Venus Protocol: Dev bir balina kimlik avı saldırısına uğradı ve on milyonlarca dolar kaybetti. Protokolün saldırganların tasfiyesini ve fonların geri alınmasını zorlamak için yaptığı acil müdahale, merkezi olmayan doğası hakkında da soruları gündeme getirdi. Bu makale Rekt News tarafından yazılan bir makaleden türetilmiştir ve TechFlow tarafından derlenmiş, derlenmiş ve yazılmıştır. (Özet: Venus Protocol kullanıcıları kimlik avına uğradı ve 27 milyon dolar kaybetti, protokol hacklenmedi!) (Arka plan eklendi: Bilgisayarınız bilgisayar korsanlarının Bitcoin madenciliğine yardımcı oluyor!) 3.500 web sitesine "madencilik komut dosyaları" yerleştirildi ve gizli ele geçirme kullanıcıları habersiz bıraktı) V enus Protocol'deki bir balina, Zoom aramalarının ipoteğinizden daha pahalıya mal olabileceğini acı verici bir deneyimle öğrendi. Kötü niyetli bir video istemcisi, mükemmel zamanlanmış bir imza, 13 milyon dolar, Rug Pull duyurusundan daha hızlı ortadan kayboldu. Ama hikayedeki bükülme şu ki, Venüs sadece kullanıcıların içinin boşaltılmasını ve sonra kayıtsız bırakılmasını izlemedi. Kendi protokollerini kapattılar, acilen oylama çağrısında bulundular ve DeFi alanındaki en tartışmalı "kurtarma operasyonunu" 12 saatten kısa bir sürede tamamladılar. Görünüşte sıradan bir kimlik avı saldırısı olarak başlayan şey, merkezi olmayan protokollerin "hem balık hem de ayı" olup olamayacağı konusunda büyük bir ustalık sınıfına dönüştü. Balinayı kurtarmak, protokoldeki gizli kill switch'i açığa çıkarmak anlamına geldiğinde, gerçekten kim kurtarılıyor? Etkinlik 2 Eylül 9:05 UTC'de başlar ve biter. Venus Protocol'ün balinalarından biri, DeFi işinde yeni bir güne başlamaya hazır olan Zoom istemcisini başlattı. Ancak görünüşte masum olan video yazılımı sessizce ele geçirildi ve saldırganların tüm cihazlarına bir arka kapı üzerinden erişmesine izin verildi. Kurban, DeFi'de günde binlerce kez gerçekleşen rutin bir işlem olan yetkilendirilmiş bir yetkilendirme işlemini imzalar. Özel anahtara dokunmadan pozisyonlarınızı yönetmek için bir anlaşma. Genel olarak, bu sözleşmeleri hizmet şartlarını okuyabileceğinizden daha hızlı imzalayabilirsiniz. Tık. İmza. Anında "pozisyonu patlat". İmzadan finansal yıkıma, sadece altı saniye. Güvenliği ihlal edilmiş bir video istemcisi, 13 milyon dolarlık bir cüzdanın yönetimini, anı sabırla bekleyen bir saldırgana devretti. Çoğu kimlik avı hikayesinin sona erdiği yer burasıdır - balinalar acı çeker, saldırganlar ortadan kaybolur ve Twitter'da kurbanların alayları bir hafta boyunca devam eder. Ancak bu sefer hırsızların planı "her şeyi soymaktan" çok daha iddialı. Milyonlarca dolar çalmak yeterli olmadığında ne olur? Hırsızlık eylemi 09:05:36 UTC. Balinaların "kripto intihar protokolünü" imzalamasından sadece altı saniye sonra, saldırganlar flaş kredilerden oluşan bir "başyapıt" başlattı. Exploit Trading: 0x4216f924ceec9f45ff7ffdfdad0cea71239603ce3c22056a9f09054581836286 Venus Protocol'ün otopsi analizi, saldırganın taktiklerini ayrıntılı olarak çözüyor: Adım 1: Lightning 285.72 BTCB borç aldı — sonuçta, neden kendi paranızı kullanıyorsunuz? DeFi, teminat olmadan milyonlar borç almanıza olanak tanır. Adım 2: Saldırganın kendi hesabından ek 21 BTCB eklerken kurbanın mevcut borçlarını ödemek için ödünç alınan fonları kullanın. Cömertlik gibi görünen şey aslında duygusuz bir "muhasebe cinayeti"dir. Adım 3: Temsilci izinlerini etkinleştirin. 