Обезьяний yCredit

Зачем давать доступ к контрактам, если мы знаем, что они уязвимы?

Думает ли о пользователях тот, кто разворачивает контракты?

Если да, то зачем он их разворачивает?

Если нет, тогда зачем вынуждать людей выводить деньги?

По словам самого Кронье, он пишет код не для спекулянтов. Однако его новый код пригоден только для спекуляции и ничего больше.

Когда Кронье проводит аудит, он выбрасывает недоделанные проекты обезьянам. А те с радостью подбирают любые токены, которые попадаются под руку.

Может быть он и не пишет для спекулянтов, но он точно полагается на то, что они протестируют его работу.

Белые и черные шляпы смотрят на них свысока. Но если бы обезьяны не обезьянничали, не было бы погони за властью. Не говоря уже о том, что лучшего способа проводить аудиты за счет краудсорсинга не найти...

Первого января Кронье объявил о запуске токенизированного кредита на доходность с помощью yCredit. Так как он больше не пользуется Твиттером, то эта новость была просто опубликована в статье на Medium.

Однако, это не помешало Армии Обезьян Андре начать действовать, и $45тысяч быстро натекли в контракты.

Когда Nour Haridy сделал официальное заявление в Твиттере, в котором предупреждал об опасности и призывал людей покинуть контракт, его обвинили в разведении паники и в предательстве ответственного разглашения в обмен на самопродвижение.

Все хотят быть белыми шляпами. Но кто их действительно носит, когда никто не видит?

Мы поговорили с Nour, чтобы выяснить это.

rekt:

Привет, Nour. Прости что так долго с тобой не связывались, у тебя есть время, чтобы поговорить?

Nour:

Сегодня да.

rekt:

Ты связывался с командой yearn, прежде чем опубликовать твое заявление?

Nour:

Я связался с Андре, Yearn не имеет никакого отношения к yCredit по его словам.

Они тоже ничего об этом не знали.

rekt:

Почему ты решил, что нужно было сделать официальное заявление?

Nour:

Потому что иначе никто бы не отреагировал, контракт не был обнародован.

rekt:

Ты считаешь, что твое заявление является ответственным разглашением?

Nour:

Я считаю, что это самое ответственное разглашение на данный момент, потому что второй вариант был ничего не делать.

rekt:

Андре ничего не собирался предпринимать?

Nour:

Задайте этот вопрос ему, а не мне.

Я только знаю, что этот контракт предназначался для его личного пользования.

Поэтому у него не было необходимости говорить кому-либо, что в нем был баг.

rekt:

Если он собирался что-то предпринять, зачем тебе нужно было делать заявление?

Nour:

Вы правы. Я бы ничего не стал говорить.

rekt:

Ты предупредил Андре, что собираешься рассказать об уязвимости?

Nour:

Ага.

Он сказал, говори, если хочешь.

rekt:

Ты можешь это доказать?

Nour:

Нет.

Без скриншотов нашего чата не могу. А я не могу этого сделать без его разрешения.

rekt:

После твоего заявления вектор атаки, на который ты указал, подвергся эксплоиту. Так же, как и другой вектор, о котором ты ничего не говорил.

Если бы ты мог вернуться назад, ты бы поступил иначе?

Nour:

Стоит еще отметить, что сотни тысяч долларов были на самом деле выведены потом. Я бы наверное предупредил еще и ребят из Yearn вместе с Андре. Что я, кстати, предлагал сделать, но мне сказали, что они никак не связаны с yCredit.

По факту я сделал ответственное разглашение.

Команда Yearn вообще ничего не слышала о yCredit ни до ни после их запуска.

rekt:

Как ты считаешь, Андре стоило бы поступить как-то иначе?

Nour:

Я думаю, депозитный предел помог бы уменьшить потенциальный риск.

Помимо этого нужно подчеркнуть, что он предупреждал, что контракт мог подвергнуться экономическому эксплоиту.

Он не делился адресом контракта и никого не просил использовать его.

Он не запустил пользовательский интерфейс.

Я бы поделился исходным кодом с другими разработчиками, чтобы сначала проверить его. Но у каждого свои методы работы. Может, он так и сделал.

rekt:

https://ycredit.finance?

Nour:

Это относится к старому контракту.

scUSD

rekt:

Твой твит привлек к себе много внимания, тебя обвинили в «раздувании паники».

Ты рассматривал это как возможность саморекламы?

Nour:

Конечно.

Я предпочел саморекламу эксплоиту.

Думаю, это очень помогло тем, кто смог вывести свои деньги.

Я уверен, что если бы я выбрал эксплоит, все бы просто обвинили обезьян, которые вложили туда свои деньги, а не меня.

Но я бы точно этого не сделал.

Может быть я бы провел атаку, если бы там были деньги Андре. Я бы потом смог послать их назад на его адрес, чисто поржать.

rekt:

Считаешь ли ты, что Андре использует тактику «test in prod» как технику снижения стоимости / децентрализации аудита?

Nour:

Да, мы оба так делаем.

Я так делал с Inverse, единственное различие было в депозитном пределе.

rekt:

Спасибо, что уделил нам время, Nour. Хочешь что-нибудь сказать нашим читателям?

Nour:

Я только хочу сказать, что что их деньги не будут в большей безопасности на каком-либо другом контракте на стадии аудита, чем на yCredit.

Aave чуть было не спалил миллиард $ в прошлом месяце из-за битого обновления (прошедшего аудит).

Аудиты это просто мемы.

Единственным годным доказательством безопасности может быть тестирование в реальных условиях атаки, и оно измеряется потенциальной прибылью хакера во времени. Нет смысла предъявлять Андре претензии по поводу аудитов и тестам юнитов. Его методика самая действенная, особенно касаемо экономических уязвимостей.

Парень никогда никого не просил test in prod за него, кстати. Он проводил тесты, используя свои собственные деньги. Поэтому, если вы участвуете, вам ничего не причитается, ни за ответ на уязвимость, на за раскрытие.

Спасибо за интервью.

***примечание редактора****- Несмотря на то, что Nour уже сделал официальное заявление, он изначально отказался поделиться деталями эксплоита с отделом безопаснсти rekt. Он сказал, что хочет дождаться, когда все деньги будут выведены из контракта.**

Наше расследование из-за этого затянулось, и мы не смогли предупредить неизбежные атаки.

Контракты ySwap

Stable AMM: 0x5cB5e2d7Ab9Fd32021dF8F1D3E5269bD437Ec3Bf

Exchange Router: 0xDD05437d7c7aF576b58262AE5ac6D37515168BE3

Swap Factory: 0x3A4FF19554b0F997A4cEF14A8860DcF813b738a4

Redeployed: 0x71b6296174c5f07d37cafd6e9b72ab5bb3f14fac

Анализ от Banteg

*Ответственное разглашение делается не так. Ты связался с командой? Если нет, то почему? Если да, то зачем это публичное заявление? Когда так делаешь, то ты реально привлекаешь внимание всех черных шляп, которые пропустили эту возможность.*

Я действительно пытался узнать, что и почему было сделано безответственно, но он только говорил что-то типа «лол, ну вот так». В тот момент я подумал, что нет смысла разговаривать с ним и просто надеялся, что появится полиция DeFi.

Не нужно делать вид, что не знаешь, к кому обращаться, если хочешь остаться незаметным. А он решил подгрести себе рекламы.

***Касаемо всего остального... Предупреждения были сделаны, Андре не в чем винить. Но он снова прячется, и мне его жаль. Можно поспорить насчет того тестирования в производстве, конечно. Может, стоило бы чуть лучше огородить его от обезьян. Я думаю, что он очень чувствительный человек. И вся эта тупая погоня за хайпом станет причиной того, что мы потеряем одного из самых гениальных разработчиков, в каком-то роде.*

Если люди общаются только через Etherscan, тогда пошли они к черту...

Берите на себя ответственность за ваши поступки и за ваши потери.

Похоже что этот контракт сделал свое дело.

Еще один урок для обезьян, которых жизнь ничему не учит.

По крайней мере у обезьян есть своя цель; глупостью остальных пользуется кто-то другой.

Контракт заново развернули, хайп и деньги распределили, и мы идем дальше.

Наш почтовый ящик всегда открыт...

REKT представляет собой общественную площадку для анонимных авторов. Мы не несём ответственность за выражаемые точки зрения или контент на этом веб-сайте.

Пожертвование (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

Дисклеймер:

REKT не несет никакой ответственности за любое содержание, размещенное на нашем Веб-сайте или имеющее какое-либо отношение к оказываемым нами Услугам, независимо от того, было ли оно опубликовано или создано Анонимным Автором нашего Веб-сайта или REKT. Не смотря на то, что мы устанавливаем правила поведения и нормы публикаций для Анонимных Авторов, мы не контролируем и не несем ответственность за содержание публикаций Анонимных Авторов, а также за то, чем делятся и что передают Авторы с помощью нашего Сайта и наших Сервисов, и не несем ответственность за любое оскорбительное, неуместное, непристойное, незаконное или спорное содержание, с которым вы можете столкнуться на нашем Веб-сайте и на наших Сервисах. REKT не несет ответственность за поведение, будь то онлайн или офлайн, любого пользователя нашего Веб-сайта или наших Сервисов.