Topic: Mais uma: bridge da Nomad é hackeada em $150m+ (Read 193 times)

O próprio contrato/padrão ERC20 é um código reutilizado em 90% do ecossistema.

Aliás, os contratos da OpenZeppelin estão na maioria dos projetos: https://github.com/OpenZeppelin/openzeppelin-contracts

Temos contratos:
- Com o padrão de proxy.
- Controle de acesso (Ownable, AccessControl...)
- Cross-chain awareness
- Vesting e Payment Splitter
- Governança
- Pausable e com Reentrancy Guard
- ERC20, ERC777, ERC1155
- e outros...

Mas foi isso que eu disse. Programa do zero já não acontece.

Agora, não vou dizer que isso não aconteça, porque pode acontecer. Mas só compensa em projetos muito especiais e grandes.
E mesmo assim, a probabilidade de usar algum código já criado é grande.

Não existe isso de programar do zero, ébobagem isso. A humanidade não evoluiu assim.

Hoje em dia temos acessos a milhares de bibliotecas, frameworks, etc , e o trabalho do programar é fazer bom uso dessas bibliotecas e não reinventa-las em uma forma piorada.

Usar bibliotecas e códigos já testados e consolidados é hoje o único caminho. Tudo tornou-se muito complexo.

Ten um famoso quote do Linux

---

Esses golpes são os mais populares e exploram pessoas desatentos e de pouco entendimento dos riscos. Difícil proteger as pessoas desses golpes  e no final cabe a cada um se educar pra se proteger.

Programar do zero, só compensa em casos muito especiais e projetos muito grandes ou extremamente pequenos.
Na maioria dos casos, usa-se código já criado e faz-se as respetivas adaptações para o projeto. Essas alterações até podem ser bem profundas.
A vantagem de usar código já existente, é o facto de ser código testado e muitas vezes já foi melhorado.

Por isso, o problema não é usar código antigo, é o facto de pegar nele e não fazer as respetivas correções e adaptações, sem ser aquelas básicas de mudar nomes e uma ou outra definição.

Esse negócio de aproveitar protocolos antigos é algo parecido com os antigos forks de moedas na epoca das ICOs em que a galera pegava uma moeda qualquer, copiada seus fontes e sai espalhando pra ver se vinga?
Se for assim, tem mais é que se ferrar mesmo, projetos bons acabam investindo pelo menos em tecnologia/conhecimento próprio e não no copia-e-cola... problema é que quem acaba pagando mais caro são os usuário/investidores que acabam entrando nessa furada.

Crio que um smart-contract deva ser algo bem mais complicado, não sei o quão viável é iniciar algo do zero, mas se for precisar partir de algo pronto então não tem boas plataformas ou empresas que façam/vendam uma plataforma estável e segura, além de prover atualizações frequentes?

Isso até fazia sentido, se os protocolos antigos deixassem de ser usados.
O problema, é que existe muito inexperiente, que aproveita esses protocolos antigos - talvez por ser mais simples, para montarem sistemas que podem-se tornar populares. Enfim, já sabemos o possível resultado deles.

Mas, claro que quanto mais experiencia se tem, melhor se fica preparado. Apesar de que os hacks também ficam mais experimentes.
É o jogo do rato e do gato, que só cresce, e dificilmente acaba/diminui.

exato, o nível de complexidade do sistema subiu muito
gosto de pensar que cada hack torna todos os protocolos mais fortes pq dá pra aprender com os erros de outros

acho que os hacks por engenharia social vão continuar acontecendo bastante e por muito tempo
mas talvez esses de bridges, protocolos defi, etc... diminuam com o tempo
veremos

Sim, com toda certeza! Acredito que isso foi algo que não passou em minha mente

Com esse numero maior de "contracts" espalhados por ai, em chains diferentes como você citou @bitmover, a ""tendencia"" é essa mesmo, descobrir mais falhas com esse grande número espalhados por ai...

Alem disso, junta-se ao facto de que hoje é cada vez mais fácil fazer um smartcontract, com tanta informação e blockchains disponíveis.

Isso permite, pessoas com menos conhecimentos possam desenvolver um projeto. Isso leva a uma diminuição de qualidade do código desenvolvido, ficando assim mais exposto a problemas.

Por isso, exige-se cada vez mais, por parte do utilizador, em analisar melhor como o projeto esta desenvolvido. Porque dizer que é um DeFi, blockchain ou coisas do género, não garante automaticamente segurança.

Antigamente  não existiam também tantos smartcontracts por aí rolando em tantas chains diferentes.

Em 2017 2018 so queriam saber de ico. Agora a coisa mudou e os contratos são mais complexos e movimenta mais dinheiro , principalmente com o boom das defi

Contratos mais complexo = mais bugs para exploitar

Agora existem grupos hacker (i.e Lazarus) que ficam dia e noite analisando cada contrato e procurando por falhas. Afinal de contas, cada hack bem sucedido rende valores que vão dos $50m até $700m.

Com certeza existem vários outros contratos por ai que guardam milhões de dólares e contém falhas que ainda só não foram descobertas porquê ninguém parou para dar uma olhada.

