Author

Topic: Roubo através da plataforma Wormhole (Read 236 times)

hero member
Activity: 1554
Merit: 814
The Alliance Of Bitcointalk Translators - ENG>POR
February 12, 2022, 02:36:58 AM
#23
Ué, digamos que você roube 100 milhões de SHIBA @ $1, tem como vender todas elas por $100 milhões? Não, por que não tem liquidez. De que adianta roubar todo o supply de uma moeda que está morta? Se eu roubasse "$100 milhões" de Namecoin (uma moeda morta de 2011), ia ter roubado $100 milhões, considerando que a moeda tem $18k de volume diário? Para vender tem que ter alguém comprando, oferta e demanda...

Quanto ao hack de $600 milhões, já foi postado aqui: https://bitcointalksearch.org/topic/m.57662086
Hmm... Agora você esclareceu minha duvida! Isso que você disse tem muito nexo, ou melhor, é o que acontece!

Nesse caso se eu roubasse uma determinada quantia de namecoin (por exemplo), automaticamente eu estaria ""preso"" nesse $18k de volume diário, pois nesse caso, estaríamos com uma demanda insignificante para vendermos 1 milhão de unidades de Namecoin por exemplo.
Confesso que isso não me caiu a ficha até você me explicar a situação! kkkk  Tongue Roll Eyes

Vou dar uma olhada nesse link que tu me mandou!

Alias, obrigado por sanar minha duvida, @TryNinja
legendary
Activity: 2758
Merit: 6830
February 08, 2022, 02:28:42 AM
#22
Um detalhe é que foi efetivamente bem menos do que $610 milhões, pois uma boa parte era em tokens com baixíssima liquidez. Nesse caso da Wormhole, o atacante conseguiu $320 milhões em ETH, que são 100x mais liquidas do que as shitcoins do outro ataque. Mesmo assim foi impressionante. Cheesy
Oloca... como assim!!? Confesso que estou como cego em tiroteio!!

Me desculpa por eu perguntar... mas em relação a esse "hack do bem", como ocorreu esse roubo de aproximadamente U$$ 610 milhões!!?
Ué, digamos que você roube 100 milhões de SHIBA @ $1, tem como vender todas elas por $100 milhões? Não, por que não tem liquidez. De que adianta roubar todo o supply de uma moeda que está morta? Se eu roubasse "$100 milhões" de Namecoin (uma moeda morta de 2011), ia ter roubado $100 milhões, considerando que a moeda tem $18k de volume diário? Para vender tem que ter alguém comprando, oferta e demanda...

Quanto ao hack de $600 milhões, já foi postado aqui: https://bitcointalksearch.org/topic/m.57662086
hero member
Activity: 1554
Merit: 814
The Alliance Of Bitcointalk Translators - ENG>POR
February 07, 2022, 05:59:14 PM
#21
Já tivemos um hack do bem, quem não lembra do cara que roubou US$ 610 milhões e devolveu cada centavo?
Um detalhe é que foi efetivamente bem menos do que $610 milhões, pois uma boa parte era em tokens com baixíssima liquidez. Nesse caso da Wormhole, o atacante conseguiu $320 milhões em ETH, que são 100x mais liquidas do que as shitcoins do outro ataque. Mesmo assim foi impressionante. Cheesy
Oloca... como assim!!? Confesso que estou como cego em tiroteio!!

Me desculpa por eu perguntar... mas em relação a esse "hack do bem", como ocorreu esse roubo de aproximadamente U$$ 610 milhões!!?
legendary
Activity: 2758
Merit: 6830
February 07, 2022, 03:00:46 AM
#20
Já tivemos um hack do bem, quem não lembra do cara que roubou US$ 610 milhões e devolveu cada centavo?
Um detalhe é que foi efetivamente bem menos do que $610 milhões, pois uma boa parte era em tokens com baixíssima liquidez. Nesse caso da Wormhole, o atacante conseguiu $320 milhões em ETH, que são 100x mais liquidas do que as shitcoins do outro ataque. Mesmo assim foi impressionante. Cheesy
legendary
Activity: 2352
Merit: 1121
☢️ alegotardo™️
February 06, 2022, 07:16:58 PM
#19
Parte da história contada desse Hack é que foi feito uma oferta de 10 milhões de dólares ao Hacker para ele devolver os fundos... Vocês acham que isso existe mesmo? Ele devolveria e ficaria com os 10 milhõezinhos ileso?

