Farming - enlever les "autorisation" - Hack de Fulcrum. !

[guigui371]

Alors un poste qui va surement sauver certains d'entre vous a long terme.  

Background :
il y 1 jour un hacker a utilise une technique de social hacking pour recuper les les clef prive d'un developper de Fulcrum.
Avec les clefs prives, il a utilise le protocole pour faire des trucs et voler $55 millions.

Bref, moi je m'en fout un peu car fulcrum je ne l'utilise plus depuis 6 mois.
Mon pote Asche, il a eu feux au fesse car il voulait emprunter des BNB pour participer au Launchpad de Binance.

Apres avoir passe la nuit dessus, et en lisant le post mortem report je vois que le hacker il a reussit a reecrire/ modifier le smart contract et qu'il a pu a distance vider les wallets des anciens utilisateurs.
La je me dis que c'est chaud.  

Je verifie.
je tombe sur plusieurs personnes sur twitter qui disent qu'ils se sont fait vider leur wallet.
Je regarde les miens.
Boom je me suis fait hack aussi. Mon ledger nano X ..... j'avais la naivete de croire que ca risquait rien car il fallait cliquer sur les boutons ....
Au que non !
voici le screenshot des degats !



Le hacker m'a vole 0.00066 USD


Plus de peur que de mal ... mais bon... j'aurais pu perdres bien plus.
Je suis meme sur que ca a coute au hacker plus cher que ca en frais de tx
Je fais le tour des mes autres wallet, mais j'ai plus grand chose sur BSC en farming donc je ne m'en fais pas trop.  



Comment se proteger :

En fait c'est super simple.
Il suffit d'aller sur debank.com
de se connecter, cliquer sur profile a gauche, puis sur approval au milieu, puis de choisir sa blockchaine.
Ca vous donne tous les tokens et leur autorisations.
Alors oui c'est fastidieux d'enlever les autorisations de 50 ou 100 smart contract.
Mais bon. ca peut vous sauver la vie.


J'avais vu une fois sur twitter un gars qui disait que chaque soir, avant de se coucher, il enlever les autorisation de tous les contracts.
Et le matin, il les remettait.
Sur ETH ca coute cher, sur BSC ou polygon ca coute presque rien.

Finalement :
Lien vers les poste mortem de fulcrum si vous voulez lire.

https://bzx.network/blog/prelminary-post-mortem

Et deux ou trois tweet de gens moins chanceux que moi :

12.17 ETH de perdu : https://twitter.com/Jonas77256426/status/1456997389944958977?s=20

$3700 usd de perdu : https://twitter.com/oakraw/status/1456912501199622151?s=20






outils :

https://app.unrekt.net/

[1715209600]

1715209600

[1715209600]

1715209600

[1715209600]

1715209600

[elma]

Merci Guigui !
Je connais cette fonction de Debank mais j'imaginais pas les risques !

Cette fonction de Debank est donc différente de l'option "connected sites" de Metamask ?

On peut faire confiance à l'info "risk exposure" sur Debank ?
Car si je risque genre 100$, je vais pas révoquer le contrat .

[guigui371]

Merci Guigui !
Je connais cette fonction de Debank mais j'imaginais pas les risques !

Cette fonction de Debank est donc différente de l'option "connected sites" de Metamask ?

Oui c'est different.
Souvent le connect des sites, c'est pour faire du read only. Mais bon je ne peux pas parler pour tous les sites.

On peut faire confiance à l'info "risk exposure" sur Debank ?
Car si je risque genre 100$, je vais pas révoquer le contrat .

Oui le Risk semble correct a l'instant T.



Bref, dans mon cas il a meme pas pris 1 centime.
Vu que le hacker a eu access a la clef prive du smart contract, il a vide les wallets.
Le dev a repris control, mais je ne sais pas comment ils peuvent prevenir le hacker de continuer a utiliser les fonction admin du contrat vu qu'il a aussi les private key.
C'est un coup a oublier le risque, a remettre des usdt sur la meme address BSC et boom de nouveau vidage de compte.

bref, j'ai passe 1h a enlever les 132 smart contract de mon legder sur la premiere addresse.
Je finirais demain.

[Danydee]

Pour se protéger, aussi,
si on a l'intention de céder son smartphone, bien s'assurer de re-formater un formatage complet à l'aide d'un utilitaire de disque externe. En effet la reinitialisation usine ne fait qu'une suppression superficielle et n'opère pas de (formatage complet, reinitialisation des pistes), et il est possible de récupérer les fichiers préalablement présents sur le disque à l'aide d'un outil de récupération 




Mais j'en suis heureux pour ses fesses a asch ! 

[elma]

ce qu'offre Debank est primordial.
Comment se fait-il que cette option de sécurité ne soit pas plus facile d'accès ? directement intégrée dans Metamask ?

J'imagine qu'on pourrait le faire manuellement en passant directement par l'écriture du smartcontract mais encore une fois ce n'est pas à la portée de tout le monde !

[chagry]

En fait pour la sécurité, il faut avoir un wallet tampon.

Je m'explique, pour investir sur beefy par exemple, vous avez un ledger et un metamask comme wallet tampon. vous transferait vos coins de ledger à metamask, puis sur metamask vos faites un approval et vous placer vos coins dans le contract. les moo que vous receviez dans le metamask , vous les transferait dans le ledger.

Vos approvals sont sur metamask qui est vide et vos fond sur ledger. ne faite pas d'approval sur ledger directement.
Pour sortir vos coins du yeild, vous refaite les transactions à l'envers.

Techniquement parlant, votre point d'entrer dans la defi est votre metamask, votre ledger fait uniquement des transferts entre votre metamask et lui meme. Votre ledger n'est pas connecté directement a la defi.

Et c'est la meme chose avec solana et le wallet phantom.

[guigui371]

En fait pour la sécurité, il faut avoir un wallet tampon.

Je m'explique, pour investir sur beefy par exemple, vous avez un ledger et un metamask comme wallet tampon. vous transferait vos coins de ledger à metamask, puis sur metamask vos faites un approval et vous placer vos coins dans le contract. les moo que vous receviez dans le metamask , vous les transferait dans le ledger.

Vos approvals sont sur metamask qui est vide et vos fond sur ledger. ne faite pas d'approval sur ledger directement.
Pour sortir vos coins du yeild, vous refaite les transactions à l'envers.

Techniquement parlant, votre point d'entrer dans la defi est votre metamask, votre ledger fait uniquement des transferts entre votre metamask et lui meme. Votre ledger n'est pas connecté directement a la defi.

Et c'est la meme chose avec solana et le wallet phantom.

Ca ne marche que avec Beefy qui te donne des moo en contrepartie de tes tokens dans leur smart contract.

Comment ferais tu un tampon  pour staker 10 cake dans le cake pool de pancakeswap ?

[chagry]

Comment ferais tu un tampon  pour staker 10 cake dans le cake pool de pancakeswap ?

Pour staker 10 cake dans le cake pool de pancakeswap, personnellement je passerait par beefy pour avoir les intérêts composer.

Chez pancakeswap, pour la liquidité je reçoit les lp, mais j'ai jamais staker directement chez pancake, tu est sure que tu reçoit pas un token a la place ?

[elma]

Comment ferais tu un tampon  pour staker 10 cake dans le cake pool de pancakeswap ?

Pour staker 10 cake dans le cake pool de pancakeswap, personnellement je passerait par beefy pour avoir les intérêts composer.

Chez pancakeswap, pour la liquidité je reçoit les lp, mais j'ai jamais staker directement chez pancake, tu est sure que tu reçoit pas un token a la place ?

Sur Pancakeswap, on farme les lp tokens et on reçoit des intérêts composés.

[chagry]

Sur Pancakeswap, on farme les lp tokens et on reçoit des intérêts composés.

Tu recois des intérêts pas des intérêts composés.

Ok, mais quant tu depose les lp dans le farming sur Pancake, tu reçoit un token de preuve de depot en echange ?

[elma]

Sur Pancakeswap, on farme les lp tokens et on reçoit des intérêts composés.

Tu recois des intérêts pas des intérêts composés.

Ok, mais quant tu depose les lp dans le farming sur Pancake, tu reçoit un token de preuve de depot en echange ?

Oui tu as raison, ils ne sont pas composés (je confondais avec les pools)
Non pas de token après le dépot de mes lp