Mais um: Mixin Network é hackeada em $200 milhões

[TryNinja]

Há cerca de 2 meses o Mixin Safe chegou no fórum abrindo uma campanha que paga por reviews do seu novo produto, uma carteira Bitcoin descentralizada que usa um tipo de multisig que permite que o custodiante recupere suas moedas depois de 90 dias.

Hoje foi revelado que o pessoal da Mixin Netork perdeu $200 milhões (não em shitcoin, e sim Bitcoin ) em um hack que resultou na invasão do seu seu banco de dados e sistema de cloud. Os depositos e saques foram desativados.

https://twitter.com/MixinKernel/status/1706139175018529139

1. Como eles foram hackeados e perderam tudo isso se o sistema era supostamente descentralizado? Uma invasão ao seu sistema de cloud não deveria resultar em milhões perdidos... e database?

2. Como eles desativaram os depositos e saques, também se o sistema era supostamente descentralizado?


Enfim, fica de lição que nem tudo o que falam dos seus produtos por aí é verdade. Mais um hack milionário pra lista.

[rdluffy]

Oloko, é quase 1 bilhão de reais, muita grana 

Como eu sou um pouco leigo na questão de mixers, esse Mixin Safe funcionava igual a antiga ChipMixer que você depositava BTC e recebia "fichas" para depois sacar?
Esse Mixin Safe está até com campanha ativa aqui no fórum

Outra coisa, eu não sabia que estava movimentando tanta grana assim, 200 milhões de dólares é muita coisa

[TryNinja]

Oloko, é quase 1 bilhão de reais, muita grana 

Como eu sou um pouco leigo na questão de mixers, esse Mixin Safe funcionava igual a antiga ChipMixer que você depositava BTC e recebia "fichas" para depois sacar?
Esse Mixin Safe está até com campanha ativa aqui no fórum

Outra coisa, eu não sabia que estava movimentando tanta grana assim, 200 milhões de dólares é muita coisa

Na verdade não tem nada a ver com mixagem de moedas. É uma solução para custodia ""descentralizada"" e ""segura"". Você tem um vault que vai segurar suas moedas e você pode enviar transações dele desde que consiga autorizar a transação por todas as partes (tipo multisig). O diferencial é que eles teriam uma das keys que serviria de backup.

Mas ainda não confirmei se o hack foi de fato no Mixin Safe ou se foi em outro produto do mesmo pessoal, Mixin Network.

[joker_josue]

2. Como eles desativaram os depositos e saques, também se o sistema era supostamente descentralizado?

Acho piada sobre essa questão do "descentralizado". Como é que algo que corre num servidor esta descentralizado?
É que ouço isso varias vezes, e não consigo perceber, como é descentralizado e trabalha online, tem cloud.

[darkv0rt3x]

2. Como eles desativaram os depositos e saques, também se o sistema era supostamente descentralizado?

Acho piada sobre essa questão do "descentralizado". Como é que algo que corre num servidor esta descentralizado?
É que ouço isso varias vezes, e não consigo perceber, como é descentralizado e trabalha online, tem cloud.

Poderá ter a ver com o facto de que descentralizado não é a mesma coisa que distribuído???
É que o termo que reina por aí é "descentralizado" mas na realidade o que tem interesse é um sistema "distribuído" como Bitcoin.

Em termos de "descentralização", podes ter meia dúzia de serviços afectados mas outros continuarem a funcionar e num "distribuído", só conseguem isso se conseguirem afectar todos os nodes da rede! Se houver apenas um que não seja afectado, é suficiente para que a rede consiga recuperar em pouco tempo. É um caso de "redundância" levada ao extremo!

[joker_josue]

Poderá ter a ver com o facto de que descentralizado não é a mesma coisa que distribuído???
É que o termo que reina por aí é "descentralizado" mas na realidade o que tem interesse é um sistema "distribuído" como Bitcoin.

Em termos de "descentralização", podes ter meia dúzia de serviços afectados mas outros continuarem a funcionar e num "distribuído", só conseguem isso se conseguirem afectar todos os nodes da rede! Se houver apenas um que não seja afectado, é suficiente para que a rede consiga recuperar em pouco tempo. É um caso de "redundância" levada ao extremo!

Pois, aplicação do termo "descentralizado", na maioria dos casos, não significa que todos os servidores/nodes do serviço, não seja da mesma empresa que criou o serviço.
Digamos que é um falso "descentralizado".

[bitmover]

Eles ainda tem uma campanha de assinatura ativa no fórum. Não deve durar muito...

https://bitcointalk.org/index.php?topic=5461150.0

Os saques estão suspensos
.

Acho piada sobre essa questão do "descentralizado". Como é que algo que corre num servidor esta descentralizado?
É que ouço isso varias vezes, e não consigo perceber, como é descentralizado e trabalha online, tem cloud.

Eles não eram custodiantes.  A carteira era multisig, e eles apenas administravam isso. Eles não  ficavam com as chaves privada lá

aqui explica
https://safe.mixin.zone/how-it-secures

Contudo  , no final, dava pra ver q eles tinham uma master key que só deveria funcionar após 1 ano da carteira parada. Seria que foi assim o hack?

De qq forma, era um processo super complicado. Eu fiz uma review do serviço na época, e foram algumas horas para configurar tudo. Bem complexo.

Acho  que as coisas mais simples são, em geral, mais seguras. Como as HW boas

[darkv0rt3x]

...

Acho  que as coisas mais simples são, em geral, mais seguras. Como as HW boas

Levaste merit só por causa dessa frase. É tão verdade em tantos cenários que a malta nem se apercebe.
Eu andei a aprender umas cenas sobre encriptar VMs e volumes e etc e cheguei a uma altura em que alguém me disse: acho que tu não sabes ao certo o que estás a fazer e vais acabar com um sistema menos seguro que uma coisa mais simples. Foi aí que decidi mudar um pouco a estratégia do que estava a fazer e realmente as coisas começarama  funcionar melhor. Complicar normalmente leva a bugs, coisas que nem entendemos na perfeição, etc e depois é pior a emenda que o sineto!