Não vejo porque não! Tudo depende do tipo de hacker estamos a falar. Se o fez por dinheiro, ou para mostrar o que é capaz.

Sair ileso? Sim, porque não. O que é que a comunidade crypto iria fazer ao hacker? Iria bloquear-lhe a internet?
O mercado não sendo regulado, e estes ativos não serem considerados "dinheiro", fica difícil de recorrer a justiça. Alem disso, a plataforma é uma empresa regista? Se não é, fica ainda mais difícil.

Já tivemos um hack do bem, quem não lembra do cara que roubou US$ 610 milhões e devolveu cada centavo?
Ainda assim, não deixa de ser uma notícia preocupante, por mais que a plataforma consiga cobrir o rombo, sempre fica a desconfiança na plataforma sobre outras vulnerabilidades, cobrir o rombo e ressarcir os lesados é o mínimo que eles podem fazer.
hero member
Activity: 1554
Merit: 814
The Alliance Of Bitcointalk Translators - ENG>POR
February 06, 2022, 05:59:05 PM
#18
A falha foi devido a uma função disponibilizada nativamente na Solana que foi utilizada de forma incorreta: load_instruction_at

Basicamente, você envia 10 ETH na Ethereum e um grupo de "guardiões" verifica que a transação é válida e assina uma mensagem dizendo "ei, pode criar 10 whETH ai na Solana" (onde whETH é um token na Solana que é lastreado nos 10 ETH na Ethereum).

O problema é que a função que verifica a assinatura, e consequentemente cria os whETH quando necessário, não verificava o input do usuário e só aceitava cegamente o que a load_instruction_at retornasse. Essa função, por sua vez, não verificava que a assinatura tivera sido assinada pelo endereço do guardião. O atacante apenas criou a sua própria assinatura "ei, pode criar 120k whETH ai na Solana" e gerou seus tokens lastreados (que na verdade não tinham lastro) de forma maliciosa. Depois foi só usar os mesmos tokens para sacar todo o saldo da bridge lá na Ethereum (afinal, 120k whETH = 120k ETH na Ethereum).
Hmmm, entendi...  as vezes eu imagino como uma uma pequena "brecha" pode f*der com tudo
Enfim... @TryNinja, muito obrigado por explicar o ocorrido inclusive na parte técnica também!
legendary
Activity: 1428
Merit: 1568
February 06, 2022, 07:55:40 AM
#17
Particularmente, eu nunca tinha visto nenhuma diferença entre ''crimes envolvendo cripto'' e outros tipos de crime, como se fossem considerados menos crimes perante as autoridades. Claro que é um crime que envolve várias complicações, mas não sei nem se são complicações piores do que os crimes envolvendo coisas reais não. Existe da mesma forma, inúmeros casos cabulosos que ficam sem serem resolvidos por muito tempo.

Mas o que realmente me chamou a atenção nesse caso foi a Jump Crypto repor a grana. Eu nunca nem tinha ouvido falar eles na vida  Shocked
legendary
Activity: 1722
Merit: 4711
**In BTC since 2013**
February 06, 2022, 07:05:15 AM
#16
O problema é que a função que verifica a assinatura, e consequentemente cria os whETH quando necessário, não verificava o input do usuário e só aceitava cegamente o que a load_instruction_at retornasse. Essa função, por sua vez, não verificava que a assinatura tivera sido assinada pelo endereço do guardião. O atacante apenas criou a sua própria assinatura "ei, pode criar 120k whETH ai na Solana" e gerou seus tokens lastreados (que na verdade não tinham lastro) de forma maliciosa. Depois foi só usar os mesmos tokens para sacar todo o saldo da bridge lá na Ethereum (afinal, 120k whETH = 120k ETH na Ethereum).

Isso fez-me lembrar o maior falsificador da historia portuguesa: Alves dos Reis. Conhecem a historia?

De forma muito resumida, ele conseguiu falsificar um contrato, que permitia obter notas ilegítimas, impressas numa empresa legítima e com a mesma qualidade das notas verdadeiras. Comprando depois com esse dinheiro, ações e fundando empresas e até bancos em Angola. Só foi apanhado, porque realmente começou a ficar muito "rico" e a ter muita influencia.

Podem ler a historia aqui: https://www.natgeo.pt/historia/2020/01/alves-dos-reis-o-maior-falsificador-da-historia-portuguesa

legendary
Activity: 2758
Merit: 6830
February 06, 2022, 05:42:06 AM
#15
Enfim... conseguiram achar especificamente qual foi o erro "dentro da ponte" na ""'plataforma""" Wormhole que acarretou esse hack!!? Essa possivel falha tem relação na troca das criptos SOL/ETH e vice versa!!?
A falha foi devido a uma função disponibilizada nativamente na Solana que foi utilizada de forma incorreta: load_instruction_at

Basicamente, você envia 10 ETH na Ethereum e um grupo de "guardiões" verifica que a transação é válida e assina uma mensagem dizendo "ei, pode criar 10 whETH ai na Solana" (onde whETH é um token na Solana que é lastreado nos 10 ETH na Ethereum).

O problema é que a função que verifica a assinatura, e consequentemente cria os whETH quando necessário, não verificava o input do usuário e só aceitava cegamente o que a load_instruction_at retornasse. Essa função, por sua vez, não verificava que a assinatura tivera sido assinada pelo endereço do guardião. O atacante apenas criou a sua própria assinatura "ei, pode criar 120k whETH ai na Solana" e gerou seus tokens lastreados (que na verdade não tinham lastro) de forma maliciosa. Depois foi só usar os mesmos tokens para sacar todo o saldo da bridge lá na Ethereum (afinal, 120k whETH = 120k ETH na Ethereum).
hero member
Activity: 1554
Merit: 814
The Alliance Of Bitcointalk Translators - ENG>POR
February 05, 2022, 05:59:34 PM
#14
Bom, eu confesso que estou igual cego em tiroteio com relação a isso hahah

Enfim... conseguiram achar especificamente qual foi o erro "dentro da ponte" na ""'plataforma""" Wormhole que acarretou esse hack!!? Essa possivel falha tem relação na troca das criptos SOL/ETH e vice versa!!?
legendary
Activity: 2758
Merit: 6830
February 05, 2022, 12:05:00 PM
#13
Apenas digo é que isso não é fácil de deliberar em tribunal, só isso.
Vai depender de muitos fatores.
Sim, nesse ponto eu concordo. Com certeza tem MUITO mais jurisprudencia em um roubo comum do que um protocolo descentralizado, mas eu realmente acredito que os pilares do "bom senso" continuam. Tem como alguém olhar para o roubo do Wormhole ou do Indexed e pensar que "o hacker está certo"? Eu acho que não...

Outra coisa é dar sorte em uma moeda qualquer e vender no topo, pegando toda liquidez, etc... por que ai todo mundo tem que entender que é um jogo para ver quem sobrevive.

Quer um exemplo do por que o tribunal é bem mais flexivel do que o "code is law"? Lembre-se que o Craig Wraith foi decidido como satoshi em um de seus casos, e isso sem uma única prova criptografica (!), literalmente a única prova que ele poderia apresentar. Cheesy
legendary
Activity: 1722
Merit: 4711
**In BTC since 2013**
February 05, 2022, 11:58:42 AM
#12
@TryNinja tens razão!

Apenas digo é que isso não é fácil de deliberar em tribunal, só isso.
Vai depender de muitos fatores.

E não é complicado apenas no mundo crypto, é por toda a internet e hacks que existem diariamente. São poucos os que são apanhados e os que são demora as vezes anos, para se conseguir condenar.

Agora, se roubou e foi apanhado, deve ser punido.
Neste caso, tem muitas provas contra ele.
legendary
Activity: 2758
Merit: 6830
February 05, 2022, 09:42:31 AM
#11
Claro que não! O bandido deve ser sempre levado a justiça e sofrer as consequências.
O problema é que depois em tribunal o que conta são as provas, e as vezes as provas não são fáceis de obter nestes casos.
Mas nesse caso (do jovem) eles obtiveram o endereço ETH dele e o ligaram a um saque da Binance, depois entraram em contato com a exchange e conseguiram o KYC.

