Share this page!

Kumpir_Mafyası Profile picture
Twitter logo
2 Aug, 10 tweets, 3 min read
1️⃣ @ApeRocketFi defi platformuna, kodlarında ki açık nedeniyle flaş kredisi saldırısı düzenlendi ve 260.000$ kayba uğradı
bscscan.com/tx/0x701a308fb…
2️⃣ İşlemler nasıl oldu

PancakeSwap'tan 1.6M CAKE ($21.8M) flaş kredi aldı.

Cake kasasına 509K cake depozitosu eklendi. Kasanın çoğunluk hissesini (%99,5) aldı.

1.1M CAKE , CAKE kasa sözleşmesine gönderildi.

CAKE kasasında harvest() ve getReward() fonksiyonlarını cağırdı
3️⃣Kasa sözleşmesinin cüzdan bakiyesindeki oldukça büyük miktarda CAKE token ile ( flaş kredi ile alınan), büyük miktarda kar getirdi (aşağıdaki ayrıntılı analize bakın). Sonuç olarak, sistem bilgisayar korsanına ödül olarak 508K SAPCE bastı
4️⃣Ödül verilen SPACE tokeninı CAKE ile değiştirdi, flaş krediyi geri ödedi. 883 BNB kâr
5️⃣_harvest() işlevi, tüm CAKE.balanceOf()'u yeniden yatırır; bu da, CAKE'yi sözleşme adresine aktarmak ve public harvest()  işlevini çağırmak kadar kolay bir kâr eklemeyi sağlar.
6️⃣Basılan SPACE token ı %30 performans ücretinden fazla değer kazandığında, geçerli bir ekonomik saldırı teşkil eder.

Saldırı ile ilgili makale ;
aperocket.medium.com/moving-forward…
7️⃣ Yukarıda bsc ağında yapılan saldırı Polygon ağındada tekrarlandı, burada da kayıp 1 mio $

polygonscan.com/tx/0x377fb92f6…
8️⃣Deposit() işlevi, başka bir adrese para yatırmaya izin verir, bu da ApeSwap'ın MC'sindeki sözleşme adresine para yatırmak kadar kolay bir kâr eklemeyi sağlar.
9️⃣ Proje ekibi lansmanlarını aceleye getirdiklerini ve bu nedenle kodlardaki denetimlerin aksadığını itiraf ettiler, tabi kaybeden yatırımcılar olduğu için gayet rahatlar
1️⃣0️⃣ Flaş kredi, arbitraj için hızlı bir yol sağlamak için var. Bu durumda, flash kredileri desteklemeleri pancakeswap ın hatası değildir. Etkilenen protokol sadece daha iyi oracles kullanmalıydı,
Bu transaction de 15 mio $ lık flaş kredi kullanımı görünüyor pancakeswap dan

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with Kumpir_Mafyası

Kumpir_Mafyası Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

More from @KumpirMafyas

Kumpir_Mafyası Profile picture
3 Aug
1️⃣ Defiler de Rugpull risklerini azaltmak için kullanılan yöntemlerden biride,Akıllı sözleşmelere eklenebilen: "Timelock" 🕦 (Zaman Kilidi)

Rugpull: 2021'de DeFi görülen en yaygın dolandırıcılık türlerinden biri.

Rugpull Nedir : Ekibin tokenları çalarak ortadan kaybolması
2️⃣ 🕦Zaman kilidi, rugpull riskini azaltmanın güçlü bir yolu olabilir, ancak tam olarak etkili değildir.

🧠 Zaman kilidinin DeFi ekosistemindeki rolleri hakkında daha fazla bilgi edinmek için ;

certik.org/blog/education…
3️⃣ Timelock işlevi, ilgili defide bazı işlemlerin gecikmesini sağlayarak ek güvenlik sağlar : Örnegin x defisindeki swap işleminde %2 komisyon proje sahibine gidiyor özelliğini ,proje sahibi %100 olarak değiştirebilir ancak timelock varsa bu belirli süre sonra gerçekleşecektir
Read 15 tweets
Kumpir_Mafyası Profile picture
3 Aug
1️⃣ Ethereum ağında mempool u dinleyerek, bekleyen işlemleri okuyan ve buna göre araya giren bir bot, bu sefer NFT ye verilen teklifi görüp , daha düşük usd lik teklifi artırıp blokta kendini en öne aldı ve işlemi gerçekleştirdi 🎣

larvalabs.com/cryptopunks/de…
2️⃣ Bu bir Sandwich attack, bunun algoritması aşağıdaki gibi ; Image
3️⃣ Teklifin verildiği yerde iki işlem var. 7.77 için 1. teklif

7.77000000000000000001 (artı 1 wei) için başka bir adresten 2. teklif.

Punk ın sahibi minimum 7.77 ETH fiyatıyla satışa sunduğu işlem

2. sıra da teklifi vermesine rağmen, ilk sıradan transaction ı geçirdi☄☄☄ Image
Read 8 tweets
Kumpir_Mafyası Profile picture
1 Aug
1️⃣ 5 milyon cüzdan adresine sahte MNEB tokenları gönderildi. Sinsi airdrop dolandırıcılığı uygulaması, milyonlarca hatta milyarlarca doların çalınmasına neden olabilir. ☄🤖

Dolandırıcılık nasıl yapılıyor teknik detaylarına bakalım ?👀
2️⃣ Bir kişinin cüzdanındaki sahte airdrop tokenları takas edilemez veya değiştirilemez.Bunun yerine, kullanıcılara gerçek projenin sahte bir kopya web sitesine gitmeleri talimatı verilir.BNB ödeyerek kilidini açmaları talimatı verilir. Bu, cüzdanınıza harcama erişimi de verebilir
3️⃣Airdrop Dolandırıcılıklarını Tespit Etme:

1-Airdrop dolandırıcılığını tespit etmenin ilk yolu, airdrop token ı swaplamaya çalışmak (Önemli : Sadece pancakeswap gibi güvenilir defilerden yapılmalı). Şayet swaplanmıyorsa dolandırıcılığının potansiyel kurbanı olabilirsiniz
Read 12 tweets
Kumpir_Mafyası Profile picture
1 Aug
1️⃣ Bu Solidty kodunda bir güvenlik açığı var, sizce nedir?

etherscan.io/address/0x5aa8…
2️⃣ 29 ve 31. satırlar ile;
sözleşmenin mevcut bakiyesinden fazlasını sözleşmeye transfer edersen, tüm bakiyenin tamamını geri çekebilirsin görünüyor, (Yani 1 Eth gönder , 2 Eth alırsın diyor ) güzel ticaret sanki ama bu bir tuzak 🤖
3️⃣ Tuzak çünkü ;  "this.balance"  contract a eth gönderince , multiplicate() fonksiyonu çalışmadan önce güncellenir, yani sen 1 eth gönderince artık yeni this.balance 3 eth😅

 if (msg.value> = this.balance) asla gerçekleşmeyecektir, "this.balance" başlangıçta sıfır değilse
Read 4 tweets
Kumpir_Mafyası Profile picture
1 Aug
1️⃣ Ethereum blockchain inde yine kanlı bir smart-contract kavgası ☄👀

Birisi özel bir token sözleşmesi deploy ediyor : "Chum Token"

Ancak bu token sözleşmesi kendisini arbitraj etmek isteyen smart-contract ların açıgını arayan sahte bir token ⤵️

etherscan.io/address/0x1b7f…
2️⃣ Başka bir arbitraj fırsatları kollayan bir arbitraj botu, tüm fonlarını Chum token ın arbitrajında kullanmak için serbest bırakıyor ve Chum token contract ı ile iletişime geçiyor ve Chum token contract ı, kodlarında açık olan arbitraj botunu avlıyor
3️⃣ Arbitraj botunun kaybı 650.000 $ 👀
Bu nasıl oldu ?
@D34D81 un tahminine göre ;Bu sözleşme, tx.origin'in (tx'i imzalayan hesap) arbitrajcı olduğunu kontrol ediyordu. Bu tuzak token onu satın almasını bekliyordu ve ardından doğrudan arbitrajcının sözleşmesiyle etkileşime girdi
Read 5 tweets
Kumpir_Mafyası Profile picture
23 Jul
➡️Bir dolandırıcı, bir DeFi nin telegram kanalında bir gönderi yapar ve cüzdan private key ini (şifresini) ekleyerek insanlardan başka bir cüzdana para çekme sorunu konusunda kendisine yardım etmelerini ister.
➡️ Şayet fee için bir ücret gönderip parayı almaya kalktığınızda fee nizin ortadan kaybolduğunu görürsünüz

Bu dolandırıcılığa dikkat edin

Geriplanda bir bot çalışır ve hesaba fee için ETH geldiğinde anında başka bir hesaba uçurur.
➡️ Geldik soruya :

Smart-contract a bir ETH gönderilirse, bu tutar otomatik olarak 3. bir hesaba otomatik olarak gönderilebilir, bu basittir

Ancak Smart-contract dışında bu örnekteki gibi contract olmayan normal bir hesaptan bu otomasyon nasıl yapılabilir ?
Read 4 tweets

Did Thread Reader help you today?

Support us! We are indie developers!

This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Too expensive? Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal Become our Patreon

Thank you for your support!

Follow Us on Twitter!

Like this author's thread?

Get emails when @KumpirMafyas has new unrolls!

Check out other threads from @KumpirMafyas!

Read all threads by @KumpirMafyas

:(