💬 Лучшая твиттерская тема дня — 19 августа.

Лучшая твиттерская тема дня — 19 августа.

Знаете ли вы, что простая подпись в Metamask может опустошить ваш кошелек?

Знаете ли вы, что простая подпись в Metamask может опустошить ваш кошелек?Очень опытный пользователь (входит в топ-10 по рейтингу Degen Score) сегодня потерял почти 500 000 долларов США из-за эксплойта. подвиги в будущем. — корпи (@korpi87) 19 августа 2022 г.

Был тихий день, когда Джо (имя изменено) заметил, что 469 тысяч долларов США покинули его кошелек. Это был не простой перевод, а это означало, что у злоумышленника, по-видимому, не было доступа к кошельку Джо. его адрес… pic.twitter.com/pTgTjfMMeu — корпи (@korpi87) 19 августа 2022 г.

Здесь нам нужно прервать рассказ, чтобы объяснить некоторые технические детали. Токен USDC — это контракт на Ethereum. У него много функций, которые определяют, как мы взаимодействуем с USDC и что с ним можно сделать. Давайте сосредоточимся на двух функциях:> Transfer> TransferFrom pic.twitter.com/gekVmjmwvW — корпи (@korpi87) 19 августа 2022 г.

> TransferКогда вы перемещаете USDC (или другие ERC20) между кошельками, вы используете функцию перевода. Она перемещает токены от вызывающей стороны (адрес, который вызывает функцию) на другой адрес. Чтобы злонамеренно использовать перевод от вашего имени, кто-то должен получить контроль над вашим кошельком. pic.twitter.com/3Z3pYbBnRq — корпи (@korpi87) 19 августа 2022 г.

> TransferFrom Когда вы взаимодействуете с контрактами, они используют TransferFrom для перемещения ваших токенов. Они могут занимать до суммы, которую вы устанавливаете в функции утверждения. Если вы позволяете контракту тратить бесконечное количество долларов США, он может взять все это. https://t.co/QdUgLuZfZH — корпи (@korpi87) 19 августа 2022 г.

Вернемся к истории Джо… Вышеупомянутое взаимодействие с контрактом, которое истощило USDC Джо, действительно было функцией TransferFrom. Но TransferFrom будет работать только в том случае, если Джо утвердил контракт на расходование своего USDC. И Джо был на 100% уверен, что он ничего не одобрял… рис. twitter.com/HH9xxYeQms — корпи (@korpi87) 19 августа 2022 г.

Подождите... История DeBank ясно показывает бесконечное одобрение USDC вредоносного контракта за 10 минут до эксплойта... Джо действительно одобрил это? Да. Но тоже нет. Не напрямую. pic.twitter.com/AqQQs7GZAV — корпи (@korpi87) 19 августа 2022 г.

Etherscan сообщает, что бесконечное одобрение не было функцией утверждения, вызванной самим Джо. Это была функция разрешения, вызванная другим адресом, и она предоставила злонамеренному контракту разрешение потратить все USDC Джо. Как другие могут утверждать контракты от вашего имени? pic.twitter.com/TS3iDbhOXu — корпи (@korpi87) 19 августа 2022 г.

Функция разрешения была введена для улучшения взаимодействия с пользователем на Ethereum. Она позволяет пользователю изменять суммы одобрения без отправки транзакции. Подписи достаточно. С вашей подписью любой может вызвать функцию разрешения и обновить размер вашего пособия для транжиры. pic.twitter.com/hem0lPsnW1 — корпи (@korpi87) 19 августа 2022 г.

Вы можете увидеть разрешение в действии, когда используете 1inch dApp. Если вы хотите продать USDC, вам не нужно сначала одобрять его. Все, что вам нужно, это подписать сообщение. Эта подпись дает 1inch разрешение потратить все ваши USDC. 1inch не сделает этого, но злонамеренный контракт может. pic.twitter.com/Dd7ggJFWtl — корпи (@korpi87) 19 августа 2022 г.

Джо, должно быть, случайно подписал такое сообщение на вредоносном веб-сайте. К сожалению, на этот раз он использовал горячий кошелек, и для подписи потребовался всего один невинный на вид щелчок. С аппаратным кошельком при подписании сообщения на внешнее устройство. — корпи (@korpi87) 19 августа 2022 г.

С подписью Джо злоумышленник отправил транзакцию с функцией разрешения. Это дало вредоносному контракту разрешение потратить все USDC из кошелька Джо. Затем была вызвана функция TransferFrom, и вредоносный контракт истощил средства. pic.twitter.com/1U6lWr9pmw — корпи (@korpi87) 19 августа 2022 г.

По-видимому, подписи могут иметь катастрофические последствия. В некоторых случаях Metamask предупредит вас, что подписание сообщения может быть опасным. Но не в случае подписанных утверждений, которые технически работают так, как задумано, но могут нанести большой ущерб при неправильном использовании. https://t.co /5H9rNWVR3b — корпи (@korpi87) 19 августа 2022 г.

Как избежать подобных эксплойтов в будущем?– Не подписывайте все в Metamask.– Потратьте время, чтобы понять, что вы подписываете.– Будьте осторожны с традиционными утверждениями (см. связанную ветку)https://t.co/549NmPly5s — корпи (@korpi87) 19 августа 2022 г.

Я надеюсь, что вы нашли эту тему полезной. Подпишитесь на меня @korpi87 и проверьте мое мнение: https://t.co/ZTqYKmhCNk, чтобы узнать больше. Поставьте лайк или ретвитните первый твит ниже, чтобы защитить других от подобных эксплойтов: https://t .co/9pqCSXi9JH — корпи (@korpi87) 19 августа 2022 г.

Приведет ли слияние Ethereum к регулятивному захвату?

Проблемы #Ethereum вызваны постоянной оптимизацией токеномики, а не децентрализацией, безопасностью и отказоустойчивостью. Похоже, что слияние и POS приведут к полному регулятивному захвату централизованными биржами и платформами для ставок, и у них нет выхода. ?? pic.twitter.com/Ur9tf42K5p — Самсон Моу (@Excellion) 19 августа 2022 г.

Так как же они сюда попали? Принятие решения о требовании 32 ETH для стейкинга в рамках протокола (чтобы заблокировать предложение и максимизировать токеномику). Это в значительной степени сделало POS максимально централизованным, и, кроме того, у них нет культуры #Bitcoin не ваших ключей, не ваших монет. pic.twitter.com/Ml4QV93ECP — Самсон Моу (@Excellion) 19 августа 2022 г.

Итак, теперь у вас есть 66% валидаторов, которые должны соблюдать правила OFAC. А ETH, который они вложили в стейкинг, нельзя вывести, потому что функция вывода не была закодирована — из-за токеномики. ? pic.twitter.com/BdjFqYk70J — Самсон Моу (@Excellion) 19 августа 2022 г.

Но ждать! Этерианцы могут просто #UASF любить эти биткойн-макси, верно? Например, полностью показать Coinbase, кто здесь главный! pic.twitter.com/LBSDOF79o — Самсон Моу (@Excellion) 19 августа 2022 г.

Нет. Во-первых, у эфирианцев нет собственных узлов, а во-вторых, большинство сервисов зависят от Infura, но это не главная проблема. pic.twitter.com/8rI1FsDwuU — Самсон Моу (@Excellion) 19 августа 2022 г.

В предисловии к следующей части я заявлю, что арест разработчиков за написание кода ужасен и создает ужасный прецедент. Это сказало… — Самсон Моу (@Excellion) 19 августа 2022 г.

Для #UASF вам нужно программное обеспечение для запуска. Теперь все форки Ethereum имеют крутые названия городов, такие как Стамбул, Лондон, Берлин и т. д. Давайте назовем этот гипотетический форк Ethereum UASF «Пхеньян». Пхеньян не позволит Coinbase и 66%-му большинству цензурировать транзакции, санкционированные OFAC. — Самсон Моу (@Excellion) 19 августа 2022 г.

Еще одним способом сказать «предотвратить цензуру операций, санкционированных OFAC», может быть «помощь в обходе санкций». Может быть, мы забыли о Верджиле. В любом случае, кто будет кодировать Пхеньян? Парень из Tornado Cash был арестован, так что разработчики из Пхеньяна, скорее всего, тоже будут арестованы. pic.twitter.com/HQNtkyTQkg — Самсон Моу (@Excellion) 19 августа 2022 г.

Кто будет управлять Пхеньяном? Ребята, сигнализирующие «Х ?»? Собираются ли они связать свой узел в Пхеньяне со своей учетной записью .eth? Coinbase, Kraken, Bitcoin Suisse и другие, составляющие большинство в 66%, определенно не управляют Пхеньяном. — Самсон Моу (@Excellion) 19 августа 2022 г.

Хорошо, так что Ethereum #UASF не обсуждается. «Но мы можем просто урезать Coinbase и других, если они посмеют подчиниться!» pic.twitter.com/rmlgn8Cb2Y — Самсон Моу (@Excellion) 19 августа 2022 г.

Я могу быть жалким биткойн-макси™, но я потратил 10 минут на исследования и обнаружил, что нет механики, способной нанести удар по Coinbase. Не существует кода для обнаружения и наказания кого-либо за цензуру транзакций. Механика Slashing работает только для наказания за простои или двойную подпись. — Самсон Моу (@Excellion) 19 августа 2022 г.

Итак, мы снова нуждаемся в форке Пхеньяна, который никто не будет кодировать или запускать. Даже если бы Пхеньян мог существовать, у пользователей не было бы возможности вывести ETH. И даже если бы они могли уйти, это не имеет значения, потому что имеет значение только Инфура. pic.twitter.com/RQ44BWUqzE — Самсон Моу (@Excellion) 19 августа 2022 г.

Предполагая, что все звезды волшебным образом сошлись, и у пользователей Ethereum был способ сократить Coinbase и т. д., что это значит? Это означает, что у меньшинства будет механизм для произвольного наказания большинства. Это не сработает в долгосрочной перспективе. — Самсон Моу (@Excellion) 19 августа 2022 г.

И именно поэтому мы называем #Ethereum #shitcoin. Это бесполезное упражнение, изобилующее ужасными дизайнерскими решениями и разработанное с единственной целью — накачать токен. pic.twitter.com/irYDrzJcOO — Самсон Моу (@Excellion) 19 августа 2022 г.