YCREDIT与猿人

为什么要给猿人授信？

如果已知合约有漏洞，为什么要公之于众？

部署者是否在乎他们的用户？

如果他们在乎，为什么要部署这些合约？

如果他们不在乎，为什么要试图让人们撤回？

用他自己的话说，Cronje不为投机者而构建，然而新的Cronje代码似乎是用来投机的，别无他用。

在Cronje审计过程中，他把未完成的产品扔给猿人，猿人则欣然接受扔过来的任何代币。

也许他不为投机者构建，但他肯定会依靠他们来检验自己的作品。

无论是黑帽还是白帽都看不起他们的行为，但如果猿人没有无脑入，就没有影响力可追，也没有更好的方式来众包你的审计......

1月1日，Cronje宣布使用yCredit(https://ycredit.finance/)推出代币化收益信用。由于他不再使用推特，因此对于这一消息是通过Medium的帖子发布的，没有什么值得大惊小怪的。

不过，这并没有阻止平时的Andre猿军活动，约4.5万美金迅速流入合约中。

当努尔·哈里迪（Nour Haridy）在推特上发布公告，警告人们从合约中撤出时，他被指责追逐影响力，放弃负责任的披露以换取自我宣传。

每个人都希望自己戴着白帽被人看到，但有多少人会在无人注意时戴上白帽呢？

我们采访了Nour来了解一下情况。

rekt：

Nour，耽误您的时间了，我感到非常抱歉。您有时间和我谈谈吗？

Nour：

没问题。

rekt：

发布公告前，您是否联系过"yearn"团队？

Nour：

我联系了Andre，据Yearn说，Yearn和yCredit没有任何关系。

他们也不知道这件事。

rekt：

你为什么会认为发布公告是有必要的？

Nour：

因为如果不这样做的话，就不会有任何回应。因为合约尚未公开。

rekt：

你认为你是以负责任的方式披露公告吗？

Nour：

我认为这是最负责任的方式披露，因为唯一的其他选择就是什么都不做。

rekt：

Andre不打算做任何事情吗？

Nour：

你应该问他而不是我。

我所知道的是，这份合约只为他而设。

所以他没有理由告诉别人有漏洞。

rekt：

如果他要做一些事情，你为什么要发布公告呢？

Nour：

你说的没错。我不应该那么做。

rekt：

你有没有告诉Andre你要公布这个漏洞？

Nour：

有。

他说，如果我想这样做，我可以自由去做。

rekt：

你能证明这一点吗？

Nour：

不。

我需要截屏聊天记录才可以证明这一点。根据聊天记录，没有他的允许，我不能这么做。

rekt：

在你发布公告之后，你指出的攻击因子被利用了，还有另一些你没有宣布的攻击因子。

如果你可以重复这些事件，你会不会有什么不同的做法？

Nour：

值得一提的是，几十万的资金其实在之后就被撤回了。不过，除了Andre，我还会提醒Yearn。我确实建议过，但我被告知他们与yCredit没有任何关系。

事实上，我确实以负责任的方式披露了。

Yearn团队在yCredit发布前和发布后都不知道任何关于yCredit的事情。

rekt：

你认为Andre应该做什么不一样的事情吗？

Nour：

我认为存款上限会有助于限制潜在风险。

但除此之外，他确实说过可以在经济上加以利用。

他没有分享合约地址，也没有邀请任何人使用它。

他并没有推出UI。

我个人会与其他开发人员分享源代码，让他们先进行审核。但这些是不同的风格。也许他也有

rekt：

https://ycredit.finance?

Nour：

这与旧合约有关

scUSD

rekt：

你的推特引起了很多人的关注，你被一些人指责为"追逐影响力"

你是否认为这是一个自我宣传的机会？

Nour：

当然

我选择了自我宣传，而不是漏洞利用。

我觉得这对那些能够撤出的人来说，已经是相当不错的待遇了。

我敢肯定，如果我使用了这个漏洞，每个人都会责怪那些把钱投进去的猿人，而不是责怪我。

但是，是的，无论如何我都不会这么做。

也许我会这样做，如果只有Andre的资金，所以我可以把它们寄回他的地址当作玩玩。

rekt：

你认为Andre使用这种"在生产中进行测试"的方法当作一个更便宜的/去中心化的审计技术？

Nour：

是的，我们俩都是这样做的。

我是用Inverse做的，唯一不同的是存款上限。

rekt：

_Nour，谢谢你抽出宝贵的时间，你有什么想对我们的读者说的吗? _

Nour：

我只想说，他们的钱在其他经审计的合约上不会比在yCredit上更安全。

Aave上个月在一次有问题的（经审计）升级中勉强躲过了10亿美金被销毁。

审计真的是一个备忘录。

唯一可行的安全证明是链上压力测试，按潜在攻击者的利润随时间推移进行衡量。所以不要对着Andre大喊审计和单元测试之类的，他只局限于一种做事方式，尤其是在经济漏洞方面。

反正这家伙从来没有邀请任何人为他在生产中进行测试。他是用自己的钱在测试。所以你参与其中，就会失去任何权利，包括漏洞响应和披露。

谢谢你接受我的采访。

编者注

尽管已发布公告，Nour最初拒绝与rekt OPSEC分享漏洞细节，表示他想等到合约中的资金为零。

这延缓了我们的调查进度，意味着我们无法在不可避免的黑客攻击之前采取行动。

ySwap合约

稳定的AMM：0x5cB5e2d7Ab9Fd32021dF8F1D3E5269bD437Ec3Bf

交换路由器：0xDD05437d7c7aF576b58262AE5ac6D37515168BE3

交换工厂：0x3A4FF19554b0F997A4cEF14A8860DcF813b738a4

重新部署：0x71b6296174c5f07d37cafd6e9b72ab5bb3f14fac

Banteg的分析

Nour是谁，凭什么决定一句"呸，反正不应该用"就能成为公然邀约打击人们的理由，也诋毁了Andre的信誉，以此来壮大自己的影响力。

这不是负责任的披露方式。你和团队联系了吗？如果没有，为什么没有？如果你联系了，为什么要做公益广告？你这是在呼吁所有不睡在这里的黑帽黑客注意啊。

我试图合法地去寻找更多信息，为什么或如何不以负责任的方式处理此事，他基本上只是像 "lol，你想要什么"。在这一点上，我觉得和这家伙交流没什么意义，只是希望去中心化金融警察会出现。

如果你至少注意一下，不会不知道私下该问谁。但他却决定搞什么宣传噱头。

***除此以外... ... 已发出警告，Andre没有责任。然而他又躲起来了，说实话，我真为他感到惋惜。*当然，这也是值得商榷的，这种在生产中进行测试是否应该对猿人多加防范。我觉得他是个很理智的人，像这样愚蠢的追逐影响力很可能是我们在某些时候失去一个最聪明建造者的原因。

_如果人们只通过Etherscan进行交流，那就去死吧 __

对自己的行为负责，对自己的损失负责。

看来这份合约已达到其目的。

又给那些活而不学的猿人上了一课。

至少猿人有自己的目标，别人的无知是某人的工具。

合约已被重新部署，影响力和现金已被重新分配，我们继续前进。

我们的收件箱永远打开...

REKT作为匿名作者的公共平台，我们对REKT上托管的观点或内容不承担任何责任。

捐赠 (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

声明:

REKT对我们网站上发布的或与我们的服务相关的任何内容不承担任何责任，无论是由我们网站的匿名作者，还是由 REKT发布或引起的。虽然我们为匿名作者的行为和发文设置规则，我们不控制也不对匿名作者在我们的网站或服务上发布、传输或分享的内容负责，也不对您在我们的网站或服务上可能遇到的任何冒犯性、不适当、淫秽、非法或其他令人反感的内容负责。REKT不对我们网站或服务的任何用户的线上或线下行为负责。