Roubo através da plataforma Wormhole

gagux123

hero member

Activity: 1554

Merit: 814

The Alliance Of Bitcointalk Translators - ENG>POR

Quote from: TryNinja on February 08, 2022, 02:28:42 AM

Ué, digamos que você roube 100 milhões de SHIBA @ $1, tem como vender todas elas por $100 milhões? Não, por que não tem liquidez. De que adianta roubar todo o supply de uma moeda que está morta? Se eu roubasse "$100 milhões" de Namecoin (uma moeda morta de 2011), ia ter roubado $100 milhões, considerando que a moeda tem $18k de volume diário? Para vender tem que ter alguém comprando, oferta e demanda...

Quanto ao hack de $600 milhões, já foi postado aqui: https://bitcointalksearch.org/topic/m.57662086

Hmm... Agora você esclareceu minha duvida! Isso que você disse tem muito nexo, ou melhor, é o que acontece!

Nesse caso se eu roubasse uma determinada quantia de namecoin (por exemplo), automaticamente eu estaria ""preso"" nesse $18k de volume diário, pois nesse caso, estaríamos com uma demanda insignificante para vendermos 1 milhão de unidades de Namecoin por exemplo.
Confesso que isso não me caiu a ficha até você me explicar a situação! kkkk Tongue

Vou dar uma olhada nesse link que tu me mandou!

Alias, obrigado por sanar minha duvida, @TryNinja

TryNinja

legendary

Activity: 2758

Merit: 6830

Quote from: gagux123 on February 07, 2022, 05:59:14 PM

Quote from: TryNinja on February 07, 2022, 03:00:46 AM

Um detalhe é que foi efetivamente bem menos do que $610 milhões, pois uma boa parte era em tokens com baixíssima liquidez. Nesse caso da Wormhole, o atacante conseguiu $320 milhões em ETH, que são 100x mais liquidas do que as shitcoins do outro ataque. Mesmo assim foi impressionante. Cheesy

Oloca... como assim!!? Confesso que estou como cego em tiroteio!!

Me desculpa por eu perguntar... mas em relação a esse "hack do bem", como ocorreu esse roubo de aproximadamente U$$ 610 milhões!!?

Ué, digamos que você roube 100 milhões de SHIBA @ $1, tem como vender todas elas por $100 milhões? Não, por que não tem liquidez. De que adianta roubar todo o supply de uma moeda que está morta? Se eu roubasse "$100 milhões" de Namecoin (uma moeda morta de 2011), ia ter roubado $100 milhões, considerando que a moeda tem $18k de volume diário? Para vender tem que ter alguém comprando, oferta e demanda...

Quanto ao hack de $600 milhões, já foi postado aqui: https://bitcointalksearch.org/topic/m.57662086

gagux123

hero member

Activity: 1554

Merit: 814

The Alliance Of Bitcointalk Translators - ENG>POR

Quote from: TryNinja on February 07, 2022, 03:00:46 AM

Quote from: alegotardo on February 06, 2022, 07:16:58 PM

Já tivemos um hack do bem, quem não lembra do cara que roubou US$ 610 milhões e devolveu cada centavo?

Um detalhe é que foi efetivamente bem menos do que $610 milhões, pois uma boa parte era em tokens com baixíssima liquidez. Nesse caso da Wormhole, o atacante conseguiu $320 milhões em ETH, que são 100x mais liquidas do que as shitcoins do outro ataque. Mesmo assim foi impressionante. Cheesy

Oloca... como assim!!? Confesso que estou como cego em tiroteio!!

Me desculpa por eu perguntar... mas em relação a esse "hack do bem", como ocorreu esse roubo de aproximadamente U$$ 610 milhões!!?

TryNinja

legendary

Activity: 2758

Merit: 6830

Quote from: alegotardo on February 06, 2022, 07:16:58 PM

Já tivemos um hack do bem, quem não lembra do cara que roubou US$ 610 milhões e devolveu cada centavo?

Um detalhe é que foi efetivamente bem menos do que $610 milhões, pois uma boa parte era em tokens com baixíssima liquidez. Nesse caso da Wormhole, o atacante conseguiu $320 milhões em ETH, que são 100x mais liquidas do que as shitcoins do outro ataque. Mesmo assim foi impressionante. Cheesy

alegotardo

legendary

Activity: 2352

Merit: 1121

☢️ alegotardo™️

Quote from: joker_josue on February 04, 2022, 08:38:33 PM

Quote from: tg88 on February 04, 2022, 07:13:54 PM

Parte da história contada desse Hack é que foi feito uma oferta de 10 milhões de dólares ao Hacker para ele devolver os fundos... Vocês acham que isso existe mesmo? Ele devolveria e ficaria com os 10 milhõezinhos ileso?

Não vejo porque não! Tudo depende do tipo de hacker estamos a falar. Se o fez por dinheiro, ou para mostrar o que é capaz.

Sair ileso? Sim, porque não. O que é que a comunidade crypto iria fazer ao hacker? Iria bloquear-lhe a internet?
O mercado não sendo regulado, e estes ativos não serem considerados "dinheiro", fica difícil de recorrer a justiça. Alem disso, a plataforma é uma empresa regista? Se não é, fica ainda mais difícil.

Já tivemos um hack do bem, quem não lembra do cara que roubou US$ 610 milhões e devolveu cada centavo?
Ainda assim, não deixa de ser uma notícia preocupante, por mais que a plataforma consiga cobrir o rombo, sempre fica a desconfiança na plataforma sobre outras vulnerabilidades, cobrir o rombo e ressarcir os lesados é o mínimo que eles podem fazer.

gagux123

hero member

Activity: 1554

Merit: 814

The Alliance Of Bitcointalk Translators - ENG>POR

Quote from: TryNinja on February 06, 2022, 05:42:06 AM

A falha foi devido a uma função disponibilizada nativamente na Solana que foi utilizada de forma incorreta: load_instruction_at

Basicamente, você envia 10 ETH na Ethereum e um grupo de "guardiões" verifica que a transação é válida e assina uma mensagem dizendo "ei, pode criar 10 whETH ai na Solana" (onde whETH é um token na Solana que é lastreado nos 10 ETH na Ethereum).

O problema é que a função que verifica a assinatura, e consequentemente cria os whETH quando necessário, não verificava o input do usuário e só aceitava cegamente o que a load_instruction_at retornasse. Essa função, por sua vez, não verificava que a assinatura tivera sido assinada pelo endereço do guardião. O atacante apenas criou a sua própria assinatura "ei, pode criar 120k whETH ai na Solana" e gerou seus tokens lastreados (que na verdade não tinham lastro) de forma maliciosa. Depois foi só usar os mesmos tokens para sacar todo o saldo da bridge lá na Ethereum (afinal, 120k whETH = 120k ETH na Ethereum).

Hmmm, entendi... as vezes eu imagino como uma uma pequena "brecha" pode f*der com tudo
Enfim... @TryNinja, muito obrigado por explicar o ocorrido inclusive na parte técnica também!

Disruptivas

legendary

Activity: 1428

Merit: 1568

Particularmente, eu nunca tinha visto nenhuma diferença entre ''crimes envolvendo cripto'' e outros tipos de crime, como se fossem considerados menos crimes perante as autoridades. Claro que é um crime que envolve várias complicações, mas não sei nem se são complicações piores do que os crimes envolvendo coisas reais não. Existe da mesma forma, inúmeros casos cabulosos que ficam sem serem resolvidos por muito tempo.

Mas o que realmente me chamou a atenção nesse caso foi a Jump Crypto repor a grana. Eu nunca nem tinha ouvido falar eles na vida Shocked

joker_josue

legendary

Activity: 1722

Merit: 4711

**In BTC since 2013**

Quote from: TryNinja on February 06, 2022, 05:42:06 AM

O problema é que a função que verifica a assinatura, e consequentemente cria os whETH quando necessário, não verificava o input do usuário e só aceitava cegamente o que a load_instruction_at retornasse. Essa função, por sua vez, não verificava que a assinatura tivera sido assinada pelo endereço do guardião. O atacante apenas criou a sua própria assinatura "ei, pode criar 120k whETH ai na Solana" e gerou seus tokens lastreados (que na verdade não tinham lastro) de forma maliciosa. Depois foi só usar os mesmos tokens para sacar todo o saldo da bridge lá na Ethereum (afinal, 120k whETH = 120k ETH na Ethereum).

Isso fez-me lembrar o maior falsificador da historia portuguesa: Alves dos Reis. Conhecem a historia?

De forma muito resumida, ele conseguiu falsificar um contrato, que permitia obter notas ilegítimas, impressas numa empresa legítima e com a mesma qualidade das notas verdadeiras. Comprando depois com esse dinheiro, ações e fundando empresas e até bancos em Angola. Só foi apanhado, porque realmente começou a ficar muito "rico" e a ter muita influencia.

Podem ler a historia aqui: https://www.natgeo.pt/historia/2020/01/alves-dos-reis-o-maior-falsificador-da-historia-portuguesa

TryNinja

legendary

Activity: 2758

Merit: 6830

Quote from: gagux123 on February 05, 2022, 05:59:34 PM

Enfim... conseguiram achar especificamente qual foi o erro "dentro da ponte" na ""'plataforma""" Wormhole que acarretou esse hack!!? Essa possivel falha tem relação na troca das criptos SOL/ETH e vice versa!!?

A falha foi devido a uma função disponibilizada nativamente na Solana que foi utilizada de forma incorreta: load_instruction_at

Basicamente, você envia 10 ETH na Ethereum e um grupo de "guardiões" verifica que a transação é válida e assina uma mensagem dizendo "ei, pode criar 10 whETH ai na Solana" (onde whETH é um token na Solana que é lastreado nos 10 ETH na Ethereum).

O problema é que a função que verifica a assinatura, e consequentemente cria os whETH quando necessário, não verificava o input do usuário e só aceitava cegamente o que a load_instruction_at retornasse. Essa função, por sua vez, não verificava que a assinatura tivera sido assinada pelo endereço do guardião. O atacante apenas criou a sua própria assinatura "ei, pode criar 120k whETH ai na Solana" e gerou seus tokens lastreados (que na verdade não tinham lastro) de forma maliciosa. Depois foi só usar os mesmos tokens para sacar todo o saldo da bridge lá na Ethereum (afinal, 120k whETH = 120k ETH na Ethereum).

gagux123

hero member

Activity: 1554

Merit: 814

The Alliance Of Bitcointalk Translators - ENG>POR

Bom, eu confesso que estou igual cego em tiroteio com relação a isso hahah

Enfim... conseguiram achar especificamente qual foi o erro "dentro da ponte" na ""'plataforma""" Wormhole que acarretou esse hack!!? Essa possivel falha tem relação na troca das criptos SOL/ETH e vice versa!!?

TryNinja

legendary

Activity: 2758

Merit: 6830

Quote from: joker_josue on February 05, 2022, 11:58:42 AM

Apenas digo é que isso não é fácil de deliberar em tribunal, só isso.
Vai depender de muitos fatores.

Sim, nesse ponto eu concordo. Com certeza tem MUITO mais jurisprudencia em um roubo comum do que um protocolo descentralizado, mas eu realmente acredito que os pilares do "bom senso" continuam. Tem como alguém olhar para o roubo do Wormhole ou do Indexed e pensar que "o hacker está certo"? Eu acho que não...

Outra coisa é dar sorte em uma moeda qualquer e vender no topo, pegando toda liquidez, etc... por que ai todo mundo tem que entender que é um jogo para ver quem sobrevive.

Quer um exemplo do por que o tribunal é bem mais flexivel do que o "code is law"? Lembre-se que o Craig Wraith foi decidido como satoshi em um de seus casos, e isso sem uma única prova criptografica (!), literalmente a única prova que ele poderia apresentar. Cheesy

joker_josue

legendary

Activity: 1722

Merit: 4711

**In BTC since 2013**

@TryNinja tens razão!

Apenas digo é que isso não é fácil de deliberar em tribunal, só isso.
Vai depender de muitos fatores.

E não é complicado apenas no mundo crypto, é por toda a internet e hacks que existem diariamente. São poucos os que são apanhados e os que são demora as vezes anos, para se conseguir condenar.

Agora, se roubou e foi apanhado, deve ser punido.
Neste caso, tem muitas provas contra ele.

TryNinja

legendary

Activity: 2758

Merit: 6830

Quote from: joker_josue on February 05, 2022, 08:40:38 AM

Claro que não! O bandido deve ser sempre levado a justiça e sofrer as consequências.
O problema é que depois em tribunal o que conta são as provas, e as vezes as provas não são fáceis de obter nestes casos.

Mas nesse caso (do jovem) eles obtiveram o endereço ETH dele e o ligaram a um saque da Binance, depois entraram em contato com a exchange e conseguiram o KYC.

Quote from: joker_josue on February 05, 2022, 08:40:38 AM

Em relação ao valor roubado, é muito subjetivo. Isto porque, qual é o instrumento legal que prova que aquele token tem esse valor? Ao não existir um regulador que diga que aquele token vale X, fica complicado.

Desculpa, mas isso não existe. Então tá ok roubar um quadro? Um colecionavel? Se a acusação mostra que dá pra conseguir X nos tantos milhares de ETH, através de exchanges liquidas, então esse é o valor e pronto. A justiça é meio dura mas não é tão binária assim.

Não é por que não tem uma regulação clara quanto às criptos que qualquer um pode sair roubando o outro. Ou que é impossível ser preso fazendo esse tipo de coisa.

t91

member

Activity: 140

Merit: 85

Solana anda sofrendo bastante, mas ainda acho todo projeto dela muito bacana, e pelo menos ainda conseguem usar "estamos em beta" como um escudo rsrs.

joker_josue

legendary

Activity: 1722

Merit: 4711

**In BTC since 2013**

Quote from: TryNinja on February 05, 2022, 07:52:01 AM

Por que para crypto/DeFi todo mundo usa o "code is law, então se roubou é por que o contrato permitiu" e no código de um sistema/banco, se abusar de uma brecha no código é errado? Qual a diferença? Eu acho muito errado pensar dessa forma.

Code is law significa que o que puder acontecer vai acontecer, não que não existem consequências para as suas ações. Alguém realmente acha que um juri veria esse hack ou o hack de $320 milhões do Wormhole e pensaria "ah, é inocente... tá ali no contrato que se forjar uma assinatura você consegue criar milhões em tokens"? Distopia total.

Claro que não! O bandido deve ser sempre levado a justiça e sofrer as consequências.
O problema é que depois em tribunal o que conta são as provas, e as vezes as provas não são fáceis de obter nestes casos.

Em relação ao valor roubado, é muito subjetivo. Isto porque, qual é o instrumento legal que prova que aquele token tem esse valor? Ao não existir um regulador que diga que aquele token vale X, fica complicado.

Eu não estou a dizer que concordo com isto, mas é o problema que temos enquanto o mercado crypto for desregulado pelos governos. Algum dia será regulado? O Bitcoin e outras, não. Mas tem de surgir instrumentos jurídicos que permitam, proteger o cidadão nestes casos. Hoje isso não existe.

Lucasgabd

legendary

Activity: 2506

Merit: 1113

There's no need to be upset

bom, somando no caso a Rekt fez uma publicação também, deixo aqui o link pois pode interessar:

WORMHOLE - REKT

afinal, vemos que a solana não está imune.
interessante como existem vulnerabilidades nessas pontes cross-blockchain

TryNinja

legendary

Activity: 2758

Merit: 6830

Quote from: joker_josue on February 05, 2022, 03:53:15 AM

Por sua vez o que a Indexed Finance, está a tentar alegar na acusação é que o hack foi possível, não devido a um erro de código, mas sim manipulação do sistema. O que tem de ser provado é se foi erro de código ou não.

