Author

Topic: Como (não) perder todo seu dinheiro com DeFi. (RektHQ) (Read 665 times)

legendary
Activity: 2758
Merit: 6830
que migué bizarro falar que um hack desse foi uma estratégia de trading lucrativa.  Shocked
Não colou. Grin

Update sobre esse caso do exploit na Mango:

A novela se agrava... Cheesy

Descobriram a identidade do hacker da Mango. Ele é um player já famoso no ecossistema DeFi e já foi desenvolvedor de outro projeto chamado FortressDAO (que eu inclusive participei momentaneamente!) cujo tesouro também foi roubado por ele. Tongue

Agora ele quer fugir da lei dizendo que o hack da Mango foi uma "estrategia de trading super lucrativa", e que ele não fez nada de errado ou ilegal. Seu thread no twitter: https://twitter.com/avi_eisen/status/1581326197241180160

Quote
I believe all of our actions were legal open market actions, using the protocol as designed, even if the development team did not fully anticipate all the consequences of setting parameters the way they are.

[...]



Procuradores dos EUA estão atrás do autor do exploit (""estrategia de trading lucrativa"") por tentar roubar $110 milhões da exchange descentralizada: https://twitter.com/Tree_of_Alpha/status/1607865144889016320/photo/1

U.S. vs. Eisenberg, U.S. District Court, Southern District of New York, No. 22-mj-10337.

Acabou o drama do "code is law" absoluto. Exploit também é roubo. Grin
legendary
Activity: 2758
Merit: 6830
Depois de farmar quase todos os protocolos DeFi na existência, o SBF da FTX agora quer guiar uma regulamentação do mercado. Gostei bastante desse novo post da rekt: SBF - THE REGULATOR

Esse thread mostra como o SBF e o pessoal da Alameda Research são super tubarões que tentam extrair o máximo do mercado, especialmente do retail: https://twitter.com/CroissantEth/status/1583279221853794304
legendary
Activity: 2506
Merit: 1113
There's no need to be upset
como descobriram a identidade dele? ele que falou mesmo ou teve uns breadcrumbs no processo?
Não sei dizer exatamente, mas acho que conectaram com alguns papos em um servidor do Discord. Vou procurar saber mais.

E hoje rolou outro hack no mesmo estilo. Alguém depositou a moeda CELO em uma plataforma de empréstimos e as utilizou como colateral para pegar outra moeda. Depois ele redepositou essa moeda e, pumpando seu preço, a utilizou como colateral para limpar a plataforma. Tongue

https://twitter.com/FrankResearcher/status/1582448720985014273

os hacks do mesmo "estilo" poderiam ter um nome
esse combina com "ouro de tolo"
vc infla um colateral para conseguir pegar um empréstimo que pelo protocolo pareceria undercollaterized mas na verdade é overcollaterized

interessante

ao que parece o dinheiro foi devolvido e o hacker levou um bug bounty
https://twitter.com/FrankResearcher/status/1582507387415846913?s=20&t=agDVp1euRuxMcmNl4nfDnQ
legendary
Activity: 2758
Merit: 6830
como descobriram a identidade dele? ele que falou mesmo ou teve uns breadcrumbs no processo?
Não sei dizer exatamente, mas acho que conectaram com alguns papos em um servidor do Discord. Vou procurar saber mais.

E hoje rolou outro hack no mesmo estilo. Alguém depositou a moeda CELO em uma plataforma de empréstimos e as utilizou como colateral para pegar outra moeda. Depois ele redepositou essa moeda e, pumpando seu preço, a utilizou como colateral para limpar a plataforma. Tongue

https://twitter.com/FrankResearcher/status/1582448720985014273
legendary
Activity: 1722
Merit: 4711
**In BTC since 2013**
como descobriram a identidade dele? ele que falou mesmo ou teve uns breadcrumbs no processo?

Mesmo que ainda não se tenha descoberto, mais cedo ou mais tarde, vai se descobrir.

Essa malta é tão "viciada" neste tipo de esquemas, que não conseguem parar e em algum momento vai se conseguir descobrir.
legendary
Activity: 2506
Merit: 1113
There's no need to be upset
que migué bizarro falar que um hack desse foi uma estratégia de trading lucrativa.  Shocked

como descobriram a identidade dele? ele que falou mesmo ou teve uns breadcrumbs no processo?
legendary
Activity: 1722
Merit: 4711
**In BTC since 2013**
Agora ele quer fugir da lei dizendo que o hack da Mango foi uma "estrategia de trading super lucrativa", e que ele não fez nada de errado ou ilegal. Seu thread no twitter: https://twitter.com/avi_eisen/status/1581326197241180160

Essa esta boa!
Ai e tal "nos criamos isto para vos roubar, não temos culpa que vocês aceitassem os termos".  Roll Eyes

O dinheiro deixa muita gente doida, a fazerem coisas que numa situação normal nunca fariam.
legendary
Activity: 2758
Merit: 6830
A novela se agrava... Cheesy

Descobriram a identidade do hacker da Mango. Ele é um player já famoso no ecossistema DeFi e já foi desenvolvedor de outro projeto chamado FortressDAO (que eu inclusive participei momentaneamente!) cujo tesouro também foi roubado por ele. Tongue

Agora ele quer fugir da lei dizendo que o hack da Mango foi uma "estrategia de trading super lucrativa", e que ele não fez nada de errado ou ilegal. Seu thread no twitter: https://twitter.com/avi_eisen/status/1581326197241180160

Quote
I believe all of our actions were legal open market actions, using the protocol as designed, even if the development team did not fully anticipate all the consequences of setting parameters the way they are.

[...]

Para quem quiser ler sobre o seu envolvimento com o FortressDAO: https://twitter.com/valuekingdom33/status/1491089936128552960
legendary
Activity: 1722
Merit: 4711
**In BTC since 2013**
O que mais tá complicando esse exploit da Mango é que postaram um screenshot onde um user explicava o ataque passo-a-passo MESES antes do ocorrido, sendo que o time ignorou tudo. Tongue

Isso é que é grave. Parece que o time já sabia, e se calhar até aproveitava isso mesmo. Atenção, que não estou a dizer que queriam-se aproveitar, apenas digo que quase passa essa ideia.

Infelizmente esta é a parte mais triste deste mercado, que acaba por ter muita influencia e prejudicar muita gente. Isso acaba por só trazer má reputação para o mercado.
No final, quem ganha é o Bitcoin, porque as pessoas começam a olhar para ele com mais confiança.
legendary
Activity: 2758
Merit: 6830
Bem... que esquema. Começo a pensar quantos projetos "fake-DeFi" andam por ai para criar estes esquemas!?

Na vossa opinião, acham que com o aumento destes esquemas - pelo menos a tornarem-se públicos, a credibilidade comece a diminuir nesse tipo de projetos?
Sim e não. A verdade é que um projeto com time anon pode muito bem ter sido criado apenas para dar um golpe no futuro através de um exploit premeditado. Tem como saber quais são legítimos e quais foram criados com esse intuito? Não. Sad

Mas esse tipo de ocorrido com certeza acaba tirando confiança e dinheiro desse mercado, então começam a ser exigidos golpes e esquemais ainda mais complexos e bem pensados.

O que mais tá complicando esse exploit da Mango é que postaram um screenshot onde um user explicava o ataque passo-a-passo MESES antes do ocorrido, sendo que o time ignorou tudo. Tongue
legendary
Activity: 2506
Merit: 1113
There's no need to be upset
sugestão bem legal mesmo Disruptivas!
pq não manda pra eles pelo twitter ou email? costumam ser bem abertos para feedbacks

bom comentário joker! concordo
legendary
Activity: 1722
Merit: 4711
**In BTC since 2013**
mas que a maioria dos ataques parecem variações de coisas que já aconteceram, com uma ou outra novidade.

Olho para isso de duas formas:
- Muitos não aprenderam com o passado, e continuam a cometer os mesmos erros. E o pior é nem se darem ao trabalho de rever os seus códigos fonte, para tentar verificar se tem os mesmos problemas ou não.
- A maioria dos contratos DeFi, foram copiados uns dos outros e por sua vez o mesmo erro num esta presente noutro. O copiar não é algo necessariamente mau, mas o facto de não haver alterações minimamente significativas, é sinal que o que esta no mercado é tudo igual sou muda os nomes e um outro detalhe não significativo.
legendary
Activity: 1428
Merit: 1568

Sobre o comentário do Lucas de que ''nada de novo acontece nos exploits em DeFi'', acho que seria super legal se o leaderboard do rekt também trouxesse a informação de qual foi o tipo de ataque, de forma que funcionasse também como uma biblioteca que rankeasse os tipos de ataques mais comuns, talvez até por tipo de solução/setor.

Exemplo: DeFi - ataque x
Bridge - ataque y

Acho que seria uma forma interessante de usar o leadboard também pra que os builders sérios pudessem consultar pra prestar atenção a isso.
legendary
Activity: 2506
Merit: 1113
There's no need to be upset
hahaha TryNinja
caraca, já tinha até esquecido desse tópico
algumas vezes também te dá a sensação de que nada de novo acontece nos exploits em DeFi? (to exagerando, claro!) mas que a maioria dos ataques parecem variações de coisas que já aconteceram, com uma ou outra novidade.
legendary
Activity: 1722
Merit: 4711
**In BTC since 2013**
Bem... que esquema. Começo a pensar quantos projetos "fake-DeFi" andam por ai para criar estes esquemas!?

Na vossa opinião, acham que com o aumento destes esquemas - pelo menos a tornarem-se públicos, a credibilidade comece a diminuir nesse tipo de projetos?
legendary
Activity: 2758
Merit: 6830
Revivendo o tópico por que rolou outro exploit e não tava afim de criar outro tópico só para ele.

O projeto do Mango Markets na Solana perdeu $100m+ depois de ter o seu token pumpado como forma de manipular o protocolo. O projeto foi criado como um mercado de perps descentralizado, onde você pode abrir uma posição alavancada em moedas como BTC, ETH, e SOL com as vantagens da rede da Solana (taxa baixa e confirmação rápida).

O exploit, simplificado:

1. Conta deposita $5m USDC e usa ele como colateral para abrir um long no MNGO-PERP.
2. Hacker pumpa o MNGO 5-10x em minutos, fazendo com que o oracle on-chain reporte essa subida.
3. Com o lucro lá nas alturas, o hacker (conta do ponto 1) saca toda a liquidez do projeto (como um "empréstimo").



Saiu o rekt dele: https://rekt.news/mango-markets-rekt/
legendary
Activity: 2506
Merit: 1113
There's no need to be upset
uma coisa é encontrar um bug no smartcontract que poderia ser previsto e "pré-categorizado"
outra completamente diferente é encontrar um erro de lógica imprevisto...

muito mais difícil de automatizar isso.
legendary
Activity: 1722
Merit: 4711
**In BTC since 2013**
Imagino um futuro próximo no qual teremos um tipo de "antivírus" ou apenas um programa para varrer um smartcontract e identificar comandos e/ou artifícios que possam causar assinaturas em segundo plano possibilitando o desvio ou roubo de tokens na mesma rede ou até mesmo moedas das mais diversas.

Tecnicamente isso é muito difícil de acontecer. Não digo isto sei alguma coisa especifica, mas por observar como grandes empresas de software trabalham. Eles normalmente tem equipas para testar, convidam clientes a testar e pagam a quem encontrar bugs, porque um PC não consegue ver esses erros.

Talvez quando o IA estiver muito desenvolvido isso possa vir acontecer, mas por agora isso tem de ser sempre feito por humanos.

Por isso, como já foi mencionado, ou é feito pela empresa que desenvolve ou pelos utilizadores capacitados.
legendary
Activity: 2758
Merit: 6830
Também não entendo muito disso, mas creio que seria relativamente fácil fazer esse tipo de análise em projetos de código aberto.
Bom, um antivirus nada mais é do que uma ferramenta que verifica a assinatura de programas contra um banco de dados de códigos maliciosos conhecidos.

Tendo isso em mente, existem ferramentas que verificam o código de um contrato em busca de bugs e exploits e conhecidos (por exemplo, um contrato que permite a transferencia de todas as moedas para um endereço externo).

Por outro lado, é muito dificil separar o que é um código legitimo de um código malicioso. E se esse contrato realmente deve transferir as moedas para outro endereço/contrato por que isso faz parte do projeto? Sempre vai ser relativo (na visão do código) o que é certo e errado.

O que me vem em mente é o projeto Lossless.cash, que tenta proteger tokens de rugs e exploits ao adicionar uma camada extra de controle que pode, por exemplo, reverter transações de acordo com a resposta da comunidade.
legendary
Activity: 2352
Merit: 6089
bitcoindata.science
Imagino um futuro próximo no qual teremos um tipo de "antivírus" ou apenas um programa para varrer um smartcontract e identificar comandos e/ou artifícios que possam causar assinaturas em segundo plano possibilitando o desvio ou roubo de tokens na mesma rede ou até mesmo moedas das mais diversas.
Será que algo assim já não existe?
Também não entendo muito disso, mas creio que seria relativamente fácil fazer esse tipo de análise em projetos de código aberto.
Até dei uma "googlada" por aqui mas não encontrei nada parecido.

Fora isso, sempre rola alguns programas de recompensas para caçadores de bugs em projetos mais consolidados.

Isso é basicamente auditoria e teste de código. Dificilmente vc vai baixar algo bom e gratuito na internet pra testar.

Isso cabe aos desenvolvedores do código, se quiserem fazer algo de qualidade, testarem.

Acredito que isso é mais ou menos como uma empresa que oferece $ para tentarem hackear ou pagar para quem acha bugs. Ou até contratam diretamente alguém para fazer isso e tentar melhorar a segurança.
legendary
Activity: 2352
Merit: 1121
☢️ alegotardo™️
Imagino um futuro próximo no qual teremos um tipo de "antivírus" ou apenas um programa para varrer um smartcontract e identificar comandos e/ou artifícios que possam causar assinaturas em segundo plano possibilitando o desvio ou roubo de tokens na mesma rede ou até mesmo moedas das mais diversas.
Será que algo assim já não existe?
Também não entendo muito disso, mas creio que seria relativamente fácil fazer esse tipo de análise em projetos de código aberto.
Até dei uma "googlada" por aqui mas não encontrei nada parecido.

Fora isso, sempre rola alguns programas de recompensas para caçadores de bugs em projetos mais consolidados.
member
Activity: 97
Merit: 20
Imagino um futuro próximo no qual teremos um tipo de "antivírus" ou apenas um programa para varrer um smartcontract e identificar comandos e/ou artifícios que possam causar assinaturas em segundo plano possibilitando o desvio ou roubo de tokens na mesma rede ou até mesmo moedas das mais diversas.

Mas falo isso por puro achismo sem fundamento, pois não manjo nada das linhas dos smartcontracts  Cheesy
legendary
Activity: 2506
Merit: 1113
There's no need to be upset
Vcs axam q os defi do ada serão mais seguros?
Nada na ada deixaria qualquer projeto "defi" mais seguro. O que importa é o código, que pode ter falhas em qualquer blockchain.

Vc sabe um exemplo de ETH token sem falhas no código?

Certamente muitos códigos de smartcontracts têm pontos de falha que podem ser explorados por um hacker. Essas falhas só ainda não foram descobertas.

Não estou dizendo que todo smartcontract tem falhas, mas alguns podem ter. Não dá pra saber de antemão., daí o risco. Quando uma falha é descoberta, milhões são roubados nesse "exploit". Não faltam exemplos no mercado.

a parte legal dessa história (apesar de dolorosa pra muitos) é que corrigir essas falhas vai deixando o sistema cada vez mais antifrágil.
nem sempre fundos são roubados em exploits e hacks, as vezes tem casos de white-hacking e patches antes de um desastre acontecer. mas vc tá certo, muitas vezes o pior acontece, a rekt.news faz um trabalho incrível reportando esses casos todos, inclusive.
legendary
Activity: 2352
Merit: 6089
bitcoindata.science
Vcs axam q os defi do ada serão mais seguros?
Nada na ada deixaria qualquer projeto "defi" mais seguro. O que importa é o código, que pode ter falhas em qualquer blockchain.

Vc sabe um exemplo de ETH token sem falhas no código?

Certamente muitos códigos de smartcontracts têm pontos de falha que podem ser explorados por um hacker. Essas falhas só ainda não foram descobertas.

Não estou dizendo que todo smartcontract tem falhas, mas alguns podem ter. Não dá pra saber de antemão., daí o risco. Quando uma falha é descoberta, milhões são roubados nesse "exploit". Não faltam exemplos no mercado.
legendary
Activity: 2758
Merit: 6830
Vc sabe um exemplo de ETH token sem falhas no código?
Esse é um pedido meio estranho. Nenhum token ERC20 tem falhas, a menos que ele venha com algum codigo customizado. O que geralmente pode ter falhas são smart contracts de um sistema complexo, já que ele trabalha com depositos, saques, contratos terceiros, etc...

Um ERC20 padrão: https://github.com/OpenZeppelin/openzeppelin-contracts/blob/master/contracts/token/ERC20/ERC20.sol
newbie
Activity: 8
Merit: 0
Vcs axam q os defi do ada serão mais seguros?
Nada na ada deixaria qualquer projeto "defi" mais seguro. O que importa é o código, que pode ter falhas em qualquer blockchain.

Vc sabe um exemplo de ETH token sem falhas no código?
legendary
Activity: 2758
Merit: 6830
Vcs axam q os defi do ada serão mais seguros?
Nada na ada deixaria qualquer projeto "defi" mais seguro. O que importa é o código, que pode ter falhas em qualquer blockchain.
newbie
Activity: 3
Merit: 0
Vcs axam q os defi do ada serão mais seguros?
legendary
Activity: 2506
Merit: 1113
There's no need to be upset
duvido muito que nesses protocolos DeFi alguém conseguiria fazer pequenos roubos ao longo do tempo sem ser notado, com toda a informação ficando na blockchain

bem diferente do que comparar com bancos tradicionais

mas sim, é real o que vc falou sobre grandes empresas terem seus próprios times de defesa.
legendary
Activity: 1722
Merit: 4711
**In BTC since 2013**
então @alegotardo
acontece que em Defi por ser muita coisa pública e ter muito dinheiro envolvido, vira uma corrida contra o tempo, as vezes um bug simples no contrato (tipo 1 letra trocada) pode fazer com que os fundos dos usuários estejam em risco de ficarem presos, ou pior, serem surrupiados por alguém

Nem mais!
Um hacker (cracker) mal intencionado, nunca informa onde esta o erro. Alias se souber fazer bem as coisas, vai roubando pouco de cada vez para não ser detetado. E se reparar que o bug foi detetado, então rouba tudo o que poder o mais rápido possível, antes de ser resolvido.

Isto é mesmo um jogo do gato e do rato. Um a tentar ser mais rápido do que outro. Umas vezes ganha o gato outras o rato.

Por exemplo, nos bancos o que eles tem é equipas permanentes a minotaurizar a rede, e sempre a fazer um contra ataque aos atacantes. Ou seja, não é só para detetar bugs e corrigir, mas enquanto isso, criarem dificuldades para ninguém conseguir entrar. É uma verdadeira guerra. Quem é que achas que eles contratam? Hackers... mas os "bons da fita".
legendary
Activity: 2506
Merit: 1113
There's no need to be upset
então @alegotardo
acontece que em Defi por ser muita coisa pública e ter muito dinheiro envolvido, vira uma corrida contra o tempo, as vezes um bug simples no contrato (tipo 1 letra trocada) pode fazer com que os fundos dos usuários estejam em risco de ficarem presos, ou pior, serem surrupiados por alguém
legendary
Activity: 2352
Merit: 1121
☢️ alegotardo™️
além disso conversando com um amigo sobre esse caso ele me disse que já tiveram vezes em que um hacker achou um bug/exploit possível, avisou, e nada foi feito.

Por isso que algumas empresas que fazem essa análise de vulnerabilidades tem a seguinte política para caso encontrem algo:

Primeiro eles notificam a empresa de que encontraram uma vulnerabilidade que pode comprometer determinados sistemas levando à serem explorados/invadidos.
Aí dão um determinado prazo para eles responderem que estão ciente do problema e outro prazo para entrarem com a correção, tudo de acordo com a complexidade do problema e gravidade da vulnerabilidade.
Se a empresa não cumprir com os prazos (que podem ser estendidos caso comprovem estar trabalhando para resolver), podem divulgar publicamente que tal vulnerabilidade existe e possivelmente até dar algum detalhe sobre a mesma.
Ou seja, isso obriga os caras à correrem atrás de uma solução, pois sabem que deixar quieto pode custar muito caro.
legendary
Activity: 2506
Merit: 1113
There's no need to be upset
acho que nunca vamos saber se ele deixaria de devolver o dinheiro caso não tivesse vazado esse seu endereço com KYC, mas ainda acho que num caso como esse faz mais sentido puxar o gatilho do que avisar um dev
é muita grana e alguma pessoa do time mal intencionada poderia simplesmente roubar antes dele,
além disso conversando com um amigo sobre esse caso ele me disse que já tiveram vezes em que um hacker achou um bug/exploit possível, avisou, e nada foi feito.

sensacional a poly contratar ele!

aliás, alguém já tinha ouvido falar da poly antes disso?
nunca tinha ouvido falar
legendary
Activity: 1722
Merit: 4711
**In BTC since 2013**
O cara rouba a empresa e depois essa o convida para "cuidar" da segurança deles.
Isso é de mais.

Isso era muito comum nos anos 80/90. Por isso é que eu disse:

Estamos perante um hacker há moda antiga? Parabéns para ele, se for verdade!

Na origem do termo hacker, estava relacionado o indevido que queria apenas mostrar as suas capacidades técnicas e por sua vez provar que era capaz de derrubar os sistemas de segurança, e regra geral sem o objetivo de retirar vantagens financeiras ou prejudicar terceiros. Por isso, na altura quando um hacker conseguia fazer um grande feito, normalmente acabava a trabalhar nessa empresas ou em outras de segurança informática, ou até mesmo nas agencias tipo FBI e CIA.

Com o tempo, o termo hacker é que ficou associado ao indevido que rouba informações com o objetivo de vender no mercado negro e afins. Mas quem faz isso é um cracker.

https://canaltech.com.br/hacker/O-que-e-um-Hacker/
https://pt.wikipedia.org/wiki/Cracker
https://blog.unyleya.edu.br/bitbyte/diferenca-entre-hacker-e-cracker/
legendary
Activity: 2352
Merit: 1121
☢️ alegotardo™️
Parece que o pessoal do Poly Network pediu ao hacker para que ele se torne o seu "chief security advisor". Grin

Kkkk, que insano.

O cara rouba a empresa e depois essa o convida para "cuidar" da segurança deles.
Isso é de mais.

Alguém sabe me dizer ou apontar algum lugar que indique o quanto já foi devolvido, congelado ou em posse do hacker ainda?
legendary
Activity: 2758
Merit: 6830
Agora que me toquei que descarrilhamos um pouco do foco do tópico, mas já que já estamos aqui...

Parece que o pessoal do Poly Network pediu ao hacker para que ele se torne o seu "chief security advisor". Grin

“To extend our thanks and encourage Mr. White Hat to continue contributing to security advancement in the blockchain world together with Poly Network, we cordially invite Mr. White Hat to be the Chief Security Advisor of Poly Network,” the firm said in a statement.
legendary
Activity: 2352
Merit: 1121
☢️ alegotardo™️
~~~

De fato todos os seus pontos fazem sentido, caso seja verdade.
Mas sei lá... o cara "roubar" $611 milhões e por descuido fazer isso com um endereço ligado à uma exchange com KYC parece ser algo algo amador se não fossemos ver o montante envolvido. Não é estranho?
Você tem detalhes ou links dessas pistas que indicam a ligação com o sujeito?

Em todo caso, seja fazendo do jeito certo ou errado, o bom no fim de tudo isso é que tudo parece ter terminado bem, imagino o alívio da galera do PolyNetwork em ver que era tudo brincadeira Cool
legendary
Activity: 2758
Merit: 6830
Qualquer das formas, mais cedo ou mais tarde ele vai-se revelar.
Revelar-se no sentido de se dar um nome, até que ok. Pensei que estava falando de revelar a sua identidade pública.

Mesmo assim, muito dificil isso acontecer no DeFi. Acho que não teve um único hack DeFi onde o atacante se deu um nome/identidade, e isso que eu acompanho absolutamente 90% (gosto de ler a parte técnica). Acho que vale mais a pena ficar no anonimo e poder aproveitar o dinheiro.
legendary
Activity: 1722
Merit: 4711
**In BTC since 2013**
Se ele realmente devolver tudo, vais ver que vai revelar quem é.
Já devolveu tudo menos os $33 milhões de USDT que estão congelados. Mas não sei se faria sentido revelar a sua identidade.

(...)

Os pontos que mencionados, fazem sentido e concordo.

Qualquer das formas, mais cedo ou mais tarde ele vai-se revelar. É muito raro um hacker fazer este tipo de ação e não deixar uma assinatura.
Podemos não vir a saber quem é na vida real, mas saberemos quem foi o hacker. (Ou já se sabe o nome dele/nickname?)
legendary
Activity: 2758
Merit: 6830
Se ele realmente devolver tudo, vais ver que vai revelar quem é.
Já devolveu tudo menos os $33 milhões de USDT que estão congelados. Mas não sei se faria sentido revelar a sua identidade.

1. Mesmo tendo devolvido o dinheiro, ainda é provavel que ele seria acusado de algum crime. Imagina roubar um banco só para devolver e falar que foi pegadinha, ou que estava apenas testando a segurança? Cheesy

2. Há especulações de que o hacker só devolveu o dinheiro por que encontraram detalhes que linkam ele a sua real identidade. Por exemplo, o contrato do hack foi chamado uma única vez por um endereço diferente, conectado a exchanges com KYC, como FTX (talvez por engano). Também foi divulgado por algumas empresas de segurança focadas em crypto que eles obtiveram detalhes do hacker, como email, IP e fingerprint digital.

3. Se ele quisesse ganhar fama no cenário, devia ter avisado o projeto do exploit sem, de fato, puxar o gatilho. Ele recebia um bounty e ficava conhecido como o cara que salvou $600 milhões de um projeto DeFi. Essa atitude de realmente executar o exploit só se é vista de forma positiva em casos de emergencia (e.g roubar o $ antes que outro o faça).
legendary
Activity: 1722
Merit: 4711
**In BTC since 2013**
$611 milhões "roubados", o mundo inteiro de olho e o dindin voltando.
O curioso é que qualquer poderia usar disso para ganhar maior fama na vida real, enquanto ele permanece no anonimato.

Se ele realmente devolver tudo, vais ver que vai revelar quem é. Ou melhor mais cedo ou mais tarde vai-se saber quem foi. Mas quando isso acontecer, ele já estará com um emprego fantástico e nada lhe vai acontecer.
legendary
Activity: 3304
Merit: 1617

Será que ele vai reverter também essas doações a alguma entidade?

Rapaz, já pensei em abrir uma entidade filantrópica para o setor de criptomoedas. Qual nome você acharia legal ? Que tal Associação dos Mãos de Alface ? Essa associação cuidaria em dar apoio emocional para aqueles que são tentados a vender suas criptomoedas em qualquer oscilaçãozinha do mercado.  Cheesy Cheesy Cheesy
legendary
Activity: 2352
Merit: 1121
☢️ alegotardo™️
Quem diria que eu viveria para ver isso.

$611 milhões "roubados", o mundo inteiro de olho e o dindin voltando.
O curioso é que qualquer poderia usar disso para ganhar maior fama na vida real, enquanto ele permanece no anonimato.

O hacker diz que já tem dinheiro o suficiente co ma valorização das criptos, mesmo assim não para de chover doações.
Será que ele vai reverter também essas doações a alguma entidade?
legendary
Activity: 2506
Merit: 1113
There's no need to be upset
na moral: gênio
lendo os FAQs que ainda não tinha lido aqui, valeu por postarem

ainda soma na situação toda o fato dele mandar os FAQs como mensagens pela etherscan
o endereço dele ganhou a tag "PolyNetwork Exploiter 1"
0xC8a65Fadf0e0dDAf421F28FEAb69Bf6E2E589963

e ainda tem

Balance: 28,954.417720210940964474 Ether
Value: $87,881,869.58 (@ $3,035.18/ETH)
e 33 milhões de dólares em tokens

também tem o caso inteiro comentado na rekt se alguém se interessar:
https://www.rekt.news/polynetwork-rekt/



doidera.
diria que ainda não acabou tudo isso.



a parte mais legal é essa

Quote
I WOULD SAY FIGUING OUT THE BLIND SPOT IN THE ARCHTECTURE OF POLY NETWORK WOULD BE ONE OF THE BEST MOMENTS IN MY LIFE.

I HAVE GOT ENOUGH MONEY AS THE GROWTH OF THE CRYPTO WORLD. I HAVE BEEN EXPLORING THE MEANING OF LIFE FOR A WHILE. I HOPE MY LIFE CAN BE COMPOSED OF UNIQUE ADVENTURES, SO I LIKE LEARN & HACK EVERYTHING IN ORDER TO FIGHT AGAINST THE FATE. SEIN ZUM TODE.

fui pesquisar o que significa SEIN ZUM TODE, achei que era latim mas aparentemente é alemão
Estar de frente com a morte.

caí nesse site que começa com uma citação do Murakami, hahahaha sincronicidades, já falei de uns livros dele aqui no forum
“Death is not the opposite of life, but a part of it.”
Haruki Murakami


https://dasein.foundation/seinzumtode
legendary
Activity: 2758
Merit: 6830
Mais um.

Q & A, PART FOUR:

Q: WHY CEX? NOOB?
A: WHATEVER Smiley

THE KEY CHALLENGE OF THIS HACK IS TO INVOKE SOME CONTRACT FROM THE ONTOLOGY NETWORK (MY FAVOURITE PART). YOU HAVE TO GET SOME "GAS" FOR THE ONTOLOGY NETWORK, WHICH IS CALLED "ONG".

HOWEVER, IT'S NOT A DEFI TRADABLE TOKEN. I CAN ONLY FIND IT ON SOME CHINESE(?) CEXES. WHY BOTHER TRADING FROM DEX IF YOU HAVE TO GO THROUGH CEX? WHY DO YOU THINK I MAY LEAVE TRACES IN THE DEXES?

Q: WHY REFUND? COWARD?
A: WHATEVER Smiley

WHEN YOU JUDGE OTHERS, YOU DO NOT DEFINE THEM, YOU DEFINE YOURSELF.

I ALREADY ENJOYED WHAT I CARED MOST: HACKING & GUIDING.

FEW HACKERS CAN UNDERSTAND THE SITUATION OF DEFI SECURITY. YES, YOU SEE A LOT OF HACKS, BUT MOST OF THEM ARE NOT ENJOYABLE AS A REAL HACKER. SOME STUPID CODE LEADS TO HUGE AMOUNT OF LOSS, BUT IT'S NOT CHALLENGING. IT'S LIKE FIGHTING AGAINST A TEENAGER.

I WOULD ADMIT THAT THE POLY HACK IS NOT AS FANCY AS YOU IMAGINE, BUT I DID EXPERIENCED SOMETHING NEW FROM THE PROJECT. I WOULD SAY FIGUING OUT THE BLIND SPOT IN THE ARCHTECTURE OF POLY NETWORK WOULD BE ONE OF THE BEST MOMENTS IN MY LIFE.

I HAVE GOT ENOUGH MONEY AS THE GROWTH OF THE CRYPTO WORLD. I HAVE BEEN EXPLORING THE MEANING OF LIFE FOR A WHILE. I HOPE MY LIFE CAN BE COMPOSED OF UNIQUE ADVENTURES, SO I LIKE LEARN & HACK EVERYTHING IN ORDER TO FIGHT AGAINST THE FATE. SEIN ZUM TODE.

TO BE HONEST, I DID HAVE SOME SELFISH MOTIVES TO DO SOMETHING COOL BUT NOT HARMFUL BY LEVERAGING THE HUGE FUND, LIKE THE DAO IDEA. THEN I REALIZED BEING THE MORAL LEADER WOULD BE THE COOLEST HACK I COULD EVER ARCHIVE! CHEERS!

E ainda pediu doações.

TO SUPPORTERS: DO NOT DONATE TO THIS ADDRESS. IT'S MIXING WITH THE POLY TOKENS. PLEASE SEND IT TO 0xA87fB85A93Ca072Cd4e5F0D4f178Bc831Df8a00B

O hacker devolveu $200 milhões na BSC. Final feliz!

https://bscscan.com/tx/0xec9507edd4c928eb64e59fe2c6dd605ac58792729ff30b0911939bfef0ad6278
legendary
Activity: 1722
Merit: 4711
**In BTC since 2013**
Estamos perante um hacker há moda antiga? Parabéns para ele, se for verdade!
legendary
Activity: 2688
Merit: 2297
E o cara continua, fez até um FAQ e começou a devolver parte dos fundos:

Q & A, PART ONE:

Q: WHY HACKING?
A: FOR FUN Smiley

Q: WHY POLY NETWORK?
A: CROSS CHAIN HACKING IS HOT

Q: WHY TRANSFERING TOKENS?
A: TO KEEP IT SAFE.

WHEN SPOTTING THE BUG, I HAD A MIXED FEELING. ASK YOURSELF WHAT TO DO HAD YOU FACING SO MUCH FORTUNE. ASKING THE PROJECT TEAM POLITELY SO THAT THEY CAN FIX IT? ANYONE COULD BE THE TRAITOR GIVEN ONE BILLION! I CAN TRUST NOBODY! THE ONLY SOLUTION I CAN COME UP WITH IS SAVING IT IN A _TRUSTED_ ACCOUNT WHILE KEEPING MYSELF _ANONYMOUS_ AND _SAFE_.

NOW EVERYONE SMELLS A SENSE OF CONSPIRACY. INSIDER? NOT ME, BUT WHO KNOWS? I TAKE THE RESPOSIBILITY TO EXPOSE THE VULNERABILITY BEFORE ANY INSIDERS HIDING AND EXPLOITING IT!

Q: WHY SO SOPHISTICATED?
A: THE POLY NETWORK IS DECENT SYSTEM. IT'S ONE OF THE MOST CHALLENGING ATTACKS THAT A HACKER CAN ENJOY. AND I HAD TO BE QUICK TO BEAT ANY INSIDERS OR HACKERS, I TOOK IT AS A BONUS CHALL Smiley

Q: ARE YOU EXPOSED?
A: NO. NEVER. I UNDERSTOOD THE RISK OF EXPOSING MYSELF EVEN IF I DON'T DO EVIL. SO I USED TEMPORARY EMAIL, IP OR _SO CALLED_ FINGERPRINT, WHICH WERE UNTRACABLE. I PREFER TO STAY IN THE DARK AND SAVE THE WORLD.

Q & A, PART TWO:

Q: WHAT REALLY HAPPENED 30 HOURS AGO?
A: LONG STORY.

BELIEVE IT OR NOT, I WAS _FORCED_ TO PLAY THE GAME.

THE POLY NETWORK IS A SOPHISTICATED SYSTEM, I DIDN'T MANAGE TO BUILD A LOCAL TESTING ENVIRONMENT. I FAILED TO PRODUCE A POC AT THE BEGINNING. HOWEVER, THE AHA MOMEMNT CAME JUST BEFORE I WAS TO GIVE UP. AFTER DEBUGGING ALL NIGHT, I CRAFTED A _SINGLE_ MESSAGE TO THE ONTOLOGY NETWORK.

I WAS PLANNING TO LAUNCH A COOL BLITZKRIEG TO TAKE OVER THE FOUR NETWORK: ETH, BSC, POLYGON & HECO. HOWEVER THE HECO NETWORK GOES WRONG! THE RELAYER DOES NOT BEHAVE LIKE THE OTHERS, A KEEPER JUST RELAYED MY EXPLOIT DIRECTLY, AND THE KEY WAS UPDATED TO SOME WRONG PARAMETERS. IT RUINED MY PLAN.

I SHOULD HAVE STOPPED AT THAT MOMENT, BUT I DECIDED TO LET THE SHOW GO ON! WHAT IF THEY PATCH THE BUG SECRETLY WITHOUT ANY NOTIFICATION?

HOWEVER, I DIDN'T WANT TO CAUSE _REAL_ PANIC OF THE CRYPTO WORLD. SO I CHOSE TO IGNORE SHIT COINS, SO PEOPLE DIDN'T HAVE TO WORRY ABOUT THEM GOING TO ZERO. I TOOK IMPORTANT TOKENS (EXCEPT FOR SHIB) AND DIDN'T SELL ANY OF THEM.

Q: THEN WHY SELLING/SWAPPING THE STABLES?
A: I WAS PISSED BY THE POLY TEAM FOR THEIR INITIAL REPONSE.

THEY URGED OTHERS TO BLAME & HATE ME BEFORE I HAD ANY CHANCE TO REPLY! OF COURSE I KNEW THERE ARE FAKE DEFI COINS, BUT I DIDN'T TAKE IT SERIOUSLY SINCE I HAD NO PLAN LAUNDERING THEM.

IN THE MEANWHILE, DEPOSITING THE STABLES COULD EARN SOME INTEREST TO COVER POTENTIAL COST SO THAT I HAVE MORE TIME TO NEGOTIATE WITH THE POLY TEAM.

Q & A, PART THREE:

Q: WHY TIPPING 13.37?
A: I FEELED THE WARMTH FROM THE ETHEREUM COMMUNITY.

I WAS BUSY INVESTIGATING ISSUES FROM HECO AND DEBUGGING MY SCRIPTS. I THOUGHT IT WERE NETWORKING ISSUES WHY I COULD NOT DEPOSIT (I WAS BEHIND A SOPHISTICATED PROXY). SO I SHARED MY GOODWILL THE GUY.

Q: WHY ASKING TORNADO AND DAO?
A: HAVING WITNESSED SO MANY HACKINGS, I KNEW DEPOSITING INTO TORNADO IS A WISE BUT DESPERATE DECISION. IT WAS AGAINST MY ORIGINAL INTENTION. BEING THE CROWDSOURCED HACKER WAS JUST MY BAD JOKE AFTER MEETING SO MANY BEGGARS Smiley

Q: WHY RETURNING?
A: THAT'S ALWAYS THE PLAN! I AM _NOT_ VERY INTERESTED IN MONEY!I KNOW IT HURTS WHEN PEOPLE ARE ATTACKED, BUT SHOULDN'T THEY LEARN SOMETHING FROM THOSE HACKS? I ANNOUNCED THE RETURNING DECISION BEFORE MIDNIGHT SO PEOPLE WHO HAD FAITH IN ME SHOULD HAD A GOOD REST Wink

Q: WHY RETURNING SLOWLY?
A: I DO NEED TIME TO TALK WITH THE POLY TEAM. SORRY, IT'S THE ONLY WAY I KNOW TO PROVE MY DIGNITY WHILE HIDING MYSELF IDENTITY. AND I NEED SOME REST.

Q: THE POLY TEAM?
A: I ALREADY STARTED TALKING WITH THEM BRIEFLY, THE LOGS ARE ON THE ETHEREUM. I MAY OR MAY NOT PUBLISH THEM. THE PAINS THEY HAVE SUFFERED IS TEMPORARY BUT MEMORABLE.

I WOULD LIKE TO GIVE THEM TIPS ON HOW TO SECURE THEIR NETWORKS,SO THAT THEY CAN BE ELIGIBLE TO MANAGE THE BILLION PROJECT IN THE FUTURE. THE POLY NETWORK IS A WELL DESIGNED SYSTEM AND IT WILL HANDLE MORE ASSETS. THEY HAVE GOT A LOT OF NEW FOLLOWERS ON TWITTER, RIGHT?

legendary
Activity: 2506
Merit: 1113
There's no need to be upset
é rir pra não chorar hahahaha
po, se ele devolve a grana vai ser lendário mesmo.

já to até vendo as manchetes.

será?

se devolver mereceria pelo menos 1 milhãozinho de bounty por ter encontrado a falha.
legendary
Activity: 2688
Merit: 2297
Olha que troll. Cheesy

Gostei desse cara.. Logo ele queima todas as moedas em um endereço de queima e vai dormir Grin
legendary
Activity: 2758
Merit: 6830
E a novela continua... parece que o hacker quer devolver o dinheiro?

"FAILED TO CONTACT THE POLY. I NEED A SECURED MULTISIG WALLET FROM YOU"
https://etherscan.io/tx/0x79245fb1d1ae48a214118e25d6ad2f9324f514ec6708135a19ba9d4cfa6344f6

"READY TO RETURN THE FUND!"
https://etherscan.io/tx/0x7b6009ea08c868d7c5c336bf1bc30c33b87a0eedd59dac8c26e6a8551b20b68a

edit:

"IT'S ALREADY A LEGEND TO WIN SO MUCH FORTUNE. IT WILL BE AN ETERNAL LEGEND TO SAVE THE WORLD. I MADE THE DECISION, NO MORE DAO"
https://etherscan.io/tx/0xd239b01026c49b234d075e3d23a07efd1c3234239cfb440c0f90d5e84836fbe2

edit 2:

Olha que troll. Cheesy

"WHAT IF I MAKE A NEW TOKEN AND LET THE DAO DECIDE WHERE THE TOKENS GO"
https://etherscan.io/tx/0x4c102e972301b999318df70e3d3a067994dcc83951f07f7f37c45ff7e922beec
legendary
Activity: 2758
Merit: 6830
Estava lendo as notícias[1] que dizem que os caras conseguiram roubar as chaves privadas por conta de alguma falha na assinatura..

2021 e os caras ainda estão usando RNG com falhas? será que foi isso?
Há especulações.

Achei esse thread que discute outra possibilidade, onde o hacker conseguiu mandar um payload para o contrato que chama uma função exclusiva do operador do contrato (outro contrato), que muda as keys responsaveis por verificar se a transação assinada de transferencia é válida: https://twitter.com/kelvinfichter/status/1425217046636371969

agora, será que um dia teremos um hack ainda maior que esse? foi olímpico.
Espero que não. Acho que o pior que podia acontecer é um hack em um dos grandes protocolos: Aave, Compound, Yearn.



O curioso foi o que aconteceu DEPOIS do hack. O carinha recebeu 13.37 ETH do hack, um monte de gente ficou fazendo a mesma coisa para ver se ganhava um troco e o hacker postou uma mensagem se passando po newbie "wonder why use tornado, can the miners freeze me? can you teach pls?" Cheesy
legendary
Activity: 2506
Merit: 1113
There's no need to be upset
quase 1 fucking bilhão de dólares (ok. ainda longe mas sem dúvidas 600 mi impressiona...)

curioso pra ler o report na rekt sobre esse e ver os detalhes.

realmente:
não tem um dia "chato" em crypto

sempre alguma coisa surreal acontecendo.

agora, será que um dia teremos um hack ainda maior que esse? foi olímpico.
legendary
Activity: 2688
Merit: 2297
Acabou de acontecer o maior hack DeFi de todos os tempos.

Estava lendo as notícias[1] que dizem que os caras conseguiram roubar as chaves privadas por conta de alguma falha na assinatura..

2021 e os caras ainda estão usando RNG com falhas? será que foi isso?

[1] https://www.theblockcrypto.com/post/114045/at-least-611-million-stolen-in-massive-cross-chain-hack
legendary
Activity: 2758
Merit: 6830
Acabou de acontecer o maior hack DeFi de todos os tempos. Mais de $600 milhões foram roubados de uma projeto entre 3 chains (BSC, ETH e Polygon). *head blown*

Sim... é esse valor mesmo. E não foram em shitcoins sem liquidez, mas sim em ETH, BTC, DAI, USDC, e USDT.

O pessoal da Tether foi rapido e conseguiram colocar o endereço em sua blacklist, travando os $30 milhões de USDT, minutos antes que ele tentasse depositar na Curve. O restante das moedas, porém, está sob controle do hacker. Tongue

Agora um fato curioso, alguém mandou uma transação para o endereço do hacker com uma mensagem embutida avisando sobre os tokens travados. O que o hacker fez? Lhe mandou uma gorjeta de 13.37 ETH. Shocked

Thread em real-time sobre o acontecimento: https://twitter.com/Dogetoshi/status/1425077426728615962

Endereço do hacker na Ethereum: https://etherscan.io/address/0xc8a65fadf0e0ddaf421f28feab69bf6e2e589963#tokentxns

edit:

Perdas:
1.  #PolyNetwork was exploited on @ethereum @BinanceChain @0xPolygon,  loss of ~$611M w/  2857 ETH, 96.3M USDC, 26KW ETH, 1K WBTC, 33.4M USDT, 259B SHIB, 14 renBTC, 673KDAI, 43KUNI on @ethereum 6.6KBNB, 87.6MUSDC, 26.6KETH,1KBTCb, 32.1MBUSD on @BinanceChain 85MUSDC on @0xPolygon
legendary
Activity: 2352
Merit: 6089
bitcoindata.science
Outro dia um conhecido perdeu dinheiro numa DeFi e está me contando sobre o assunto. Eu não perguntei qual era a DeFi, mas o fundador havia sumido com todos os fundos.

Fiz uma pesquisa no google... Pode ter sido essa, mas devem ter tantas DeFi desse tipo:

https://news.bitcoin.com/defi-project-yfdex-finance-vanishes-with-20m-investors-funds-just-two-days-after-launch/
Quote
Yfdex.Finance (Yfdex), a new liquidity mining pool, has reportedly exit scammed, making off with up to $20 million of investors’ funds. The decentralized finance (Defi) project convinced people to hand over their life savings following just two days of aggressive marketing on social media, and then disappeared without a trace.

..

Cryptowhale expressed skepticism towards the whole economy of decentralized finance, telling his 33,000 followers on Twitter that: “99.99% of Defi tokens are scams, and will go this (Yfdex) route. Please be very careful if you are heavily invested.”

É por aí mesmo. As pessoas olham as defi e pensam "Nossa vou ficar rico, 200%por ano, não é pirâmide, é tecnologia.".

As pessoas entram querendo ficar ricas com dinheiro fácil, e acabam perdendo dinheiro, caindo em golpes.

Paciência, consistência e estratégia de longo prazo que são o caminho para liberdade financeira. Quer renda passiva? Um investimento de renda fixa IPCA+6 por 10 anos tem um poder multiplicador enorme. Só fazer as contas.

Para mim, essas DeFi são exatamente igual eram as ICO. 99% piramide, um projeto ou outro que salva. Aparece um monte de piramide/shitcoin inutil valorizando 10.000%. Mas uma hora elas caem 99%.  E é do dia para a noite.

Dá pra tentar surfar essa onda? Certamente. Mas é arriscado, e no longo prazo 100% BTC irá render muito bem, duma forma mais segura e provavelmente mais rentável do que se arriscando nesses esquemas, onde ganha-se mas também perde-se muito dinheiro.
legendary
Activity: 2758
Merit: 6830
Para não reclamarem que nós só falamos das mil maravilhas do DeFi (Roll Eyes), a ValueDefi acaba de sofrer o maior exploit da história dos exploits.

O total perdido? Mais de $100 milhões (!!).

Tx do exploit: https://bscscan.com/tx/0x2fd0aaf0bad8e81d28d0ee6e4f4b5cbba693d7d0d063d1662653cdd2a135c2de

Ainda não saiu nenhum post mortem do time, mas algumas contas no twitter já estão comentando sobre:

https://twitter.com/harvest_finance/status/1390774681226158082
https://twitter.com/FarmerBrownDeFi/status/1390767819843903488

Eu mesmo tinha algumas stables por lá e, em um certo momento, fiquei rapidamente em uma das farms que levou o exploit. Por sorte, acabei migrando por conta da incompetência do time (vide os acontecimentos Tongue).

O Value já tinha sido exploitado (pela segunda vez!) essa semana, e eles apareceram na rekt.news por conta disso: https://rekt.news/value-rekt2/

Em breve deve estar saindo o rekt3. Cheesy
legendary
Activity: 2758
Merit: 6830
Sou leitor ávido deles. Sempre que tem um hack/exploit, eu fico esperando o artigo sobre os acontecimentos. Também já salvei o dinheiro de alguns amigos com o conhecimento que obtive lendo sobre esses rugs. Cheesy
legendary
Activity: 2506
Merit: 1113
There's no need to be upset
Tenho gostado bastante do trabalho da rekt.news, são um grupo de jornalismo investigativo que une hacks em crypto, conteúdo educativo e informação no mesmo lugar.

hoje descobri um vídeo deles bem legal, em parceria com a Finematics criaram esse vídeo

Como (não) perder todo seu dinheiro com DeFi. (RektHQ)



Vale ver para entender melhor os ataques (sejam eles hacks ou exploits) que tem acontecido ultimamente.
Rug Pulls, Flashloans e mais.

A gente costuma falar sobre o lado bom e promissor de DeFi mas também tem um lado nefasto e perigoso, pra alegria do @bitmover criei esse tópico para falarmos desse outro lado também.

e aí, já foi hackeado esse ano?
Jump to: