Bitcoin Forum

Hoje entrei no twitter e vi esse evento acontecendo ao vivo:


Estava na academia, então fechei e continuei o que estava fazendo.

Agora voltei no PC e descobri que a bridge foi exploitada por VÁRIAS pessoas, simplesmente porquê QUALQUER pessoa poderia ter pego uma das txs do ataque e replicado para sí próprio. Várias pessoas vistas no tópico acima foram vistas pegando alguns milhões de USDC. :P


Esse thread to samczsun explica mais sobre o ataque: https://twitter.com/samczsun/status/1554252024723546112

Puts, que situação delicada ein!!? Tu acha que eles conseguirão sair dessa!!??
Será que essa brecha já foi solucionada?

Alias, saiu uma matéria interessante no Cointelegraph explicando sobre esse ocorrido!

"Nomad token bridge drained of $190M in funds in security exploit" - https://cointelegraph.com/news/nomad-token-bridge-drained-of-190m-in-funds-in-security-exploit (https://cointelegraph.com/news/nomad-token-bridge-drained-of-190m-in-funds-in-security-exploit)

Como eu disse, qualquer pessoa vendo essa treta podia ter chegado e pego uns milhões pela etherscan. Eu sei que alguns fizeram isso com o intuito de dar uma de whitehack e vão devolver. Outros vão devolver simplesmente porquê usaram um endereço público. Mas mesmo assim, o grosso (+90m) foi roubado pelo hacker original que usou a tornado.cash para bancar as txs, então esse valor provavelmente não vai ser devolvido.

Eu tenho um misto de sentimentos com estas noticias:
- Acho bem, porque as empresas/serviços que envolvem dinheiro, tem de aprender apostar na segurança dos sistemas.
- Fico chateado, porque isso muitas acaba por gerar má fama para as cripto e levar aos governos regularem de uma forma totalmente radical, que prejudica mais os que tento fazer tudo bem, dos que andam a fazer porcaria.

Isso é uma tecnologia experimental joker.

A maior parte dessas defi/exchanges  que estão sendo/foram hackeadas estão muito próximas do que existe de mais moderno e seguro de smartcontracts,  blockchain, etc(não estou falando desse caso específico)

Como os valores com criptomoedas são muito altos, os ataques são dum nível bem alto também.

Basta ver o histórico. Até maiores como binance, MT gox etc já foram hackeados. Não acredito que seja falta de investimentos,  é mais o risco natural da atividade mesmo.

Tecnologias novas estão sujeitas a falhas ainda desconhecidas.

Entendo. São as dores de [edit]sofrimento crescimento.

Mesmo assim, acho que pelo o facto de envolver valores muito altos, tenham de ter mais cuidado ainda. Como tendo equipas anti-hacking 24h/7dias, como a banca tradicional tem.

Mas se calhar até tem, não sei, e mesmo assim acontece esses problemas. Mas, não deviam.
Sinceramente, continuou achar que é um pouco fruto de um investimento mal feito na segurança...

O problema nesse hack é que o culpado foi, mais uma vez, a negligencia e um erro bobo que não deveria ter sido cometido.

O pessoal da Nomad realizou um upgrade no contrato da bridge, atualizando o seu código, e inicializou ele com um trusted root de 0x00, garantindo que todas as mensagens fossem dadas como válidas. Assim, qualquer um podia criar sua própria mensagem dizendo que podia sacar X milhões de USDC ou algumas centenas de ETH.

Se nunca mais tivessem tocado na bridge (deixadondo-a imutável), ela próvavelmente não teria sido hackeada.

Quando se esta a trabalhar numa plataforma que envolve milhões de dólares, tem de se estar atento a todos os detalhes.
Passar por 3 ou 4 equipas diferentes, para avaliar cada linha de código, para evitar que esse tipo de erros ocorram.

Não estou a dizer que eles não são profissionais, ou que não se preocupam com a segurança. O que vejo é que existe muito excesso de confiança, acreditando que esta sempre tudo bem e que vai tudo correr bem. Mas as coisas não são assim.

Será? ::)

Descobriram que esse atack vector foi encontrado durante o processo de auditória e eles só ignoraram como se ele fosse irrelevante: https://certificate.quantstamp.com/full/nomad


Olha a resposta do time.

ouch
o fato que sabiam que o erro podia acontecer e ignoraram torna tudo muito pior

valeu por postar o thread do samczsun
lendo agora, gosto de como ele explica bem as coisas

Eu pensei nisso... mas não quis dizer que eles tinham falta de profissionalismo...  ::)


As vezes, pensa-se que estes hacks podem acontecer, faz parte do crescimento, etc.. etc.. etc... Em parte é verdade. Mas se pensarmos bem, não faz sentido uma industria de alta tecnologia sofrer tantos hacks em questões de meses.

Os bancos lidam com milhões todos os dias, e felizmente são poucas as vezes que ouvimos falar de milhões roubados por hack aos bancos. Não estou a dizer que não acontece, mas é mais muito menos.

O problema, e conhecendo muita malta de IT, é que muitos tem a a presunção que são os melhores e por isso acreditam que o modo de fazerem as coisas é o melhor e nunca vão ter problemas porque sabem o que fazem. Isso não é problema quando é no PC deles. O problema é quando essa presunção vai afetar a perda de muito dinheiro de terceiros.

E sinceramente, acho que muitos projetos ligados as cripto, tem um grande défice na segurança informativa. E não ouvimos falar em mais hacks, porque boa parte desses projetos tem pouca relevância financeira (pelo menos até agora).

acho que parte desse lugar acontece devido à diferença de serviçoes centralizados e descentralizados, construir algo público e com código aberto e auditável tem suas desvantagens, você fica mais vulnerável, por outro lado a cada erro o sistema fica mais resiliente, a gente pode aprender com cada hack desses e iterar para que não aconteça de novo

agora, crypto tem muitos erros humanos também, hacks por engenharia social por exemplo.

acho que acontecem bem mais hacks em bancos do que ficamos sabendo por exemplo, uma vez vi um cara especialista em segurança no Brasil comentando que existe determinado ataque à base dos grandes bancos que se acontecer os bancos perdem a licença com o BC ou tomam uma multa gigante, não lembro
então se um hacker encontrasse uma vulnerabilidade, e muitos encontravam, acontecia uma chantagem que o banco acabava pagando o hacker para que ele não fizessse o exploit, curioso que normalmente o pagamento era em crypto.

Mas quando estamos a falar de algo que lida com milhões de dólares, não pode simplesmente lançar o código e esperar que alguém na comunidade detete os erros. Esse é o problema de fazerem projetos e por em código aberto, ficam com a ideia que como é código aberto esta livre de problemas.

Uma equipa profissional, e com a noção dos perigos que estão envolvidos, faz duas ou três auditorias ao código, antes de o lançar.
Alias por ser código aberto, mais preocupações tem de ter nesse sentido.

Por isso digo, que isso é mais presunção do que falta de recursos para fazer as coisas como devem de ser feitas.
Claro, que isso não ira eliminar a probabilidade de problemas, mas vai minimiza-los com toda a certeza.




Mas, isso acontece nem crypto, banca tradicional, trocas comerciais, e afins.
Portanto, quando o problema são erros do consumidor, é o consumidor que tem de aprender a mudar.




Claro que também existem hacks e bastantes as redes bancarias.
Só tenho duvidas nessa parte da chantagem... Porque na realidade todos os bancos tem fundos para recompensar os White hat que encontram falhas.
Alem disso, os bancos tem equipas permanentes a monitorizar a rede e a contra atacar possíveis ataques. Por isso, a nível de segurança IT os bancos são dos melhores.

Por sua vez, as empresas crypto tinha de se esforçar a ter um nivel mais próximo possível do que os bancos tem.

É verdade, né? ;D

Lembro bem do vazamento que teve no Banco Inter. Foi confirmado por várias fontes jornalisticas e mesmo assim eles fecharam os olhos e insistiram que não houve vazamento. Depois foi confirmado até com uma multinha por parte da MPDFT: https://veja.abril.com.br/economia/banco-inter-vai-pagar-r-15-milhao-por-vazamento-de-dados-de-clientes

A multa vai pro mpf... oa correntista "gravemente impactos " vão ser só notificados (com atraso).
Mas ressarcimento pelos danos nem o banco no o mpf falam nada
.

Duro. Dados pessoais ainda não tem o devido tratamento e valoração

Mas isso foi um vazamento de dados pessoais. Algo muito grave, sem duvida!
Qualquer das formas, os clientes não ficaram sem o dinheiro que lá tinha.

Claro que ficava preocupado com o vazamento dos meus dados bancários. Mas, por outro lado, a minha real preocupação era saber se tinha perdido algum cêntimo ou não.

Bom... não querendo fugir do tema principal desse topico, mas é impressão minha ou parece que atualmente estão surgindo e descobrindo mais falhas em alguns projetos de cripto?

Allguns anos atrás era pouco recorrente de acontecer alguns bugs, hacks com uma determinada criptomoeda!
É impressão minha ou eu estou falando alguma besteira!!?

Agora existem grupos hacker (i.e Lazarus) que ficam dia e noite analisando cada contrato e procurando por falhas. Afinal de contas, cada hack bem sucedido rende valores que vão dos $50m até $700m. :P

Com certeza existem vários outros contratos por ai que guardam milhões de dólares e contém falhas que ainda só não foram descobertas porquê ninguém parou para dar uma olhada.

Antigamente  não existiam também tantos smartcontracts por aí rolando em tantas chains diferentes.

Em 2017 2018 so queriam saber de ico. Agora a coisa mudou e os contratos são mais complexos e movimenta mais dinheiro , principalmente com o boom das defi

Contratos mais complexo = mais bugs para exploitar

Alem disso, junta-se ao facto de que hoje é cada vez mais fácil fazer um smartcontract, com tanta informação e blockchains disponíveis.

Isso permite, pessoas com menos conhecimentos possam desenvolver um projeto. Isso leva a uma diminuição de qualidade do código desenvolvido, ficando assim mais exposto a problemas.

Por isso, exige-se cada vez mais, por parte do utilizador, em analisar melhor como o projeto esta desenvolvido. Porque dizer que é um DeFi, blockchain ou coisas do género, não garante automaticamente segurança.

Sim, com toda certeza! Acredito que isso foi algo que não passou em minha mente

Com esse numero maior de "contracts" espalhados por ai, em chains diferentes como você citou @bitmover, a ""tendencia"" é essa mesmo, descobrir mais falhas com esse grande número espalhados por ai...

exato, o nível de complexidade do sistema subiu muito
gosto de pensar que cada hack torna todos os protocolos mais fortes pq dá pra aprender com os erros de outros

acho que os hacks por engenharia social vão continuar acontecendo bastante e por muito tempo
mas talvez esses de bridges, protocolos defi, etc... diminuam com o tempo
veremos

Isso até fazia sentido, se os protocolos antigos deixassem de ser usados.
O problema, é que existe muito inexperiente, que aproveita esses protocolos antigos - talvez por ser mais simples, para montarem sistemas que podem-se tornar populares. Enfim, já sabemos o possível resultado deles.

Mas, claro que quanto mais experiencia se tem, melhor se fica preparado. Apesar de que os hacks também ficam mais experimentes.
É o jogo do rato e do gato, que só cresce, e dificilmente acaba/diminui. ::)

Esse negócio de aproveitar protocolos antigos é algo parecido com os antigos forks de moedas na epoca das ICOs em que a galera pegava uma moeda qualquer, copiada seus fontes e sai espalhando pra ver se vinga?
Se for assim, tem mais é que se ferrar mesmo, projetos bons acabam investindo pelo menos em tecnologia/conhecimento próprio e não no copia-e-cola... problema é que quem acaba pagando mais caro são os usuário/investidores que acabam entrando nessa furada.

Crio que um smart-contract deva ser algo bem mais complicado, não sei o quão viável é iniciar algo do zero, mas se for precisar partir de algo pronto então não tem boas plataformas ou empresas que façam/vendam uma plataforma estável e segura, além de prover atualizações frequentes?

Programar do zero, só compensa em casos muito especiais e projetos muito grandes ou extremamente pequenos.
Na maioria dos casos, usa-se código já criado e faz-se as respetivas adaptações para o projeto. Essas alterações até podem ser bem profundas.
A vantagem de usar código já existente, é o facto de ser código testado e muitas vezes já foi melhorado.

Por isso, o problema não é usar código antigo, é o facto de pegar nele e não fazer as respetivas correções e adaptações, sem ser aquelas básicas de mudar nomes e uma ou outra definição.

Não existe isso de programar do zero, ébobagem isso. A humanidade não evoluiu assim.

Hoje em dia temos acessos a milhares de bibliotecas, frameworks, etc , e o trabalho do programar é fazer bom uso dessas bibliotecas e não reinventa-las em uma forma piorada.

Usar bibliotecas e códigos já testados e consolidados é hoje o único caminho. Tudo tornou-se muito complexo.

Ten um famoso quote do Linux
https://www.quotemaster.org/images/s_42/42dcc13c7b168527e7e13b26c4bf2689.jpg

---

Esses golpes são os mais populares e exploram pessoas desatentos e de pouco entendimento dos riscos. Difícil proteger as pessoas desses golpes  e no final cabe a cada um se educar pra se proteger.

Mas foi isso que eu disse. Programa do zero já não acontece.

Agora, não vou dizer que isso não aconteça, porque pode acontecer. Mas só compensa em projetos muito especiais e grandes.
E mesmo assim, a probabilidade de usar algum código já criado é grande.

O próprio contrato/padrão ERC20 é um código reutilizado em 90% do ecossistema. :D

Aliás, os contratos da OpenZeppelin estão na maioria dos projetos: https://github.com/OpenZeppelin/openzeppelin-contracts

Temos contratos:
- Com o padrão de proxy.
- Controle de acesso (Ownable, AccessControl...)
- Cross-chain awareness
- Vesting e Payment Splitter
- Governança
- Pausable e com Reentrancy Guard
- ERC20, ERC777, ERC1155
- e outros...