Topic: Trust wallet yang ngirim busd ke alamat contrak lain dengan sendiri - page 2. (Read 518 times)
March 12, 2021, 12:10:29 PM
Seingat saya saat awal-awal airdrop UNI, ada kasus serupa di jaringan ETH, dan sudah pernah di share oleh agan Panjay di postingan ini. Untuk penjelasannya sudah dijelasin sama mas abhiseshakana. Ada satu lagi yang sering dibahas oleh user untuk token-token maupun layanan farming baru, mengenai Migrator, entah apa fungsinya, saya juga masih belum paham mengenai hal ini. mungkin ada yang bisa menjelaskan?
March 12, 2021, 03:39:19 AM
Di blokchain ETH hal seperti ini bisa dapat dilakukan juga untuk sc nya kah om? Karena sampai saat ini hanya bsc saja yang saya tahu pernah mengalami ini, bukankah bsc ini replika dari ETH ?
BSC compatible dengan EVM, jadi pada dasarnya smart contract dari ETH maupun BSC memiliki bytecode yang sama dan mayoritas keduanya dituliskan menggunakan Solidity. Smart contract memiliki Vulnerabilities (kerentanan), sehingga celah ini bisa dimanfaatkan oleh oknum untuk melakukan scam menggunakan smart contract (baik itu ETH, BSC maupun platform lainnya).
Ini beberapa contohnya :
https://www.coindesk.com/understanding-dao-hack-journalists
https://www.freecodecamp.org/news/a-hacker-stole-31m-of-ether-how-it-happened-and-what-it-means-for-ethereum-9e5dc29e33ce/
March 11, 2021, 10:36:33 PM
Di blokchain ETH hal seperti ini bisa dapat dilakukan juga untuk sc nya kah om? Karena sampai saat ini hanya bsc saja yang saya tahu pernah mengalami ini, bukankah bsc ini replika dari ETH ?
Sepertinya sih bisa terjadi juga pada jaringan ETH, cuma mungkin karena fee di ETH lebih mahal jadinya jarang keliatan kasus kaya gini March 11, 2021, 12:54:09 PM
Kasus serupa terjadi lagi, namun kali ini di beda token, kali ini korban kehilangan 500 cake, saya coba bertanya pada korban pernah menghubungkan token di mana saja. Tapi tidak dijawab. Sepertinya ini dapat menjadi ancaman serius bagi petani koin di BSC. Korban juga mengatakan dia mengatakan menggunakan metamask, bukan trust, jadi memang bukan dari sisi wallet yang terkontaminasi, namun kemampuan SC dalam mengambil token yang kita miliki. Dengan kondisi ini, sekalipun kita menggunakan hardware maupun paper wallet, tidak akan bisa menyelamatkan aset, karena ini terhubung langsung dari SC bukan dari PK. karena memang ketika kita sudah memberikan approval, SC dapatmenukarkan token A dengan token B, dan kemampuan ini yang sepertinya dimanfaatkan oleh pencuri tersebut.
Di blokchain ETH hal seperti ini bisa dapat dilakukan juga untuk sc nya kah om? Karena sampai saat ini hanya bsc saja yang saya tahu pernah mengalami ini, bukankah bsc ini replika dari ETH ? March 11, 2021, 10:05:49 AM
Kasus serupa terjadi lagi, namun kali ini di beda token, kali ini korban kehilangan 500 cake, saya coba bertanya pada korban pernah menghubungkan token di mana saja. Tapi tidak dijawab. Sepertinya ini dapat menjadi ancaman serius bagi petani koin di BSC. Korban juga mengatakan dia mengatakan menggunakan metamask, bukan trust, jadi memang bukan dari sisi wallet yang terkontaminasi, namun kemampuan SC dalam mengambil token yang kita miliki. Dengan kondisi ini, sekalipun kita menggunakan hardware maupun paper wallet, tidak akan bisa menyelamatkan aset, karena ini terhubung langsung dari SC bukan dari PK. karena memang ketika kita sudah memberikan approval, SC dapatmenukarkan token A dengan token B, dan kemampuan ini yang sepertinya dimanfaatkan oleh pencuri tersebut.
March 10, 2021, 06:12:45 PM
Sepertinya cuma busd ane aja yang berhasil mereka rebut, itu karena saat presile ane memakai busd untuk membeli nano, aset ane yang lain aman semua, jadi karena takut semua terambil ane langsung pisahkan ke alamat dompet lain, kayaknya untuk fungsi Pascode dan ask saat transaksi gak menjamin aman om, kayaknya kontrak tersebut hanya bisa mengambil aset yang pernah terhubung saja, kalau dia punya private key mana mungkin dia menyisakan aset didalamnya.
March 10, 2021, 05:20:41 PM
@Abhiseshakana, kalau menurut saya masalah ini bukan karena Trustwalletnya maupun notifikasi untuk approval. Seorang anon di 4chan menceritakan dia tidak merasa menekan tombol OK sekalipun.
Perihal fake notification hanyalah sebuah dugaan saja (contoh bagaimana suatu malicious site bisa mengakses wallet yang terkoneksi dengan situs tersebut), dan dari awal saya juga tidak pernah bilang jika yang bermasalah adalah Trust wallet. Malah saya menyarankan untuk mengaktifkan fitur Passcode dan fungsi "Ask authentication for Transaction Signing" supaya jika ada kasus backdoor seperti yang agan kira atau metode unauthorized access lainnya, transaksi yang akan dikirimkan bakal meminta otorisasi (passcode) terlebih dahulu.
Meskipun fungsi passcode tersebut tidak menjamin aset bakal 100% aman, tetapi minimal fungsi tersebut bisa digunakan sebagai pengaman tambahan.
March 10, 2021, 05:01:46 PM
@Abhiseshakana, kalau menurut saya masalah ini bukan karena Trustwalletnya maupun notifikasi untuk approval. Seorang anon di 4chan menceritakan dia tidak merasa menekan tombol OK sekalipun.
Nanoswap was the culprit, I didn't know it was possible for funds to literally be just removed from my wallet without me having to ok it first
What the fuck, I'm still positive from the bullrun but this is some serious fucking bullshit, are there wallets out there with 2FA or some actual security for BSC shitcoin gamebing?
If not I'm gonna stick to binance/kraken or some shit becuase fuck that nonsense entirely there's no point connecting a wallet to anywhere if it means at any point my funds can just be stolen with 0 chance to get them back.
Artinya memang kemungkinan ada backdoor pad SN nanoswap untuk mengambil aset yang disesuaikan dengan target hacker
Quote from: https://boards.4channel.org/biz/thread/29937291/just-had-483-stolen-from-my-metamask-wallet
Nanoswap was the culprit, I didn't know it was possible for funds to literally be just removed from my wallet without me having to ok it first
What the fuck, I'm still positive from the bullrun but this is some serious fucking bullshit, are there wallets out there with 2FA or some actual security for BSC shitcoin gamebing?
If not I'm gonna stick to binance/kraken or some shit becuase fuck that nonsense entirely there's no point connecting a wallet to anywhere if it means at any point my funds can just be stolen with 0 chance to get them back.
March 10, 2021, 11:11:51 AM
Turut prihatin dengan kejadian mas,
Apakah mas sudah pernah menghubungkan wallet ke nanoswap?
---
Sepertinya sudah tidak ada lagi yang bisa mas lakukan, karena mas sudah masuk perangkap mereka saat approve to connect. seingat saya banyak kasus serupa, kalau mas ga kena malware, ini hasil menghubungkan wallet ke layanan nanoswap.
Jadi, kedepannya, hati2 saat menghubungkan wallet, sebaiknya, untuk proyek baru, hubungkan wallet di beda browser dan address baru, dan masukkan aset sesuai yang ingin digunakan untuk membeli token tersebut. ini untuk mengantisipasi aset yang banyak terambil.
