yCredit al Ape



¿Por qué darle crédito al ape?

Si se sabe que un contrato es vulnerable, ¿por qué lanzarlo al mercado?

¿Al deployer le importan sus usuarios?

Si sí, ¿por qué implementar los contratos?

Y si no, ¿por qué incentivar a la gente a retirarse?

En sus propias palabras, Cronje no desarrolla para los especuladores, pero parece que el nuevo código Cronje se usa para la especulación y nada más.

El proceso de auditoría de Cronje arroja productos incompletos a los apes, quienes consumen con gusto cualquier token que les llegue.

Tal vez no desarrolla para los especuladores, pero es verdad que depende de ellos para probar su trabajo.

Ambos, black y white hats miran con desprecio el comportamiento de los apes, pero si éstos no se comportaran así, no habría clout para chase, y no hay mejor manera de crowdsource tus auditorías…

El 1 de enero, Cronje anunció el lanzamiento de crédito de rendimiento tokenizado vía yCredit. Dado que ya no utiliza Twitter, este anuncio salió con poco escándalo vía un post de Medium.

Sin embargo, esto no paró la actividad del Andre Ape Army, y ~$45k fluyeron rápidamente hacia los contratos.

Cuando Nour Haridy hizo una declaración pública en Twitter, advirtiendo a la gente de retirarse de los contratos, fue acusado de clout chasing y de abandonar la práctica de revelación responsable para la autopromoción.

Todo el mundo quiere ser visto con un white hat, pero ¿cuántos lo usan cuando nadie los ve?

Hablamos con Nour para investigar.


rekt:

Hola Nour, perdona el retraso, ¿puedes hablar?

Nour:

Puedo hablar hoy.

rekt:

¿Contactaste al equipo Yearn antes de hacer tu declaración?

Nour:

Contacté a Andre, Yearn no tiene nada que ver con yCredit según Andre.

Tampoco sabían nada sobre ello.

rekt:

¿Por qué creíste que una declaración pública era necesaria?

Nour:

Porque de otra forma no hubiera habido ninguna reacción, porque el contrato no fue anunciado públicamente.

rekt:

¿Consideras que tu declaración es una revelación responsable?

Nour:

La considero la revelación más responsable posible, ya que la única otra opción era no hacer nada.

rekt:

¿Andre no iba a hacer nada?

Nour:

Esa pregunta debes de hacérsela a él, no a mi.

Lo único que sé es que se supone que ese contrato sólo iba a ser usado por él.

Así que no tenía razón para informar a nadie que había un bug.

rekt:

Si él iba a hacer algo, ¿por qué lo anunciarías tú?

Nour:

Tienes razón, no lo haría.

rekt:

¿Le dijiste a Andre que ibas a anunciar la vulnerabilidad?

Nour:

Sí.

Me dijo que era libre de hacerlo si quería.

rekt:

¿Podrías probarlo?

Nour:

No.

No sin sacar screenshots de nuestros chats. Que no puedo hacer sin su permiso.

rekt:

Después de tu declaración, el vector de ataque que mostraste fue explotado, junto con otro vector que no mencionaste.

Si pudieras repetir los eventos, ¿harías algo diferente?

Nour:

También vale la pena mencionar que cientos de miles fueron retirados después. Sin embargo, avisaría al equipo de Yearn junto con Andre. Lo que, por cierto, sí sugerí, pero me dijeron que no estaban afiliados con yCredit.

La verdad es que sí lo revelé responsablemente.

El equipo de Yearn nunca supo nada sobre yCredit ni antes ni después de que se lanzó.

rekt:

¿Crees que Andre debió de haber hecho algo diferente?

Nour:

Creo que un límite en los depósitos ayudaría a limitar el riesgo potencial.

Pero fuera de eso, sí dijo que puede ser explotado económicamente.

No compartió la dirección del contrato ni invitó a nadie a usarlo.

No lanzó una interfaz de usuario.

Personalmente, yo compartiría el source code con otros devs para revisarlo primero. Pero estos son estilos distintos. Quizá sí lo hizo.

rekt:

ycredit.finance?

Nour:

Eso está conectado al contrato anterior, scUSD.

rekt:

Tu tuit recibió mucha atención, y algunos te acusaron de “clout chasing”.

¿Viste esto como una oportunidad de autopromoción?

Nour:

Claro.

Elegí la autopromoción en lugar de usar el exploit para mí mismo.

Creo que fue un resultado bastante bueno para los que pudieron retirar.

Si hubiera usado el exploit, estoy seguro que todos culparían a los apes que metieron su dinero en lugar de a mi.

Pero no lo hubiera hecho de todas formas.

De hecho, tal vez lo hubiera hecho si solo los fondos de Andre estuvieran dentro, para que pudiera devolvérselos a su dirección sólo por diversión.

rekt:

¿Crees que Andre utiliza este método de_ “test in prod” _como una técnica de auditoría más barato/descentralizado?

Nour:

Si, ambos lo creemos.

Yo lo hice con Inverse, la única diferencia fue un límite en los depósitos.

rekt:

Gracias por tu tiempo, Nour, ¿hay algo que quieras decir a nuestros lectores?

Nour:

Solo quiero decir que su dinero no está más seguro en cualquier otro contrato auditado de lo que puede estar en yCredit.

Aave apenas evitó quemar un billón $ el mes pasado con una defectuosa (pero auditada) actualización.

Las auditorías realmente son un meme.

La única prueba viable de seguridad son las pruebas de batalla on-chain medidas por las ganancias potenciales de los agresores, con el tiempo. Así que no tiene sentido gritar acerca de las auditorías y pruebas de unidad a Andre, su método realmente es el único, especialmente cuando vienen las vulnerabilidades económicas.

El tipo nunca invitó a nadie para test in prod de todas formas. Estuvo haciendo pruebas usando su propio dinero. Así que no tienes derecho a nada si participas, ni siquiera una respuesta a, o revelación de, posibles vulnerabilidades.

Gracias por la entrevista.


Nota del editor - A pesar de ya haber hecho una declaración pública, Nour inicialmente se rehusó a compartir los detalles del exploit con rekt OPSEC, manifestando que quería esperar hasta que hubiera cero fondos en el contrato.

Esto frenó nuestra investigación y, como resultado, no fuimos capaces de tomar acción antes de los inevitables hacks.


ySwap Contracts

Stable AMM: 0x5cB5e2d7Ab9Fd32021dF8F1D3E5269bD437Ec3Bf

Exchange Router: 0xDD05437d7c7aF576b58262AE5ac6D37515168BE3

Swap Factory: 0x3A4FF19554b0F997A4cEF14A8860DcF813b738a4

Redeployed: 0x71b6296174c5f07d37cafd6e9b72ab5bb3f14fac

Análisis de Banteg


Un anónimo transeúnte molesto tenía algo que decir…

Quién putas es Nour para decidir que “nah, no debe de usarse de todas formas” es una razón para básicamente invitar públicamente a rekt a la gente, y también esencialmente a desacreditar a Andre con la intención de pump su propio clout.

Esta no es la manera en la que se hace la revelación responsable. ¿Te pusiste en contacto con el equipo? Si no, ¿por qué no? Sí sí, ¿por qué la declaración pública? Literalmente estás llamando la atención de cada black hat no dormido.

Intenté legítimamente encontrar más información de por qué o cómo este incidente no ha sido manejado de una manera responsable, y básicamente me dijo “lol, ¿que quieres?”. A ese punto no vi mucho sentido en comunicarme con este tipo y sólo esperaba que la policía DeFi apareciera.

No es como que no se supiera a quién preguntar por privado si se pone al menos el mínimo de atención. Pero decidió convertirlo en algún tipo de treta publicitaria.

Aparte de eso… advertencias fueron emitidas, no hay culpa para Andre. Pero se está escondiendo otra vez y honestamente me siento mal por él. Claro que es debatible si esta cosa de test in prod no debe de estar estar mejor protegida de los apes. Creo que es una persona muy sensata y tonterías de clout chasing como esta podrían ser la razón por la que perdamos, en algún momento, a uno de los desarrolladores más ingeniosos.

Si la gente solo interactúa por Etherscan, que se jodan...

Toma responsabilidad por tus acciones y toma responsabilidad por tus pérdidas.


Parece que este contrato ha cumplido su propósito.

Otra lección para los apes, quienes viven pero no aprenden.

Al menos los apes tienen su propósito; la ignorancia de otros es una herramienta para algunos.

El contrato ha sido deployed de nuevo, el clout y el dinero han sido redistribuidos, y nosotros avanzamos.

Nuestro buzón siempre se encuentra abierto...


compartir artículo

REKT sirve como plataforma pública para autores anónimos, nos deslindamos de la responsabilidad por las opiniones y contenidos alojados en REKT.

dona (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

aviso legal:

REKT no es responsable ni culpable de ninguna manera por cualquier Contenido publicado en nuestro Sitio Web o en conexión con nuestros Servicios, sin importar si fueron publicados o causados por Autores ANÓN de nuestro Sitio Web, o por REKT. Aunque determinamos reglas para la conducta y publicaciones de los Autores ANÓN, no controlamos y no somos responsables por cualquier contenido ofensivo, inapropiado, obsceno, ilegal o de cualquier forma objetable, que se pudiera encontrar en nuestro Sitio Web o Servicios. REKT no es responsable por la conducta, en línea o fuera de línea, de cualquier usuario de nuestro Sitio Web o Servicios.