Você acha que alguém consegue $19 milhões de forma claramente ilegal abusando do código e que nada vai acontecer com ele?

Por que para crypto/DeFi todo mundo usa o "code is law, então se roubou é por que o contrato permitiu" e no código de um sistema/banco, se abusar de uma brecha no código é errado? Qual a diferença? Eu acho muito errado pensar dessa forma.

Code is law significa que o que puder acontecer vai acontecer, não que não existem consequências para as suas ações. Alguém realmente acha que um juri veria esse hack ou o hack de $320 milhões do Wormhole e pensaria "ah, é inocente... tá ali no contrato que se forjar uma assinatura você consegue criar milhões em tokens"? Distopia total.

joker_josue

legendary

Activity: 1722

Merit: 4711

**In BTC since 2013**

Quote from: TryNinja on February 05, 2022, 03:26:45 AM

Há alguns meses, um hacker conseguiu exploitar um protocolo DeFi chamado Indexed Finance e roubou $16 milhões. Conseguiram descobrir sua identidade, um jovem canadense, prodigio matemático de apenas 19 anos. Levaram o caso para os tribunais e o jovem recebeu uma ordem de prisão por não aparecer no tribunal: https://twitter.com/CroissantEth/status/1489421996781973507

Não é "crime ocorre nada acontece feijoada".

Mas ele esta a ser procurado, por não ter obedecido a uma ordem judicial, de comparecer em tribunal. Ninguém pode faltar a um tribunal sem justificação.
Agora, será que ele iria ser condenado pelo tal "roubo", ainda não sabemos. Claro que não aparecer em tribunal não abona a seu favor.

Por sua vez o que a Indexed Finance, está a tentar alegar na acusação é que o hack foi possível, não devido a um erro de código, mas sim manipulação do sistema. O que tem de ser provado é se foi erro de código ou não.

Qualquer das formas não será fácil, condenar o indevido, por causa do hack.
https://www.coindesk.com/policy/2021/12/22/teenage-suspect-in-16m-defi-hack-wanted-for-arrest-in-canada/

TryNinja

legendary

Activity: 2758

Merit: 6830

Quote from: joker_josue on February 04, 2022, 08:38:33 PM

Sair ileso? Sim, porque não. O que é que a comunidade crypto iria fazer ao hacker? Iria bloquear-lhe a internet?
O mercado não sendo regulado, e estes ativos não serem considerados "dinheiro", fica difícil de recorrer a justiça. Alem disso, a plataforma é uma empresa regista? Se não é, fica ainda mais difícil.

Também não é assim... entramos na discussão do "code is law?", mas é bem certeza que na maior parte do mundo, um hack desses seria visto de forma maliciosa.

Há alguns meses, um hacker conseguiu exploitar um protocolo DeFi chamado Indexed Finance e roubou $16 milhões. Conseguiram descobrir sua identidade, um jovem canadense, prodigio matemático de apenas 19 anos. Levaram o caso para os tribunais e o jovem recebeu uma ordem de prisão por não aparecer no tribunal: https://twitter.com/CroissantEth/status/1489421996781973507

Não é "crime ocorre nada acontece feijoada".

joker_josue

legendary

Activity: 1722

Merit: 4711

**In BTC since 2013**

Quote from: tg88 on February 04, 2022, 07:13:54 PM

Parte da história contada desse Hack é que foi feito uma oferta de 10 milhões de dólares ao Hacker para ele devolver os fundos... Vocês acham que isso existe mesmo? Ele devolveria e ficaria com os 10 milhõezinhos ileso?

Não vejo porque não! Tudo depende do tipo de hacker estamos a falar. Se o fez por dinheiro, ou para mostrar o que é capaz.

Sair ileso? Sim, porque não. O que é que a comunidade crypto iria fazer ao hacker? Iria bloquear-lhe a internet?
O mercado não sendo regulado, e estes ativos não serem considerados "dinheiro", fica difícil de recorrer a justiça. Alem disso, a plataforma é uma empresa regista? Se não é, fica ainda mais difícil.

Topic: Roubo através da plataforma Wormhole (Read 234 times)