Como (não) perder todo seu dinheiro com DeFi. (RektHQ)

[TryNinja]

Qualquer das formas, mais cedo ou mais tarde ele vai-se revelar.

Revelar-se no sentido de se dar um nome, até que ok. Pensei que estava falando de revelar a sua identidade pública.

Mesmo assim, muito dificil isso acontecer no DeFi. Acho que não teve um único hack DeFi onde o atacante se deu um nome/identidade, e isso que eu acompanho absolutamente 90% (gosto de ler a parte técnica). Acho que vale mais a pena ficar no anonimo e poder aproveitar o dinheiro.

[alegotardo]

~~~

De fato todos os seus pontos fazem sentido, caso seja verdade.
Mas sei lá... o cara "roubar" $611 milhões e por descuido fazer isso com um endereço ligado à uma exchange com KYC parece ser algo algo amador se não fossemos ver o montante envolvido. Não é estranho?
Você tem detalhes ou links dessas pistas que indicam a ligação com o sujeito?

Em todo caso, seja fazendo do jeito certo ou errado, o bom no fim de tudo isso é que tudo parece ter terminado bem, imagino o alívio da galera do PolyNetwork em ver que era tudo brincadeira

[TryNinja]

Agora que me toquei que descarrilhamos um pouco do foco do tópico, mas já que já estamos aqui...

Parece que o pessoal do Poly Network pediu ao hacker para que ele se torne o seu "chief security advisor".

“To extend our thanks and encourage Mr. White Hat to continue contributing to security advancement in the blockchain world together with Poly Network, we cordially invite Mr. White Hat to be the Chief Security Advisor of Poly Network,” the firm said in a statement.

[alegotardo]

Parece que o pessoal do Poly Network pediu ao hacker para que ele se torne o seu "chief security advisor".

Kkkk, que insano.

O cara rouba a empresa e depois essa o convida para "cuidar" da segurança deles.
Isso é de mais.

Alguém sabe me dizer ou apontar algum lugar que indique o quanto já foi devolvido, congelado ou em posse do hacker ainda?

[joker_josue]

O cara rouba a empresa e depois essa o convida para "cuidar" da segurança deles.
Isso é de mais.

Isso era muito comum nos anos 80/90. Por isso é que eu disse:

Estamos perante um hacker há moda antiga? Parabéns para ele, se for verdade!

Na origem do termo hacker, estava relacionado o indevido que queria apenas mostrar as suas capacidades técnicas e por sua vez provar que era capaz de derrubar os sistemas de segurança, e regra geral sem o objetivo de retirar vantagens financeiras ou prejudicar terceiros. Por isso, na altura quando um hacker conseguia fazer um grande feito, normalmente acabava a trabalhar nessa empresas ou em outras de segurança informática, ou até mesmo nas agencias tipo FBI e CIA.

Com o tempo, o termo hacker é que ficou associado ao indevido que rouba informações com o objetivo de vender no mercado negro e afins. Mas quem faz isso é um cracker.

https://canaltech.com.br/hacker/O-que-e-um-Hacker/
https://pt.wikipedia.org/wiki/Cracker
https://blog.unyleya.edu.br/bitbyte/diferenca-entre-hacker-e-cracker/

[l3pox]

acho que nunca vamos saber se ele deixaria de devolver o dinheiro caso não tivesse vazado esse seu endereço com KYC, mas ainda acho que num caso como esse faz mais sentido puxar o gatilho do que avisar um dev
é muita grana e alguma pessoa do time mal intencionada poderia simplesmente roubar antes dele,
além disso conversando com um amigo sobre esse caso ele me disse que já tiveram vezes em que um hacker achou um bug/exploit possível, avisou, e nada foi feito.

sensacional a poly contratar ele!

aliás, alguém já tinha ouvido falar da poly antes disso?
nunca tinha ouvido falar

[alegotardo]

além disso conversando com um amigo sobre esse caso ele me disse que já tiveram vezes em que um hacker achou um bug/exploit possível, avisou, e nada foi feito.

Por isso que algumas empresas que fazem essa análise de vulnerabilidades tem a seguinte política para caso encontrem algo:

Primeiro eles notificam a empresa de que encontraram uma vulnerabilidade que pode comprometer determinados sistemas levando à serem explorados/invadidos.
