Share this page!

Maybe Scrolly?
Kumpir_Mafyası Profile picture
Twitter logo
3 Aug, 9 tweets, 3 min read
1️⃣ Ethereum ağında mempool u dinleyerek, bekleyen işlemleri okuyan ve buna göre araya giren bir bot, bu sefer NFT ye verilen teklifi görüp , daha düşük usd lik teklifi artırıp blokta kendini en öne aldı ve işlemi gerçekleştirdi 🎣

larvalabs.com/cryptopunks/de…
2️⃣ Bu bir Sandwich attack, bunun algoritması aşağıdaki gibi ;
3️⃣ Teklifin verildiği yerde iki işlem var. 7.77 için 1. teklif

7.77000000000000000001 (artı 1 wei) için başka bir adresten 2. teklif.

Punk ın sahibi minimum 7.77 ETH fiyatıyla satışa sunduğu işlem

2. sıra da teklifi vermesine rağmen, ilk sıradan transaction ı geçirdi☄☄☄
4️⃣ İslemde bir fee yok, direk madenciye rüşvet ile işlem Ethereum da öne alınmış

Direk madenciye işlemde rüşvet olarak 5 ETH rüşvet verilmiş⚡
5️⃣ İslemler şu şekilde gerçekleşti

➡️ Aug-02-2021 06:30:57 de Kurban NFT ye 77 ETH açık artırma teklifi verir

Ethereum ağında işlem arka planda punk ın "enterBidforPunk" fonksiyonu tetiklenir ve kaydı yapılır

İslemin transaction ı ;
etherscan.io/tx/0x829d46b0e…
6️⃣ Bu kaydı gören bot işlemi takibe alır, şuan hemen teklif vermez çünkü Punk sahibi henüz açık artırmaya onay vermemiştir , o zaman tek bir kesin şey botun işini çözer

"Punk sahibinin onaylama tuşuna basması ama işlem onaylanmadan botun araya girip 1 wei farkla islemi alması"
7️⃣ Evet bot bunu yapıyor ve Ethereum mempoolu dinliyor, punk sahibinin mempool da "acceptBidForPunk" fonksiyonunu dinleyerek bunu yapıyor

Bu punk sahibi tarafından onay tuşuna basılınca , hemen 1 wei üstünde teklifi veriyor ve tabiki onaylanıyor

etherscan.io/tx/0xf8c891db9…
5️⃣ Normal swaplarda bu tür işlemleri görüyorduk,artık NFTlere verilen tekliflerde botların hedefi

Burada 5 ETH rüşvet eklersek zarar etmiş gibi görünmesine karşın, punk sahibi tanıdığı birine indirimli satış yapmak istiyor olabilir veya bir bot sözleşmesini test ediyor olabilir
6️⃣ Bu işlemdede CryptoPunk ı fee ödemeden, Flashbots rölesi kullanarak, Ethereum mempool a uğramadan direk madenciye rüşvwt vererek transfer edildiği görünüyor

Flashbots kullandığı nasıl anlıyoruz ; Sol üstte belirtilmiş, ayrıca fee "0"

etherscan.io/tx/0xb40fd0c9a…

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with Kumpir_Mafyası

Kumpir_Mafyası Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

More from @KumpirMafyas

Kumpir_Mafyası Profile picture
3 Aug
1️⃣ Defiler de Rugpull risklerini azaltmak için kullanılan yöntemlerden biride,Akıllı sözleşmelere eklenebilen: "Timelock" 🕦 (Zaman Kilidi)

Rugpull: 2021'de DeFi görülen en yaygın dolandırıcılık türlerinden biri.

Rugpull Nedir : Ekibin tokenları çalarak ortadan kaybolması
2️⃣ 🕦Zaman kilidi, rugpull riskini azaltmanın güçlü bir yolu olabilir, ancak tam olarak etkili değildir.

🧠 Zaman kilidinin DeFi ekosistemindeki rolleri hakkında daha fazla bilgi edinmek için ;

certik.org/blog/education…
3️⃣ Timelock işlevi, ilgili defide bazı işlemlerin gecikmesini sağlayarak ek güvenlik sağlar : Örnegin x defisindeki swap işleminde %2 komisyon proje sahibine gidiyor özelliğini ,proje sahibi %100 olarak değiştirebilir ancak timelock varsa bu belirli süre sonra gerçekleşecektir
Read 15 tweets
Kumpir_Mafyası Profile picture
2 Aug
1️⃣ @ApeRocketFi defi platformuna, kodlarında ki açık nedeniyle flaş kredisi saldırısı düzenlendi ve 260.000$ kayba uğradı
bscscan.com/tx/0x701a308fb…
2️⃣ İşlemler nasıl oldu

PancakeSwap'tan 1.6M CAKE ($21.8M) flaş kredi aldı.

Cake kasasına 509K cake depozitosu eklendi. Kasanın çoğunluk hissesini (%99,5) aldı.

1.1M CAKE , CAKE kasa sözleşmesine gönderildi.

