 . Nan 2019, mwen te DDOS' EOS rezo prensipal rezo a ak jele li pou yon mwa pa eksplwate yon defo nan modèl konsansis resous li yo. EOS te klase top7 nan moman sa a. (   ,   ) Non mwen se Dexaran. Mwen se yon pirate, mwen te fèt ak egzekite youn nan pi gwo atak yo nan nivo konsansis nan endistri a Rapò EOSGO rapò kominotè    . (   ) Mwen se yon fondatè youn nan ekip devlopman debaz Ethereum Classic yo Atik Cointelegraph la  Mwen te fèt   , yon seri règ ki   ki te fleo nan endistri a pou chenn POW yo. Amannman nan konsansis Nakamoto rezoud 51% atak  Nòt editè a: Istwa sa a reprezante opinyon otè istwa a. Otè a pa afilye ak anplwaye HackerNoon e li te ekri istwa sa a poukont li. Ekip editoryal HackerNoon an te sèlman verifye istwa a pou presizyon gramatikal epi li pa tolere/kondane okenn nan reklamasyon ki genyen ladan l yo. #DYOR   Aksidan  Yon itilizatè pèdi $26,000,000 yon valè de jeton ezETH lè li voye yo nan yon kontra entelijan. Gen plizyè atik ak fil twitter ki reklame ke sa a se te yon erè itilizatè, pou egzanp yon sèl sa a pa   . CoinTelegraph    . Transfè nan adrès ekstèn posede ak transfè nan kontra entelijan travay yon fason diferan. Sa a pa kòrèk. Erè itilizatè menm jan an pa ta lakòz yon pèt Eth, NFT oswa ERC-223 siy  Si itilizatè a ta voye jeton nan yon move adrès (ki se pa yon kontra entelijan) oswa adrès ki pa posede pa pèsonn - sa ta dwe yon erè itilizatè a.  Nan ka sa a sepandan, itilizatè a depoze marqueur nan yon kontra entelijan. Smart-kontra yo sipoze anpeche erè sa yo, epi yo sètènman ka fè sa - pou egzanp si yon itilizatè ta depoze Etè (oswa nenpòt lòt lajan natif natal), NFTs (ERC-721) oswa   tokens nan yon kontra entelijan ki pa te fèt pou resevwa yo - Lè sa a, marqueur yo pa ta dwe pèdi. Ta gen yon erè tranzaksyon ak transfè a nan marqueur jis pa ta rive. ERC-223  Manyen erè se youn nan prensip ki pi fondamantal nan sekirite lojisyèl. Konsepsyon lojisyèl nan yon fason ke li pa ta posib byen okipe erè envokasyon se menm bagay ak manke modifye   pou yon fonksyon gouvènans - sa ta dwe yon pwoblèm sekirite. onlyOwner  Sa a se yon pwoblèm nan estanda ERC-20 - li fèt nan yon fason ki fè manyen erè enposib. Epi sa a se yon pwoblèm sekirite.   . Nan 2023,   . Estanda ERC-20 ansekirite kreyatè estanda ERC-20 li menm te konfime ke sa a se yon pwoblèm sekirite nan estanda a  Mwen te rapòte li nan 2017   ak   . Epitou, mwen te fèt estanda ERC-223 la pou rezoud pwoblèm egzak sa a nan 2017, isit la se fil   kote li make ke estanda sa a anpeche yon pèt lajan. isit la isit la orijinal EIP-223 la     Li twò fasil pou konpayi sekirite ak devlopè yo blame itilizatè yo pou fè yon erè. Sepandan, se fòt pwomotè a ke yo te bati aplikasyon yo lè l sèvi avèk estanda a ensekirite ki echwe pou fè fas ak erè itilizatè yo ki te lakòz yon domaj dezas konsa.   Istwa  Mwen te mete aksan sou ke sa a ka lakòz domaj finansye a itilizatè yo pandan y ap rapòte sa a Ethereum Foundation. Yo pa fè anyen. Pou 7 ane.  Te gen $16,000 pèdi akòz pwoblèm sa a nan 2017.  Te gen $2,000,000 pèdi nan 2018  $60,000,000 nan 2023  Nan dat 1ye novanm 2024, te gen $90,000,000 (eksepte 25M pèdi nan kontra ezETH)  Kounye a gen $115,000,000  Ekip mwen an te devlope yon script ki kalkile kantite marqueur pèdi:     https://dexaran.github.io/erc20-loss   Nan 2017 yon lòt itilizatè pèdi 130K.   Nan 2020 yon itilizatè te pèdi ekonomi lavi li.   An 2023, yon itilizatè te pèdi $240K nan yon sèl tranzaksyon.   Lè sa a, Poloniex pirate pèdi $ 2.5M.  Mwen te mande pou sispann fè pwomosyon estanda ERC-20 poutèt pwoblèm sekirite sa a nan 2017, pa te gen okenn repons   . https://github.com/ethereum/ethereum-org/issues/755  Mwen te ogmante pwoblèm sa a bay EthereumCatHerders, mesye sa yo ki jere EIP nan Ethereum.  Nan 2023 yo   "nou pa gen anyen fè ak divilgasyon sekirite, nou pa gen yon pwosesis pou sa". te reponn  Klarifikasyon: EIP ak ERC yo se pwopozisyon ke nenpòt moun ka soumèt bay Ethereum. Yo ka vin estanda oswa modifikasyon ke devs aplike nan fason Ethereum travay. Yo se dosye tèks nan repo github yo.  Kontèks: yo pa gen yon pwosesis pou fè fas ak divilgasyon sekirite nan EIPs 10 ane apre lansman pwojè Ethereum.  Mwen te pwopoze yon metòd pou modifye fason EIP yo travay pou pèmèt divilgasyon sekirite:  https://ethereum-magicians.org/t/modification-of-eip-process-to-account-for-security-treatments/16265  Mwen pwopoze pou ajoute yon avètisman sou ERC-20 epi dokimante pwoblèm nan nan EIP yo. Men apèl yo a, kote yo deside ke mwen bezwen ale ak kreye yon lòt EIP enfòmasyon ki ta divilge yon vilnerabilite nan EIP-20:  https://github.com/ethcatherders/EIPIP/issues/257#issuecomment-1693372317  Mwen te fè sa. Yo   divilgasyon EIP mwen apre sa. te rejte  Mwen te vini ak pwopozisyon pou reviv lide inisyal mwen ke mwen te dekri sou fowòm EthereumMagicians ki ta pèmèt divilgasyon sekirite nan seksyon "Konsiderasyon Sekirite" nan EIPs nan 2024 yon lòt fwa ankò.  Men diskisyon mwen ak editè EIP yo:  https://www.youtube.com/watch?v=PKkJNqcozhw&t=744s  Kòm rezilta, editè EIP yo te di m ke yo pral vote sou sa:  https://github.com/ethcatherders/EIPIP/issues/349  Yo te vote pwopozisyon mwen an. Pa gen okenn pwosesis pou fè fas ak divilgasyon sekirite nan EIP yo. Pwoblèm nan ERC-20 pa fiks. Li pa menm rapòte oswa dokimante kòm yon pwoblèm se konsa implementers kontinye repwodui li sou yo ak sou ankò.   Oditè enjis  Mwen pèsonèlman rapòte pwoblèm sa a bay OpenZeppelin, mande yon ranje 3 fwa.  Nan 2018  https://github.com/OpenZeppelin/openzeppelin-contracts/issues/729  An 2023  https://github.com/OpenZeppelin/openzeppelin-contracts/issues/4451  Apre yo te rejte de anvan yo, mwen te deside rapòte li nan yon fason ki ta demontre gravite pwoblèm nan, kidonk mwen te soumèt li bay bounty ensèk yo paske li anfòm nan kritè "vinerabilite sekirite kritik" dapre pwòp règleman yo    https:/ /github.com/OpenZeppelin/openzeppelin-contracts/issues/4474#issuecomment-1646901022  OpenZeppelin te rejte li ak "divilgasyon piblik nan vilnerabilite san patch" (ki konfime sa a se yon pwoblèm sekirite omwen).  Kèk jou de sa nan Devcon7, yo te poze yon kesyon ak menm nèg sa a nan OpenZeppelin ki fèmen yon pwoblèm sou github yo konsènan pwoblèm sa a:  https://www.youtube.com/watch?app=desktop&v=DKJYpdXsOwQ&start=406  6 ane apre li te rapòte epi apre li te lakòz $115,000,000 pèt itilizatè yo.  Repons yo pa menm vre. Olye pou yo gen yon pwoblèm ouvè, yo fèmen 3 pwoblèm ke mwen louvri epi rejte nenpòt rekòmandasyon ke mwen te fè.   Konklizyon  Ethereum Foundation ap sansi nenpòt tantativ pou mete aksan sou pwoblèm nan, ki lakòz itilizatè ekosistèm nan pèdi $ 115,000,000. Pwoblèm nan pa anonse, divilgasyon pa byen jere, enplemantè yo kontinye repwodui li nan nouvo kontra yo.  Mwen panse ke yo konsidere ke li ta twò domaje pou repitasyon yo divilge li.  Oditè tankou OpenZeppelin pa divilge pwoblèm nan tou, pwobableman paske yo gen yon konfli enterè paske yo deja mete etikèt "Secure" sou dè santèn de kontra ERC-20 ke yo te kontwole.  Devs yo di "Nou jis aplike estanda a jan li ye a."  Estanda a gouvène pa pwosesis EIP, pwosesis EIP a pa bati pou fè fas ak divilgasyon sekirite.  Pwosesis EIP dwe chanje. Pwoblèm ERC-20 dwe divilge epi byen dokimante. Idealman, yon nouvo estanda dwe aplike. Aplike yon seri "bandaids" sou ERC-20 pou bese domaj la pi bon pase pa fè anyen, men li pa ta rezoud pwoblèm nan per se.  Tout moun ki di "pwoblèm nan ka rezoud sou nivo bous la" manke ekspètiz sekirite. Gen yon prensip   nan sekirite lojisyèl ki vle di ke ou pa ka bati yon moso nan lojisyèl ansekirite, di tout moun ki jan yo sèvi ak li pou ke li pa ta afekte itilizatè ou yo ak pretann ke li pa pral lakòz domaj. Pa nan yon endistri finansye. Apwòch sa a ta ka travay nan konsepsyon entènèt, pou egzanp, kote pri a nan yon fay se yon moun ki pa kapab chaje yon font apwopriye pou paj wèb yo. Nan endistri finansye sa a rezilta nan dè milyon de dola yo te pèdi. sekirite pa konsepsyon  Li se absoliman enposib garanti ke tout devlopè bous nan tout tan kap vini an nan sivilizasyon imen ta toujou byen aplike tout fikse ki nesesè yo.

Read My Stories

Odyo sa a pwodui nan lang orijinal istwa a!

Twò lontan; Pou li

Download free Tech Leaders Productivity Report!

Machann pèdi $ 26M nan ezETH Tokens: Medya blame itilizatè, Hacker rele defo ERC-20

About Author

KÒMANtè

KANDYE TAGS

ATIK SA A TE PREZANTE NAN

Related Stories

2022 Noonies Nominee Veronika Vasileva on Programming, Python, and More

It's Gonna Be May... a New Mobile App Update, Pixelated Avatars, Revamped Story Pages and More

Meet the Writer: Vik Bogdanov, Tech Storyteller

Meet Fastex: HackerNoon Company of the Week

2022 Noonies Nominee Veronika Vasileva on Programming, Python, and More

It's Gonna Be May... a New Mobile App Update, Pixelated Avatars, Revamped Story Pages and More

Meet the Writer: Vik Bogdanov, Tech Storyteller

Meet Fastex: HackerNoon Company of the Week

Light-Mode

Classic

Newspaper

Dark-Mode

Neon Noir

Minty

HN StartUps