Author

Topic: El hackeo más grande a una plataforma DeFi, 600 millones de dólares. (Read 112 times)

legendary
Activity: 1610
Merit: 2563
LE ☮︎ Halving es la purga
...//...:
A mirada rápida la situación podría ser y en sintonía con lo dicho por DdmrDdmr que por tiempos de lanzamientos o por cumplir los cronogramas estos proyectos salen con muchas deficiencias en seguridad y salen con la premisa "interna" de... con actualizaciones resolvemos.

Pero solo especulaciòn pero para tirar al 100% de conjeturas es posible que el mismo proveedor, individuos de estos servicios sean las mismas compañías o estén de alguna manera involucrados. Difícil que sea asì sin tener pruebas.

En todo caso este tipo de detalles nunca salen a la luz publica en este tipo de proyectos "pequeños" o en cierta manera no tan populares.
legendary
Activity: 2240
Merit: 10532
There are lies, damned lies and statistics. MTwain
Da la sensación de que no se controla todo lo que se debe controlar en términos de seguridad en el desarrollo de estas plataformas, habiendo gente al otro lado capaces de aprovechar cualquier resquicio de vulnerabilidad en los desarrollos.

En caso referenciado en el artículo anterior es una especie de doble gasto conceptual sobre la capa DEFI, al lograr realizar 17 TX sobre una operación de préstamo…
legendary
Activity: 2450
Merit: 1322
Perdón por postear consecutivamente sin embargo no me parecía que esto ameritara crear otro hilo.

Una vez más otra plataforma DeFi ha sido víctima de un hacker y se han perdido 19 millones de dólares, ahora bien esto se está volviendo tan común que ya ni siquiera parece noticia pero eso precisamente me parece que es la noticia, sin ser ningún experto en el tema yo se de al menos cinco hacks que han ocurrido en este mes y en la primera mitad del año las pérdidas alcanzaban los 500 millones de dólares y ahora la mayoría de los hacks están ocurriendo en estas plataformas.

Independientemente de si se sea un maximalista o no creo que reconocemos que esta clase de plataformas son necesarias ¿pero cuánto puede durar el entusiasmo de la comunidad por estas soluciones si parecen ser tan vulnerables ante ataques sofisticados realizados por actores maliciosos? Esto mermará de manera significativa ese entusiasmo a menos que esto cambie, lo cual no parece ser muy probable en el corto y mediano plazo.

https://cointelegraph.com/news/cream-finance-defi-platform-loses-19m-in-a-flash-loan-hack
legendary
Activity: 2450
Merit: 1322
Pues parece ser que esta historia está alcanzando un final feliz, la gran mayoría de los fondos ha sido devuelta a sus legítimos propietarios con excepción de 33 millones de dólares en USDT que aún siguen congelados, al parecer fue ofrecido medio millón de dólares al hacker como recompensa pero parece que los ha rechazado, así que aunque la angustia ha sido demasiada parece ser que los usuarios de esta plataforma podrán recuperar su dinero.

https://www.coindesk.com/over-half-of-stolen-fund-from-poly-network-hack-now-returned



Y en otras noticias podrán adivinar que ha habido otro hack, esta vez la víctima ha sido DAO Maker por un total de 7 millones de dólares, no tan impresionante como el hack anterior pero aún así sería una pérdida masiva y a diferencia del caso anterior no me parece que los hackers vayan a devolver el dinero.

https://www.coindesk.com/crypto-fundraising-dao-loses-over-7m-in-latest-crypto-exploit
legendary
Activity: 1610
Merit: 2563
LE ☮︎ Halving es la purga
...//...:

Por la situación que sea, no deja de ser curioso en el aspecto mismo de lo que sucedió a posterior con el dinero del robo, pero también se dejaban ver opiniones y muy jocosas en la red misma cuando surgió la carta dirigida al hacker.