Bom... não querendo fugir do tema principal desse topico, mas é impressão minha ou parece que atualmente estão surgindo e descobrindo mais falhas em alguns projetos de cripto?

Allguns anos atrás era pouco recorrente de acontecer alguns bugs, hacks com uma determinada criptomoeda!
É impressão minha ou eu estou falando alguma besteira!!?

Mas isso foi um vazamento de dados pessoais. Algo muito grave, sem duvida!
Qualquer das formas, os clientes não ficaram sem o dinheiro que lá tinha.

Claro que ficava preocupado com o vazamento dos meus dados bancários. Mas, por outro lado, a minha real preocupação era saber se tinha perdido algum cêntimo ou não.

A multa vai pro mpf... oa correntista "gravemente impactos " vão ser só notificados (com atraso).
Mas ressarcimento pelos danos nem o banco no o mpf falam nada
.

Duro. Dados pessoais ainda não tem o devido tratamento e valoração

É verdade, né?

Lembro bem do vazamento que teve no Banco Inter. Foi confirmado por várias fontes jornalisticas e mesmo assim eles fecharam os olhos e insistiram que não houve vazamento. Depois foi confirmado até com uma multinha por parte da MPDFT: https://veja.abril.com.br/economia/banco-inter-vai-pagar-r-15-milhao-por-vazamento-de-dados-de-clientes

Mas quando estamos a falar de algo que lida com milhões de dólares, não pode simplesmente lançar o código e esperar que alguém na comunidade detete os erros. Esse é o problema de fazerem projetos e por em código aberto, ficam com a ideia que como é código aberto esta livre de problemas.

Uma equipa profissional, e com a noção dos perigos que estão envolvidos, faz duas ou três auditorias ao código, antes de o lançar.
Alias por ser código aberto, mais preocupações tem de ter nesse sentido.

Por isso digo, que isso é mais presunção do que falta de recursos para fazer as coisas como devem de ser feitas.
Claro, que isso não ira eliminar a probabilidade de problemas, mas vai minimiza-los com toda a certeza.




Mas, isso acontece nem crypto, banca tradicional, trocas comerciais, e afins.
Portanto, quando o problema são erros do consumidor, é o consumidor que tem de aprender a mudar.




Claro que também existem hacks e bastantes as redes bancarias.
Só tenho duvidas nessa parte da chantagem... Porque na realidade todos os bancos tem fundos para recompensar os White hat que encontram falhas.
Alem disso, os bancos tem equipas permanentes a monitorizar a rede e a contra atacar possíveis ataques. Por isso, a nível de segurança IT os bancos são dos melhores.

Por sua vez, as empresas crypto tinha de se esforçar a ter um nivel mais próximo possível do que os bancos tem.

acho que parte desse lugar acontece devido à diferença de serviçoes centralizados e descentralizados, construir algo público e com código aberto e auditável tem suas desvantagens, você fica mais vulnerável, por outro lado a cada erro o sistema fica mais resiliente, a gente pode aprender com cada hack desses e iterar para que não aconteça de novo

agora, crypto tem muitos erros humanos também, hacks por engenharia social por exemplo.

acho que acontecem bem mais hacks em bancos do que ficamos sabendo por exemplo, uma vez vi um cara especialista em segurança no Brasil comentando que existe determinado ataque à base dos grandes bancos que se acontecer os bancos perdem a licença com o BC ou tomam uma multa gigante, não lembro
então se um hacker encontrasse uma vulnerabilidade, e muitos encontravam, acontecia uma chantagem que o banco acabava pagando o hacker para que ele não fizessse o exploit, curioso que normalmente o pagamento era em crypto.

Eu pensei nisso... mas não quis dizer que eles tinham falta de profissionalismo... 


As vezes, pensa-se que estes hacks podem acontecer, faz parte do crescimento, etc.. etc.. etc... Em parte é verdade. Mas se pensarmos bem, não faz sentido uma industria de alta tecnologia sofrer tantos hacks em questões de meses.

Os bancos lidam com milhões todos os dias, e felizmente são poucas as vezes que ouvimos falar de milhões roubados por hack aos bancos. Não estou a dizer que não acontece, mas é mais muito menos.

O problema, e conhecendo muita malta de IT, é que muitos tem a a presunção que são os melhores e por isso acreditam que o modo de fazerem as coisas é o melhor e nunca vão ter problemas porque sabem o que fazem. Isso não é problema quando é no PC deles. O problema é quando essa presunção vai afetar a perda de muito dinheiro de terceiros.

E sinceramente, acho que muitos projetos ligados as cripto, tem um grande défice na segurança informativa. E não ouvimos falar em mais hacks, porque boa parte desses projetos tem pouca relevância financeira (pelo menos até agora).

ouch
o fato que sabiam que o erro podia acontecer e ignoraram torna tudo muito pior

valeu por postar o thread do samczsun
lendo agora, gosto de como ele explica bem as coisas

Será?

Descobriram que esse atack vector foi encontrado durante o processo de auditória e eles só ignoraram como se ele fosse irrelevante: https://certificate.quantstamp.com/full/nomad


Olha a resposta do time.