Share this page!

Smart Contract Profile picture
Twitter logo
17 Oct, 16 tweets, 5 min read
1️⃣ Netflix dizilerini aratmayan bir hack hikayesi;

🔰16 mio $ lık istismara uğrayan defi
🔰Kodlarını yazan kişinin,hata nedeniyle tweet ile özür dilemesi
🔰Merkezi borsa kullanan hackerın kimliğinin ortaya çıkması
🔰Yaşı 18 olan hacker ın ifşası

ndxfi.medium.com/indexed-attack…
🧵👇
2️⃣ Defi platformu @ndxfi Indexded Finance, kodlarında ki bir açık nedeniyle 16 mio $ lık bir istismara uğradı

@Mudit__Gupta nın teknik analizi ile istismarın kodlarına bakabilirsiniz

3️⃣ Indexdex Finance , sabit bir ürün eğrisinde temel alınan tokenlar arasında ticaret yapılan bir platform. Temelde Balancer'ın değiştirilmiş bir versiyonu. Swaplar, tokenlerın bakiyelerini ve ağırlıklarını etkiler.
4️⃣Havuzda, ilk tokenı kullanarak tüm havuzun değerini tahmin eden bir işlev var.

toplam_değer = token_dengesi * toplam_ağırlık / token_ağırlığı

UNI- CC10 LP havuzunda saldırgan, toplam değeri manipüle etmek için havuzun UNI dengesini manipüle etti.
5️⃣Toplam ağırlığın 100,UNI ağırlığının 10 ve UNI bakiyesinin 50 olduğunu varsayalım.

Bu, 50 * 100/10 = 500'lük bir LP değeri verir

İdeal bir senaryoda,bir takas 25 UNI çıkarırsa,havuz değeri hala 25 * 100/5 = 500 olacak şekilde UNI'nin ağırlığı 5'e düşmeli.

Bu Defi kuralıdır
6️⃣ Pancakeswap, Uniswap da Farm ve pool larda dengeler bu tip formüller le belirlenir, biz sadece APR oranına bakarız ama arkadaki işleyiş tamamen Finans ve Matematikden oluşur
7️⃣ Yukarıdaki denge burada işlemedi ve yüksek tutar fon girişinde LP havuzları fiyatları manipüle edilebilir hale geldi, Çünkü proje kodları yüksek tutarlarla test edilmemişti.
8️⃣ Havuz değeri, harici Oracles kullanılarak da hesaplanabilir. #Chainlink #Band gibi kaynaklardan gelen fiyat akışlarını birleştiren daha da gelişmiş meta oracle'lar eklemek en doğru çözümdü ama maliyetleri nedeniyle tercih etmediler
9️⃣ Kodlardaki bu açık nedeniyle, kodlayıcı ,hatadan dolayı özür diledi

Bu aslında blockchain projelerinde hiç karsılaşılmayan bir şey

1️⃣0️⃣ İlginç bir gelişme yaşandı ve hackerın hesap hareketlerinde merkezi borsalara transferler tespit edildi,proje ekibi tarafından bir teklif hackera yapıldı:

⚠️ Ya olayı adli makamlara taşırız
✅ Ya da bize tutarı iade edersin ve %10unu sana veririz

1️⃣1️⃣ Verdikleri süre doluncada twitter dan saldırganın kimliğini deşifre ettiler.

Gerçekten o kişimiydi?
Birini deşifre etmek suç mudur?
Kodlarda ki açık tan dolayı kim sorumludur?

Blockchain hukuğu olmadığı için bunları bilen yok ama tartışma devam etti ve tepkiler arttı
1️⃣2️⃣ Hacker ın cüzdan detayı;

etherscan.io/address/0x3c86…
1️⃣3️⃣ Hatta bu Kyc fake bir kimlik bile olabilir ama proje ekibinin bu umrunda bile değil.
Şayet fake bir Kyc ise suçsuz birini ifşa etmek proje ekibinin başına büyük bir hukuki sonuç doğurabilir

Ancak niyeti bozmuş görünüyor ekip

1️⃣4️⃣ 18 yaşında olan saldırgan ın ortaya çıkan kimliği, tepkiler ve kanuni olarak proje ekibini zor durumda bırakacağı için kaldırıldı ve iş hukuki makamlara taşındı (Kanada mahkemeleri)

1️⃣5️⃣ Blockchain de birini bulmak için github repoları, kullandığı test ağlarına yazdığı kodlar vb birçok detay transaction larından çıkarılabilir, burada onun detayını çıkarmışlar

1️⃣6️⃣ Proje ekibi hatalı kodlamaları nedeniyle yatırımcıların kaybettiği 16 mio $ a karşın ateşle oynuyorlar

Gelişmeler ilginç olacak çünkü tüm hukuksal duzenlemeler web2 ye göre yapılmış durumda, web3 ün (blockchain) in hukuksal bir düzenlemesi yok

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with Smart Contract

Smart Contract Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

More from @KumpirMafyas

Smart Contract Profile picture
16 Oct
1️⃣ NFT Projesi tasarlamak isteyen ekipler ; Jpegleri yüklemek veya 10.000 lik birbirine benzeyen NFT projeleri yerine basit ama güzel yaratıcı projeler yapmalısınız

@blockheadsfam güzel bir örnek
Detaylara bakalım⬇️⬇️
2️⃣ Nostaljik bir oyuncak olan Legoların ruhundan yola çıkarak NFT serisini yapmışlar. "Yap Boz Lego NFT"

✅ Lego fikri , kopyası çok az bir fikir (Ape değil en azından 😅 )
3️⃣ Bu kısım önemli yani NFT projesinin ruhu olmalı, proje ekiplerinin en az odaklandığı ancak en önemli noktalardan biri,
Read 11 tweets
Smart Contract Profile picture
15 Oct
1️⃣ Merkeziyetsiz borsalarda (dex) Pool larda likidite yatırıyoruz ve token kazanıyoruz, Poollarda 2 token çifti yatırdığımız için (örn : UNI-LINK vb.) geçici kayıp (impermanent lost) oluşabilir

Oysa #bancor platformunda İmpermanent Lost Koruması var ⬇️ Image
2️⃣ Defi getirilerine ilgiliyseniz , defi uzmanı @korpi87 nin Bancor platformu ile ilgili teknik analizini mutlaka okuyun derim

Analize göre bancor , bu koruma ile uniswap a göre daha iyi getirilere sahip

korpi.medium.com/understand-ban…
3️⃣ Bsc ağında bu geçici kayıp koruması olan bir platform ben bilmiyorum , bsc de Pool larda Yatırımınız varsa @yieldwatch ile geçici kaybınız varmı yokmu görebilirsiniz Image
Read 4 tweets
Smart Contract Profile picture
15 Oct
1️⃣ Birisi , Merkeziyetsiz defi platformu Anchor da ; $3.8M ETH teminat yatırarak $1.6M DOLA token borç aldı 🔥🔥🔥🔥🔥

Neden böyle birşey yaptı bakalım ⬇️
etherscan.io/tx/0xcfaea74a6…
2️⃣ Her dex in borç verdigi bir stabil token ı vardır.DOLA , 1 doların fiyatını takip eden bir sabit para tokenı. DOLA, Anchor'daki diğer varlıkları teminat olarak kullanarak basılabilir ve kendisi de Anchor'daki diğer varlıkları ödünç almak için teminat olarak kullanılabilir
3️⃣ Her dex in farklı özellikleri vardır , swap dışında bizlerin kullanmadığı bu platformları iyi oyuncular , borç- teminat-faiz vb için kullanıyor

Paradan para kazanmaya çalışıyor, Arbitraj larda kullanıyor

Ancak bunlar ne NFT ler kadar eğlenceli nede Pancakeswap gibi basit. Image
Read 8 tweets
Smart Contract Profile picture
14 Oct
1️⃣ Botlar bu aralar NFT önsatışlarını önden süpürmekle meşgullerken,

Ethereum ağında ki bir arbitraj botu , dexler (merkeziyetsiz borsalar) arasında ki arbitraj işlemlerinden 2mio$ a yakın kâr elde etti

Bunu nasıl yaptı bakalım ⬇️
2️⃣ Arbitraj işleminin transaction ı bu ; İşlemler her ikiside merkeziyetsiz borsa olan @SushiSwap dan alıp @MakerDAO dan satış yapılan işlemler, tek bir işlem olarak bakmayın sıralı 4-5 işlemden oluşabiliyor

etherscan.io/tx/0xee2ba80dc…
3️⃣ İslem detaylarına baktığımızda , Etherscan zaten işlemi yapanı : "MEV BOT"olarak etiketlemiş.

Etherscan, Maksimal Çıkarılabilir Değer (MEV) işlemleriyle yoğun olarak ilgili olduğu tespit edilen akıllı kontratları bu şekilde fişliyor. Image
Read 6 tweets
Smart Contract Profile picture
14 Oct
1️⃣ #NFT yi sadece jpeg resimler olarak düşünmeyin,

Temel öğeleri saklayarak NFT geliştirebilir ve resimleri harici ekleyebilirsiniz

Örn ; #CryptoKitties en eski NFT projelerinden biri.

Sözleşmesinde meta veri yok ve meta veriye benzeyen tek işlev de boş bir değer döndürür Image
2️⃣CryptoKitties kedi resimlerini zincirde saklamak yerine kedi resimlerini oluşturan temel öğeleri merkezi bir resmi web sitesinde kaydetmiş durumda. Zincire kaydedilen her kedinin sadece kendine has karakteristik değerleridir Image
3️⃣CryptoKitties projesinin depolama yöntemi şu şekilde özetlenebilir: kedinin “geni” zincirde depolanır, ancak belirli görüntüleme içeriği sunucu tarafından sentezlenir ve görüntüleme etkisi tamamen merkezi sunucuya bağlıdır.

Projenin akıllı kontratı;
etherscan.io/address/0x0601…
Read 7 tweets
Smart Contract Profile picture
8 Oct
1️⃣ Ethereum blockchain de , Arbitraj fırsatları arayan bir bot, sözleşmesindeki bir açık nedeniyle başka bir bot tarafından avlanıyor ve sözleşme üzerindeki 1.000.000$ ı kaptırıyor

Avlayan bot da , başka bir bir tarafından avlanmamak için işlemi flashbots ile yapıyor
2️⃣ Daha önce bu botları , blockchain de arayıp bulmuştuk ;

3️⃣ Botların yaptığı bu işlemler nelerdir, basitçe 4 başlığa ayırabiliriz :

1. Arbitraj (DEX içi/DEX'ler arası)
2. Tasfiye (Liquidation)
3. Sandviç (Sandwichattack)
4. Özel Arayıcılar (salmonella vb , Salmonella yı ayrıca bir flood da paylaşmıştım)
Read 4 tweets

Did Thread Reader help you today?

Support us! We are indie developers!

This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Too expensive? Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal Become our Patreon

Thank you for your support!

Follow Us on Twitter!

Like this author's thread?

Get emails when @KumpirMafyas has new unrolls!

Check out other threads from @KumpirMafyas!

Read all threads by @KumpirMafyas

:(