Machann pèdi $ 26M nan ezETH Tokens: Medya blame itilizatè, Hacker rele defo ERC-20

• Non mwen se Dexaran. Mwen se yon pirate, mwen te fèt ak egzekite youn nan pi gwo atak yo nan nivo konsansis nan endistri a . Nan 2019, mwen te DDOS' EOS rezo prensipal rezo a ak jele li pou yon mwa pa eksplwate yon defo nan modèl konsansis resous li yo. EOS te klase top7 nan moman sa a. ( Rapò EOSGO , rapò kominotè )

  
  

• Mwen se yon fondatè youn nan ekip devlopman debaz Ethereum Classic yo . ( Atik Cointelegraph la )

  
  

• Mwen te fèt Amannman nan konsansis Nakamoto , yon seri règ ki rezoud 51% atak ki te fleo nan endistri a pou chenn POW yo.

Aksidan

Yon itilizatè pèdi $26,000,000 yon valè de jeton ezETH lè li voye yo nan yon kontra entelijan. Gen plizyè atik ak fil twitter ki reklame ke sa a se te yon erè itilizatè, pou egzanp yon sèl sa a pa CoinTelegraph .

Sa a pa kòrèk. Erè itilizatè menm jan an pa ta lakòz yon pèt Eth, NFT oswa ERC-223 siy . Transfè nan adrès ekstèn posede ak transfè nan kontra entelijan travay yon fason diferan.

Si itilizatè a ta voye jeton nan yon move adrès (ki se pa yon kontra entelijan) oswa adrès ki pa posede pa pèsonn - sa ta dwe yon erè itilizatè a.

Nan ka sa a sepandan, itilizatè a depoze marqueur nan yon kontra entelijan. Smart-kontra yo sipoze anpeche erè sa yo, epi yo sètènman ka fè sa - pou egzanp si yon itilizatè ta depoze Etè (oswa nenpòt lòt lajan natif natal), NFTs (ERC-721) oswa ERC-223 tokens nan yon kontra entelijan ki pa te fèt pou resevwa yo - Lè sa a, marqueur yo pa ta dwe pèdi. Ta gen yon erè tranzaksyon ak transfè a nan marqueur jis pa ta rive.

Manyen erè se youn nan prensip ki pi fondamantal nan sekirite lojisyèl. Konsepsyon lojisyèl nan yon fason ke li pa ta posib byen okipe erè envokasyon se menm bagay ak manke modifye onlyOwner pou yon fonksyon gouvènans - sa ta dwe yon pwoblèm sekirite.

Sa a se yon pwoblèm nan estanda ERC-20 - li fèt nan yon fason ki fè manyen erè enposib. Epi sa a se yon pwoblèm sekirite. Estanda ERC-20 ansekirite . Nan 2023, kreyatè estanda ERC-20 li menm te konfime ke sa a se yon pwoblèm sekirite nan estanda a .

Mwen te rapòte li nan 2017 isit la ak isit la . Epitou, mwen te fèt estanda ERC-223 la pou rezoud pwoblèm egzak sa a nan 2017, isit la se fil orijinal EIP-223 la kote li make ke estanda sa a anpeche yon pèt lajan.

Li twò fasil pou konpayi sekirite ak devlopè yo blame itilizatè yo pou fè yon erè. Sepandan, se fòt pwomotè a ke yo te bati aplikasyon yo lè l sèvi avèk estanda a ensekirite ki echwe pou fè fas ak erè itilizatè yo ki te lakòz yon domaj dezas konsa.

Istwa

Mwen te mete aksan sou ke sa a ka lakòz domaj finansye a itilizatè yo pandan y ap rapòte sa a Ethereum Foundation. Yo pa fè anyen. Pou 7 ane.

• Te gen $16,000 pèdi akòz pwoblèm sa a nan 2017.
• Te gen $2,000,000 pèdi nan 2018
• $60,000,000 nan 2023
• Nan dat 1ye novanm 2024, te gen $90,000,000 (eksepte 25M pèdi nan kontra ezETH)
• Kounye a gen $115,000,000

Ekip mwen an te devlope yon script ki kalkile kantite marqueur pèdi:

https://dexaran.github.io/erc20-loss

• Nan 2017 yon lòt itilizatè pèdi 130K.
• Nan 2020 yon itilizatè te pèdi ekonomi lavi li.
• An 2023, yon itilizatè te pèdi $240K nan yon sèl tranzaksyon.
• Lè sa a, Poloniex pirate pèdi $ 2.5M.

Mwen te mande pou sispann fè pwomosyon estanda ERC-20 poutèt pwoblèm sekirite sa a nan 2017, pa te gen okenn repons https://github.com/ethereum/ethereum-org/issues/755 .

Mwen te ogmante pwoblèm sa a bay EthereumCatHerders, mesye sa yo ki jere EIP nan Ethereum.

Nan 2023 yo te reponn "nou pa gen anyen fè ak divilgasyon sekirite, nou pa gen yon pwosesis pou sa".

Klarifikasyon: EIP ak ERC yo se pwopozisyon ke nenpòt moun ka soumèt bay Ethereum. Yo ka vin estanda oswa modifikasyon ke devs aplike nan fason Ethereum travay. Yo se dosye tèks nan repo github yo.

Kontèks: yo pa gen yon pwosesis pou fè fas ak divilgasyon sekirite nan EIPs 10 ane apre lansman pwojè Ethereum.

Mwen te pwopoze yon metòd pou modifye fason EIP yo travay pou pèmèt divilgasyon sekirite: https://ethereum-magicians.org/t/modification-of-eip-process-to-account-for-security-treatments/16265

Mwen pwopoze pou ajoute yon avètisman sou ERC-20 epi dokimante pwoblèm nan nan EIP yo. Men apèl yo a, kote yo deside ke mwen bezwen ale ak kreye yon lòt EIP enfòmasyon ki ta divilge yon vilnerabilite nan EIP-20: https://github.com/ethcatherders/EIPIP/issues/257#issuecomment-1693372317

Mwen te fè sa. Yo te rejte divilgasyon EIP mwen apre sa.

Mwen te vini ak pwopozisyon pou reviv lide inisyal mwen ke mwen te dekri sou fowòm EthereumMagicians ki ta pèmèt divilgasyon sekirite nan seksyon "Konsiderasyon Sekirite" nan EIPs nan 2024 yon lòt fwa ankò.

Men diskisyon mwen ak editè EIP yo: https://www.youtube.com/watch?v=PKkJNqcozhw&t=744s

Kòm rezilta, editè EIP yo te di m ke yo pral vote sou sa: https://github.com/ethcatherders/EIPIP/issues/349

Yo te vote pwopozisyon mwen an. Pa gen okenn pwosesis pou fè fas ak divilgasyon sekirite nan EIP yo. Pwoblèm nan ERC-20 pa fiks. Li pa menm rapòte oswa dokimante kòm yon pwoblèm se konsa implementers kontinye repwodui li sou yo ak sou ankò.

Oditè enjis

Mwen pèsonèlman rapòte pwoblèm sa a bay OpenZeppelin, mande yon ranje 3 fwa.

• Nan 2018 https://github.com/OpenZeppelin/openzeppelin-contracts/issues/729

  
  

• An 2023 https://github.com/OpenZeppelin/openzeppelin-contracts/issues/4451

  
  

• Apre yo te rejte de anvan yo, mwen te deside rapòte li nan yon fason ki ta demontre gravite pwoblèm nan, kidonk mwen te soumèt li bay bounty ensèk yo paske li anfòm nan kritè "vinerabilite sekirite kritik" dapre pwòp règleman yo https:/ /github.com/OpenZeppelin/openzeppelin-contracts/issues/4474#issuecomment-1646901022

OpenZeppelin te rejte li ak "divilgasyon piblik nan vilnerabilite san patch" (ki konfime sa a se yon pwoblèm sekirite omwen).

Kèk jou de sa nan Devcon7, yo te poze yon kesyon ak menm nèg sa a nan OpenZeppelin ki fèmen yon pwoblèm sou github yo konsènan pwoblèm sa a: https://www.youtube.com/watch?app=desktop&v=DKJYpdXsOwQ&start=406

6 ane apre li te rapòte epi apre li te lakòz $115,000,000 pèt itilizatè yo.

Repons yo pa menm vre. Olye pou yo gen yon pwoblèm ouvè, yo fèmen 3 pwoblèm ke mwen louvri epi rejte nenpòt rekòmandasyon ke mwen te fè.

Konklizyon

1. Ethereum Foundation ap sansi nenpòt tantativ pou mete aksan sou pwoblèm nan, ki lakòz itilizatè ekosistèm nan pèdi $ 115,000,000. Pwoblèm nan pa anonse, divilgasyon pa byen jere, enplemantè yo kontinye repwodui li nan nouvo kontra yo.

   
   

   Mwen panse ke yo konsidere ke li ta twò domaje pou repitasyon yo divilge li.

2. Oditè tankou OpenZeppelin pa divilge pwoblèm nan tou, pwobableman paske yo gen yon konfli enterè paske yo deja mete etikèt "Secure" sou dè santèn de kontra ERC-20 ke yo te kontwole.

   
   

3. Devs yo di "Nou jis aplike estanda a jan li ye a."

   
   

4. Estanda a gouvène pa pwosesis EIP, pwosesis EIP a pa bati pou fè fas ak divilgasyon sekirite.

Pwosesis EIP dwe chanje. Pwoblèm ERC-20 dwe divilge epi byen dokimante. Idealman, yon nouvo estanda dwe aplike. Aplike yon seri "bandaids" sou ERC-20 pou bese domaj la pi bon pase pa fè anyen, men li pa ta rezoud pwoblèm nan per se.

Tout moun ki di "pwoblèm nan ka rezoud sou nivo bous la" manke ekspètiz sekirite. Gen yon prensip sekirite pa konsepsyon nan sekirite lojisyèl ki vle di ke ou pa ka bati yon moso nan lojisyèl ansekirite, di tout moun ki jan yo sèvi ak li pou ke li pa ta afekte itilizatè ou yo ak pretann ke li pa pral lakòz domaj. Pa nan yon endistri finansye. Apwòch sa a ta ka travay nan konsepsyon entènèt, pou egzanp, kote pri a nan yon fay se yon moun ki pa kapab chaje yon font apwopriye pou paj wèb yo. Nan endistri finansye sa a rezilta nan dè milyon de dola yo te pèdi.

Li se absoliman enposib garanti ke tout devlopè bous nan tout tan kap vini an nan sivilizasyon imen ta toujou byen aplike tout fikse ki nesesè yo.