Em relação ao valor roubado, é muito subjetivo. Isto porque, qual é o instrumento legal que prova que aquele token tem esse valor? Ao não existir um regulador que diga que aquele token vale X, fica complicado.
Desculpa, mas isso não existe. Então tá ok roubar um quadro? Um colecionavel? Se a acusação mostra que dá pra conseguir X nos tantos milhares de ETH, através de exchanges liquidas, então esse é o valor e pronto. A justiça é meio dura mas não é tão binária assim.

Não é por que não tem uma regulação clara quanto às criptos que qualquer um pode sair roubando o outro. Ou que é impossível ser preso fazendo esse tipo de coisa.
t91
member
Activity: 140
Merit: 85
February 05, 2022, 08:45:37 AM
#10
Solana anda sofrendo bastante, mas ainda acho todo projeto dela muito bacana, e pelo menos ainda conseguem usar "estamos em beta" como um escudo rsrs.
legendary
Activity: 1722
Merit: 4711
**In BTC since 2013**
February 05, 2022, 08:40:38 AM
#9
Por que para crypto/DeFi todo mundo usa o "code is law, então se roubou é por que o contrato permitiu" e no código de um sistema/banco, se abusar de uma brecha no código é errado? Qual a diferença? Eu acho muito errado pensar dessa forma.

Code is law significa que o que puder acontecer vai acontecer, não que não existem consequências para as suas ações. Alguém realmente acha que um juri veria esse hack ou o hack de $320 milhões do Wormhole e pensaria "ah, é inocente... tá ali no contrato que se forjar uma assinatura você consegue criar milhões em tokens"? Distopia total.

Claro que não! O bandido deve ser sempre levado a justiça e sofrer as consequências.
O problema é que depois em tribunal o que conta são as provas, e as vezes as provas não são fáceis de obter nestes casos.

Em relação ao valor roubado, é muito subjetivo. Isto porque, qual é o instrumento legal que prova que aquele token tem esse valor? Ao não existir um regulador que diga que aquele token vale X, fica complicado.

Eu não estou a dizer que concordo com isto, mas é o problema que temos enquanto o mercado crypto for desregulado pelos governos. Algum dia será regulado? O Bitcoin e outras, não. Mas tem de surgir instrumentos jurídicos que permitam, proteger o cidadão nestes casos. Hoje isso não existe.
legendary
Activity: 2506
Merit: 1113
There's no need to be upset
February 05, 2022, 08:37:03 AM
#8
bom, somando no caso a Rekt fez uma publicação também, deixo aqui o link pois pode interessar:

WORMHOLE - REKT



afinal, vemos que a solana não está imune.
interessante como existem vulnerabilidades nessas pontes cross-blockchain
legendary
Activity: 2758
Merit: 6830
February 05, 2022, 07:52:01 AM
#7
Por sua vez o que a Indexed Finance, está a tentar alegar na acusação é que o hack foi possível, não devido a um erro de código, mas sim manipulação do sistema. O que tem de ser provado é se foi erro de código ou não.
Você acha que alguém consegue $19 milhões de forma claramente ilegal abusando do código e que nada vai acontecer com ele?

Por que para crypto/DeFi todo mundo usa o "code is law, então se roubou é por que o contrato permitiu" e no código de um sistema/banco, se abusar de uma brecha no código é errado? Qual a diferença? Eu acho muito errado pensar dessa forma.

Code is law significa que o que puder acontecer vai acontecer, não que não existem consequências para as suas ações. Alguém realmente acha que um juri veria esse hack ou o hack de $320 milhões do Wormhole e pensaria "ah, é inocente... tá ali no contrato que se forjar uma assinatura você consegue criar milhões em tokens"? Distopia total.
legendary
Activity: 1722
Merit: 4711
**In BTC since 2013**
February 05, 2022, 03:53:15 AM
#6
Há alguns meses, um hacker conseguiu exploitar um protocolo DeFi chamado Indexed Finance e roubou $16 milhões. Conseguiram descobrir sua identidade, um jovem canadense, prodigio matemático de apenas 19 anos. Levaram o caso para os tribunais e o jovem recebeu uma ordem de prisão por não aparecer no tribunal: https://twitter.com/CroissantEth/status/1489421996781973507

Não é "crime ocorre nada acontece feijoada".