Aí dão um determinado prazo para eles responderem que estão ciente do problema e outro prazo para entrarem com a correção, tudo de acordo com a complexidade do problema e gravidade da vulnerabilidade.
Se a empresa não cumprir com os prazos (que podem ser estendidos caso comprovem estar trabalhando para resolver), podem divulgar publicamente que tal vulnerabilidade existe e possivelmente até dar algum detalhe sobre a mesma.
Ou seja, isso obriga os caras à correrem atrás de uma solução, pois sabem que deixar quieto pode custar muito caro.

[l3pox]

então @alegotardo
acontece que em Defi por ser muita coisa pública e ter muito dinheiro envolvido, vira uma corrida contra o tempo, as vezes um bug simples no contrato (tipo 1 letra trocada) pode fazer com que os fundos dos usuários estejam em risco de ficarem presos, ou pior, serem surrupiados por alguém

[joker_josue]

então @alegotardo
acontece que em Defi por ser muita coisa pública e ter muito dinheiro envolvido, vira uma corrida contra o tempo, as vezes um bug simples no contrato (tipo 1 letra trocada) pode fazer com que os fundos dos usuários estejam em risco de ficarem presos, ou pior, serem surrupiados por alguém

Nem mais!
Um hacker (cracker) mal intencionado, nunca informa onde esta o erro. Alias se souber fazer bem as coisas, vai roubando pouco de cada vez para não ser detetado. E se reparar que o bug foi detetado, então rouba tudo o que poder o mais rápido possível, antes de ser resolvido.

Isto é mesmo um jogo do gato e do rato. Um a tentar ser mais rápido do que outro. Umas vezes ganha o gato outras o rato.

Por exemplo, nos bancos o que eles tem é equipas permanentes a minotaurizar a rede, e sempre a fazer um contra ataque aos atacantes. Ou seja, não é só para detetar bugs e corrigir, mas enquanto isso, criarem dificuldades para ninguém conseguir entrar. É uma verdadeira guerra. Quem é que achas que eles contratam? Hackers... mas os "bons da fita".

[l3pox]

duvido muito que nesses protocolos DeFi alguém conseguiria fazer pequenos roubos ao longo do tempo sem ser notado, com toda a informação ficando na blockchain

bem diferente do que comparar com bancos tradicionais

mas sim, é real o que vc falou sobre grandes empresas terem seus próprios times de defesa.

[Valdislei]

Vcs axam q os defi do ada serão mais seguros?

[TryNinja]

Vcs axam q os defi do ada serão mais seguros?

Nada na ada deixaria qualquer projeto "defi" mais seguro. O que importa é o código, que pode ter falhas em qualquer blockchain.

[DuMarinho]

Vcs axam q os defi do ada serão mais seguros?

Nada na ada deixaria qualquer projeto "defi" mais seguro. O que importa é o código, que pode ter falhas em qualquer blockchain.

Vc sabe um exemplo de ETH token sem falhas no código?

[TryNinja]

Vc sabe um exemplo de ETH token sem falhas no código?

Esse é um pedido meio estranho. Nenhum token ERC20 tem falhas, a menos que ele venha com algum codigo customizado. O que geralmente pode ter falhas são smart contracts de um sistema complexo, já que ele trabalha com depositos, saques, contratos terceiros, etc...

Um ERC20 padrão: https://github.com/OpenZeppelin/openzeppelin-contracts/blob/master/contracts/token/ERC20/ERC20.sol

[bitmover]

Vcs axam q os defi do ada serão mais seguros?

Nada na ada deixaria qualquer projeto "defi" mais seguro. O que importa é o código, que pode ter falhas em qualquer blockchain.

Vc sabe um exemplo de ETH token sem falhas no código?

Certamente muitos códigos de smartcontracts têm pontos de falha que podem ser explorados por um hacker. Essas falhas só ainda não foram descobertas.

Não estou dizendo que todo smartcontract tem falhas, mas alguns podem ter. Não dá pra saber de antemão., daí o risco. Quando uma falha é descoberta, milhões são roubados nesse "exploit". Não faltam exemplos no mercado.

[l3pox]

Vcs axam q os defi do ada serão mais seguros?

Nada na ada deixaria qualquer projeto "defi" mais seguro. O que importa é o código, que pode ter falhas em qualquer blockchain.

Vc sabe um exemplo de ETH token sem falhas no código?

Certamente muitos códigos de smartcontracts têm pontos de falha que podem ser explorados por um hacker. Essas falhas só ainda não foram descobertas.

Não estou dizendo que todo smartcontract tem falhas, mas alguns podem ter. Não dá pra saber de antemão., daí o risco. Quando uma falha é descoberta, milhões são roubados nesse "exploit". Não faltam exemplos no mercado.

a parte legal dessa história (apesar de dolorosa pra muitos) é que corrigir essas falhas vai deixando o sistema cada vez mais antifrágil.
nem sempre fundos são roubados em exploits e hacks, as vezes tem casos de white-hacking e patches antes de um desastre acontecer. mas vc tá certo, muitas vezes o pior acontece, a rekt.news faz um trabalho incrível reportando esses casos todos, inclusive.

[sonico]

Imagino um futuro próximo no qual teremos um tipo de "antivírus" ou apenas um programa para varrer um smartcontract e identificar comandos e/ou artifícios que possam causar assinaturas em segundo plano possibilitando o desvio ou roubo de tokens na mesma rede ou até mesmo moedas das mais diversas.

Mas falo isso por puro achismo sem fundamento, pois não manjo nada das linhas dos smartcontracts 

[alegotardo]

Imagino um futuro próximo no qual teremos um tipo de "antivírus" ou apenas um programa para varrer um smartcontract e identificar comandos e/ou artifícios que possam causar assinaturas em segundo plano possibilitando o desvio ou roubo de tokens na mesma rede ou até mesmo moedas das mais diversas.

Será que algo assim já não existe?
Também não entendo muito disso, mas creio que seria relativamente fácil fazer esse tipo de análise em projetos de código aberto.
Até dei uma "googlada" por aqui mas não encontrei nada parecido.

Fora isso, sempre rola alguns programas de recompensas para caçadores de bugs em projetos mais consolidados.

[bitmover]

Imagino um futuro próximo no qual teremos um tipo de "antivírus" ou apenas um programa para varrer um smartcontract e identificar comandos e/ou artifícios que possam causar assinaturas em segundo plano possibilitando o desvio ou roubo de tokens na mesma rede ou até mesmo moedas das mais diversas.

Será que algo assim já não existe?
Também não entendo muito disso, mas creio que seria relativamente fácil fazer esse tipo de análise em projetos de código aberto.
Até dei uma "googlada" por aqui mas não encontrei nada parecido.

Fora isso, sempre rola alguns programas de recompensas para caçadores de bugs em projetos mais consolidados.

Isso é basicamente auditoria e teste de código. Dificilmente vc vai baixar algo bom e gratuito na internet pra testar.

Isso cabe aos desenvolvedores do código, se quiserem fazer algo de qualidade, testarem.

Acredito que isso é mais ou menos como uma empresa que oferece $ para tentarem hackear ou pagar para quem acha bugs. Ou até contratam diretamente alguém para fazer isso e tentar melhorar a segurança.

[TryNinja]

Também não entendo muito disso, mas creio que seria relativamente fácil fazer esse tipo de análise em projetos de código aberto.

Bom, um antivirus nada mais é do que uma ferramenta que verifica a assinatura de programas contra um banco de dados de códigos maliciosos conhecidos.

Tendo isso em mente, existem ferramentas que verificam o código de um contrato em busca de bugs e exploits e conhecidos (por exemplo, um contrato que permite a transferencia de todas as moedas para um endereço externo).

Por outro lado, é muito dificil separar o que é um código legitimo de um código malicioso. E se esse contrato realmente deve transferir as moedas para outro endereço/contrato por que isso faz parte do projeto? Sempre vai ser relativo (na visão do código) o que é certo e errado.

O que me vem em mente é o projeto Lossless.cash, que tenta proteger tokens de rugs e exploits ao adicionar uma camada extra de controle que pode, por exemplo, reverter transações de acordo com a resposta da comunidade.