Adakah anda tahu tandatangan ringkas dalam Metamask boleh menguras dompet anda?
Adakah anda tahu tandatangan ringkas dalam Metamask boleh menguras dompet anda?
Seorang pengguna yang sangat berpengalaman (10 teratas mengikut Degen Score) kehilangan hampir 500k USDC dalam eksploitasi hari ini.
Anda mungkin seterusnya…
Satu utas pendek bagaimana ia berlaku dan bagaimana anda boleh mengelakkan eksploitasi sedemikian pada masa hadapan.
- korpi (@ korpi87) Ogos 19, 2022
Ia adalah petang yang tenang apabila Joe (nama ditukar) menyedari 469k USDC meninggalkan dompetnya.
Ia bukan pemindahan mudah, yang bermaksud penyerang nampaknya tidak mempunyai akses kepada dompet Joe.
Ia adalah kontrak berniat jahat yang menghabiskan semua USDC dari alamatnya… pic.twitter.com/pTgTjfMMeu
- korpi (@ korpi87) Ogos 19, 2022
Di sini kita perlu menjeda cerita untuk menerangkan beberapa teknikal.
Token USDC ialah kontrak pada Ethereum. Ia mempunyai banyak fungsi yang menentukan cara kita berinteraksi dengan USDC dan perkara yang boleh dilakukan dengannya.
Mari fokus pada dua fungsi:
> pemindahan
> pemindahanDari pic.twitter.com/gekVmjmwvW- korpi (@ korpi87) Ogos 19, 2022
> pemindahan
Apabila anda memindahkan USDC (atau ERC20 lain) antara dompet, anda menggunakan fungsi pemindahan.
Ia memindahkan token daripada pemanggil (alamat yang memanggil fungsi) ke alamat lain.
Untuk menggunakan pemindahan secara berniat jahat bagi pihak anda, seseorang perlu mendapatkan kawalan ke atas dompet anda. pic.twitter.com/3Z3pYbBnRq
- korpi (@ korpi87) Ogos 19, 2022
> pemindahanDari
Apabila anda berinteraksi dengan kontrak, mereka menggunakan transferFrom untuk memindahkan token anda. Mereka boleh mengambil sehingga jumlah elaun yang anda tetapkan dalam fungsi kelulusan.
Jika anda membenarkan kontrak membelanjakan jumlah USDC yang tidak terhingga, ia boleh menanggung semuanya.https://t.co/QdUgLuZfZH
- korpi (@ korpi87) Ogos 19, 2022
Berbalik kepada cerita Joe…
Interaksi kontrak yang dinyatakan di atas yang menguras USDC Joe sememangnya fungsi pemindahanDari.
Tetapi transferFrom hanya akan berfungsi jika Joe telah meluluskan kontrak untuk membelanjakan USDCnya.
Dan Joe 100% yakin dia tidak meluluskan apa-apa… pic.twitter.com/HH9xxYeQms
- korpi (@ korpi87) Ogos 19, 2022
Tunggu sebentar…
Sejarah DeBank jelas menunjukkan kelulusan USDC yang tidak terhingga untuk kontrak berniat jahat 10 minit sebelum eksploitasi…
Adakah Joe benar-benar meluluskannya?
ya. Tetapi juga tidak. Tidak langsung. pic.twitter.com/AqQQs7GZAV
- korpi (@ korpi87) Ogos 19, 2022
Etherscan mendedahkan bahawa kelulusan tak terhingga bukanlah fungsi kelulusan yang dipanggil oleh Joe sendiri.
Ia adalah fungsi permit yang dipanggil oleh alamat lain dan ia memberikan kontrak berniat jahat itu kelulusan untuk membelanjakan semua USDC Joe.
WTF? Bagaimanakah orang lain boleh meluluskan kontrak bagi pihak anda? pic.twitter.com/TS3iDbhOXu
- korpi (@ korpi87) Ogos 19, 2022
Fungsi permit diperkenalkan untuk meningkatkan pengalaman pengguna di Ethereum.
Ia membolehkan pengguna mengubah suai jumlah kelulusan tanpa menyerahkan transaksi. Tandatangan sudah memadai.
