o que foi bizarro é um dev sozinho com acesso à uma dependência específica conseguir afetar tantos dapps ao mesmo tempo... bem problemático e espero que gere uma nova onda de mudança para proteger frontends.
A internet é muitas vezes mais frágil do que imaginamos.
Lembra aquela imagem:
Nesse caso foi um ataque direto a lib da Ledger, mas a maior parte da internet usa bibliotecas open-source de um único dev e nem mesmo verificam o seu source code em caso de updates silenciosos. Um dev malicioso e...
uau
nunca tinha visto e achei sensacional haha, obrigado por compartilhar
lembra onde viu essa pela primeira vez?
agora, a forte ironia do destino foi:
aparentemente o hacker trocou os 500-600k roubados por USDT
aí a tether foi lá e congelou os fundos
game over
o que foi bizarro é um dev sozinho com acesso à uma dependência específica conseguir afetar tantos dapps ao mesmo tempo... bem problemático e espero que gere uma nova onda de mudança para proteger frontends.
Essa parte da história não tinha visto ainda. Realmente uma grande ironia!
Mas se pensarmos, grande parte das grandes invenções foram realmente dadas por algumas poucas figuras proeminentes. Claro que depois vai tendo várias outras juntas suportando o desenvolvimento. Mas no geral é realmente uma pessoa fora da curva que bagunça tudo, faz coisas impensáveis e ousa. Acho que o caso dos devs assim.
Um dev bem focada e com motivações pessoais fortes > 100 devs de uma empresa mais ou menos com chefes que odeiam.
isso me fez pensar quem veio primeiro, a ledger ou a trezor, então fui perguntar pro gpt:
E é por isso que carteira fria é pra ser fria, depositar e sacar apenas.
típico pensamento de quem não usa nem entende dapps
Está a cada dia mais difícil em confiar numa carteira de criptomoedas que seja segura. Parece paranoia minha, mas a cada dia que passa, estou limitando cada vez mais minhas transações. Raramente ando a fazer algum trade, mesmo que seja uma boa oportunidade. Não sei onde isso vai parar.
Nao è paranoia, è perigo mesmo.
Esta sendo quase mais seguro e
fácil fazer um cold Storage apropriado sem hw Wallet. Esses aparelhos nasceram para agilizar a segurança mas pelo visto nao estão 100% conseguindo com tanta função extra.
uma alternativa simples de implementar apesar de dar um trabalhinho dependendo do nível que vc quiser fazer é usar o framework do 6529 (postado no twitter)
usa uma carteira para itneragir com dapps e outra separada como vault (pode ser multisig ou não) que nunca conecta em nenhum dapp.
o comentário do Ninja é bom, se alguém quiser conferir o sistema do 6529 que comentei tá aqui:
https://twitter.com/punk6529/status/1604486523772178435e tem mais aqui:
https://twitter.com/punk6529/status/1677019020002770944https://twitter.com/tropoFarmer/status/1547330303642968064Depois dessa falha e tambem depois do hack dos dados no ecommerce deles, nao sei como a Ledger continua conseguindo existir...
pq ainda tem pouca concorrência em termos de opções no mercado
Eu tive conhecidos que entraram no leak do ecommerce, garanto que nao foi nada bom (me contaram que receberam muito phishing articulado). Eu entendo que nao sao lixo, mas fizeram erros muitos pesados pra ser produtores de hw wallet.
Também tive amigos que receberam e-mails estranhos depois da invasão do Banco de Dados da Ledger. Como moravam no Brasil, não deram muita importância para os tais e-mails recebidos. Muitos eram escritos em outra língua. Não sei se era Russo ou Ucraniano. Parece que eram escritos naquele alfabeto cirílico.
Eu recebo muito phising tb...
Nunca clico em nada
Esse meu e-mail do forum é um mar de spam. Raramente vem email legit
aqui também mas ainda tenho que fazer o filtro entre o que é golpe e o que é legitimo, de repente 2024 é o ano de mudar as coisas importantes pra outro email pq tá brabo...
as vendas devem ter caído bastante já.