Niebezpieczeństwa DeFi - rug pull projektu RISE (wcześniej xETH i xETH-G)

Weteran
Awatar użytkownika
Posty: 5083
Rejestracja: 14 marca 2011
Reputacja: 1663
Reputacja postu: 
4
Napiwki za post: 0 BTC

Niebezpieczeństwa DeFi - rug pull projektu RISE (wcześniej xETH i xETH-G)

Postautor: maky » niedziela, 14 marca 2021, 09:18

Na czerwono zaznaczyłem prawdziwą przyczynę kradzieży środków. Klucze do milionowego projektu "leżały" sobie na komputerze będącym online.


OFFICIAL STATEMENT OF EVENTS

Rise community,

I apologize for my lack of communication for the past 3 days. To see a project that you’ve put hundreds (possibly thousands) of hours of blood, sweat, and tears into get brought down in less than 30 seconds by a malicious actor is nothing short of soul crushing. I’m still in a state of shock and disbelief to this day, but I will try to keep this as professional as possible. I’ve been quiet on the public front in order to focus on figuring out how this attack could have happened.

Here’s the sequence of events:

February 24 – Dele T. submits an application for a Chainlink/Solidity developer through our web portal.

February 24 – A team member notifies me and brings the application to my attention.

March 3 – We officially onboard Dele to assist with Chainlink integration. He was paid in ETH, and was on a contract basis.

March 8 – Dele requests a screenshare with me in order to walk me through the work and the code he’s done. The screenshare invitation was sent through Cisco WebEx.

March 10 – Dele sends me the .sol files in a .zip file for the new rebaser contract via Telegram. I carry out a full AV scan on the .zip file, and it returned clean. I then deployed the new contract, and made the official Chainlink integration announcement.

March 11 – Keys to the deployer account were compromised. All liquidity was drained, and Dele deletes his Telegram account along with all communication history with team members.

March 11 – Immediately following the attack (I was in a client meeting at the time), I run out to the restroom to communicate with the team and figure out what’s happening. After discussing internally, the only way that access could have been gained was through the computer that I hosted the rebaser script on (the same one that I screenshared with and deployed the contracts from). I remote shutdown the computer that was compromised in order to stop any further activity from occurring. This computer was on 24/7 in order to run our automated rebase script.

March 12 – I return home and boot up the compromised computer. I’m immediately hit with the blue screen of death (critical process died). I repaired Windows through a re-install (keep my files option). Once in, I realize that a majority of the files I previously held on the computer were deleted. This includes the private key file and the .zip file for the deployment.

Let me start by saying that exposing us to this risk, and not doing my due diligence on security was 100% my fault. No one else on the team should be blamed. The computer that was attacked was mine, and no other team member has access to this.

After research and discussion with the team, here’s how I believe the attack was carried out:

Dele was able to obtain my IP address through the Cisco WebEx screenshare. There’s a tool that allows connecting IPs made to be visible. The .zip file contained some kind of backdoor that must have allowed him to connect to my computer. Utilizing my IP and the backdoor, he was able to access my computer.

This attack was not of my doing. I'm anon and could have easily disappeared with the rest of the funds, but I'm just as shocked and in disbelief as you all are. About $40,000 have been spent on marketing efforts, and Chainlink integration was just completed. Were my intentions malicious, I could have easily exited with the full amount of ETH raised from the presale a month ago.

This project was something I was fully and 100% devoted to. I wanted to see it succeed more than anyone. I was ecstatic when Dele first told me that the initial integration was complete. I wanted to deploy it ASAP in order to stimulate the market and prevent the sell-off that might have happened from the release of seed investor tokens. Unfortunately, my excitement to announce and deploy this resulted in the security flaw which led to our subsequent attack.
Bądź zmianą, którą prag­niesz uj­rzeć w świecie.

KURSYBTC - kursy BTC przeliczone na PLN/USD/EUR + alarmy; vultr.com - serwery pod masternody

Weteran
Posty: 1488
Rejestracja: 15 czerwca 2011
Reputacja: 1215
Reputacja postu: 
2
Napiwki za post: 0 BTC

Niebezpieczeństwa DeFi - rug pull projektu RISE (wcześniej xETH i xETH-G)

Postautor: qertoip » niedziela, 14 marca 2021, 10:34

To również pokazuje, że "DeFi" to "CeFi" czyli zupełnie centralnie zarządzane usługi finansowe.

Do każdej takiej usługi "DeFi" (kontraktu / zespołu kontraktów) istnieją klucze administracyjne, dające pełną kontrolę.

Pełna kontrola oznacza możliwość rozwijania usługi, ale też możliwość kradzieży środków, zmiany warunków w trakcie, a w przyszłości możliwość i konieczność implementacji wymaganych regulacji.
We only have one shot at making digital scarcity experiment work. If Bitcoin fails within a timeframe relevant for a human, then digital scarcity claim gets falsified. Like it or not, Bitcoin must succeed for your coin to succeed.

Orator
Awatar użytkownika
Posty: 972
Rejestracja: 3 lipca 2018
Reputacja: 403
Reputacja postu: 
2
Napiwki za post: 0 BTC
Napiwki: https://tippin.me/@lordfervi
Napiwki: https://www.zapread.com/user/fervi

Niebezpieczeństwa DeFi - rug pull projektu RISE (wcześniej xETH i xETH-G)

Postautor: fervi » niedziela, 14 marca 2021, 13:55

Takich naprawdę zdecentralizowanych projektów DeFi jakie znam, były z 3. Reszta miała jakieś admin keye i inne tego typu rzeczy. Ale bańka się pompuje :D

Weteran
Awatar użytkownika
Posty: 5083
Rejestracja: 14 marca 2011
Reputacja: 1663
Reputacja postu: 
2
Napiwki za post: 0 BTC

Niebezpieczeństwa DeFi - rug pull projektu RISE (wcześniej xETH i xETH-G)

Postautor: maky » niedziela, 14 marca 2021, 14:56

qertoip pisze: niedziela, 14 marca 2021, 10:34Do każdej takiej usługi "DeFi" (kontraktu / zespołu kontraktów) istnieją klucze administracyjne, dające pełną kontrolę.

Na szczęście jesteś w błędzie. Akurat ten projekt nie miał spalonych kluczy ale jest wiele gdzie klucze są spalone (lub precyzyjniej władztwo nad kontraktem jest przekazane kluczom, których nikt nie posiada). Jest też wiele projektów gdzie na klucze/kontrakt jest założony timelock. Timelock umożliwia wprowadzanie zmian przez osoby zarządzające ale takie zmiany są widoczne przez określoną ilość czasu zanim "wejdą w życie" co umożliwia ewakuację.
Bądź zmianą, którą prag­niesz uj­rzeć w świecie.

KURSYBTC - kursy BTC przeliczone na PLN/USD/EUR + alarmy; vultr.com - serwery pod masternody

Orator
Awatar użytkownika
Posty: 972
Rejestracja: 3 lipca 2018
Reputacja: 403
Reputacja postu: 
1
Napiwki za post: 0 BTC
Napiwki: https://tippin.me/@lordfervi
Napiwki: https://www.zapread.com/user/fervi

Niebezpieczeństwa DeFi - rug pull projektu RISE (wcześniej xETH i xETH-G)

Postautor: fervi » niedziela, 14 marca 2021, 15:55

maky pisze: niedziela, 14 marca 2021, 14:56Na szczęście jesteś w błędzie. Akurat ten projekt nie miał spalonych kluczy ale jest wiele gdzie klucze są spalone (lub precyzyjniej władztwo nad kontraktem jest przekazane kluczom, których nikt nie posiada). Jest też wiele projektów gdzie na klucze/kontrakt jest założony timelock. Timelock umożliwia wprowadzanie zmian przez osoby zarządzające ale takie zmiany są widoczne przez określoną ilość czasu zanim "wejdą w życie" co umożliwia ewakuację.
Czyli mamy dwie kwestie
1) Część DeFi ma niszczone klucze / nie ma kluczy. Pytanie ile takich znasz, bo Cointelegraph (https://cointelegraph.com/news/how-many ... -you-think) w 2020 zrobił sprawdzian 15 największych projektów DeFi i 12 z nich miało takowe klucze.

2) Timelock umożliwia wprowadzanie zmian przez osoby zarządzające ale takie zmiany są widoczne przez określoną ilość czasu zanim "wejdą w życie" co umożliwia ewakuację.

Faktycznie część projektów ma taką opcję, ale zapytam inaczej. Jak często logujesz się do banku? Czy robisz to codziennie? Tego typu projekty najczęściej mają ten lock ustalony na dosłownie 1-3 dni. Oznacza to, że albo codziennie siedzisz i czytasz newsy, albo ryzykujesz ... potencjalnie utratą środków (admin key pozwala wypłacić wszystkie środki z kontraktu).

Moim zdaniem to nie tędy droga. Trzeba robić DeFi, w których nie ma kluczy ani timelocków.

Weteran
Awatar użytkownika
Posty: 5083
Rejestracja: 14 marca 2011
Reputacja: 1663
Reputacja postu: 
0
Napiwki za post: 0 BTC

Niebezpieczeństwa DeFi - rug pull projektu RISE (wcześniej xETH i xETH-G)

Postautor: maky » niedziela, 14 marca 2021, 16:00

fervi pisze: niedziela, 14 marca 2021, 15:55Tego typu projekty najczęściej mają ten lock ustalony na dosłownie 1-3 dni. Oznacza to, że albo codziennie siedzisz i czytasz newsy, albo ryzykujesz ...

Są specjalne strony śledzące timelocki. Pewnie mają już alarmy. Ja osobiście kiedy korzystałem z bardziej ryzykownych DeFi sprawdzałem to codziennie.
Bądź zmianą, którą prag­niesz uj­rzeć w świecie.

KURSYBTC - kursy BTC przeliczone na PLN/USD/EUR + alarmy; vultr.com - serwery pod masternody

Weteran
Awatar użytkownika
Posty: 5083
Rejestracja: 14 marca 2011
Reputacja: 1663
Reputacja postu: 
0
Napiwki za post: 0 BTC

Niebezpieczeństwa DeFi - rug pull projektu RISE (wcześniej xETH i xETH-G)

Postautor: maky » niedziela, 14 marca 2021, 16:02

fervi pisze: niedziela, 14 marca 2021, 15:55Trzeba robić DeFi, w których nie ma kluczy ani timelocków.

Wtedy blokujesz sobie możliwość rozwoju. Są skończone projekty, w których można i powinno się to zrobić ale większość jest "under construction" i dzięki kluczom możesz wprowadzać zmiany, łatać dziury, dodawać funkcje. Można też spokojnie wprowadzić rozwiązania typu 3 z 5-ciu etc. Zdaje się że MKR/DAI ma taki awaryjny system.
Bądź zmianą, którą prag­niesz uj­rzeć w świecie.

KURSYBTC - kursy BTC przeliczone na PLN/USD/EUR + alarmy; vultr.com - serwery pod masternody

Weteran
Posty: 1488
Rejestracja: 15 czerwca 2011
Reputacja: 1215
Reputacja postu: 
2
Napiwki za post: 0 BTC

Niebezpieczeństwa DeFi - rug pull projektu RISE (wcześniej xETH i xETH-G)

Postautor: qertoip » niedziela, 14 marca 2021, 17:05

maky pisze: niedziela, 14 marca 2021, 14:56Akurat ten projekt nie miał spalonych kluczy ale jest wiele gdzie klucze są spalone (lub precyzyjniej władztwo nad kontraktem jest przekazane kluczom, których nikt nie posiada). Jest też wiele projektów gdzie na klucze/kontrakt jest założony timelock. Timelock umożliwia wprowadzanie zmian przez osoby zarządzające ale takie zmiany są widoczne przez określoną ilość czasu zanim "wejdą w życie" co umożliwia ewakuację.


1. Time-lock nie podważa argumentu o całkowitej centralizacji danej usługi "DeFi".

2. Natomiast całkowity brak kluczy jest bardzo rzadko spotykany. To są wyjątki od reguły moim zdaniem. Lwia część "DeFi" ma klucze. Zwracam uwagę, że najczęściej te ustrojstwa składają się z wielu współpracujących kontraktów. Pojedyncze kontrakty rzeczywiście mogą być niemodyfikowalne. Ale ich sub-kontrakty (zależności) już są modyfikowalne co czyni całość podatną na zmiany - i o to mi chodzi.
We only have one shot at making digital scarcity experiment work. If Bitcoin fails within a timeframe relevant for a human, then digital scarcity claim gets falsified. Like it or not, Bitcoin must succeed for your coin to succeed.

Weteran
Awatar użytkownika
Posty: 5083
Rejestracja: 14 marca 2011
Reputacja: 1663
Reputacja postu: 
2
Napiwki za post: 0 BTC

Niebezpieczeństwa DeFi - rug pull projektu RISE (wcześniej xETH i xETH-G)

Postautor: maky » niedziela, 14 marca 2021, 18:28

qertoip pisze: niedziela, 14 marca 2021, 17:05Ale ich sub-kontrakty (zależności) już są modyfikowalne co czyni całość podatną na zmiany - i o to mi chodzi.

Na pewno dla przeciętnego śmiertelnika są to zbyt skomplikowane sprawy. DeFi to mętny staw gdzie duże ryby pożerają małe. ;)
Bądź zmianą, którą prag­niesz uj­rzeć w świecie.

KURSYBTC - kursy BTC przeliczone na PLN/USD/EUR + alarmy; vultr.com - serwery pod masternody

Wróć do „Bezpieczeństwo”

Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 5 gości