CAKE kasasında harvest() ve getReward() fonksiyonlarını cağırdı
3️⃣Kasa sözleşmesinin cüzdan bakiyesindeki oldukça büyük miktarda CAKE token ile ( flaş kredi ile alınan), büyük miktarda kar getirdi (aşağıdaki ayrıntılı analize bakın). Sonuç olarak, sistem bilgisayar korsanına ödül olarak 508K SAPCE bastı
Read 10 tweets
Kumpir_Mafyası Profile picture
1 Aug
1️⃣ 5 milyon cüzdan adresine sahte MNEB tokenları gönderildi. Sinsi airdrop dolandırıcılığı uygulaması, milyonlarca hatta milyarlarca doların çalınmasına neden olabilir. ☄🤖

Dolandırıcılık nasıl yapılıyor teknik detaylarına bakalım ?👀
2️⃣ Bir kişinin cüzdanındaki sahte airdrop tokenları takas edilemez veya değiştirilemez.Bunun yerine, kullanıcılara gerçek projenin sahte bir kopya web sitesine gitmeleri talimatı verilir.BNB ödeyerek kilidini açmaları talimatı verilir. Bu, cüzdanınıza harcama erişimi de verebilir
3️⃣Airdrop Dolandırıcılıklarını Tespit Etme:

1-Airdrop dolandırıcılığını tespit etmenin ilk yolu, airdrop token ı swaplamaya çalışmak (Önemli : Sadece pancakeswap gibi güvenilir defilerden yapılmalı). Şayet swaplanmıyorsa dolandırıcılığının potansiyel kurbanı olabilirsiniz
Read 12 tweets
Kumpir_Mafyası Profile picture
1 Aug
1️⃣ Bu Solidty kodunda bir güvenlik açığı var, sizce nedir?

etherscan.io/address/0x5aa8…
2️⃣ 29 ve 31. satırlar ile;
sözleşmenin mevcut bakiyesinden fazlasını sözleşmeye transfer edersen, tüm bakiyenin tamamını geri çekebilirsin görünüyor, (Yani 1 Eth gönder , 2 Eth alırsın diyor ) güzel ticaret sanki ama bu bir tuzak 🤖
3️⃣ Tuzak çünkü ;  "this.balance"  contract a eth gönderince , multiplicate() fonksiyonu çalışmadan önce güncellenir, yani sen 1 eth gönderince artık yeni this.balance 3 eth😅

 if (msg.value> = this.balance) asla gerçekleşmeyecektir, "this.balance" başlangıçta sıfır değilse
Read 4 tweets
Kumpir_Mafyası Profile picture
1 Aug
1️⃣ Ethereum blockchain inde yine kanlı bir smart-contract kavgası ☄👀

Birisi özel bir token sözleşmesi deploy ediyor : "Chum Token"

Ancak bu token sözleşmesi kendisini arbitraj etmek isteyen smart-contract ların açıgını arayan sahte bir token ⤵️

etherscan.io/address/0x1b7f…
2️⃣ Başka bir arbitraj fırsatları kollayan bir arbitraj botu, tüm fonlarını Chum token ın arbitrajında kullanmak için serbest bırakıyor ve Chum token contract ı ile iletişime geçiyor ve Chum token contract ı, kodlarında açık olan arbitraj botunu avlıyor
3️⃣ Arbitraj botunun kaybı 650.000 $ 👀
Bu nasıl oldu ?
@D34D81 un tahminine göre ;Bu sözleşme, tx.origin'in (tx'i imzalayan hesap) arbitrajcı olduğunu kontrol ediyordu. Bu tuzak token onu satın almasını bekliyordu ve ardından doğrudan arbitrajcının sözleşmesiyle etkileşime girdi
Read 5 tweets
Kumpir_Mafyası Profile picture
23 Jul
➡️Bir dolandırıcı, bir DeFi nin telegram kanalında bir gönderi yapar ve cüzdan private key ini (şifresini) ekleyerek insanlardan başka bir cüzdana para çekme sorunu konusunda kendisine yardım etmelerini ister.
➡️ Şayet fee için bir ücret gönderip parayı almaya kalktığınızda fee nizin ortadan kaybolduğunu görürsünüz

Bu dolandırıcılığa dikkat edin

Geriplanda bir bot çalışır ve hesaba fee için ETH geldiğinde anında başka bir hesaba uçurur.
➡️ Geldik soruya :

Smart-contract a bir ETH gönderilirse, bu tutar otomatik olarak 3. bir hesaba otomatik olarak gönderilebilir, bu basittir

Ancak Smart-contract dışında bu örnekteki gibi contract olmayan normal bir hesaptan bu otomasyon nasıl yapılabilir ?
Read 4 tweets

Did Thread Reader help you today?

Support us! We are indie developers!

This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Too expensive? Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal Become our Patreon

Thank you for your support!

Follow Us on Twitter!

Like this author's thread?

Get emails when @KumpirMafyas has new unrolls!

Check out other threads from @KumpirMafyas!

Read all threads by @KumpirMafyas

:(