Bener ini yang saya takutkan karena banyak sekarang yang tidak sadar soalnya banyak dapp exchange yang dikonekin di trustwalletnya, apalagi ada event - event swap yang memberikan koin tertentu sehingga banyak yang tertarik untuk menghubungkang wallet nya dengan beberapa dapp exchange di trustwallet, kalau saya pribadi untuk konek wallet dapp exchange lebih ke akun yang tidak sering saya pakek untuk trasaksi. Apakah mas sudah pernah menghubungkan wallet ke nanoswap?
---
Sepertinya sudah tidak ada lagi yang bisa mas lakukan, karena mas sudah masuk perangkap mereka saat approve to connect. seingat saya banyak kasus serupa, kalau mas ga kena malware, ini hasil menghubungkan wallet ke layanan nanoswap.
Jadi, kedepannya, hati2 saat menghubungkan wallet, sebaiknya, untuk proyek baru, hubungkan wallet di beda browser dan address baru, dan masukkan aset sesuai yang ingin digunakan untuk membeli token tersebut. ini untuk mengantisipasi aset yang banyak terambil.
March 09, 2021, 04:08:14 PM
Oh iya mas, bukannya proses pengiriman ini dilakukan oleh SCnya ya bukan karena wallet yang dipakai?
Klo yang saya tangkap dari post milik si OP, pengiriman BUSD ke Trust Wallet milik OP sukses, tapi dalam selang 1 jam Trust wallet mengirimkan BUSD tersebut ke 0xd04cC35C5eAaB96dD9d5023CEEaa8dC36b6A60F6 karena adanya eksekusi contract 0xdc355aeead0eae54f93df2ec418913a97ad1a744.
Jadi kemungkinan besar eksekusi contract tersebut terjadi karena Trust Wallet OP pernah terkoneksi (dan mungkin masih terkoneksi) dengan site pemilik contract tersebut dan entah bagaimana caranya si pemilik contract bisa mendapatkan sign dari OP (bisa saja OP tidak menyadari saat request sign transaction tersebut muncul dan secara tidak sadar memberikan approve (muncul fake notif yang sebenarnya adalah permintaan sign transaction)).
Klo berdasarkan data dari sini https://bscscan.com/address/0x6dbc67eb888ae95a7f2964602d712f4ff1b151d6#tokentxns seharusnya kronologinya seperti itu (jika asumsi saya salah, mungkin OP mau membenarkannya)
March 09, 2021, 02:45:37 PM
Btw buat pengguna Trust wallet sebaiknya mengaktifkan fitur Passcode dan fungsi "Ask authentication for Transaction Signing", sehingga kejadian seperti yang dialami oleh OP bisa dihindari (pengamanan dari unauthorized access).
March 08, 2021, 08:37:55 PM
Semakin bertambah saja korban dari sc nanoswap, ntah korban tidak sadar atau apa tapi yang jelas nanoswap terus mendapatkan busd setiap hari dari para korban, rasanya ingin saja menghapus sc mereka, btw apa sc itu sifatnya tetap abadi dan gak bisa dihapuskan oleh orang lain ya?
Mungkin lebih baek ente bikin thread soal ini di Scam Accusations board untuk menghindari banyak korban member di sini. Seperti kebanyakan Ico, Ido atau apalah mungkin hanya untuk meraup untung gede lalu ditinggalkan.
Itu alamat kantor nanoswap yang katanya punya modal jutaan dollar tapi kayak toko kelontong.
untuk tahu lebih banyak kejanggalan dari nanoswap, bisa baca tweetan dari - https://twitter.com/pikazombiechu/status/1365349883620839429
March 08, 2021, 03:06:14 AM
Semakin bertambah saja korban dari sc nanoswap, ntah korban tidak sadar atau apa tapi yang jelas nanoswap terus mendapatkan busd setiap hari dari para korban, rasanya ingin saja menghapus sc mereka, btw apa sc itu sifatnya tetap abadi dan gak bisa dihapuskan oleh orang lain ya?
Yang bisa menghapus Smart contract ya si pemilik SC itu sendiri, dengan syarat pada saat pembuatan SC si pemilik juga memasukkan fungsi "SELFDESTRUCT"Btw buat pengguna Trust wallet sebaiknya mengaktifkan fitur Passcode dan fungsi "Ask authentication for Transaction Signing", sehingga kejadian seperti yang dialami oleh OP bisa dihindari (pengamanan dari unauthorized access).
March 08, 2021, 12:49:25 AM
Semakin bertambah saja korban dari sc nanoswap, ntah korban tidak sadar atau apa tapi yang jelas nanoswap terus mendapatkan busd setiap hari dari para korban, rasanya ingin saja menghapus sc mereka, btw apa sc itu sifatnya tetap abadi dan gak bisa dihapuskan oleh orang lain ya?
keknya kalau Smart Contract itu gak bisa di hapus gan tapi CMIIW, tapi ane kurang update gan ada apa gan dengan nanoswap apakah ada yang punya linknya?
March 07, 2021, 09:48:21 PM
Semakin bertambah saja korban dari sc nanoswap, ntah korban tidak sadar atau apa tapi yang jelas nanoswap terus mendapatkan busd setiap hari dari para korban, rasanya ingin saja menghapus sc mereka, btw apa sc itu sifatnya tetap abadi dan gak bisa dihapuskan oleh orang lain ya?
March 03, 2021, 06:43:55 AM
Saya barusan coba revoke pake website itu ternyata setiap kali kita cabut izin sebuah website memerlukan fee ya, jadi kalo yang mau di revoke nya banyak harus banyak juga fee yang disiapkan.
Btw apakah beda revoke dengan website itu dengan menghapus web terhubung lewat metamask langsung ?
Yup, pencabutan izin smartcontract memang membutuhkan fee, katena ini ibarat konfirmasi kalau kita akan menghapus daftar yang ada. Seperti yang saya sebutkan, saya tidak begitu paham dengan unrekt ini, saya hanya membagikan informasi dari info yang saya dapatkan. Jika ada waktu, nanti saya akan coba tele tim pemilik website tersebut, moga ada tanggapan dari mereka.Btw apakah beda revoke dengan website itu dengan menghapus web terhubung lewat metamask langsung ?
UPDATE:
Saya sudah mencoba untuk chat dengan tim unrekt.net, menurut mereka, menghapus/revoke approval melalui metamask tidak sepenuhnya memutus koneksi dengan SC.
Quote from: Unrekt Admin
metamask just 'disconnect' the account to the page, which serve no purpose security wise other than having auto connection .
contract approval revocation remove the 'standing order' that your token can be used by the contract directly, safe guarding your token from future use by the contract .
there's various malicious way that the contract can do this.
if the contract approval is revoke for BUSD, nanoswap can't drain your friends account directly.
he will just lose whatever place into nanoswap farm, but not any further BUSD from your friends wallet.
contract approval revocation remove the 'standing order' that your token can be used by the contract directly, safe guarding your token from future use by the contract .
there's various malicious way that the contract can do this.
if the contract approval is revoke for BUSD, nanoswap can't drain your friends account directly.
he will just lose whatever place into nanoswap farm, but not any further BUSD from your friends wallet.
March 03, 2021, 04:31:43 AM
Turut prihatin dengan kejadian mas,
Apakah mas sudah pernah menghubungkan wallet ke nanoswap?
---
Sepertinya sudah tidak ada lagi yang bisa mas lakukan, karena mas sudah masuk perangkap mereka saat approve to connect. seingat saya banyak kasus serupa, kalau mas ga kena malware, ini hasil menghubungkan wallet ke layanan nanoswap.
Emang kalo cuma connect mereka bisa akses wallet kita ya ? kalo begitu bahaya dong, apalagi saya sering sekali konek2 ke web baru buat nyari airdropApakah mas sudah pernah menghubungkan wallet ke nanoswap?
---
Sepertinya sudah tidak ada lagi yang bisa mas lakukan, karena mas sudah masuk perangkap mereka saat approve to connect. seingat saya banyak kasus serupa, kalau mas ga kena malware, ini hasil menghubungkan wallet ke layanan nanoswap.
Itulah kenyataannya yang ane alami om, kalau bisa wallet yang untuk airdrop,swap , dan yang lainnya dipisahkan agar tidak terjadi seperti yang ane alami. Pelajaran buat kita semua khususnya ane pribadi. Kalau bisa saat di trust wallet harusnya ada google autenikator untuk pengamanan saat dalam pengiriman seperti yang ada pada exchange mungkin akan lebih aman
Biasanya kalau website itu legit akan meminta izin atau bertanya terlebih dulu sebelum konek, misalkan meminta akses explorer atau cookie. ane pernah gitu kok, langsung ane tolak, maka tidak akan terhubung. tapi kalau web scam langsung ngakses tanpa permisi.
Saya barusan coba revoke pake website itu ternyata setiap kali kita cabut izin sebuah website memerlukan fee ya, jadi kalo yang mau di revoke nya banyak harus banyak juga fee yang disiapkan.
Btw apakah beda revoke dengan website itu dengan menghapus web terhubung lewat metamask langsung ?
diskusinya sudah off topik gan, kalau ingin bertanya lebih lanjut mending bikin thread baru soal itu.Btw apakah beda revoke dengan website itu dengan menghapus web terhubung lewat metamask langsung ?
March 02, 2021, 11:00:54 PM
ada yang membagikan halaman https://unrekt.net, melalui web ini, Anda bisa melakukan pencabutan izin (revoke) aplikasi yang terhubung. Untuk informasi selanjutnya, mungkin bisa langsung ke komunitasnya. Karena, saya hanya paham itu saja.
Saya barusan coba revoke pake website itu ternyata setiap kali kita cabut izin sebuah website memerlukan fee ya, jadi kalo yang mau di revoke nya banyak harus banyak juga fee yang disiapkan.Btw apakah beda revoke dengan website itu dengan menghapus web terhubung lewat metamask langsung ?
March 02, 2021, 01:50:59 PM
Ribet juga sih kalo bikin wallet banyak2, btw apakah disini ada yang tahu cara membedakan website yang scam sama yang aman ?
Untuk mengetahui aman atau tidaknya, saya tidak mengerti, cuma tadi saya sempat menyinggung kasus ini di group telegram yang saya ikuti, dan ada yang membagikan halaman https://unrekt.net, melalui web ini, Anda bisa melakukan pencabutan izin (revoke) aplikasi yang terhubung. Untuk informasi selanjutnya, mungkin bisa langsung ke komunitasnya. Karena, saya hanya paham itu saja.
March 02, 2021, 11:19:28 AM
Emang kalo cuma connect mereka bisa akses wallet kita ya ? kalo begitu bahaya dong, apalagi saya sering sekali konek2 ke web baru buat nyari airdrop
Itulah kenyataannya yang ane alami om, kalau bisa wallet yang untuk airdrop,swap , dan yang lainnya dipisahkan agar tidak terjadi seperti yang ane alami. Pelajaran buat kita semua khususnya ane pribadi.
Quote
Kalau bisa saat di trust wallet harusnya ada google autenikator untuk pengamanan saat dalam pengiriman seperti yang ada pada exchange mungkin akan lebih aman
Mana bisa pasang autentikator di trustwallet, Authenticator seperti itu kan cuma buat produk centralized, kalo produk decentralized gini ya gabisa pake authenticator, kalopun ada tetep aja selama private key kita udah diketahui sama yang lain dana kita ga aman. Jump to: