Eminence возмещает ущерб - сделай или DAI



Угрозы со стороны членов сообщества заставили Андре Кронье и его команду быстро принять меры, чтобы возместить 8 миллионов долларов. Эти деньги были мистическим образом возвращены после того, как контракт EMN подвергся эксплоиту на 15 миллионов долларов 30 сентября 2020 года.

Зачем кому-то возвращать 8 миллионов долларов?

Это был изощренный взлом, на разработку которого возможно ушло несколько дней. Почему они выбрали вернуть деньги спустя всего несколько минут?

Возможно ли, что Yearn была известна личность атакующего?

Если бы вы были хакером, вы бы предпочли иметь $15 миллионов и подвергнуться доксингу, или иметь $8 миллионов и спокойно наслаждаться жизнью?

Вот всего несколько вопросов, которыми задается сообщество после драматического эксплоита и возврата денег 29 сентября.

Ниже вы можете найти полный анализ трех транзакций, причастных к эксплоиту.

Транзакция 1 29-сен-2020 01:20:41 +UTC

Транзакция 2 29-сен-2020 01:22:28 +UTC

Транзакция 3 29-сен-2020 01:23:28 +UTC

Возвратная транзакция произошла 8 минут спустя.

Возвратная транзакция от 29-сен-2020 01:31:04 +UTC

Есть несколько теорий относительно того, кто стоит за ограблением, и многие спорят, был ли это действительно взлом или просто эксплоит незаконченного кода.

@mierzwik написал вот эту статью о боте, ответственном за эту атаку (0x762bfbd), в которой он описывает, как бот украл 400 UNI за неделю до атаки на EMN.

@frankresearcher с тех пор провел замечательную работу по изучению того же кошелька, использованного во взломе / эксплоите.

Вы можете прочитать остальные твиты Франка здесь. Он продолжает свой анализ, выдвигая гипотезу о роли различных адресов, замешанных во взломе / эксплоите.

Гипотеза Франка основана на данных он-чейн:

0x223034e = хакер $ENM

0x762bfbd = контракт, из которого хакер вывел $UNI

0x2d033fe = адрес создателя 0x762bfbd

0x2f14f72 = адрес, который финансировал создатель (вполне вероятно, один владелец)

Это расследование продолжается, подписывайтесь сейчас, чтобы следить за обновлениями.

В том, что он описал как «элегантное решение», разработчик из Yearn, @bantg, использовал код распределения Uniswap LP и дерево Меркла для того, чтобы вернуть деньги.

Milkyklim создал похожее решение для возмещения yYFI тем, кто подал заявку на вывод из контракта yYFI между блоками 10923319-10954777 и пострадал из-за проблемы с 5% комиссией.

Как только средства для возвещения стали доступны на youreminence.finance, компенсация рассылалась со скоростью $250,000 в минуту.

В результате половина от 8-миллионного возмещения была выведена на всего 20 минут.

Несмотря на то, что команда бросила все силы на создание этого снэпшота, многие пользователи были недостаточно внимательны в момент вывода своей компенсации. Они просто скопировали скриншот, которым поделился banteg, в результате чего отдали весь объем запрошенных средств обратно banteg и его команде.

100% чаевых 340 DAI

100% чаевых за 66.9 DAI

100% чевых за 993.3 DAI

100% чаевых за 263.1 DAI

Полный список «чаевых» транзакций можно найти здесь

У многих возник вопрос, почему эта опция возврата запрошенных средств в виде 100% чаевых стала возможной, если она могла быть ограничена до 10 или 20%.

Интересно, что те, кто больше всего выиграл от возврата средств, оставили самый маленький процент чаевых в относительно размера запрошенных средств.

Жадные киты...

Вот еще несколько цифр относительно запросов на вывод DAI и пожертвований, прошедших через youreminence.finance, благодарим за дружественное содействие Alphaleakers.

rektHQ создано сообществом и для сообщества. Мы очень благодарны членам сообщества, которые связались с нами в течение последних нескольких дней и предложили свои знания и поддержку. Мы здесь, чтобы передавать ваши истории и мнения, чтобы защищать вашу личность и распространять вашу информацию, ставя честность и точность превыше всего.

Следующие мнения принадлежат анонимным членам сообщества. rektHQ выражает свое глубокое уважение тем, кто поделился своими мыслями и информацией в сегодняшней статье. Наш почтовый ящик открыт и анонимен для всех, кто пожелает связаться с нами.

Как всегда, rektHQ не несет ответственности за содержание или мнения, представленные в этой новостной рассылке.


АНОН 1

Я не поддерживаю возмещение $8М по двум причинам.

Во-первых из-за угроз в адрес Андре, чтобы он попросил у казначейства yearn помочь ему в возмещении $8M. Я не знаю, из чего конкретно состояли угрозы, но тот факт, что возмещение было проведено до самого конца создает опасный прецедент. Это укрепляет мнение о том, что угрожать участникам проекта является жизнеспособным планом действий для достижения желаемого результата.

Во-вторых, конечно же из-за аспекта морального риска, который уже давно широко обсуждается в СТ (крипто-твиттере). Австрийские экономисты обожают использовать термин «моральные риски» для описания интервенционизма, который простыми словами DeFi определяется как стремление дегенов влезать во все более и более рискованные проекты, не прошедшие аудит, потому что они «ожидают», что их частично вытащат, если случится ситуация, подобная этой. Такой перенос рисков конечно же существует в реальном мире, когда крупные банки ожидают, что федеральное правительство спасет их, если наступят тяжелые времена. Но действительно ли мы хотим воспроизвести это в DeFi-пространстве?

Кто бы ни выполнил эксплоит EMN, он показал большую инициативность и изобретательность. Но что намного важнее, он/она поделился подробным планом проведения простой, но очень прибыльной атаки и переключением внимания на сам атакованный проект, чтобы тот взял на себя всю тяжесть ошибочных угроз и злобы. Возможно даже, что это станет новой нормой для эксплоитеров - давать чаевые системам, которые они только что обыграли, сродни негласному кодексу поведения среди воров.

Куда бы ни привел нас этот недавний инцидент в течение следующих нескольких недель, стоит задуматься о том, какой сигнал он посылает всем плохим игрокам в индустрии. Или даже нейтральным, заботящимся о морали людям, которые раз за разом наблюдают, как эти преступники отделываются и остаются безнаказанными.

АНОН 2

С технической точки зрения, я думаю, что имплементация была немного неуклюжей, потому что сначала ее развернули в тестовой сети.

Допустим, что достаточно сложно сделать форк основной сети и использовать его локально, чтобы протестировать uniswap, balancer или bonding curve, поэтому я понимаю смысл «тестировать столько, сколько это возможно», но реальное тестирование проводится в производстве...

Однако, такие рассуждения дают почву для говно-разработчиков и мошенников. А это ужасно, учитывая количество раг пулов «Uniswap» за последнее время.

Я хочу сказать, оглядываясь назад, что в этом была и не была вина Андре. Учитывая, что вокруг него столько шумихи, идея, что это могло бы произойти, была очень даже правдоподобной.

Я имею в виду, что в процессе разработки есть столько вещей, о которых вы можете когнитивно думать, что вы больше сфокусированы на дорожной карте проекта, чем на дополнительных деген-рисках defi, которые, нужно признать, до сих пор возникают. Не важно, стоит за этим работа команды или нет, проблема остается той же.

Догадываюсь, что тайминг был немного запутан в плане коммуникации. Люди предпочитают поддерживать связь не так часто, особенно в связи с тем, что к сообществу $YFI присоединились так много новых разработчиков...

Андре тервитнул фото и потом люди начали выдумывать заговор, чтобы застать всех врасплох.

Лично у меня тоже было такое впечатление. Крипто-культура настолько запутанная, люди любят загадки и анонимность в ущерб самим себе, но это мое личное мнение.

Компенсировать деньги было мудрым решением, это показало, что проект и дальше будет вестись добросовестно.

Это также показывает, что во всех этих дегенских выходках с высокой TLV есть доля человечности.

Как правило люди рискуют многим, не важно в какой сфере или с каким классом активов.

Нельзя винить людей в том, что они вернули фонды эксплоитера тем, кто был #halfrekt, как и нельзя винить эксплоитера за то, что он вернул половину фондов в первую очередь.

Технически я не на уровне Андре, и моя интуиция мне подсказала, что все это могло подвергнуться рагпулу прежде, чем все лягут спать. Но в реальности это оказалось просто сказкой про удачу.

Всем просто действительно нужно больше спать.


Поделиться

REKT представляет собой общественную площадку для анонимных авторов. Мы не несём ответственность за выражаемые точки зрения или контент на этом веб-сайте.

Пожертвование (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

Дисклеймер:

REKT не несет никакой ответственности за любое содержание, размещенное на нашем Веб-сайте или имеющее какое-либо отношение к оказываемым нами Услугам, независимо от того, было ли оно опубликовано или создано Анонимным Автором нашего Веб-сайта или REKT. Не смотря на то, что мы устанавливаем правила поведения и нормы публикаций для Анонимных Авторов, мы не контролируем и не несем ответственность за содержание публикаций Анонимных Авторов, а также за то, чем делятся и что передают Авторы с помощью нашего Сайта и наших Сервисов, и не несем ответственность за любое оскорбительное, неуместное, непристойное, незаконное или спорное содержание, с которым вы можете столкнуться на нашем Веб-сайте и на наших Сервисах. REKT не несет ответственность за поведение, будь то онлайн или офлайн, любого пользователя нашего Веб-сайта или наших Сервисов.