Dengan tandatangan anda sesiapa sahaja boleh memanggil fungsi permit dan mengemas kini elaun anda untuk pembelanja. pic.twitter.com/hem0lPsnW1
- korpi (@ korpi87) Ogos 19, 2022
Anda boleh melihat permit dalam tindakan apabila anda menggunakan dApp 1 inci.
Jika anda ingin menjual USDC, anda tidak perlu meluluskannya terlebih dahulu.
Apa yang anda perlukan hanyalah menandatangani mesej.Tandatangan ini memberikan 1 inci kebenaran untuk membelanjakan semua USDC anda. 1 inci tidak akan melakukannya tetapi kontrak berniat jahat boleh. pic.twitter.com/Dd7ggJFWtl
- korpi (@ korpi87) Ogos 19, 2022
Joe pasti secara tidak sengaja menandatangani mesej sedemikian di laman web berniat jahat.
Malangnya, kali ini dia menggunakan dompet panas dan menandatangani hanya satu klik yang kelihatan tidak bersalah.
Dengan dompet perkakasan, akan ada detik terfikir kedua semasa menandatangani mesej pada peranti luaran.
- korpi (@ korpi87) Ogos 19, 2022
Dengan tandatangan Joe, seorang pelakon berniat jahat menyerahkan transaksi dengan fungsi permit.
Ia memberikan kontrak berniat jahat itu kebenaran untuk membelanjakan semua USDC daripada dompet Joe.
Kemudian fungsi transferFrom dipanggil dan kontrak berniat jahat itu telah menghabiskan dana. pic.twitter.com/1U6lWr9pmw
- korpi (@ korpi87) Ogos 19, 2022
Nampaknya tandatangan boleh menjadi bencana.
Dalam sesetengah kes, Metamask akan memberi amaran kepada anda bahawa menandatangani mesej boleh berbahaya.
Tetapi tidak dalam hal kelulusan yang ditandatangani yang secara teknikal berfungsi seperti yang direka bentuk tetapi boleh menyebabkan banyak kerosakan jika disalahgunakan.https://t.co/5H9rNWVR3b
- korpi (@ korpi87) Ogos 19, 2022
Bagaimana untuk mengelakkan eksploitasi serupa pada masa hadapan?
– Jangan tandatangani semua dalam Metamask.
– Luangkan masa untuk memahami perkara yang anda tandatangani.
– Berhati-hati dengan kelulusan tradisional (lihat urutan yang dipautkan)https://t.co/549NmPly5s- korpi (@ korpi87) Ogos 19, 2022
Saya harap anda mendapati thread ini membantu.
Ikut saya @korpi87 dan semak Tanggapan saya: https://t.co/ZTqYKmhCNk untuk lebih.
Like/Retweet tweet pertama di bawah untuk melindungi orang lain daripada eksploitasi serupa: https://t.co/9pqCSXi9JH
- korpi (@ korpi87) Ogos 19, 2022
Adakah penggabungan Ethereum akan membawa kepada penangkapan peraturan?
#EthereumMasalah berpunca daripada sentiasa mengoptimumkan tokenomics berbanding desentralisasi, keselamatan dan daya tahan. Nampaknya Gabungan dan POS akan membawa kepada penangkapan kawal selia yang lengkap oleh pertukaran berpusat & platform pertaruhan, dan tiada jalan keluar untuk mereka. ?? pic.twitter.com/Ur9tf42K5p
- Samson Mow (@Excellion) Ogos 19, 2022
Jadi bagaimana mereka sampai ke sini? Memutuskan keperluan 32 ETH untuk dipertaruhkan sebagai sebahagian daripada protokol (untuk mengunci bekalan dan memaksimumkan tokenomics). Itu cukup banyak menjadikan POS sebagai terpusat yang mungkin, dan ditambah lagi mereka tidak mempunyai #Bitcoin budaya bukan kunci anda, bukan syiling anda. pic.twitter.com/Ml4QV93ECP
- Samson Mow (@Excellion) Ogos 19, 2022
Jadi sekarang anda mempunyai 66% pengesah yang perlu mematuhi peraturan OFAC. Dan ETH yang mereka telah depositkan untuk dipertaruhkan tidak boleh ditarik balik kerana fungsi pengeluaran tidak dikodkan – kerana tokenomics. ? pic.twitter.com/BdjFqYk70J
- Samson Mow (@Excellion) Ogos 19, 2022
Tapi tunggu! Etherean boleh sahaja #UASF seperti Bitcoin Maxi kan? Suka tunjukkan sepenuhnya kepada Coinbase siapa bosnya! pic.twitter.com/LBSRDOF79o
- Samson Mow (@Excellion) Ogos 19, 2022
Tidak. Pertama, Ethereans tidak menjalankan nod mereka sendiri dan kedua, kebanyakan perkhidmatan bergantung pada Infura, tetapi itu bukan masalah utama. pic.twitter.com/8rI1FsDwuU
- Samson Mow (@Excellion) Ogos 19, 2022
Saya akan mendahului bahagian seterusnya ini dan menyatakan bahawa menangkap pembangun untuk menulis kod adalah mengerikan dan menetapkan duluan yang mengerikan. Yang menyatakan…
- Samson Mow (@Excellion) Ogos 19, 2022
Untuk #UASF anda memerlukan perisian untuk dijalankan. Kini semua garpu Ethereum mempunyai nama bandar yang menarik seperti Istanbul, London, Berlin, dsb. Mari kita panggil garpu UASF Ethereum hipotetikal ini sebagai “Pyongyang.” Pyongyang akan menghalang Coinbase dan majoriti 66% daripada menapis transaksi yang dibenarkan OFAC.
- Samson Mow (@Excellion) Ogos 19, 2022
Cara lain untuk mengatakan "menghalang penapisan transaksi yang disetujui OFAC" boleh menjadi "membantu mengelak sekatan." Mungkin kita terlupa tentang Virgil. Jadi bagaimanapun, siapa yang akan mengekod Pyongyang? Lelaki Tornado Cash telah ditangkap jadi ahli Pyongyang mungkin akan ditangkap juga. pic.twitter.com/HQNtkyTQkg
- Samson Mow (@Excellion) Ogos 19, 2022
Siapa yang akan mengendalikan Pyongyang? Lelaki itu memberi isyarat dengan "X ?"? Adakah mereka akan memautkan nod Pyongyang mereka ke akaun .eth mereka juga? Coinbase, Kraken, Bitcoin Suisse, dan yang lain membentuk majoriti 66% pastinya tidak menjalankan Pyongyang.
- Samson Mow (@Excellion) Ogos 19, 2022
Baiklah jadi Ethereum #UASF berada di luar meja.
"Tetapi kita hanya boleh memotong Coinbase dan yang lain jika mereka berani mematuhinya!" pic.twitter.com/rmlgn8Cb2Y
- Samson Mow (@Excellion) Ogos 19, 2022
Saya mungkin Pathetic Bitcoin Maxi™ tetapi saya menghabiskan 10 minit untuk menyelidik dan mendapati tiada mekanik untuk mengurangkan Coinbase. Tiada kod untuk mengesan dan menghukum sesiapa kerana menapis transaksi. Mekanik Slashing hanya berfungsi untuk menghukum masa henti atau menandatangani dua kali.
- Samson Mow (@Excellion) Ogos 19, 2022
Jadi kami kembali memerlukan garpu Pyongyang yang tiada siapa yang akan mengekod atau menjalankannya. Walaupun Pyongyang boleh wujud, tiada cara untuk pengguna menarik balik ETH. Dan walaupun mereka boleh menarik diri, tidak mengapa kerana hanya Infura yang penting. pic.twitter.com/RQ44BWUqzE
- Samson Mow (@Excellion) Ogos 19, 2022
Dengan mengandaikan semua bintang sejajar secara ajaib dan terdapat cara untuk pengguna Ethereum memotong Coinbase dan lain-lain, apakah maksudnya? Ini bermakna pihak berkepentingan minoriti akan mempunyai mekanisme untuk menghukum majoriti secara sewenang-wenangnya. Itu tidak akan berkesan dalam jangka masa panjang.
- Samson Mow (@Excellion) Ogos 19, 2022
Dan inilah sebabnya kami memanggil #Ethereum a #shitcoin. Ia adalah satu latihan yang sia-sia, penuh dengan pilihan reka bentuk yang mengerikan, dan direka bentuk untuk tujuan mengepam token semata-mata. pic.twitter.com/irYDrzJcOO
- Samson Mow (@Excellion) Ogos 19, 2022
Sumber: https://www.cryptopolitan.com/best-twitter-thread-of-the-day-august-19th/