Por otro lado es la primera vez que observo que le dieran cobertura a este robo en algunos medios tradicionales, radio y TV (señal tradicional) DW emitió un espacio de unos minutos con la noticia y como todo no es Spotify un programa habitual que escucho comentaba la noticia. Ya no solo bitcoin (ETH-DoGe) genera "olas" de información.

legendary
Activity: 1708
Merit: 1922
The Alliance Of Bitcointalk Translators - ENG>SPA
Me alegro que por lo menos esta historia haya terminado con un "final feliz".

Supongo que el hacker podría habernos evitado una noticia más de pirateos de plataformas de criptomonedas, y no añadir más leña al fuego en los medios en este sentido, simplemente habiendo contactado con la empresa y ayudándoles a corregir la vulnerabilidad a cambio de un precio por sus servicios. Pero una de dos, o bien se ha arrepentido por alguna razón y su intención era haberse quedado con el dinero, o tiene algún tipo de afán de protagonismo.
legendary
Activity: 2450
Merit: 1322
Y en lo que es un desarrollo extraordinario en esta historia el hacker ha devuelto una gran cantidad del dinero que robo a sus legítimos propietarios tan sólo horas después de haberlos robado, hay algunas personas que sugieren que esto simplemente se debió a que las agencias de seguridad estaban pisándole los talones y por eso decidió devolver el dinero, sin embargo en una serie de preguntas y respuestas el hacker dio una versión muy diferente de los eventos y pareciese no haber querido haber hecho esto por dinero, no he encontrado el link de la segunda y tercera parte de entrevista, pero esta es la primera parte.


Quote
Q & A, PART ONE:

Q: WHY HACKING?
A: FOR FUN Smiley

Q: WHY POLY NETWORK?
A: CROSS CHAIN HACKING IS HOT

Q: WHY TRANSFERING TOKENS?
A: TO KEEP IT SAFE.

WHEN SPOTTING THE BUG, I HAD A MIXED FEELING. ASK YOURSELF WHAT TO DO HAD YOU FACING SO MUCH FORTUNE. ASKING THE PROJECT TEAM POLITELY SO THAT THEY CAN FIX IT? ANYONE COULD BE THE TRAITOR GIVEN ONE BILLION! I CAN TRUST NOBODY! THE ONLY SOLUTION I CAN COME UP WITH IS SAVING IT IN A _TRUSTED_ ACCOUNT WHILE KEEPING MYSELF _ANONYMOUS_ AND _SAFE_.

NOW EVERYONE SMELLS A SENSE OF CONSPIRACY. INSIDER? NOT ME, BUT WHO KNOWS? I TAKE THE RESPOSIBILITY TO EXPOSE THE VULNERABILITY BEFORE ANY INSIDERS HIDING AND EXPLOITING IT!

Q: WHY SO SOPHISTICATED?
A: THE POLY NETWORK IS DECENT SYSTEM. IT'S ONE OF THE MOST CHALLENGING ATTACKS THAT A HACKER CAN ENJOY. AND I HAD TO BE QUICK TO BEAT ANY INSIDERS OR HACKERS, I TOOK IT AS A BONUS CHALL Smiley

Q: ARE YOU EXPOSED?
A: NO. NEVER. I UNDERSTOOD THE RISK OF EXPOSING MYSELF EVEN IF I DON'T DO EVIL. SO I USED TEMPORARY EMAIL, IP OR _SO CALLED_ FINGERPRINT, WHICH WERE UNTRACABLE. I PREFER TO STAY IN THE DARK AND SAVE THE WORLD.
https://etherscan.io/tx/0x1fb7d1054df46c9734be76ccc14fa871b6729e33b98f9a3429670d27ec692bc0


Esto no deja de ser algo muy extraño y va a alimentar teorías de conspiración por algún tiempo dado que había algunas personas que aseguraban que esto era un trabajo interno y que esto es un simple camuflaje para permitir al "hacker" quedarse con una cantidad de dinero al fingir que se hizo un trato con los desarrolladores.

