Mais uma: bridge da Nomad é hackeada em $150m+

[TryNinja]

Hoje entrei no twitter e vi esse evento acontecendo ao vivo:

Nomad bridge getting actively hacked. WETH and WBTC being taken out in million-dollar increments. Withdraw all funds if you can, still $126m remaining in the contract that's likely at risk

Estava na academia, então fechei e continuei o que estava fazendo.

Agora voltei no PC e descobri que a bridge foi exploitada por VÁRIAS pessoas, simplesmente porquê QUALQUER pessoa poderia ter pego uma das txs do ataque e replicado para sí próprio. Várias pessoas vistas no tópico acima foram vistas pegando alguns milhões de USDC.


Esse thread to samczsun explica mais sobre o ataque: https://twitter.com/samczsun/status/1554252024723546112

[gagux123]

(...)

Puts, que situação delicada ein!!? Tu acha que eles conseguirão sair dessa!!??
Será que essa brecha já foi solucionada?

Alias, saiu uma matéria interessante no Cointelegraph explicando sobre esse ocorrido!

"Nomad token bridge drained of $190M in funds in security exploit" - https://cointelegraph.com/news/nomad-token-bridge-drained-of-190m-in-funds-in-security-exploit

[TryNinja]

Puts, que situação delicada ein!!? Tu acha que eles conseguirão sair dessa!!??
Será que essa brecha já foi solucionada?

Como eu disse, qualquer pessoa vendo essa treta podia ter chegado e pego uns milhões pela etherscan. Eu sei que alguns fizeram isso com o intuito de dar uma de whitehack e vão devolver. Outros vão devolver simplesmente porquê usaram um endereço público. Mas mesmo assim, o grosso (+90m) foi roubado pelo hacker original que usou a tornado.cash para bancar as txs, então esse valor provavelmente não vai ser devolvido.

[joker_josue]

Eu tenho um misto de sentimentos com estas noticias:
- Acho bem, porque as empresas/serviços que envolvem dinheiro, tem de aprender apostar na segurança dos sistemas.
- Fico chateado, porque isso muitas acaba por gerar má fama para as cripto e levar aos governos regularem de uma forma totalmente radical, que prejudica mais os que tento fazer tudo bem, dos que andam a fazer porcaria.

[bitmover]

- Acho bem, porque as empresas/serviços que envolvem dinheiro, tem de aprender apostar na segurança dos sistemas.

Isso é uma tecnologia experimental joker.

A maior parte dessas defi/exchanges  que estão sendo/foram hackeadas estão muito próximas do que existe de mais moderno e seguro de smartcontracts,  blockchain, etc(não estou falando desse caso específico)

Como os valores com criptomoedas são muito altos, os ataques são dum nível bem alto também.

Basta ver o histórico. Até maiores como binance, MT gox etc já foram hackeados. Não acredito que seja falta de investimentos,  é mais o risco natural da atividade mesmo.

Tecnologias novas estão sujeitas a falhas ainda desconhecidas.

[joker_josue]

Basta ver o histórico. Até maiores como binance, MT gox etc já foram hackeados. Não acredito que seja falta de investimentos,  é mais o risco natural da atividade mesmo.

Tecnologias novas estão sujeitas a falhas ainda desconhecidas.

Entendo. São as dores de [edit]sofrimento crescimento.

Mesmo assim, acho que pelo o facto de envolver valores muito altos, tenham de ter mais cuidado ainda. Como tendo equipas anti-hacking 24h/7dias, como a banca tradicional tem.

Mas se calhar até tem, não sei, e mesmo assim acontece esses problemas. Mas, não deviam.
Sinceramente, continuou achar que é um pouco fruto de um investimento mal feito na segurança...

[TryNinja]

O problema nesse hack é que o culpado foi, mais uma vez, a negligencia e um erro bobo que não deveria ter sido cometido.

O pessoal da Nomad realizou um upgrade no contrato da bridge, atualizando o seu código, e inicializou ele com um trusted root de 0x00, garantindo que todas as mensagens fossem dadas como válidas. Assim, qualquer um podia criar sua própria mensagem dizendo que podia sacar X milhões de USDC ou algumas centenas de ETH.

Se nunca mais tivessem tocado na bridge (deixadondo-a imutável), ela próvavelmente não teria sido hackeada.

[joker_josue]

O problema nesse hack é que o culpado foi, mais uma vez, a negligencia e um erro bobo que não deveria ter sido cometido.

Quando se esta a trabalhar numa plataforma que envolve milhões de dólares, tem de se estar atento a todos os detalhes.
Passar por 3 ou 4 equipas diferentes, para avaliar cada linha de código, para evitar que esse tipo de erros ocorram.

Não estou a dizer que eles não são profissionais, ou que não se preocupam com a segurança. O que vejo é que existe muito excesso de confiança, acreditando que esta sempre tudo bem e que vai tudo correr bem. Mas as coisas não são assim.

[TryNinja]

Não estou a dizer que eles não são profissionais, ou que não se preocupam com a segurança.

Será?

Descobriram que esse atack vector foi encontrado durante o processo de auditória e eles só ignoraram como se ele fosse irrelevante: https://certificate.quantstamp.com/full/nomad

QSP-19 Proving With An Empty Leaf

Recommendation: Validate that the input of the function is not empty

The Nomad team responded that "We consider it to be effectively impossible to find the preimage of the empty leaf".

We believe the Nomad team has misunderstood the issue. It is not related to finding the pre-image of the empty bytes. Instead, it is about being able to prove that empty bytes are included in the tree (empty bytes are the default nodes of a sparse Merkle tree). Therefore, anyone can call the function with an empty leaf and update the status to be proven.

Olha a resposta do time.

[l3pox]

ouch
o fato que sabiam que o erro podia acontecer e ignoraram torna tudo muito pior

valeu por postar o thread do samczsun
lendo agora, gosto de como ele explica bem as coisas

[joker_josue]

Não estou a dizer que eles não são profissionais, ou que não se preocupam com a segurança.

Será?

Descobriram que esse atack vector foi encontrado durante o processo de auditória e eles só ignoraram como se ele fosse irrelevante: https://certificate.quantstamp.com/full/nomad

Eu pensei nisso... mas não quis dizer que eles tinham falta de profissionalismo... 


As vezes, pensa-se que estes hacks podem acontecer, faz parte do crescimento, etc.. etc.. etc... Em parte é verdade. Mas se pensarmos bem, não faz sentido uma industria de alta tecnologia sofrer tantos hacks em questões de meses.

Os bancos lidam com milhões todos os dias, e felizmente são poucas as vezes que ouvimos falar de milhões roubados por hack aos bancos. Não estou a dizer que não acontece, mas é mais muito menos.

O problema, e conhecendo muita malta de IT, é que muitos tem a a presunção que são os melhores e por isso acreditam que o modo de fazerem as coisas é o melhor e nunca vão ter problemas porque sabem o que fazem. Isso não é problema quando é no PC deles. O problema é quando essa presunção vai afetar a perda de muito dinheiro de terceiros.

E sinceramente, acho que muitos projetos ligados as cripto, tem um grande défice na segurança informativa. E não ouvimos falar em mais hacks, porque boa parte desses projetos tem pouca relevância financeira (pelo menos até agora).

[l3pox]

Não estou a dizer que eles não são profissionais, ou que não se preocupam com a segurança.

Será?

Descobriram que esse atack vector foi encontrado durante o processo de auditória e eles só ignoraram como se ele fosse irrelevante: https://certificate.quantstamp.com/full/nomad

Eu pensei nisso... mas não quis dizer que eles tinham falta de profissionalismo... 


As vezes, pensa-se que estes hacks podem acontecer, faz parte do crescimento, etc.. etc.. etc... Em parte é verdade. Mas se pensarmos bem, não faz sentido uma industria de alta tecnologia sofrer tantos hacks em questões de meses.

Os bancos lidam com milhões todos os dias, e felizmente são poucas as vezes que ouvimos falar de milhões roubados por hack aos bancos. Não estou a dizer que não acontece, mas é mais muito menos.

O problema, e conhecendo muita malta de IT, é que muitos tem a a presunção que são os melhores e por isso acreditam que o modo de fazerem as coisas é o melhor e nunca vão ter problemas porque sabem o que fazem. Isso não é problema quando é no PC deles. O problema é quando essa presunção vai afetar a perda de muito dinheiro de terceiros.

E sinceramente, acho que muitos projetos ligados as cripto, tem um grande défice na segurança informativa. E não ouvimos falar em mais hacks, porque boa parte desses projetos tem pouca relevância financeira (pelo menos até agora).

acho que parte desse lugar acontece devido à diferença de serviçoes centralizados e descentralizados, construir algo público e com código aberto e auditável tem suas desvantagens, você fica mais vulnerável, por outro lado a cada erro o sistema fica mais resiliente, a gente pode aprender com cada hack desses e iterar para que não aconteça de novo

agora, crypto tem muitos erros humanos também, hacks por engenharia social por exemplo.

acho que acontecem bem mais hacks em bancos do que ficamos sabendo por exemplo, uma vez vi um cara especialista em segurança no Brasil comentando que existe determinado ataque à base dos grandes bancos que se acontecer os bancos perdem a licença com o BC ou tomam uma multa gigante, não lembro
então se um hacker encontrasse uma vulnerabilidade, e muitos encontravam, acontecia uma chantagem que o banco acabava pagando o hacker para que ele não fizessse o exploit, curioso que normalmente o pagamento era em crypto.

[joker_josue]

acho que parte desse lugar acontece devido à diferença de serviçoes centralizados e descentralizados, construir algo público e com código aberto e auditável tem suas desvantagens, você fica mais vulnerável, por outro lado a cada erro o sistema fica mais resiliente, a gente pode aprender com cada hack desses e iterar para que não aconteça de novo

Mas quando estamos a falar de algo que lida com milhões de dólares, não pode simplesmente lançar o código e esperar que alguém na comunidade detete os erros. Esse é o problema de fazerem projetos e por em código aberto, ficam com a ideia que como é código aberto esta livre de problemas.

Uma equipa profissional, e com a noção dos perigos que estão envolvidos, faz duas ou três auditorias ao código, antes de o lançar.
Alias por ser código aberto, mais preocupações tem de ter nesse sentido.

Por isso digo, que isso é mais presunção do que falta de recursos para fazer as coisas como devem de ser feitas.
Claro, que isso não ira eliminar a probabilidade de problemas, mas vai minimiza-los com toda a certeza.

agora, crypto tem muitos erros humanos também, hacks por engenharia social por exemplo.

Mas, isso acontece nem crypto, banca tradicional, trocas comerciais, e afins.
Portanto, quando o problema são erros do consumidor, é o consumidor que tem de aprender a mudar.

acho que acontecem bem mais hacks em bancos do que ficamos sabendo por exemplo, uma vez vi um cara especialista em segurança no Brasil comentando que existe determinado ataque à base dos grandes bancos que se acontecer os bancos perdem a licença com o BC ou tomam uma multa gigante, não lembro
então se um hacker encontrasse uma vulnerabilidade, e muitos encontravam, acontecia uma chantagem que o banco acabava pagando o hacker para que ele não fizessse o exploit, curioso que normalmente o pagamento era em crypto.

Claro que também existem hacks e bastantes as redes bancarias.
Só tenho duvidas nessa parte da chantagem... Porque na realidade todos os bancos tem fundos para recompensar os White hat que encontram falhas.
Alem disso, os bancos tem equipas permanentes a monitorizar a rede e a contra atacar possíveis ataques. Por isso, a nível de segurança IT os bancos são dos melhores.

Por sua vez, as empresas crypto tinha de se esforçar a ter um nivel mais próximo possível do que os bancos tem.

[TryNinja]

acho que acontecem bem mais hacks em bancos do que ficamos sabendo por exemplo, uma vez vi um cara especialista em segurança no Brasil comentando que existe determinado ataque à base dos grandes bancos que se acontecer os bancos perdem a licença com o BC ou tomam uma multa gigante, não lembro
então se um hacker encontrasse uma vulnerabilidade, e muitos encontravam, acontecia uma chantagem que o banco acabava pagando o hacker para que ele não fizessse o exploit, curioso que normalmente o pagamento era em crypto.

É verdade, né?

Lembro bem do vazamento que teve no Banco Inter. Foi confirmado por várias fontes jornalisticas e mesmo assim eles fecharam os olhos e insistiram que não houve vazamento. Depois foi confirmado até com uma multinha por parte da MPDFT: https://veja.abril.com.br/economia/banco-inter-vai-pagar-r-15-milhao-por-vazamento-de-dados-de-clientes

Em maio, a Comissão de Proteção dos Dados Pessoais do MPDFT instaurou inquérito para investigar o vazamento dos dados pessoais dos clientes do Banco Inter. A investigação constatou o comprometimento dos dados cadastrais de 19.961 correntistas do Banco Inter. Dessas, 13.207 continham dados bancários, como número da conta, senha, endereço, CPF e telefone.

O banco admitiu o vazamento em agosto. Na ocasião, enviou comunicado aos correntistas informando que a “exposição dos dados foi de baixo impacto” e que os clientes mais gravemente afetados seriam notificados.

[bitmover]

Em maio, a Comissão de Proteção dos Dados Pessoais do MPDFT instaurou inquérito para investigar o vazamento dos dados pessoais dos clientes do Banco Inter. A investigação constatou o comprometimento dos dados cadastrais de 19.961 correntistas do Banco Inter. Dessas, 13.207 continham dados bancários, como número da conta, senha, endereço, CPF e telefone.

O banco admitiu o vazamento em agosto. Na ocasião, enviou comunicado aos correntistas informando que a “exposição dos dados foi de baixo impacto” e que os clientes mais gravemente afetados seriam notificados.

A multa vai pro mpf... oa correntista "gravemente impactos " vão ser só notificados (com atraso).
Mas ressarcimento pelos danos nem o banco no o mpf falam nada
.

Duro. Dados pessoais ainda não tem o devido tratamento e valoração

[joker_josue]

É verdade, né?

Lembro bem do vazamento que teve no Banco Inter. Foi confirmado por várias fontes jornalisticas e mesmo assim eles fecharam os olhos e insistiram que não houve vazamento. Depois foi confirmado até com uma multinha por parte da MPDFT: https://veja.abril.com.br/economia/banco-inter-vai-pagar-r-15-milhao-por-vazamento-de-dados-de-clientes

Mas isso foi um vazamento de dados pessoais. Algo muito grave, sem duvida!
Qualquer das formas, os clientes não ficaram sem o dinheiro que lá tinha.

Claro que ficava preocupado com o vazamento dos meus dados bancários. Mas, por outro lado, a minha real preocupação era saber se tinha perdido algum cêntimo ou não.

[gagux123]

Bom... não querendo fugir do tema principal desse topico, mas é impressão minha ou parece que atualmente estão surgindo e descobrindo mais falhas em alguns projetos de cripto?

Allguns anos atrás era pouco recorrente de acontecer alguns bugs, hacks com uma determinada criptomoeda!
É impressão minha ou eu estou falando alguma besteira!!?

[TryNinja]

Bom... não querendo fugir do tema principal desse topico, mas é impressão minha ou parece que atualmente estão surgindo e descobrindo mais falhas em alguns projetos de cripto?

Agora existem grupos hacker (i.e Lazarus) que ficam dia e noite analisando cada contrato e procurando por falhas. Afinal de contas, cada hack bem sucedido rende valores que vão dos $50m até $700m.

Com certeza existem vários outros contratos por ai que guardam milhões de dólares e contém falhas que ainda só não foram descobertas porquê ninguém parou para dar uma olhada.

[bitmover]

Allguns anos atrás era pouco recorrente de acontecer alguns bugs, hacks com uma determinada criptomoeda!
É impressão minha ou eu estou falando alguma besteira!!?

Antigamente  não existiam também tantos smartcontracts por aí rolando em tantas chains diferentes.

Em 2017 2018 so queriam saber de ico. Agora a coisa mudou e os contratos são mais complexos e movimenta mais dinheiro , principalmente com o boom das defi

Contratos mais complexo = mais bugs para exploitar

[joker_josue]

Alem disso, junta-se ao facto de que hoje é cada vez mais fácil fazer um smartcontract, com tanta informação e blockchains disponíveis.

Isso permite, pessoas com menos conhecimentos possam desenvolver um projeto. Isso leva a uma diminuição de qualidade do código desenvolvido, ficando assim mais exposto a problemas.

Por isso, exige-se cada vez mais, por parte do utilizador, em analisar melhor como o projeto esta desenvolvido. Porque dizer que é um DeFi, blockchain ou coisas do género, não garante automaticamente segurança.