Smart Contract Profile picture
Feb 2, 2022 10 tweets 4 min read Read on X
1️⃣ Farklı blockchain’ler arasında köprü amacıyla tasarlanan @wormholecrypto istismara uğradı, platformdan çalınan token miktarı yaklaşık 94.000-ETH

Wormhole, 8 den fazla blockchain e token ve Nft köprü hizmeti sağlıyor

Kod istismarı transactionı;
etherscan.io/tx/0x24c7d855a…
2️⃣ WormHole nasıl çalışır?

WormHole köprüsü varlıkları "dönüştürmez" veya "takas etmez": Tokenları Wormhole üzerinden köprülediğinizde, başlangıç ​​tokenı bir sözleşmede kilitlenir ve hedef zincirde yeni bir token basılır.
3️⃣ Wormhole NFT köprüsü bazı NFT'leri de destekler

Wormhole NFT köprüsü, ERC721 NFT'lerin Ethereum, BSC, Polygon, Avalanche, Oasis ve Solana arasında aktarılmasına izin verir.
4️⃣ Bu hack de 100.000 $ kaybettigini ve Hemşire oldugunu iddia eden biri Input mesaj ile hacker a mesaj gönderdi

etherscan.io/tx/0x12a235329… Image
5️⃣ Hacker , Tornado Cash den finanse ettiği cüzdanına 94.000-ETH ı çekti Image
6️⃣ Hacker cüzdanı bu ve birçok kişi transaction ile mesaj gönderiyor

UTF-8 ile mesajlı transaction lar; Transfer* ile * işareti olanlar, etherscan ın yeni hizmeti bu, ordan Input kısmından UTF-8 e çevirerek okuyabilirsiniz

etherscan.io/address/0x629e… Image
7️⃣ Projenin denetim raporlarına bakalım;
Denetim ekiplerinin kaçırdığı önemli bir hata var görünene göre

github.com/certusone/worm… Image
8️⃣ Görünüşe göre istismarcı, solana tarafında da tahribat yaratmış, 120k $ WETH almış görünüyor ve bunun 80k $ ını bridge ile Ethereum ağına geçti

solscan.io/account/2SDN4v… Image
9️⃣ Solona ağındaki Wrap Eth iğne attı ve Sentetik Eth piyasasında liquidity ler oldu, ayrıca Sentetik Eth lar arasında ciddi arbitraj fırsatları doğdu şuan ImageImage
1️⃣0️⃣ İlk incelemelerde hatalı akıllı kontrat islevinin Ecrecover kaynaklı olabileceği belirtildi, şuan incelemeler devam ediyor

Koda göre: işlevi imzalayan kişinin yetkisi sorgulanıyor ancak ecrecover da bir "salt" kullanılmamış 👀 Image

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with Smart Contract

Smart Contract Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

More from @0xSmartContract

May 26
1- Botlar heryerde

Bugün yazacağımız kod ile dikkati dağılan milletvekillerini tespit edip twitter'dan otomatik mesaj atan bir bot görmüştüm, bunu nasıl tasarlarız buna bakalım

⬇️⬇️ Image
2- Gerekli Kütüphaneler ve Araçlar ;

Yüz ve Nesne Tanıma için : Yüz ve telefon algılama için OpenCV ve TensorFlow/Keras gibi Python kütüphaneleri kullanılabilir.

Twitter API için Tweepy: Twitter API ile otomatik mesaj atmak için Tweepy kütüphanesi kullanılabilir.
3- Yüz ve Telefon Tespiti:
OpenCV ve TensorFlow kullanarak yüz ve telefon tespiti yapmak için bir model eğitilebilir veya mevcut bir model kullanılabilir. Aşağıda basit bir yüz tespiti örneği var, ancak bu yüz tespit resimler için kullanılabilir, bunu mantığı anlamak için ilk başta buna bakmakta yarar varImage
Read 6 tweets
Dec 24, 2022
Bsc ağında, dexler arası arbitraj fırsatı arayan bir arbitraj botu size aylık ortalama 3k $ kazandırabilir ancak sorun bsc ağındaki haksız rekabettir, validatörler ile özel anlaşmaları olan ve her işlemde öne geçme becerisi olan en az 10 tane bot var ve onları yenmeniz imkansız
Etherum ağında işler daha adildir, validatör torpili olan işlemlerden söz edemeyiz ancak rekabet çok yüksektir,flashbots gibi röleleri çok iyi kullanmalısınız, botların arbitraj fırsatlarında öne geçmesi bazen 1 wei lik farklarla bile olur
Bu tür blockchaindeki en üst seviye arbitrajlar ilginizi çekiyorsa, teknik olarak DEX lerin çalışma şeklini anlatan bu dökümanı tavsiye ederim

Read 4 tweets
Oct 7, 2022
1️⃣ Binance Bridge deki bir güvenlik açığı nedeniyle 2 milyon BNB (~566M USD) çalındı

Binance Bridge'in rastgele mesajlar oluşturmaya izin verebilecek kanıtları doğrulama biçiminde bir hata vardı. Saldırganlar şans eseri az işlem yaptılar, hasar çok daha kötü olabilirdi
⬇️⬇️
2️⃣ Saldırının detaylarına girmeden Bridgeler hakkında birşeyler söylemeliyim

Son yıllarda hacklerin %50 si ( 2,5 milyar $ ) köprülerde gerçekleşti

Bunlar kodlama hatalarından değil, köprü tasarımındaki kusurlardan kaynaklandı.
3️⃣ Kodlama hataları önlenebilir bir uygulama detayıdır ancak tasarım daha zorlu bir süreçtir

Köprü tasarım ve kodlaması konusunda uzman dünyada sınırlı sayıda kişi ve denetçi var

Blockchainin mimari olarak en zayıf yapıları şuan köprüler

Read 18 tweets
Oct 4, 2022
1️⃣ Blockchain Güvenlik şirketi @SlowMist_Team in raporuna göre,kod istismarları ve açıklarında 2022'de toplam çalınan para 2.7 milyar $ a ulaştı

EVM tabanlı Blockchain projelerinin güvenlik prosedürleri neler?

Proje tasarımı yapan ekipler güvenliği nasıl sağlamalı?
⬇️⬇️
2️⃣ Bir Blockchain projesinde en önemli başlıklardan biri güvenlik olmalı ve yatırımcılarda kararlarını verirken güvenlik katmanları sağlam olan projelere daha çok öncelik vermeli

Sanılanın aksine güvenlik prosedürü, sadece kodların denetimi ile sınırlı değildir
3️⃣ Projelerin,çok katmanlı bir güvenlik yapısı uygulamaları gerekiyor, buradaki gibi basit 7 kısımlı bir güvenlik politikası

O zaman neden bu 7 liyi çoğu uygulamıyor?

1- Maliyet
2- Çalınan paralar projelerin değil, yatırımcının parası 😲, yatırımcı düşünsün mantığı Image
Read 17 tweets
Sep 30, 2022
1️⃣ Uniswap v3 , havuza yatırdığımız LP pozisyonları için neden bize NFT verir?

⬇️⬇️
2️⃣ 2018 de Uniswap v1 de sadece ETH-Token LP si yapılabiliyordu.

2020 senesinde Uniswapv2 ile artık Token-Token çiftleride LP yapılabilir hale geldi.
3️⃣ Uniswap v3 ilede , aynı LP havuzda farklı fiyat seviyelerine yatırım yapmamızı sağlayan ve sermaye verimliliğini artıran devrimsel bir LP yapısı başladı. Bunun adı: Konsantre likidite

docs.uniswap.org/protocol/conce…
Read 11 tweets
Sep 28, 2022
1️⃣ Ethereumda ki en nadir sözleşme adresi, 14 tane 0 ile başlıyor,
kendisi bir arbitraj botu ve 7/24 çalışarak tüm havuzlardaki arbitraj fırsatlarını silip süpürüyor

Neden 14 0 lı bir adresi var ? Image
2️⃣ eips.ethereum.org/EIPS/eip-1014
ile tanımlanan CREATE2 kodu ile özel sözleşme adresleri üretebiliriz, bu botun operatörüde bununla üretmiş ama neden?
3️⃣ En çok kullanılan kütüphane , Openzeppelin in CREATE2 kütüphanesi

google.com/url?sa=t&sourc…
Read 8 tweets

Did Thread Reader help you today?

Support us! We are indie developers!


This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Don't want to be a Premium member but still want to support us?

Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal

Or Donate anonymously using crypto!

Ethereum

0xfe58350B80634f60Fa6Dc149a72b4DFbc17D341E copy

Bitcoin

3ATGMxNzCUFzxpMCHL5sWSt4DVtS8UqXpi copy

Thank you for your support!

Follow Us!

:(