En fin, tan sólo otro día loco en el mundo de las cryptomonedas.

https://www.coindesk.com/returned-funds-blacklisted-tokens-raise-more-questions-than-answers-in-defis-biggest-hack

legendary
Activity: 2366
Merit: 1843
Leading Crypto Sports Betting & Casino Platform
Wow eso si que es mucho dinero, la verdad no me sorprende, lo extraño es que ahora estén hackeando plataformas Defi, cuando deben mantener una seguridad de muy alto nivel,  es obvio que el dinero se está moviendo mucho por Defi y por los juegos NFT, entonces los Hackers experimentados están a la búsqueda de la más mínima vulnerabilidad, así como encontraron una vulnerabilidad hace días en Metasmask donde muchos casi pierden todos sus fondos, pienso que la seguidad en los proyectos crypto basados en Defi y cualquier tecnología deben estar al 1000%, creo que para eso son los betastest no? aparte de que les sirve para corregir mucho bug actual que hay.

legendary
Activity: 1610
Merit: 2563
LE ☮︎ Halving es la purga
No se realmente si es por ser una DEFi  Wink pero digamos que si no es por este hilo no me entero o en definitiva tengo mi filtro de noticias con buenos tags.

Es malo, no importa si es un proyecto nuevo, el mas viejo, pero este tipo de situaciones crean y elevan esa área de seguridad que no termina de cuajar en términos de ser fiables, aunque esta debilidad en su seguridad no este relacionada con cualquier otro proyecto.

Me pase por su pagina web y no hay ningún comunicado en referencia:

Quote
Stablecoin
Considering MakerDao as an example, if MakerDao wants expand their business to other chain ecosystems they would have to develop a new ecosystem on the new chain. However, using cross chain technology, they can simply deploy a deposit contract that can lock assets and send a message to the Ethereum chain. The MakerDaocontract on Ethereum verifies the message for legitimacy and then can perform various different cross chain multi asset staking and deposit operations.
Fuente:https://www.poly.network

Eso de la cita se hace referencia en su pagina web no tienen nada que ver con el tema en si es màs referido a Poly.

Su cuenta de Twitter si se deja ver con el siguiente mensaje:

Quote
After preliminary investigation, we located the cause of the vulnerability. The hacker exploited a vulnerability between contract calls, exploit was not caused by the single keeper as rumored.
Fuente: https://twitter.com/PolyNetwork2/status/1425130017546149891


Tengo que decir que a veces es casi un poco confuso relacionarse con algunas tokens en su nombre pues hay una muy parecida Polymath Network por cierto quien si tiene su cuenta verificada y que cuenta con el website htt://polymath.network

En fin esta es la carta:



Fuente:https://twitter.com/PolyNetwork2/status/1425123153009803267
legendary
Activity: 2450
Merit: 1322
Pues me estaba leyendo las noticias y me encontré con esta bomba, al parecer un hacker fue capaz de extraer 600 millones de dólares de esta plataforma haciéndolo uno de los aquellos más grandes de la historia y al menos por el momento el más grande en una plataforma DeFi.

Los desarrolladores están tomando pasos para intentar bloquear los movimientos de esas monedas al coordinarse con CEXs y tratar de incluir las direcciones que recibieron esas monedas en una clase de lista negra, lo que también me parece bastante único es que los desarrolladores han intentado contactar al hacker detrás de esto con un comunicado, me parece bastante crédulo pensar que les van a devolver las monedas por las buenas pero supongo que no tienen ninguna otra opción más que intentar todos los caminos posibles para intentar recuperar ese dinero.

Y aunque es obvio que deseo que ese dinero eventualmente sea devuelto aun no he visto un comentario por parte de estos desarrolladores que diga cómo van a resarcir los fondos de las decenas de miles de usuarios que han perdido su dinero.





https://www.coindesk.com/cross-chain-defi-site-poly-network-hacked
https://twitter.com/PolyNetwork2/status/1425073987164381196
https://www.healthcareinfosecurity.com/poly-network-says-600-million-in-cryptocurrency-stolen-a-17255
Jump to: