Pages:
Author

Topic: Mais uma: bridge da Nomad é hackeada em $150m+ (Read 243 times)

legendary
Activity: 2758
Merit: 6830
Mas foi isso que eu disse. Programa do zero já não acontece.

Agora, não vou dizer que isso não aconteça, porque pode acontecer. Mas só compensa em projetos muito especiais e grandes.
E mesmo assim, a probabilidade de usar algum código já criado é grande.
O próprio contrato/padrão ERC20 é um código reutilizado em 90% do ecossistema. Cheesy

Aliás, os contratos da OpenZeppelin estão na maioria dos projetos: https://github.com/OpenZeppelin/openzeppelin-contracts

Temos contratos:
- Com o padrão de proxy.
- Controle de acesso (Ownable, AccessControl...)
- Cross-chain awareness
- Vesting e Payment Splitter
- Governança
- Pausable e com Reentrancy Guard
- ERC20, ERC777, ERC1155
- e outros...
legendary
Activity: 1722
Merit: 4711
**In BTC since 2013**
Não existe isso de programar do zero, ébobagem isso. A humanidade não evoluiu assim.

Hoje em dia temos acessos a milhares de bibliotecas, frameworks, etc , e o trabalho do programar é fazer bom uso dessas bibliotecas e não reinventa-las em uma forma piorada.

Usar bibliotecas e códigos já testados e consolidados é hoje o único caminho. Tudo tornou-se muito complexo.

Mas foi isso que eu disse. Programa do zero já não acontece.

Agora, não vou dizer que isso não aconteça, porque pode acontecer. Mas só compensa em projetos muito especiais e grandes.
E mesmo assim, a probabilidade de usar algum código já criado é grande.
legendary
Activity: 2352
Merit: 6089
bitcoindata.science
Crio que um smart-contract deva ser algo bem mais complicado, não sei o quão viável é iniciar algo do zero, mas se for precisar partir de algo pronto então não tem boas plataformas ou empresas que façam/vendam uma plataforma estável e segura, além de prover atualizações frequentes?

Programar do zero, só compensa em casos muito especiais e projetos muito grandes ou extremamente pequenos.
Na maioria dos casos, usa-se código já criado e faz-se as respetivas adaptações para o projeto. Essas alterações até podem ser bem profundas.


Não existe isso de programar do zero, ébobagem isso. A humanidade não evoluiu assim.

Hoje em dia temos acessos a milhares de bibliotecas, frameworks, etc , e o trabalho do programar é fazer bom uso dessas bibliotecas e não reinventa-las em uma forma piorada.

Usar bibliotecas e códigos já testados e consolidados é hoje o único caminho. Tudo tornou-se muito complexo.

Ten um famoso quote do Linux





acho que os hacks por engenharia social vão continuar acontecendo bastante e por muito tempo
mas talvez esses de bridges, protocolos defi, etc... diminuam com o tempo
veremos

Esses golpes são os mais populares e exploram pessoas desatentos e de pouco entendimento dos riscos. Difícil proteger as pessoas desses golpes  e no final cabe a cada um se educar pra se proteger.
legendary
Activity: 1722
Merit: 4711
**In BTC since 2013**
Crio que um smart-contract deva ser algo bem mais complicado, não sei o quão viável é iniciar algo do zero, mas se for precisar partir de algo pronto então não tem boas plataformas ou empresas que façam/vendam uma plataforma estável e segura, além de prover atualizações frequentes?

Programar do zero, só compensa em casos muito especiais e projetos muito grandes ou extremamente pequenos.
Na maioria dos casos, usa-se código já criado e faz-se as respetivas adaptações para o projeto. Essas alterações até podem ser bem profundas.
A vantagem de usar código já existente, é o facto de ser código testado e muitas vezes já foi melhorado.

Por isso, o problema não é usar código antigo, é o facto de pegar nele e não fazer as respetivas correções e adaptações, sem ser aquelas básicas de mudar nomes e uma ou outra definição.

legendary
Activity: 2352
Merit: 1121
☢️ alegotardo™️
Isso até fazia sentido, se os protocolos antigos deixassem de ser usados.
O problema, é que existe muito inexperiente, que aproveita esses protocolos antigos - talvez por ser mais simples, para montarem sistemas que podem-se tornar populares. Enfim, já sabemos o possível resultado deles.

Mas, claro que quanto mais experiencia se tem, melhor se fica preparado. Apesar de que os hacks também ficam mais experimentes.
É o jogo do rato e do gato, que só cresce, e dificilmente acaba/diminui. Roll Eyes

Esse negócio de aproveitar protocolos antigos é algo parecido com os antigos forks de moedas na epoca das ICOs em que a galera pegava uma moeda qualquer, copiada seus fontes e sai espalhando pra ver se vinga?
Se for assim, tem mais é que se ferrar mesmo, projetos bons acabam investindo pelo menos em tecnologia/conhecimento próprio e não no copia-e-cola... problema é que quem acaba pagando mais caro são os usuário/investidores que acabam entrando nessa furada.

Crio que um smart-contract deva ser algo bem mais complicado, não sei o quão viável é iniciar algo do zero, mas se for precisar partir de algo pronto então não tem boas plataformas ou empresas que façam/vendam uma plataforma estável e segura, além de prover atualizações frequentes?
legendary
Activity: 1722
Merit: 4711
**In BTC since 2013**
exato, o nível de complexidade do sistema subiu muito
gosto de pensar que cada hack torna todos os protocolos mais fortes pq dá pra aprender com os erros de outros

Isso até fazia sentido, se os protocolos antigos deixassem de ser usados.
O problema, é que existe muito inexperiente, que aproveita esses protocolos antigos - talvez por ser mais simples, para montarem sistemas que podem-se tornar populares. Enfim, já sabemos o possível resultado deles.

Mas, claro que quanto mais experiencia se tem, melhor se fica preparado. Apesar de que os hacks também ficam mais experimentes.
É o jogo do rato e do gato, que só cresce, e dificilmente acaba/diminui. Roll Eyes
legendary
Activity: 2506
Merit: 1113
There's no need to be upset
Antigamente  não existiam também tantos smartcontracts por aí rolando em tantas chains diferentes.

Em 2017 2018 so queriam saber de ico. Agora a coisa mudou e os contratos são mais complexos e movimenta mais dinheiro , principalmente com o boom das defi

Contratos mais complexo = mais bugs para exploitar
Sim, com toda certeza! Acredito que isso foi algo que não passou em minha mente

Com esse numero maior de "contracts" espalhados por ai, em chains diferentes como você citou @bitmover, a ""tendencia"" é essa mesmo, descobrir mais falhas com esse grande número espalhados por ai...



exato, o nível de complexidade do sistema subiu muito
gosto de pensar que cada hack torna todos os protocolos mais fortes pq dá pra aprender com os erros de outros

acho que os hacks por engenharia social vão continuar acontecendo bastante e por muito tempo
mas talvez esses de bridges, protocolos defi, etc... diminuam com o tempo
veremos
hero member
Activity: 1554
Merit: 814
The Alliance Of Bitcointalk Translators - ENG>POR
Antigamente  não existiam também tantos smartcontracts por aí rolando em tantas chains diferentes.

Em 2017 2018 so queriam saber de ico. Agora a coisa mudou e os contratos são mais complexos e movimenta mais dinheiro , principalmente com o boom das defi

Contratos mais complexo = mais bugs para exploitar
Sim, com toda certeza! Acredito que isso foi algo que não passou em minha mente

Com esse numero maior de "contracts" espalhados por ai, em chains diferentes como você citou @bitmover, a ""tendencia"" é essa mesmo, descobrir mais falhas com esse grande número espalhados por ai...

legendary
Activity: 1722
Merit: 4711
**In BTC since 2013**
Alem disso, junta-se ao facto de que hoje é cada vez mais fácil fazer um smartcontract, com tanta informação e blockchains disponíveis.

Isso permite, pessoas com menos conhecimentos possam desenvolver um projeto. Isso leva a uma diminuição de qualidade do código desenvolvido, ficando assim mais exposto a problemas.

Por isso, exige-se cada vez mais, por parte do utilizador, em analisar melhor como o projeto esta desenvolvido. Porque dizer que é um DeFi, blockchain ou coisas do género, não garante automaticamente segurança.
legendary
Activity: 2352
Merit: 6089
bitcoindata.science

Allguns anos atrás era pouco recorrente de acontecer alguns bugs, hacks com uma determinada criptomoeda!
É impressão minha ou eu estou falando alguma besteira!!?

Antigamente  não existiam também tantos smartcontracts por aí rolando em tantas chains diferentes.

Em 2017 2018 so queriam saber de ico. Agora a coisa mudou e os contratos são mais complexos e movimenta mais dinheiro , principalmente com o boom das defi

Contratos mais complexo = mais bugs para exploitar
legendary
Activity: 2758
Merit: 6830
Bom... não querendo fugir do tema principal desse topico, mas é impressão minha ou parece que atualmente estão surgindo e descobrindo mais falhas em alguns projetos de cripto?
Agora existem grupos hacker (i.e Lazarus) que ficam dia e noite analisando cada contrato e procurando por falhas. Afinal de contas, cada hack bem sucedido rende valores que vão dos $50m até $700m. Tongue

Com certeza existem vários outros contratos por ai que guardam milhões de dólares e contém falhas que ainda só não foram descobertas porquê ninguém parou para dar uma olhada.
hero member
Activity: 1554
Merit: 814
The Alliance Of Bitcointalk Translators - ENG>POR
Bom... não querendo fugir do tema principal desse topico, mas é impressão minha ou parece que atualmente estão surgindo e descobrindo mais falhas em alguns projetos de cripto?

Allguns anos atrás era pouco recorrente de acontecer alguns bugs, hacks com uma determinada criptomoeda!
É impressão minha ou eu estou falando alguma besteira!!?
legendary
Activity: 1722
Merit: 4711
**In BTC since 2013**
É verdade, né? Grin

Lembro bem do vazamento que teve no Banco Inter. Foi confirmado por várias fontes jornalisticas e mesmo assim eles fecharam os olhos e insistiram que não houve vazamento. Depois foi confirmado até com uma multinha por parte da MPDFT: https://veja.abril.com.br/economia/banco-inter-vai-pagar-r-15-milhao-por-vazamento-de-dados-de-clientes

Mas isso foi um vazamento de dados pessoais. Algo muito grave, sem duvida!
Qualquer das formas, os clientes não ficaram sem o dinheiro que lá tinha.

Claro que ficava preocupado com o vazamento dos meus dados bancários. Mas, por outro lado, a minha real preocupação era saber se tinha perdido algum cêntimo ou não.
legendary
Activity: 2352
Merit: 6089
bitcoindata.science

Quote
Em maio, a Comissão de Proteção dos Dados Pessoais do MPDFT instaurou inquérito para investigar o vazamento dos dados pessoais dos clientes do Banco Inter. A investigação constatou o comprometimento dos dados cadastrais de 19.961 correntistas do Banco Inter. Dessas, 13.207 continham dados bancários, como número da conta, senha, endereço, CPF e telefone.

O banco admitiu o vazamento em agosto. Na ocasião, enviou comunicado aos correntistas informando que a “exposição dos dados foi de baixo impacto” e que os clientes mais gravemente afetados seriam notificados.

A multa vai pro mpf... oa correntista "gravemente impactos " vão ser só notificados (com atraso).
Mas ressarcimento pelos danos nem o banco no o mpf falam nada
.

Duro. Dados pessoais ainda não tem o devido tratamento e valoração
legendary
Activity: 2758
Merit: 6830
acho que acontecem bem mais hacks em bancos do que ficamos sabendo por exemplo, uma vez vi um cara especialista em segurança no Brasil comentando que existe determinado ataque à base dos grandes bancos que se acontecer os bancos perdem a licença com o BC ou tomam uma multa gigante, não lembro
então se um hacker encontrasse uma vulnerabilidade, e muitos encontravam, acontecia uma chantagem que o banco acabava pagando o hacker para que ele não fizessse o exploit, curioso que normalmente o pagamento era em crypto.
É verdade, né? Grin

Lembro bem do vazamento que teve no Banco Inter. Foi confirmado por várias fontes jornalisticas e mesmo assim eles fecharam os olhos e insistiram que não houve vazamento. Depois foi confirmado até com uma multinha por parte da MPDFT: https://veja.abril.com.br/economia/banco-inter-vai-pagar-r-15-milhao-por-vazamento-de-dados-de-clientes

Quote
Em maio, a Comissão de Proteção dos Dados Pessoais do MPDFT instaurou inquérito para investigar o vazamento dos dados pessoais dos clientes do Banco Inter. A investigação constatou o comprometimento dos dados cadastrais de 19.961 correntistas do Banco Inter. Dessas, 13.207 continham dados bancários, como número da conta, senha, endereço, CPF e telefone.

O banco admitiu o vazamento em agosto. Na ocasião, enviou comunicado aos correntistas informando que a “exposição dos dados foi de baixo impacto” e que os clientes mais gravemente afetados seriam notificados.
legendary
Activity: 1722
Merit: 4711
**In BTC since 2013**
acho que parte desse lugar acontece devido à diferença de serviçoes centralizados e descentralizados, construir algo público e com código aberto e auditável tem suas desvantagens, você fica mais vulnerável, por outro lado a cada erro o sistema fica mais resiliente, a gente pode aprender com cada hack desses e iterar para que não aconteça de novo

Mas quando estamos a falar de algo que lida com milhões de dólares, não pode simplesmente lançar o código e esperar que alguém na comunidade detete os erros. Esse é o problema de fazerem projetos e por em código aberto, ficam com a ideia que como é código aberto esta livre de problemas.

Uma equipa profissional, e com a noção dos perigos que estão envolvidos, faz duas ou três auditorias ao código, antes de o lançar.
Alias por ser código aberto, mais preocupações tem de ter nesse sentido.

Por isso digo, que isso é mais presunção do que falta de recursos para fazer as coisas como devem de ser feitas.
Claro, que isso não ira eliminar a probabilidade de problemas, mas vai minimiza-los com toda a certeza.



agora, crypto tem muitos erros humanos também, hacks por engenharia social por exemplo.

Mas, isso acontece nem crypto, banca tradicional, trocas comerciais, e afins.
Portanto, quando o problema são erros do consumidor, é o consumidor que tem de aprender a mudar.



acho que acontecem bem mais hacks em bancos do que ficamos sabendo por exemplo, uma vez vi um cara especialista em segurança no Brasil comentando que existe determinado ataque à base dos grandes bancos que se acontecer os bancos perdem a licença com o BC ou tomam uma multa gigante, não lembro
então se um hacker encontrasse uma vulnerabilidade, e muitos encontravam, acontecia uma chantagem que o banco acabava pagando o hacker para que ele não fizessse o exploit, curioso que normalmente o pagamento era em crypto.

Claro que também existem hacks e bastantes as redes bancarias.
Só tenho duvidas nessa parte da chantagem... Porque na realidade todos os bancos tem fundos para recompensar os White hat que encontram falhas.
Alem disso, os bancos tem equipas permanentes a monitorizar a rede e a contra atacar possíveis ataques. Por isso, a nível de segurança IT os bancos são dos melhores.

Por sua vez, as empresas crypto tinha de se esforçar a ter um nivel mais próximo possível do que os bancos tem.
legendary
Activity: 2506
Merit: 1113
There's no need to be upset
Não estou a dizer que eles não são profissionais, ou que não se preocupam com a segurança.
Será? Roll Eyes

Descobriram que esse atack vector foi encontrado durante o processo de auditória e eles só ignoraram como se ele fosse irrelevante: https://certificate.quantstamp.com/full/nomad

Eu pensei nisso... mas não quis dizer que eles tinham falta de profissionalismo...  Roll Eyes


As vezes, pensa-se que estes hacks podem acontecer, faz parte do crescimento, etc.. etc.. etc... Em parte é verdade. Mas se pensarmos bem, não faz sentido uma industria de alta tecnologia sofrer tantos hacks em questões de meses.

Os bancos lidam com milhões todos os dias, e felizmente são poucas as vezes que ouvimos falar de milhões roubados por hack aos bancos. Não estou a dizer que não acontece, mas é mais muito menos.

O problema, e conhecendo muita malta de IT, é que muitos tem a a presunção que são os melhores e por isso acreditam que o modo de fazerem as coisas é o melhor e nunca vão ter problemas porque sabem o que fazem. Isso não é problema quando é no PC deles. O problema é quando essa presunção vai afetar a perda de muito dinheiro de terceiros.

E sinceramente, acho que muitos projetos ligados as cripto, tem um grande défice na segurança informativa. E não ouvimos falar em mais hacks, porque boa parte desses projetos tem pouca relevância financeira (pelo menos até agora).

acho que parte desse lugar acontece devido à diferença de serviçoes centralizados e descentralizados, construir algo público e com código aberto e auditável tem suas desvantagens, você fica mais vulnerável, por outro lado a cada erro o sistema fica mais resiliente, a gente pode aprender com cada hack desses e iterar para que não aconteça de novo

agora, crypto tem muitos erros humanos também, hacks por engenharia social por exemplo.

acho que acontecem bem mais hacks em bancos do que ficamos sabendo por exemplo, uma vez vi um cara especialista em segurança no Brasil comentando que existe determinado ataque à base dos grandes bancos que se acontecer os bancos perdem a licença com o BC ou tomam uma multa gigante, não lembro
então se um hacker encontrasse uma vulnerabilidade, e muitos encontravam, acontecia uma chantagem que o banco acabava pagando o hacker para que ele não fizessse o exploit, curioso que normalmente o pagamento era em crypto.
legendary
Activity: 1722
Merit: 4711
**In BTC since 2013**
Não estou a dizer que eles não são profissionais, ou que não se preocupam com a segurança.
Será? Roll Eyes

Descobriram que esse atack vector foi encontrado durante o processo de auditória e eles só ignoraram como se ele fosse irrelevante: https://certificate.quantstamp.com/full/nomad

Eu pensei nisso... mas não quis dizer que eles tinham falta de profissionalismo...  Roll Eyes


As vezes, pensa-se que estes hacks podem acontecer, faz parte do crescimento, etc.. etc.. etc... Em parte é verdade. Mas se pensarmos bem, não faz sentido uma industria de alta tecnologia sofrer tantos hacks em questões de meses.

Os bancos lidam com milhões todos os dias, e felizmente são poucas as vezes que ouvimos falar de milhões roubados por hack aos bancos. Não estou a dizer que não acontece, mas é mais muito menos.

O problema, e conhecendo muita malta de IT, é que muitos tem a a presunção que são os melhores e por isso acreditam que o modo de fazerem as coisas é o melhor e nunca vão ter problemas porque sabem o que fazem. Isso não é problema quando é no PC deles. O problema é quando essa presunção vai afetar a perda de muito dinheiro de terceiros.

E sinceramente, acho que muitos projetos ligados as cripto, tem um grande défice na segurança informativa. E não ouvimos falar em mais hacks, porque boa parte desses projetos tem pouca relevância financeira (pelo menos até agora).
legendary
Activity: 2506
Merit: 1113
There's no need to be upset
ouch
o fato que sabiam que o erro podia acontecer e ignoraram torna tudo muito pior

valeu por postar o thread do samczsun
lendo agora, gosto de como ele explica bem as coisas
legendary
Activity: 2758
Merit: 6830
Não estou a dizer que eles não são profissionais, ou que não se preocupam com a segurança.
Será? Roll Eyes

Descobriram que esse atack vector foi encontrado durante o processo de auditória e eles só ignoraram como se ele fosse irrelevante: https://certificate.quantstamp.com/full/nomad

Quote
QSP-19 Proving With An Empty Leaf

Recommendation: Validate that the input of the function is not empty

The Nomad team responded that "We consider it to be effectively impossible to find the preimage of the empty leaf".

We believe the Nomad team has misunderstood the issue. It is not related to finding the pre-image of the empty bytes. Instead, it is about being able to prove that empty bytes are included in the tree (empty bytes are the default nodes of a sparse Merkle tree). Therefore, anyone can call the function with an empty leaf and update the status to be proven.

Olha a resposta do time.
Pages:
Jump to: