1️⃣ Roco Finance 7 Ocak Analizi
https://twitter.com/RocoFinance/status/1479577267827359745?t=ov0pq_kT-qygS8NRMKFmcg&s=19
2️⃣ Birçok kod istismarı ile ilgili analizler ve teknik detaylar paylaştım şimdiye kadar ,yüzlerce bu tür olay inceledim, bu nedenle buradaki
görüşlerimin ciddi bir tecrübe ile yazıldığını tekrar belirtmek isterim
görüşlerimin ciddi bir tecrübe ile yazıldığını tekrar belirtmek isterim
3️⃣Kodlama açığı ne yazıkki blockchain de çok kez gördüğümüz birşey
Bu konularda ilk kez karşılaşanlar olabilir ancak Ethereum da bile 12,7 milyon Ether hacklendi. Krizi yönetmek için merkeziyetsizliği bir yana bırakarak hardfork yaptılar
Bu konularda ilk kez karşılaşanlar olabilir ancak Ethereum da bile 12,7 milyon Ether hacklendi. Krizi yönetmek için merkeziyetsizliği bir yana bırakarak hardfork yaptılar
https://twitter.com/KumpirMafyas/status/1416628363859570694?s=20
4️⃣Bitcoin bile hacklendi ve 184 milyar bitcoin çalındı
https://twitter.com/KumpirMafyas/status/1416803927912292355?s=20
5️⃣Dünyanın en iyi ekipleride kodlasa , denetlense bile , kod istismarı olma olasılığının herzaman , her projede olacağını aklımızdan çıkarmamalıyız
Kripto projelerinde hype a kapılmamak, incelemek,
bütçenin belirli tutarı ile yatırım yapmak ilkelerini asla aşmamak gereklidir.
Kripto projelerinde hype a kapılmamak, incelemek,
bütçenin belirli tutarı ile yatırım yapmak ilkelerini asla aşmamak gereklidir.
6️⃣Yatırımcı tarafından baktık, şimdi proje ekipleri açısından bakarsak ;
Proje ekiplerinin; Ciddi cheklist lerle çalışması,uluslararası güvenlik standartlarını mutlaka uygulaması , şeffaf biçimde her süreci paylaşması ,audit süreçlerinden geçmesi gerekmektedir.
Proje ekiplerinin; Ciddi cheklist lerle çalışması,uluslararası güvenlik standartlarını mutlaka uygulaması , şeffaf biçimde her süreci paylaşması ,audit süreçlerinden geçmesi gerekmektedir.
7️⃣Hem yatırımcı hemde proje ekipleri açısından bakışı yukarıda
paylaştım, her olaydan iki tarafta ders çıkarmalıdır, mutlaka çıkaracaktır
paylaştım, her olaydan iki tarafta ders çıkarmalıdır, mutlaka çıkaracaktır
8️⃣Öncelikle ; Mevcutta ciddi zararı olan yatırımcıları etkileyeceğinden sadece 2 kısımda analiz yaptım
1 ) Teknik analiz(Kodlama)
2 ) Kriz Yönetimi
1 ) Teknik analiz(Kodlama)
2 ) Kriz Yönetimi
9️⃣Teknik Analiz
@RocoFinance kod istismarını burada açıkladı
@RocoFinance kod istismarını burada açıkladı
https://twitter.com/RocoFinance/status/1479577267827359745?s=20
1️⃣0️⃣Roco Stake sözleşmesindeki bir güvenlik açığı nedeniyle saldırgan, oluşturduğu bot ile Stake sözleşmesindeki "RocoPerSecond" değişkeninin değerini anında değiştirdi.
Ödül değerini değiştirerek ve manipüle ederek haksız kazanç sağladı
Ödül değerini değiştirerek ve manipüle ederek haksız kazanç sağladı
1️⃣2️⃣ Çalınan tokenların olduğu hesap ;
(108.899 Roco hala bot contractı üzerinde)
snowtrace.io/address/0xd251…
(108.899 Roco hala bot contractı üzerinde)
snowtrace.io/address/0xd251…
1️⃣3️⃣9263238 nolu blokta bot kodunu yükledi,
Start işlemi ile 9263263 blokta
kod istismarını gerçekleştirdi,
9263274 nolu blokta yapılan Stop fonksiyonunu tetikleyerek işlemi sonuçlandırdı
Start işlemi ile 9263263 blokta
kod istismarını gerçekleştirdi,
9263274 nolu blokta yapılan Stop fonksiyonunu tetikleyerek işlemi sonuçlandırdı
1️⃣4️⃣İlk olarak Botun upload yapıldığı Avalance ın 9263238 nolu bloğunda olanlara bakalım
Burada ki Attack Functionları "Game Crabada" in yasal oyun özellikleri
bunların arasına gizlenmiş bot kodu masum bir şekilde yerini almış görünüyor
Burada ki Attack Functionları "Game Crabada" in yasal oyun özellikleri
bunların arasına gizlenmiş bot kodu masum bir şekilde yerini almış görünüyor
1️⃣6️⃣Ancak bytecode larını tersine mühendislik ile analiz edersek ;
Botun , Stake sözleşmesinde ki kodlarına kısmen bakabiliriz
Botun , Stake sözleşmesinde ki kodlarına kısmen bakabiliriz
1️⃣7️⃣ Bot , ilk olarak sembolik 0,1 likidite yaratıp ekledi sonrada 108.899 Roco yu platformdan alarak ayrıldı
1️⃣8️⃣"Start" işlemi ile LP yaratıp , "Stop" işlemi ilede fonları aldı
1️⃣9️⃣Bunları nasıl yaptı? Tanay da burada belirtti ;
https://twitter.com/TanayAyitmaz/status/1479787764023447556?s=20
2️⃣0️⃣ Botun kodlarında çalıştırdığı function u decompile ettiğimizde
Stake sözleşmesinin "UpdatePerRocoSecond" ile çalıştırdığı görülüyor
Kodlarda function isimleri degil, aşağıda işaretlenen gibi 4byte ı görünür, bu bir nevi kısa kod gibidir
Stake sözleşmesinin "UpdatePerRocoSecond" ile çalıştırdığı görülüyor
Kodlarda function isimleri degil, aşağıda işaretlenen gibi 4byte ı görünür, bu bir nevi kısa kod gibidir
2️⃣1️⃣ Açık ,Koddaki bu kısımdan kaynakladı
2️⃣2️⃣Bot 2 farklı contract ile işlem yaptı
Hacker hesabı : 0x17c5ff0847c8e2dfcf73a6449743da988253b454
Bot 1.Contractı : 0xd2515468e3052ded01c2acf3d710ff8abf8dc87a
Bot 2.Contractı :0x263ad535958efe205ef17610dfa606a39f071d2d
Hacker hesabı : 0x17c5ff0847c8e2dfcf73a6449743da988253b454
Bot 1.Contractı : 0xd2515468e3052ded01c2acf3d710ff8abf8dc87a
Bot 2.Contractı :0x263ad535958efe205ef17610dfa606a39f071d2d
2️⃣3️⃣Botun 2.Contract ı işin matematik kısmını yapıyor
block.timestamp burada manipüle ediliyor
block.timestamp burada manipüle ediliyor
2️⃣4️⃣ blocks.timestamp Unix zaman damgasıdır. Bu nedenle, blok oluşturulduğunda
tarih, saat, dakika ve saniye (UTC cinsinden) hakkında tam bilgiyi verir
blocktimestamp yerine blok numarası kullanılabilirdi ancak bunun riskleri genellikle daha yüksektir.
tarih, saat, dakika ve saniye (UTC cinsinden) hakkında tam bilgiyi verir
blocktimestamp yerine blok numarası kullanılabilirdi ancak bunun riskleri genellikle daha yüksektir.
2️⃣5️⃣ 24) Bu blokta proje ekibi ; "Emergency Status" ile projeyi durdurdu
snowtrace.io/txs?a=0xb885f3…
snowtrace.io/txs?a=0xb885f3…
2️⃣6️⃣İşin teknik detayları bunlar , şimdi kriz yönetimine gelirsek ;
Tüm projelerde bu tür aksaklıklar , kod istismaları olduğunda ekip lideri veya
platform sahibi vb açıklama yapar, telegram-discord-twitter vb kanallardan
gerekli yönlendirimi yapar
Tüm projelerde bu tür aksaklıklar , kod istismaları olduğunda ekip lideri veya
platform sahibi vb açıklama yapar, telegram-discord-twitter vb kanallardan
gerekli yönlendirimi yapar
2️⃣7️⃣Ancak burada tüm sorumluluğu üstüne alan , açıklayıcı bilgileri veren ;yazılımcı,
bunu diğer olaylarda görmüyoruz
bunu diğer olaylarda görmüyoruz
2️⃣8️⃣ @TanayAyitmaz , burada hiçbir uluslararası projede göremediğimiz şekilde tüm sorumluluğu
üzerine alarak , yatırımcılara teknik detaylar veriyor, gelecek yol planı hakkında
bilgilendirme yapıyor
Aslında görev ve sorumluluğu içinde olmayan birşey yapıyor
üzerine alarak , yatırımcılara teknik detaylar veriyor, gelecek yol planı hakkında
bilgilendirme yapıyor
Aslında görev ve sorumluluğu içinde olmayan birşey yapıyor
2️⃣9️⃣Her Blockchain projesinin bir "Pause" kriz yönetim planı olmalıdır
Kim - Hangi platformdan - Hangi bilgilendirmeleri yapacak ,
yatırımcılara sağlıklı bilgi akışı kimler tarafından hangi metinlerle
paylaşılacak vb hertürlü plan hazır olmalı
Kim - Hangi platformdan - Hangi bilgilendirmeleri yapacak ,
yatırımcılara sağlıklı bilgi akışı kimler tarafından hangi metinlerle
paylaşılacak vb hertürlü plan hazır olmalı
3️⃣0️⃣ Tamamı Türk olan yatırımcıları offical kanallar dahi olsa Türkçe bilgilendirmesi bile kriz yönetiminde önemli bir madde, panik satışı önler
• • •
Missing some Tweet in this thread? You can try to
force a refresh