19,8 milyon dolar değerinde vUSDT, 7,15 milyon dolar değerinde vUSDC, 285 BTCB ve diğer tokenlerden oluşan uzun bir liste dahil olmak üzere kurbanın tüm dijital varlıklarını aktarın. Her şey tamamen yasal, çünkü altı saniye önceki o "naif" imzaya izin verildi. Adım 4: Parlak bir darbe. Yeni çalınan bu varlıklar teminat olarak kullanılarak, kurbanın kalan BNB'sine dayalı olarak 7,14 milyon dolarlık USDC ödünç alındı. Saldırganlar sadece cüzdanlarını boşaltmakla kalmadı, aynı zamanda kurbanlarına "hırsızlıklarının" bedelini de ödetti. Adım 5: Flaş krediyi geri ödemek için yeterli BTCB ödünç alın. İşlem tamamlanır ve saldırgan sessizce ortadan kaybolur. Otomatik bir tüccar, içi boş bir balina, çok memnun bir kripto hırsızı - başka birinin hayat birikimlerini kendi ipotek bebeklerine dönüştüren. Bununla birlikte, açgözlülük genellikle avcıları av haline getirir. "Kusursuz hırsızlık" "intihar operasyonuna" dönüşürse ne olur? Karşı Önlemler 09:09 UTC'de, hırsızlıktan dört dakika sonra, HexaGate ve Hypernative'in izleme sistemleri alarmı çalmaya başladı. Bu, sıradan bir "şüpheli işlem algılandı" istemi değildir. 13 milyon dolarlık, beş seviyeli bir alarmdı ve güvenlik şirketleri kiminle iletişime geçeceklerini hemen biliyordu. Venus Protocol'ün yanıtı ne oldu? Nükleer seçenek doğrudan başlar. Hırsızlıktan anlaşmanın askıya alınmasına kadar sadece yirmi dakika sürdü. Venüs, tüm ekosistemin tüm temel özelliklerini dondurarak kendi öldürme anahtarını etkinleştirdi. Borçlanma? Durmak. Çekilme? Son. Tasfiye - should be "likidasyon"? Duraklat. Bir kullanıcı kimlik avına maruz kaldı ve tüm protokol durma noktasına geldi. Bu sadece kriz kontrolü değil, aynı zamanda finansal bir savaş. Venüs, saldırganları çalıntı mallardan tuzağa düşürmek için platformunu kararlı bir şekilde sınırladı. Bilgisayar korsanı tarafından tutulan her vToken, anında Venüs'ün acil durum yetkisi altında kilitlenen değersiz atık kağıt haline gelir. Ancak dev bir balinayı kurtarmak için tüm DeFi protokolünü dondurmak mı? Böyle bir karar tek başına geliştirme ekibi tarafından verilemez. Ve böylece demokrasinin ortaya çıkışı geliyor: acil yönetim oylamaları. Topluluğun, bir kullanıcının servetini merkezi yollarla kurtarıp kurtarmayacağına karar vermek için yalnızca on iki saati olduğunda, buna gerçekten merkezi olmayan diyebilir misiniz? Yıldırım demokrasisi Venüs sadece protokolü askıya almakla kalmadı, aynı zamanda herhangi bir Web2 kriz ekibini kıskandıracak acil bir "sanal toplantı" çağrısında bulundu. Buna "yıldırım oylaması" diyorlar. Ne de olsa, milyonlarca dolarlık bir kararı saatlerce süren hararetli Discord tartışmasına sıkıştırmaktan daha fazla "taban yönetişimi" gibisi yoktur. Teklifin içeriği basit ve açıktır: Aşama 1: İşlevin kısmen geri yüklenmesi (kullanıcıların tasfiye edilmekten kaçınabilmeleri için). Aşama 2: Saldırganın pozisyonunun zorla tasfiyesi. 3. Aşama: Benzer olayların tekrarlanmasını önlemek için kapsamlı bir güvenlik incelemesi yapın. Aşama 4: Venüs operasyonlarının tam restorasyonu. Topluluğun tepkisi ne oldu? %100 oybirliğiyle. %99 değil. %98 de değil. Her oy, Venüs'ün eylem planını, sanki Kuzey Kore'nin seçim sonuçlarının bir tür DeFi versiyonuymuş gibi destekledi. Belki de bu gerçek bir fikir birliğidir, ya da belki de kendini korumaktan kaynaklanmaktadır. Ya da anlaşmanız milyonlarca doları tüketiyorsa ve rakipler akbabalar gibi etrafınızı sarıyorsa, anlaşmazlık kimsenin karşılayamayacağı bir lüks haline gelir. Öğleden sonra, Venüs güçlendi. Ardından, DeFi tarihindeki en tartışmalı tasfiye operasyonu gerçekleşti: saldırganın teminatını zorla ele geçirmek için akıllı sözleşme kurallarını atlamayı gerektiren bir operasyon. Kurban yanlış bir işlem imzası nedeniyle krizdedir ve Venüs "demokrasinin ölüm belgesini" imzalamak üzeredir. "Kod kanundur" acil durum otoritesiyle buluştuğunda ne olur? Canlandırma Eylemleri 21:36 UTC. Hırsızlıkta on iki küçük kişi oldu...
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Bir avda, neden DeFi'nin "balık ve ayı pençesi bir arada" çelişkisinin ruhunu ortaya çıkardığı? Venus saldırı güncesi
Venus Protocol: Dev bir balina kimlik avı saldırısına uğradı ve on milyonlarca dolar kaybetti. Protokolün saldırganların tasfiyesini ve fonların geri alınmasını zorlamak için yaptığı acil müdahale, merkezi olmayan doğası hakkında da soruları gündeme getirdi. Bu makale Rekt News tarafından yazılan bir makaleden türetilmiştir ve TechFlow tarafından derlenmiş, derlenmiş ve yazılmıştır. (Özet: Venus Protocol kullanıcıları kimlik avına uğradı ve 27 milyon dolar kaybetti, protokol hacklenmedi!) (Arka plan eklendi: Bilgisayarınız bilgisayar korsanlarının Bitcoin madenciliğine yardımcı oluyor!) 3.500 web sitesine "madencilik komut dosyaları" yerleştirildi ve gizli ele geçirme kullanıcıları habersiz bıraktı) V enus Protocol'deki bir balina, Zoom aramalarının ipoteğinizden daha pahalıya mal olabileceğini acı verici bir deneyimle öğrendi. Kötü niyetli bir video istemcisi, mükemmel zamanlanmış bir imza, 13 milyon dolar, Rug Pull duyurusundan daha hızlı ortadan kayboldu. Ama hikayedeki bükülme şu ki, Venüs sadece kullanıcıların içinin boşaltılmasını ve sonra kayıtsız bırakılmasını izlemedi. Kendi protokollerini kapattılar, acilen oylama çağrısında bulundular ve DeFi alanındaki en tartışmalı "kurtarma operasyonunu" 12 saatten kısa bir sürede tamamladılar. Görünüşte sıradan bir kimlik avı saldırısı olarak başlayan şey, merkezi olmayan protokollerin "hem balık hem de ayı" olup olamayacağı konusunda büyük bir ustalık sınıfına dönüştü. Balinayı kurtarmak, protokoldeki gizli kill switch'i açığa çıkarmak anlamına geldiğinde, gerçekten kim kurtarılıyor? Etkinlik 2 Eylül 9:05 UTC'de başlar ve biter. Venus Protocol'ün balinalarından biri, DeFi işinde yeni bir güne başlamaya hazır olan Zoom istemcisini başlattı. Ancak görünüşte masum olan video yazılımı sessizce ele geçirildi ve saldırganların tüm cihazlarına bir arka kapı üzerinden erişmesine izin verildi. Kurban, DeFi'de günde binlerce kez gerçekleşen rutin bir işlem olan yetkilendirilmiş bir yetkilendirme işlemini imzalar. Özel anahtara dokunmadan pozisyonlarınızı yönetmek için bir anlaşma. Genel olarak, bu sözleşmeleri hizmet şartlarını okuyabileceğinizden daha hızlı imzalayabilirsiniz. Tık. İmza. Anında "pozisyonu patlat". İmzadan finansal yıkıma, sadece altı saniye. Güvenliği ihlal edilmiş bir video istemcisi, 13 milyon dolarlık bir cüzdanın yönetimini, anı sabırla bekleyen bir saldırgana devretti. Çoğu kimlik avı hikayesinin sona erdiği yer burasıdır - balinalar acı çeker, saldırganlar ortadan kaybolur ve Twitter'da kurbanların alayları bir hafta boyunca devam eder. Ancak bu sefer hırsızların planı "her şeyi soymaktan" çok daha iddialı. Milyonlarca dolar çalmak yeterli olmadığında ne olur? Hırsızlık eylemi 09:05:36 UTC. Balinaların "kripto intihar protokolünü" imzalamasından sadece altı saniye sonra, saldırganlar flaş kredilerden oluşan bir "başyapıt" başlattı. Exploit Trading: 0x4216f924ceec9f45ff7ffdfdad0cea71239603ce3c22056a9f09054581836286 Venus Protocol'ün otopsi analizi, saldırganın taktiklerini ayrıntılı olarak çözüyor: Adım 1: Lightning 285.72 BTCB borç aldı — sonuçta, neden kendi paranızı kullanıyorsunuz? DeFi, teminat olmadan milyonlar borç almanıza olanak tanır. Adım 2: Saldırganın kendi hesabından ek 21 BTCB eklerken kurbanın mevcut borçlarını ödemek için ödünç alınan fonları kullanın. Cömertlik gibi görünen şey aslında duygusuz bir "muhasebe cinayeti"dir. Adım 3: Temsilci izinlerini etkinleştirin. 19,8 milyon dolar değerinde vUSDT, 7,15 milyon dolar değerinde vUSDC, 285 BTCB ve diğer tokenlerden oluşan uzun bir liste dahil olmak üzere kurbanın tüm dijital varlıklarını aktarın. Her şey tamamen yasal, çünkü altı saniye önceki o "naif" imzaya izin verildi. Adım 4: Parlak bir darbe. Yeni çalınan bu varlıklar teminat olarak kullanılarak, kurbanın kalan BNB'sine dayalı olarak 7,14 milyon dolarlık USDC ödünç alındı. Saldırganlar sadece cüzdanlarını boşaltmakla kalmadı, aynı zamanda kurbanlarına "hırsızlıklarının" bedelini de ödetti. Adım 5: Flaş krediyi geri ödemek için yeterli BTCB ödünç alın. İşlem tamamlanır ve saldırgan sessizce ortadan kaybolur. Otomatik bir tüccar, içi boş bir balina, çok memnun bir kripto hırsızı - başka birinin hayat birikimlerini kendi ipotek bebeklerine dönüştüren. Bununla birlikte, açgözlülük genellikle avcıları av haline getirir. "Kusursuz hırsızlık" "intihar operasyonuna" dönüşürse ne olur? Karşı Önlemler 09:09 UTC'de, hırsızlıktan dört dakika sonra, HexaGate ve Hypernative'in izleme sistemleri alarmı çalmaya başladı. Bu, sıradan bir "şüpheli işlem algılandı" istemi değildir. 13 milyon dolarlık, beş seviyeli bir alarmdı ve güvenlik şirketleri kiminle iletişime geçeceklerini hemen biliyordu. Venus Protocol'ün yanıtı ne oldu? Nükleer seçenek doğrudan başlar. Hırsızlıktan anlaşmanın askıya alınmasına kadar sadece yirmi dakika sürdü. Venüs, tüm ekosistemin tüm temel özelliklerini dondurarak kendi öldürme anahtarını etkinleştirdi. Borçlanma? Durmak. Çekilme? Son. Tasfiye - should be "likidasyon"? Duraklat. Bir kullanıcı kimlik avına maruz kaldı ve tüm protokol durma noktasına geldi. Bu sadece kriz kontrolü değil, aynı zamanda finansal bir savaş. Venüs, saldırganları çalıntı mallardan tuzağa düşürmek için platformunu kararlı bir şekilde sınırladı. Bilgisayar korsanı tarafından tutulan her vToken, anında Venüs'ün acil durum yetkisi altında kilitlenen değersiz atık kağıt haline gelir. Ancak dev bir balinayı kurtarmak için tüm DeFi protokolünü dondurmak mı? Böyle bir karar tek başına geliştirme ekibi tarafından verilemez. Ve böylece demokrasinin ortaya çıkışı geliyor: acil yönetim oylamaları. Topluluğun, bir kullanıcının servetini merkezi yollarla kurtarıp kurtarmayacağına karar vermek için yalnızca on iki saati olduğunda, buna gerçekten merkezi olmayan diyebilir misiniz? Yıldırım demokrasisi Venüs sadece protokolü askıya almakla kalmadı, aynı zamanda herhangi bir Web2 kriz ekibini kıskandıracak acil bir "sanal toplantı" çağrısında bulundu. Buna "yıldırım oylaması" diyorlar. Ne de olsa, milyonlarca dolarlık bir kararı saatlerce süren hararetli Discord tartışmasına sıkıştırmaktan daha fazla "taban yönetişimi" gibisi yoktur. Teklifin içeriği basit ve açıktır: Aşama 1: İşlevin kısmen geri yüklenmesi (kullanıcıların tasfiye edilmekten kaçınabilmeleri için). Aşama 2: Saldırganın pozisyonunun zorla tasfiyesi. 3. Aşama: Benzer olayların tekrarlanmasını önlemek için kapsamlı bir güvenlik incelemesi yapın. Aşama 4: Venüs operasyonlarının tam restorasyonu. Topluluğun tepkisi ne oldu? %100 oybirliğiyle. %99 değil. %98 de değil. Her oy, Venüs'ün eylem planını, sanki Kuzey Kore'nin seçim sonuçlarının bir tür DeFi versiyonuymuş gibi destekledi. Belki de bu gerçek bir fikir birliğidir, ya da belki de kendini korumaktan kaynaklanmaktadır. Ya da anlaşmanız milyonlarca doları tüketiyorsa ve rakipler akbabalar gibi etrafınızı sarıyorsa, anlaşmazlık kimsenin karşılayamayacağı bir lüks haline gelir. Öğleden sonra, Venüs güçlendi. Ardından, DeFi tarihindeki en tartışmalı tasfiye operasyonu gerçekleşti: saldırganın teminatını zorla ele geçirmek için akıllı sözleşme kurallarını atlamayı gerektiren bir operasyon. Kurban yanlış bir işlem imzası nedeniyle krizdedir ve Venüs "demokrasinin ölüm belgesini" imzalamak üzeredir. "Kod kanundur" acil durum otoritesiyle buluştuğunda ne olur? Canlandırma Eylemleri 21:36 UTC. Hırsızlıkta on iki küçük kişi oldu...