde um user explicava o ataque passo-a-passo MESES antes do ocorrido, sendo que o time ignorou tudo. Tongue
legendary
Activity: 2506
Merit: 1113
There's no need to be upset
sugestão bem legal mesmo Disruptivas!
pq não manda pra eles pelo twitter ou email? costumam ser bem abertos para feedbacks

bom comentário joker! concordo
legendary
Activity: 1862
Merit: 5154
**In BTC since 2013**
mas que a maioria dos ataques parecem variações de coisas que já aconteceram, com uma ou outra novidade.

Olho para isso de duas formas:
- Muitos não aprenderam com o passado, e continuam a cometer os mesmos erros. E o pior é nem se darem ao trabalho de rever os seus códigos fonte, para tentar verificar se tem os mesmos problemas ou não.
- A maioria dos contratos DeFi, foram copiados uns dos outros e por sua vez o mesmo erro num esta presente noutro. O copiar não é algo necessariamente mau, mas o facto de não haver alterações minimamente significativas, é sinal que o que esta no mercado é tudo igual sou muda os nomes e um outro detalhe não significativo.
legendary
Activity: 1428
Merit: 1568

Sobre o comentário do Lucas de que ''nada de novo acontece nos exploits em DeFi'', acho que seria super legal se o leaderboard do rekt também trouxesse a informação de qual foi o tipo de ataque, de forma que funcionasse também como uma biblioteca que rankeasse os tipos de ataques mais comuns, talvez até por tipo de solução/setor.

Exemplo: DeFi - ataque x
Bridge - ataque y

Acho que seria uma forma interessante de usar o leadboard também pra que os builders sérios pudessem consultar pra prestar atenção a isso.
legendary
Activity: 2506
Merit: 1113
There's no need to be upset
hahaha TryNinja
caraca, já tinha até esquecido desse tópico
algumas vezes também te dá a sensação de que nada de novo acontece nos exploits em DeFi? (to exagerando, claro!) mas que a maioria dos ataques parecem variações de coisas que já aconteceram, com uma ou outra novidade.
legendary
Activity: 1862
Merit: 5154
**In BTC since 2013**
Bem... que esquema. Começo a pensar quantos projetos "fake-DeFi" andam por ai para criar estes esquemas!?

Na vossa opinião, acham que com o aumento destes esquemas - pelo menos a tornarem-se públicos, a credibilidade comece a diminuir nesse tipo de projetos?
legendary
Activity: 2758
Merit: 6830
Revivendo o tópico por que rolou outro exploit e não tava afim de criar outro tópico só para ele.

O projeto do Mango Markets na Solana perdeu $100m+ depois de ter o seu token pumpado como forma de manipular o protocolo. O projeto foi criado como um mercado de perps descentralizado, onde você pode abrir uma posição alavancada em moedas como BTC, ETH, e SOL com as vantagens da rede da Solana (taxa baixa e confirmação rápida).

O exploit, simplificado:

1. Conta deposita $5m USDC e usa ele como colateral para abrir um long no MNGO-PERP.
2. Hacker pumpa o MNGO 5-10x em minutos, fazendo com que o oracle on-chain reporte essa subida.
3. Com o lucro lá nas alturas, o hacker (conta do ponto 1) saca toda a liquidez do projeto (como um "empréstimo").



Saiu o rekt dele: https://rekt.news/mango-markets-rekt/
legendary
Activity: 2506
Merit: 1113
There's no need to be upset
uma coisa é encontrar um bug no smartcontract que poderia ser previsto e "pré-categorizado"
outra completamente diferente é encontrar um erro de lógica imprevisto...

muito mais difícil de automatizar isso.
legendary
Activity: 1862
Merit: 5154
**In BTC since 2013**
Imagino um futuro próximo no qual teremos um tipo de "antivírus" ou apenas um programa para varrer um smartcontract e identificar comandos e/ou artifícios que possam causar assinaturas em segundo plano possibilitando o desvio ou roubo de tokens na mesma rede ou até mesmo moedas das mais diversas.

Tecnicamente isso é muito difícil de acontecer. Não digo isto sei alguma coisa especifica, mas por observar como grandes empresas de software trabalham. Eles normalmente tem equipas para testar, convidam clientes a testar e pagam a quem encontrar bugs, porque um PC não consegue ver esses erros.

Talvez quando o IA estiver muito desenvolvido isso possa vir acontecer, mas por agora isso tem de ser sempre feito por humanos.

Por isso, como já foi mencionado, ou é feito pela empresa que desenvolve ou pelos utilizadores capacitados.
legendary
Activity: 2758
Merit: 6830
Também não entendo muito disso, mas creio que seria relativamente fácil fazer esse tipo de análise em projetos de código aberto.
Bom, um antivirus nada mais é do que uma ferramenta que verifica a assinatura de programas contra um banco de dados de códigos maliciosos conhecidos.

Tendo isso em mente, existem ferramentas que verificam o código de um contrato em busca de bugs e exploits e conhecidos (por exemplo, um contrato que permite a transferencia de todas as moedas para um endereço externo).

Por outro lado, é muito dificil separar o que é um código legitimo de um código malicioso. E se esse contrato realmente deve transferir as moedas para outro endereço/contrato por que isso faz parte do projeto? Sempre vai ser relativo (na visão do código) o que é certo e errado.

O que me vem em mente é o projeto Lossless.cash, que tenta proteger tokens de rugs e exploits ao adicionar uma camada extra de controle que pode, por exemplo, reverter transações de acordo com a resposta da comunidade.
legendary
Activity: 2352
Merit: 6089
bitcoindata.science
Imagino um futuro próximo no qual teremos um tipo de "antivírus" ou apenas um programa para varrer um smartcontract e identificar comandos e/ou artifícios que possam causar assinaturas em segundo plano possibilitando o desvio ou roubo de tokens na mesma rede ou até mesmo moedas das mais diversas.
Será que algo assim já não existe?
Também não entendo muito disso, mas creio que seria relativamente fácil fazer esse tipo de análise em projetos de código aberto.
Até dei uma "googlada" por aqui mas não encontrei nada parecido.

Fora isso, sempre rola alguns programas de recompensas para caçadores de bugs em projetos mais consolidados.

Isso é basicamente auditoria e teste de código. Dificilmente vc vai baixar algo bom e gratuito na internet pra testar.

Isso cabe aos desenvolvedores do código, se quiserem fazer algo de qualidade, testarem.

Acredito que isso é mais ou menos como uma empresa que oferece $ para tentarem hackear ou pagar para quem acha bugs. Ou até contratam diretamente alguém para fazer isso e tentar melhorar a segurança.
Pages:
Jump to: