Pages:
Author

Topic: Como (não) perder todo seu dinheiro com DeFi. (RektHQ) - page 2. (Read 691 times)

legendary
Activity: 2352
Merit: 1121
☢️ alegotardo™️
Imagino um futuro próximo no qual teremos um tipo de "antivírus" ou apenas um programa para varrer um smartcontract e identificar comandos e/ou artifícios que possam causar assinaturas em segundo plano possibilitando o desvio ou roubo de tokens na mesma rede ou até mesmo moedas das mais diversas.
Será que algo assim já não existe?
Também não entendo muito disso, mas creio que seria relativamente fácil fazer esse tipo de análise em projetos de código aberto.
Até dei uma "googlada" por aqui mas não encontrei nada parecido.

Fora isso, sempre rola alguns programas de recompensas para caçadores de bugs em projetos mais consolidados.
member
Activity: 97
Merit: 20
Imagino um futuro próximo no qual teremos um tipo de "antivírus" ou apenas um programa para varrer um smartcontract e identificar comandos e/ou artifícios que possam causar assinaturas em segundo plano possibilitando o desvio ou roubo de tokens na mesma rede ou até mesmo moedas das mais diversas.

Mas falo isso por puro achismo sem fundamento, pois não manjo nada das linhas dos smartcontracts  Cheesy
legendary
Activity: 2506
Merit: 1113
There's no need to be upset
Vcs axam q os defi do ada serão mais seguros?
Nada na ada deixaria qualquer projeto "defi" mais seguro. O que importa é o código, que pode ter falhas em qualquer blockchain.

Vc sabe um exemplo de ETH token sem falhas no código?

Certamente muitos códigos de smartcontracts têm pontos de falha que podem ser explorados por um hacker. Essas falhas só ainda não foram descobertas.

Não estou dizendo que todo smartcontract tem falhas, mas alguns podem ter. Não dá pra saber de antemão., daí o risco. Quando uma falha é descoberta, milhões são roubados nesse "exploit". Não faltam exemplos no mercado.

a parte legal dessa história (apesar de dolorosa pra muitos) é que corrigir essas falhas vai deixando o sistema cada vez mais antifrágil.
nem sempre fundos são roubados em exploits e hacks, as vezes tem casos de white-hacking e patches antes de um desastre acontecer. mas vc tá certo, muitas vezes o pior acontece, a rekt.news faz um trabalho incrível reportando esses casos todos, inclusive.
legendary
Activity: 2352
Merit: 6089
bitcoindata.science
Vcs axam q os defi do ada serão mais seguros?
Nada na ada deixaria qualquer projeto "defi" mais seguro. O que importa é o código, que pode ter falhas em qualquer blockchain.

Vc sabe um exemplo de ETH token sem falhas no código?

Certamente muitos códigos de smartcontracts têm pontos de falha que podem ser explorados por um hacker. Essas falhas só ainda não foram descobertas.

Não estou dizendo que todo smartcontract tem falhas, mas alguns podem ter. Não dá pra saber de antemão., daí o risco. Quando uma falha é descoberta, milhões são roubados nesse "exploit". Não faltam exemplos no mercado.
legendary
Activity: 2758
Merit: 6830
Vc sabe um exemplo de ETH token sem falhas no código?
Esse é um pedido meio estranho. Nenhum token ERC20 tem falhas, a menos que ele venha com algum codigo customizado. O que geralmente pode ter falhas são smart contracts de um sistema complexo, já que ele trabalha com depositos, saques, contratos terceiros, etc...

Um ERC20 padrão: https://github.com/OpenZeppelin/openzeppelin-contracts/blob/master/contracts/token/ERC20/ERC20.sol
newbie
Activity: 8
Merit: 0
Vcs axam q os defi do ada serão mais seguros?
Nada na ada deixaria qualquer projeto "defi" mais seguro. O que importa é o código, que pode ter falhas em qualquer blockchain.

Vc sabe um exemplo de ETH token sem falhas no código?
legendary
Activity: 2758
Merit: 6830
Vcs axam q os defi do ada serão mais seguros?
Nada na ada deixaria qualquer projeto "defi" mais seguro. O que importa é o código, que pode ter falhas em qualquer blockchain.
newbie
Activity: 3
Merit: 0
Vcs axam q os defi do ada serão mais seguros?
legendary
Activity: 2506
Merit: 1113
There's no need to be upset
duvido muito que nesses protocolos DeFi alguém conseguiria fazer pequenos roubos ao longo do tempo sem ser notado, com toda a informação ficando na blockchain

bem diferente do que comparar com bancos tradicionais

mas sim, é real o que vc falou sobre grandes empresas terem seus próprios times de defesa.
legendary
Activity: 1862
Merit: 5154
**In BTC since 2013**
então @alegotardo
acontece que em Defi por ser muita coisa pública e ter muito dinheiro envolvido, vira uma corrida contra o tempo, as vezes um bug simples no contrato (tipo 1 letra trocada) pode fazer com que os fundos dos usuários estejam em risco de ficarem presos, ou pior, serem surrupiados por alguém

Nem mais!
Um hacker (cracker) mal intencionado, nunca informa onde esta o erro. Alias se souber fazer bem as coisas, vai roubando pouco de cada vez para não ser detetado. E se reparar que o bug foi detetado, então rouba tudo o que poder o mais rápido possível, antes de ser resolvido.

Isto é mesmo um jogo do gato e do rato. Um a tentar ser mais rápido do que outro. Umas vezes ganha o gato outras o rato.

Por exemplo, nos bancos o que eles tem é equipas permanentes a minotaurizar a rede, e sempre a fazer um contra ataque aos atacantes. Ou seja, não é só para detetar bugs e corrigir, mas enquanto isso, criarem dificuldades para ninguém conseguir entrar. É uma verdadeira guerra. Quem é que achas que eles contratam? Hackers... mas os "bons da fita".
legendary
Activity: 2506
Merit: 1113
There's no need to be upset
então @alegotardo
acontece que em Defi por ser muita coisa pública e ter muito dinheiro envolvido, vira uma corrida contra o tempo, as vezes um bug simples no contrato (tipo 1 letra trocada) pode fazer com que os fundos dos usuários estejam em risco de ficarem presos, ou pior, serem surrupiados por alguém
legendary
Activity: 2352
Merit: 1121
☢️ alegotardo™️
além disso conversando com um amigo sobre esse caso ele me disse que já tiveram vezes em que um hacker achou um bug/exploit possível, avisou, e nada foi feito.

Por isso que algumas empresas que fazem essa análise de vulnerabilidades tem a seguinte política para caso encontrem algo:

Primeiro eles notificam a empresa de que encontraram uma vulnerabilidade que pode comprometer determinados sistemas levando à serem explorados/invadidos.
Aí dão um determinado prazo para eles responderem que estão ciente do problema e outro prazo para entrarem com a correção, tudo de acordo com a complexidade do problema e gravidade da vulnerabilidade.
Se a empresa não cumprir com os prazos (que podem ser estendidos caso comprovem estar trabalhando para resolver), podem divulgar publicamente que tal vulnerabilidade existe e possivelmente até dar algum detalhe sobre a mesma.
Ou seja, isso obriga os caras à correrem atrás de uma solução, pois sabem que deixar quieto pode custar muito caro.
legendary
Activity: 2506
Merit: 1113
There's no need to be upset
acho que nunca vamos saber se ele deixaria de devolver o dinheiro caso não tivesse vazado esse seu endereço com KYC, mas ainda acho que num caso como esse faz mais sentido puxar o gatilho do que avisar um dev
é muita grana e alguma pessoa do time mal intencionada poderia simplesmente roubar antes dele,
além disso conversando com um amigo sobre esse caso ele me disse que já tiveram vezes em que um hacker achou um bug/exploit possível, avisou, e nada foi feito.

sensacional a poly contratar ele!

aliás, alguém já tinha ouvido falar da poly antes disso?
nunca tinha ouvido falar
legendary
Activity: 1862
Merit: 5154
**In BTC since 2013**
O cara rouba a empresa e depois essa o convida para "cuidar" da segurança deles.
Isso é de mais.

Isso era muito comum nos anos 80/90. Por isso é que eu disse:

Estamos perante um hacker há moda antiga? Parabéns para ele, se for verdade!

Na origem do termo hacker, estava relacionado o indevido que queria apenas mostrar as suas capacidades técnicas e por sua vez provar que era capaz de derrubar os sistemas de segurança, e regra geral sem o objetivo de retirar vantagens financeiras ou prejudicar terceiros. Por isso, na altura quando um hacker conseguia fazer um grande feito, normalmente acabava a trabalhar nessa empresas ou em outras de segurança informática, ou até mesmo nas agencias tipo FBI e CIA.

Com o tempo, o termo hacker é que ficou associado ao indevido que rouba informações com o objetivo de vender no mercado negro e afins. Mas quem faz isso é um cracker.

https://canaltech.com.br/hacker/O-que-e-um-Hacker/
https://pt.wikipedia.org/wiki/Cracker
https://blog.unyleya.edu.br/bitbyte/diferenca-entre-hacker-e-cracker/
legendary
Activity: 2352
Merit: 1121
☢️ alegotardo™️
Parece que o pessoal do Poly Network pediu ao hacker para que ele se torne o seu "chief security advisor". Grin

Kkkk, que insano.

O cara rouba a empresa e depois essa o convida para "cuidar" da segurança deles.
Isso é de mais.

Alguém sabe me dizer ou apontar algum lugar que indique o quanto já foi devolvido, congelado ou em posse do hacker ainda?
legendary
Activity: 2758
Merit: 6830
Agora que me toquei que descarrilhamos um pouco do foco do tópico, mas já que já estamos aqui...

Parece que o pessoal do Poly Network pediu ao hacker para que ele se torne o seu "chief security advisor". Grin

“To extend our thanks and encourage Mr. White Hat to continue contributing to security advancement in the blockchain world together with Poly Network, we cordially invite Mr. White Hat to be the Chief Security Advisor of Poly Network,” the firm said in a statement.
legendary
Activity: 2352
Merit: 1121
☢️ alegotardo™️
~~~

De fato todos os seus pontos fazem sentido, caso seja verdade.
Mas sei lá... o cara "roubar" $611 milhões e por descuido fazer isso com um endereço ligado à uma exchange com KYC parece ser algo algo amador se não fossemos ver o montante envolvido. Não é estranho?
Você tem detalhes ou links dessas pistas que indicam a ligação com o sujeito?

Em todo caso, seja fazendo do jeito certo ou errado, o bom no fim de tudo isso é que tudo parece ter terminado bem, imagino o alívio da galera do PolyNetwork em ver que era tudo brincadeira Cool
legendary
Activity: 2758
Merit: 6830
Qualquer das formas, mais cedo ou mais tarde ele vai-se revelar.
Revelar-se no sentido de se dar um nome, até que ok. Pensei que estava falando de revelar a sua identidade pública.

Mesmo assim, muito dificil isso acontecer no DeFi. Acho que não teve um único hack DeFi onde o atacante se deu um nome/identidade, e isso que eu acompanho absolutamente 90% (gosto de ler a parte técnica). Acho que vale mais a pena ficar no anonimo e poder aproveitar o dinheiro.
legendary
Activity: 1862
Merit: 5154
**In BTC since 2013**
Se ele realmente devolver tudo, vais ver que vai revelar quem é.
Já devolveu tudo menos os $33 milhões de USDT que estão congelados. Mas não sei se faria sentido revelar a sua identidade.

(...)

Os pontos que mencionados, fazem sentido e concordo.

Qualquer das formas, mais cedo ou mais tarde ele vai-se revelar. É muito raro um hacker fazer este tipo de ação e não deixar uma assinatura.
Podemos não vir a saber quem é na vida real, mas saberemos quem foi o hacker. (Ou já se sabe o nome dele/nickname?)
legendary
Activity: 2758
Merit: 6830
Se ele realmente devolver tudo, vais ver que vai revelar quem é.
Já devolveu tudo menos os $33 milhões de USDT que estão congelados. Mas não sei se faria sentido revelar a sua identidade.

1. Mesmo tendo devolvido o dinheiro, ainda é provavel que ele seria acusado de algum crime. Imagina roubar um banco só para devolver e falar que foi pegadinha, ou que estava apenas testando a segurança? Cheesy

2. Há especulações de que o hacker só devolveu o dinheiro por que encontraram detalhes que linkam ele a sua real identidade. Por exemplo, o contrato do hack foi chamado uma única vez por um endereço diferente, conectado a exchanges com KYC, como FTX (talvez por engano). Também foi divulgado por algumas empresas de segurança focadas em crypto que eles obtiveram detalhes do hacker, como email, IP e fingerprint digital.

3. Se ele quisesse ganhar fama no cenário, devia ter avisado o projeto do exploit sem, de fato, puxar o gatilho. Ele recebia um bounty e ficava conhecido como o cara que salvou $600 milhões de um projeto DeFi. Essa atitude de realmente executar o exploit só se é vista de forma positiva em casos de emergencia (e.g roubar o $ antes que outro o faça).
Pages:
Jump to: