Possível incidente de segurança na Bybit na casa dos $1.5 bilhões

[rdluffy]

o fbi já acusou formalmente a korea do norte.

https://www.infomoney.com.br/mercados/fbi-acusa-coreia-do-norte-de-orquestrar-ataque-hacker-de-us-15-bi-em-criptomoedas/

Já não é mais especulação, foram os coreanos mesmo..

Basicamente um terrorismo de estado. Não devemos punir os hackers, e sim incentivar esses crimes.

Pior é que não tem como fazer praticamente nada com a Coréia do Norte
O governo autoritário deles conseguem até afetar as criptos e prejudicar todo mundo, essa grana toda vai pra fortalecer o regime e o líder, infelizmente

Na minha cabeça esse grupo Lazarus deve trabalhar 24/7 em alguma sala só tentando hackear e fazer grana, deve ter algumas dezenas de pessoas que aprendem programação, crypto, inglês e depois foca em fazer hacking para arrecadar o máximo possível

[Pumared]

o fbi já acusou formalmente a korea do norte.

https://www.infomoney.com.br/mercados/fbi-acusa-coreia-do-norte-de-orquestrar-ataque-hacker-de-us-15-bi-em-criptomoedas/

Já não é mais especulação, foram os coreanos mesmo..

Basicamente um terrorismo de estado. Não devemos punir os hackers, e sim incentivar esses crimes.

Agora ficou interessante, isso deve virar pauta para a casa branca discutir em breve.

Qualquer das formas, também parece que os hackers não estou a querer despachar tudo muito rápido. E essa acaba por ser a melhor estratégia, usar vários serviços e varias estratégias, todas com valores baixos, de modo a conseguir despachar todo o dinheiro, mesmo que demore algum tempo.

Pra quem já assistiu à "La Casa de Papel" vai entender, pois a analogia é a mesma.... um golpe só é bem sucedido quando você age de forma inteligente nas três etapas e a última as vezes é a mais difcíl onde muitos deles são pegos por descuidos no desejo de gastarem logo o que "conquistaram".

Sim, faz total sentido. Mas como não se trata de dinheiro vivo, acredito que esse ponto três acabe que não sendo tão importante. Ainda mais por conta que, caso queira transformar em fiat vai passar muito monitoramento.

[joker_josue]

Basicamente um terrorismo de estado. Não devemos punir os hackers, e sim incentivar esses crimes.

Não percebi a frase... Você não queria dizer "desincentivar esses crimes"?

De facto isso tem de ser desencorajado, mas como?

Acho que o problema em parte é o mercado que não está agir da melhor forma a esses casos. Em cada hack a tecnologia tinha de melhorar para evitar problemas futuros. Um pouco parecido com os aviões - em cada acidente melhorias são feitas para evitar que se repita, e o resultado é o transporte mais seguro.

Aqui as vezes parece que não aprendem. Não estou a dizer que foi este o caso, mas de um modo geral. Apesar que neste caso, parece que o erro não foi humano.

Não existem sistemas infalíveis, mas tem de se reduzir ao máximo a possibilidade de erro humano.

[bitmover]

Basicamente um terrorismo de estado. Não devem punir os hackers, e sim incentivar esses crimes.

Não percebi a frase... Você não queria dizer "desincentivar esses crimes"?

Opa, foi o corretor.

Eu escrevi "não devem" e o corretor do celular botou devemos

Enfim, de qualquer forma é um absurdo isso aí da Coreia do Norte. Existe um incentivo pra hackers roubarem...

Basta prender as pessoas para desencorajar. Mas como vivem na Coreia do Norte, isso não ocorre.

[Forsyth Jones]

Basicamente um terrorismo de estado. Não devemos punir os hackers, e sim incentivar esses crimes.

Não percebi a frase... Você não queria dizer "desincentivar esses crimes"?

De facto isso tem de ser desencorajado, mas como?

Acho que o problema em parte é o mercado que não está agir da melhor forma a esses casos. Em cada hack a tecnologia tinha de melhorar para evitar problemas futuros. Um pouco parecido com os aviões - em cada acidente melhorias são feitas para evitar que se repita, e o resultado é o transporte mais seguro.

Aqui as vezes parece que não aprendem. Não estou a dizer que foi este o caso, mas de um modo geral. Apesar que neste caso, parece que o erro não foi humano.

Não existem sistemas infalíveis, mas tem de se reduzir ao máximo a possibilidade de erro humano.

Em tese, eles assinaram um contrato inteligente adulterado, a carteira que eles usaram para assinaturas foi uma Ledger, porém usaram software de terceiros que não permite visualizar o contrato antes de assinar (bling signature), enquanto que no Ledger Live, você pode visualizar o contrato assinado (Clear Signature). Eu acho que isso é uma falha de protocolo do próprio Eth que permite que um terceiro adultere a assinatura e o clear sig passou a ser adotada por isso, mas não é todos os softwares de carteira que possuem.

Se o software não possuir clear sig, você está ferrado. É como assinar um contrato ás cegas ou sem ler..

[TryNinja]

Em tese, eles assinaram um contrato inteligente adulterado, a carteira que eles usaram para assinaturas foi uma Ledger, porém usaram software de terceiros que não permite visualizar o contrato antes de assinar (bling signature), enquanto que no Ledger Live, você pode visualizar o contrato assinado (Clear Signature). Eu acho que isso é uma falha de protocolo do próprio Eth que permite que um terceiro adultere a assinatura e o clear sig passou a ser adotada por isso, mas não é todos os softwares de carteira que possuem.

Se o software não possuir clear sig, você está ferrado. É como assinar um contrato ás cegas ou sem ler..

Na verdade não foi o contrato inteligente que foi adulterado. A UI do site (Safe) utilizada para fazer as transações que foi alterada para que a carteira da Bybit especificamente trocasse a transação na hora de enviar para confirmação na Ledger.

Entro no site -> inicio a tx para enviar 1.4b em eth -> confirmo no dispositivo

Ai com a invasão:

Entro no site -> inicio a tx para enviar 1.4b em eth -> javascript alterado no site altera para tx que troca a lógica do contrato com as moedas -> confirmo no dispositivo sem realmente ver se a tx estava correta

[joker_josue]

Se o software não possuir clear sig, você está ferrado. É como assinar um contrato ás cegas ou sem ler..

Na verdade não foi o contrato inteligente que foi adulterado. A UI do site (Safe) utilizada para fazer as transações que foi alterada para que a carteira da Bybit especificamente trocasse a transação na hora de enviar para confirmação na Ledger.

Acaba por ser um misto de situações: erro humano e erro do software.

Um software que tem de melhorar para evitar esse tipo de situação.
Erro humano, não nessa transação em especifico, mas no protocolo de utilização.

Se nós, micro utilizadores de cripto, temos o cuidado de olhar cada letra do endereço, rever tudo 3 ou 4 vezes, antes de validarmos uma transação. Que protocolos existem para quem lida com milhões por minuto? Essa analise tem de ser feita por 3 ou 4 pessoas diferentes.
É verdade que eles tem de ser rápidos a processar tudo, mas eles lidam com milhões que não são recuperáveis. Então, tem de sempre agir com muita cautela, mesmo que estejam a repetir um processo pela milésima vez.