Niebezpieczeństwa DeFi - rug pull projektu RISE (wcześniej xETH i xETH-G)
- Weteran
- Posty: 5083
- Rejestracja: 14 marca 2011
- Reputacja: 1663
Niebezpieczeństwa DeFi - rug pull projektu RISE (wcześniej xETH i xETH-G)
Postautor: maky » niedziela, 14 marca 2021, 09:18
OFFICIAL STATEMENT OF EVENTS
Rise community,
I apologize for my lack of communication for the past 3 days. To see a project that you’ve put hundreds (possibly thousands) of hours of blood, sweat, and tears into get brought down in less than 30 seconds by a malicious actor is nothing short of soul crushing. I’m still in a state of shock and disbelief to this day, but I will try to keep this as professional as possible. I’ve been quiet on the public front in order to focus on figuring out how this attack could have happened.
Here’s the sequence of events:
February 24 – Dele T. submits an application for a Chainlink/Solidity developer through our web portal.
February 24 – A team member notifies me and brings the application to my attention.
March 3 – We officially onboard Dele to assist with Chainlink integration. He was paid in ETH, and was on a contract basis.
March 8 – Dele requests a screenshare with me in order to walk me through the work and the code he’s done. The screenshare invitation was sent through Cisco WebEx.
March 10 – Dele sends me the .sol files in a .zip file for the new rebaser contract via Telegram. I carry out a full AV scan on the .zip file, and it returned clean. I then deployed the new contract, and made the official Chainlink integration announcement.
March 11 – Keys to the deployer account were compromised. All liquidity was drained, and Dele deletes his Telegram account along with all communication history with team members.
March 11 – Immediately following the attack (I was in a client meeting at the time), I run out to the restroom to communicate with the team and figure out what’s happening. After discussing internally, the only way that access could have been gained was through the computer that I hosted the rebaser script on (the same one that I screenshared with and deployed the contracts from). I remote shutdown the computer that was compromised in order to stop any further activity from occurring. This computer was on 24/7 in order to run our automated rebase script.
March 12 – I return home and boot up the compromised computer. I’m immediately hit with the blue screen of death (critical process died). I repaired Windows through a re-install (keep my files option). Once in, I realize that a majority of the files I previously held on the computer were deleted. This includes the private key file and the .zip file for the deployment.
Let me start by saying that exposing us to this risk, and not doing my due diligence on security was 100% my fault. No one else on the team should be blamed. The computer that was attacked was mine, and no other team member has access to this.
After research and discussion with the team, here’s how I believe the attack was carried out:
Dele was able to obtain my IP address through the Cisco WebEx screenshare. There’s a tool that allows connecting IPs made to be visible. The .zip file contained some kind of backdoor that must have allowed him to connect to my computer. Utilizing my IP and the backdoor, he was able to access my computer.
This attack was not of my doing. I'm anon and could have easily disappeared with the rest of the funds, but I'm just as shocked and in disbelief as you all are. About $40,000 have been spent on marketing efforts, and Chainlink integration was just completed. Were my intentions malicious, I could have easily exited with the full amount of ETH raised from the presale a month ago.
This project was something I was fully and 100% devoted to. I wanted to see it succeed more than anyone. I was ecstatic when Dele first told me that the initial integration was complete. I wanted to deploy it ASAP in order to stimulate the market and prevent the sell-off that might have happened from the release of seed investor tokens. Unfortunately, my excitement to announce and deploy this resulted in the security flaw which led to our subsequent attack.
KURSYBTC - kursy BTC przeliczone na PLN/USD/EUR + alarmy; vultr.com - serwery pod masternody
maky
- Weteran
- Posty: 1488
- Rejestracja: 15 czerwca 2011
- Reputacja: 1215
Niebezpieczeństwa DeFi - rug pull projektu RISE (wcześniej xETH i xETH-G)
Postautor: qertoip » niedziela, 14 marca 2021, 10:34
Do każdej takiej usługi "DeFi" (kontraktu / zespołu kontraktów) istnieją klucze administracyjne, dające pełną kontrolę.
Pełna kontrola oznacza możliwość rozwijania usługi, ale też możliwość kradzieży środków, zmiany warunków w trakcie, a w przyszłości możliwość i konieczność implementacji wymaganych regulacji.
qertoip
- Orator
- Posty: 972
- Rejestracja: 3 lipca 2018
- Reputacja: 403
- Napiwki: https://tippin.me/@lordfervi
- Napiwki: https://www.zapread.com/user/fervi
Niebezpieczeństwa DeFi - rug pull projektu RISE (wcześniej xETH i xETH-G)
Postautor: fervi » niedziela, 14 marca 2021, 13:55
fervi
- Weteran
- Posty: 5083
- Rejestracja: 14 marca 2011
- Reputacja: 1663
Niebezpieczeństwa DeFi - rug pull projektu RISE (wcześniej xETH i xETH-G)
Postautor: maky » niedziela, 14 marca 2021, 14:56
Na szczęście jesteś w błędzie. Akurat ten projekt nie miał spalonych kluczy ale jest wiele gdzie klucze są spalone (lub precyzyjniej władztwo nad kontraktem jest przekazane kluczom, których nikt nie posiada). Jest też wiele projektów gdzie na klucze/kontrakt jest założony timelock. Timelock umożliwia wprowadzanie zmian przez osoby zarządzające ale takie zmiany są widoczne przez określoną ilość czasu zanim "wejdą w życie" co umożliwia ewakuację.
KURSYBTC - kursy BTC przeliczone na PLN/USD/EUR + alarmy; vultr.com - serwery pod masternody
maky
- Orator
- Posty: 972
- Rejestracja: 3 lipca 2018
- Reputacja: 403
- Napiwki: https://tippin.me/@lordfervi
- Napiwki: https://www.zapread.com/user/fervi
Niebezpieczeństwa DeFi - rug pull projektu RISE (wcześniej xETH i xETH-G)
Postautor: fervi » niedziela, 14 marca 2021, 15:55
Czyli mamy dwie kwestiemaky pisze: ↑ niedziela, 14 marca 2021, 14:56Na szczęście jesteś w błędzie. Akurat ten projekt nie miał spalonych kluczy ale jest wiele gdzie klucze są spalone (lub precyzyjniej władztwo nad kontraktem jest przekazane kluczom, których nikt nie posiada). Jest też wiele projektów gdzie na klucze/kontrakt jest założony timelock. Timelock umożliwia wprowadzanie zmian przez osoby zarządzające ale takie zmiany są widoczne przez określoną ilość czasu zanim "wejdą w życie" co umożliwia ewakuację.
1) Część DeFi ma niszczone klucze / nie ma kluczy. Pytanie ile takich znasz, bo Cointelegraph (https://cointelegraph.com/news/how-many ... -you-think) w 2020 zrobił sprawdzian 15 największych projektów DeFi i 12 z nich miało takowe klucze.
2) Timelock umożliwia wprowadzanie zmian przez osoby zarządzające ale takie zmiany są widoczne przez określoną ilość czasu zanim "wejdą w życie" co umożliwia ewakuację.
Faktycznie część projektów ma taką opcję, ale zapytam inaczej. Jak często logujesz się do banku? Czy robisz to codziennie? Tego typu projekty najczęściej mają ten lock ustalony na dosłownie 1-3 dni. Oznacza to, że albo codziennie siedzisz i czytasz newsy, albo ryzykujesz ... potencjalnie utratą środków (admin key pozwala wypłacić wszystkie środki z kontraktu).
Moim zdaniem to nie tędy droga. Trzeba robić DeFi, w których nie ma kluczy ani timelocków.
fervi
- Weteran
- Posty: 5083
- Rejestracja: 14 marca 2011
- Reputacja: 1663
Niebezpieczeństwa DeFi - rug pull projektu RISE (wcześniej xETH i xETH-G)
Postautor: maky » niedziela, 14 marca 2021, 16:00
Są specjalne strony śledzące timelocki. Pewnie mają już alarmy. Ja osobiście kiedy korzystałem z bardziej ryzykownych DeFi sprawdzałem to codziennie.
KURSYBTC - kursy BTC przeliczone na PLN/USD/EUR + alarmy; vultr.com - serwery pod masternody
maky
- Weteran
- Posty: 5083
- Rejestracja: 14 marca 2011
- Reputacja: 1663
Niebezpieczeństwa DeFi - rug pull projektu RISE (wcześniej xETH i xETH-G)
Postautor: maky » niedziela, 14 marca 2021, 16:02
Wtedy blokujesz sobie możliwość rozwoju. Są skończone projekty, w których można i powinno się to zrobić ale większość jest "under construction" i dzięki kluczom możesz wprowadzać zmiany, łatać dziury, dodawać funkcje. Można też spokojnie wprowadzić rozwiązania typu 3 z 5-ciu etc. Zdaje się że MKR/DAI ma taki awaryjny system.
KURSYBTC - kursy BTC przeliczone na PLN/USD/EUR + alarmy; vultr.com - serwery pod masternody
maky
- Weteran
- Posty: 1488
- Rejestracja: 15 czerwca 2011
- Reputacja: 1215
Niebezpieczeństwa DeFi - rug pull projektu RISE (wcześniej xETH i xETH-G)
Postautor: qertoip » niedziela, 14 marca 2021, 17:05
maky pisze: ↑ niedziela, 14 marca 2021, 14:56Akurat ten projekt nie miał spalonych kluczy ale jest wiele gdzie klucze są spalone (lub precyzyjniej władztwo nad kontraktem jest przekazane kluczom, których nikt nie posiada). Jest też wiele projektów gdzie na klucze/kontrakt jest założony timelock. Timelock umożliwia wprowadzanie zmian przez osoby zarządzające ale takie zmiany są widoczne przez określoną ilość czasu zanim "wejdą w życie" co umożliwia ewakuację.
1. Time-lock nie podważa argumentu o całkowitej centralizacji danej usługi "DeFi".
2. Natomiast całkowity brak kluczy jest bardzo rzadko spotykany. To są wyjątki od reguły moim zdaniem. Lwia część "DeFi" ma klucze. Zwracam uwagę, że najczęściej te ustrojstwa składają się z wielu współpracujących kontraktów. Pojedyncze kontrakty rzeczywiście mogą być niemodyfikowalne. Ale ich sub-kontrakty (zależności) już są modyfikowalne co czyni całość podatną na zmiany - i o to mi chodzi.
qertoip
- Weteran
- Posty: 5083
- Rejestracja: 14 marca 2011
- Reputacja: 1663
Niebezpieczeństwa DeFi - rug pull projektu RISE (wcześniej xETH i xETH-G)
Postautor: maky » niedziela, 14 marca 2021, 18:28
Na pewno dla przeciętnego śmiertelnika są to zbyt skomplikowane sprawy. DeFi to mętny staw gdzie duże ryby pożerają małe.
KURSYBTC - kursy BTC przeliczone na PLN/USD/EUR + alarmy; vultr.com - serwery pod masternody
maky
- Bitcoin
- Bezpieczeństwo
- Giełdy i serwisy - zagrożenia
- Anonimowość i bezpieczeństwo w sieci
- Piramidy i scamy
- Bitcoin
- Rozwój projektu
- Twój wkład w rozwój projektu
- Przedszkole
- Pomoc techniczna
- Generowanie monet
- Pomoc
- Ogólnie o miningu
- Mining pools
- Kopacze (miners)
- Sprzęt (hardware) do miningu
- Bitcoin w mediach
- Projekty związane z Bitcoin
- Imprezy, spotkania, konferencje
- Kwestie prawne
- Ciekawostki
- Organizacje charytatywne, zbiórki, dotacje
- Programowanie i wdrożenia
- Ankiety
- Portfele bitcoin
- Dla zaawansowanych - nowi tylko czytają
- Ekonomia
- Rozważania ekonomiczne
- Ankiety ekonomiczne
- Analiza techniczna
- Tutaj zapłacisz bitcoinami
- Polska
- Świat
- Tablica ogłoszeń
- Towary
- Sprzedam
- Kupię
- Zamienię
- Udziały
- Usługi
- Wymiana walut
- Komentarze
- Nagrody
- Wymiana Face-to-Face
- Dolnośląskie
- Kujawsko-pomorskie
- Lubelskie
- Lubuskie
- Łódzkie
- Małopolskie
- Mazowieckie
- Opolskie
- Podkarpackie
- Podlaskie
- Pomorskie
- Śląskie
- Świętokrzyskie
- Warmińsko-mazurskie
- Wielkopolskie
- Zachodniopomorskie
- Cała Polska
- Szukam/dam pracę
- Boty i strategie
- Giełdy, kantory, bitomaty
- Kantory
- Bitomaty
- Inwestycje
- Metale szlachetne
- ICO
- Forki i Alternatywne kryptowaluty
- LiteCoin
- Ekonomia
- Mining
- Ustawienia i konfiguracje
- Linki
- Dogecoin
- Ekonomia
- Mining
- NameCoin
- Ekonomia
- Mining
- Pozostałe
- Scrypt
- SHA256
- Dash
- Ethereum
- ETC
- Lisk
- Bitcoin Cash
- Kopanie kryptowalut
- Kopanie GPU
- Kopanie CPU
- Kopanie ASIC/FPGA
- Kopalnie kryptowalut
- IOTA
- NEO
- Chia
- SCAMY
- Inne
- Linki
- Faucety, kraniki, gry
- Księga skarg i zażaleń
- AMA
- Strona i forum
- Administrator mówi
- Opinie, propozycje, uwagi
- Propozycje banów
Kto jest online
Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 13 gości
- Strefa czasowa UTC+02:00
- Na górę
- Zmień szerokość ekranu
- Usuń ciasteczka witryny
O Polskim Forum Bitcoin
Polskie Forum Bitcoin skupia miłośników Bitcoina w Polsce. Tu możesz zadać pytania odnośnie Bitoina lub podyskutować na ciekawe tematy.
Polecamy
Treści na tym forum mają charakter wyłącznie informacyjno-edukacyjny, a posty są wyrazem osobistych poglądów ich autorów. Treśći na forum ani w całości ani w części nie stanowią "rekomendacji" w rozumieniu przepisów Rozporządzenia Ministra Finansów z dnia 19 października 2005 r. w sprawie informacji stanowiących rekomendacje dotyczące instrumentów finansowych, lub ich emitentów (Dz.U. z 2005 r. Nr 206, poz. 1715).