Mas ele esta a ser procurado, por não ter obedecido a uma ordem judicial, de comparecer em tribunal. Ninguém pode faltar a um tribunal sem justificação.
Agora, será que ele iria ser condenado pelo tal "roubo", ainda não sabemos. Claro que não aparecer em tribunal não abona a seu favor.

Por sua vez o que a Indexed Finance, está a tentar alegar na acusação é que o hack foi possível, não devido a um erro de código, mas sim manipulação do sistema. O que tem de ser provado é se foi erro de código ou não.

Qualquer das formas não será fácil, condenar o indevido, por causa do hack.
https://www.coindesk.com/policy/2021/12/22/teenage-suspect-in-16m-defi-hack-wanted-for-arrest-in-canada/
legendary
Activity: 2758
Merit: 6830
February 05, 2022, 03:26:45 AM
#5
Sair ileso? Sim, porque não. O que é que a comunidade crypto iria fazer ao hacker? Iria bloquear-lhe a internet?
O mercado não sendo regulado, e estes ativos não serem considerados "dinheiro", fica difícil de recorrer a justiça. Alem disso, a plataforma é uma empresa regista? Se não é, fica ainda mais difícil.
Também não é assim... entramos na discussão do "code is law?", mas é bem certeza que na maior parte do mundo, um hack desses seria visto de forma maliciosa.

Há alguns meses, um hacker conseguiu exploitar um protocolo DeFi chamado Indexed Finance e roubou $16 milhões. Conseguiram descobrir sua identidade, um jovem canadense, prodigio matemático de apenas 19 anos. Levaram o caso para os tribunais e o jovem recebeu uma ordem de prisão por não aparecer no tribunal: https://twitter.com/CroissantEth/status/1489421996781973507

Não é "crime ocorre nada acontece feijoada".
legendary
Activity: 1722
Merit: 4711
**In BTC since 2013**
February 04, 2022, 08:38:33 PM
#4
Parte da história contada desse Hack é que foi feito uma oferta de 10 milhões de dólares ao Hacker para ele devolver os fundos... Vocês acham que isso existe mesmo? Ele devolveria e ficaria com os 10 milhõezinhos ileso?

Não vejo porque não! Tudo depende do tipo de hacker estamos a falar. Se o fez por dinheiro, ou para mostrar o que é capaz.

Sair ileso? Sim, porque não. O que é que a comunidade crypto iria fazer ao hacker? Iria bloquear-lhe a internet?
O mercado não sendo regulado, e estes ativos não serem considerados "dinheiro", fica difícil de recorrer a justiça. Alem disso, a plataforma é uma empresa regista? Se não é, fica ainda mais difícil.
legendary
Activity: 2492
Merit: 1429
Top-tier crypto casino and sportsbook
February 04, 2022, 07:13:54 PM
#3
Parte da história contada desse Hack é que foi feito uma oferta de 10 milhões de dólares ao Hacker para ele devolver os fundos... Vocês acham que isso existe mesmo? Ele devolveria e ficaria com os 10 milhõezinhos ileso?
legendary
Activity: 2758
Merit: 6830
February 04, 2022, 05:27:43 PM
#2
Bom, ninguém foi lesado por que a Jump Crypto repôs os $320 milhões direto do seu bolso. Os caras tem rios e rios de dinheiro, e deixar a Solana colapsar não ia ser nada agradavél para os seus investimentos. Cheesy
legendary
Activity: 1722
Merit: 4711
**In BTC since 2013**
February 04, 2022, 04:11:08 PM
#1
Hoje, encontrei uma noticia que dava conta de um roubo de 320 milhões de dólares em Ethereum através da plataforma Wormhole.

Quote
Segundo dados recentes, um hacker conseguiu roubar mais de 320 milhões de dólares em Ethereum graças a uma vulnerabilidade na "ponte" Wormhole, um protocolo que permite aos utilizadores alternar entre as criptomoedas Ethereum (ETH) e Solana (SOL). A falha encontrava-se especificamente na ponte desta última moeda digital, o que levou a este roubo massivo.
Fonte: https://pplware.sapo.pt/criptomoeda/hacker-rouba-320-milhoes-de-dolares-em-ethereum-gracas-a-ponte-wormhole/

Ao que parece a falha que permitiu o roubo já esta resolvido, e a plataforma esta a tentar devolver o dinheiro aos lesados.


Alguém por aqui foi afetado?
Jump to: