Ericonomic Profile picture
Feb 8 12 tweets 5 min read
¿Quieres descubrir la ingeniosa forma en la que los hackers de #Wormhole robaron ~300M de dólares en ether?
En este hilo te lo explico desde el punto de vista técnico pero de tal forma que cualquier persona sea capaz de entenderlo.
Vamos a ello🔥
👇
Este wormhole es un bridge entre varias blockchains que te permite pasar tokens de una blockchain a otra de forma descentralizada. Por ejemplo, pasar USDT desde la red BSC a ERC20🔁

Ahora vamos a hablar de cómo se dieron cuenta del bug que les permitió hacer el hack.
1/
GitHub es un servicio online que te permite subir código y gestionarlo. Una de sus funcionalidades es la de crear 'ramas' del código original y modificar lo que consideres.
Cuando todo el mundo confirma que la modificación funciona y es correcta, se fusiona...
2/
...con el código original y se sube a producción (es decir, lo "activas" para que esté en funcionamiento para todo el mundo).
En muchos casos (como en WormHole) todo este código es open source por lo que cualquier persona puede ver las modificaciones y las ramas.
3/
Entonces, si un desarrollador del proyecto encuentra un bug, crea una rama con un nombre marronero (no es el caso pero para que se entienda) del estilo "arreglando bug mortal", arregla el bug, actualiza la rama y no la sube a producción, ¿Qué creéis que puede pasar?🤡
4/
Exacto. Algún cabroncete puede ver que el bug sigue 'online' y aprovecharlo para meterle mano.
Una buena práctica de seguridad habría sido ocultar la rama o subirla a producción al instante si se trata de un bug de tal calibre.
Aquí está la rama: github.com/certusone/worm…
5/
Ya sabemos cómo lo descubrió, ahora vamos a ver qué hizo.
Lo primero que hizo fue crear 120.000 WormHole ETH de la nada🕳️
solscan.io/tx/2zCz2GgSoSS…
Esto solo podría haberlo hecho robando las claves privadas o con algún exploit del WormHole. Y ya sabemos que fue lo segundo.
6/
Al parecer el hacker llamó a la función 'complete_wrapped' del smart contract. El problema es que para llamar a esa función necesitas una 'VAA account' válida.
Para crearla, llamó a la función 'post_vaa'.
Y para hacerlo necesitaba saltarse las verificaciones que se realizan...
7/
...al llamar a esta función.
Tras varios pasos muy técnicos de este estilo se llega a la conclusión de que el hacker necesitaba crear una 'SignatureSet' fake que gracias al exploit que descubrió en GitHub pudo realizar fácilmente. Tras esto el resto era pan comido🥖
8/
En resumidas cuentas, lo que hizo fue engañar al bridge diciéndole que había depositado 120.000 ETH en la red de Solana y que los quería sacar a ERC20.
Firmó falsamente los contratos y el bridge se la comió enterita.
Sacó 80.000 ETH a su wallet en ERC y colorín colorado..
9/
..este hack ha finalizado.
Aquí podéis ver su wallet ahora: etherscan.io/token/0xc02aaa…
Los 80k ETH no se han movido ni creo que se muevan durante mucho tiempo.
Es gracioso porque han puesto a esa dirección el nombre de "Wormhole Network Exploiter".
10/10
Habrá que estar atentos a ese wallet para ver qué hace con esos fondos, pero como no deje pasar varias decenas de años no creo que tenga los huevos de moverlos🤭
Espero que te haya gustado este minihilo. La creatividad de los hackers es maravillosa.

Se despide,
Ericonomic🔥

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with Ericonomic

Ericonomic Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

More from @ericonomic

Feb 9
¿Has tomado algo de profit y te quieres pegar un caprichito en la vida real con esos USDT🎁?
¿Crees que es imposible hacerlo sin que Hackcienda te robe su parte del pastel?💸
En este #hilo te traigo una manera segura, barata e irrastreable de pegarte un homenaje.

Vamos allá🔥
👇
Lo primero que tenemos que hacer es pasar esos USDT o el token que sea a bitcoin en la red de #Bitcoin .
Para ello tienes muchas alternativas, entre las que destaca pasar por un exchange centralizado.
Pero esta tiene 2 grandes pegas...
1/
La primera es la trazabilidad: van a poder rastrear tu transacción y seguir tus fondos (y más si lo haces en un exchange con KYC) y el fisco se pone tonto, te puede perseguir.
La segunda son las comisiones de retirada de bitcoin, que usualmente suelen ser carísimas en los CEX.
2/
Read 12 tweets
Feb 3
Tal y como habéis pedido voy a explicar lo que ha pasado con #Wonderland, una de tantas CAO (a ver quién lo pilla) que acaba estafando a todos sus participantes.
Pillad palomitas🍿
👇
Antes de comenzar a hablar de Wonderland hay que hablar de QuadrigaCX y de su co-fundador, Michael Patryn.
QuadrigaCX era una empresa fundada por Gerry Gotten y Michael Patryn en 2013 que posteriormente creó su propio exchange de criptomonedas.
1/
En 2018 Gerry fue hallado muerto en la India. Coincidiendo con esto, muchos usuarios de Quadriga reportaban que no podían retirar su dinero del exchange. Tras una investigación se descubrió que los wallets estaban a 0, desapareciendo así 120 millones de euros de los clientes.
2/
Read 12 tweets
Feb 2
¿Eres millennial y crees que aprender de mercados financieros, de criptos y de economía no te puede servir de nada en la vida real?✖️

Déjame decirte que estás totalmente equivocado. Y te lo voy a demostrar contándote algo sobre mi que espero que te motive a aprender más.

👇
Corría el año 2020 y tanto mi pareja como yo, como buenos millennials que somos, llevábamos años ahorrando para comprarnos una buena casa.
Estábamos esperando 'el dip' en el mercado financiero, alguna guerra o algo para que bajaran los precios y poder comprar...
1/
Entonces apareció el COVID y miles de jóvenes nos agazapamos esperando el momento justo de cazar la tan ansiada bajada de precios.
Como todo el mercado inmobiliario estaba tan caro no nos quedaba otra que esperar a algo así.
Y un 'cisne negro' o similar era la mejor opción.
2/
Read 10 tweets
Jan 28
🚨¿Usas o tienes pensado usar un hardware wallet y no sabes lo que es AOPP?¿Sabes por qué su implementación es tan peligrosa para los usuarios de #Criptomonedas ?🚨

Abro mini-hilo explicando con palabras poco técnicas lo que es AOPP y por qué debemos evitarlo a toda costa.
👇
Sus siglas vienen de "Address Ownership Proof Protocol", lo que en español viene siendo un protocolo de prueba de la propiedad de una dirección.

En resumen vendría a ser un protocolo mediante el cual enlazar tu identidad con la dirección de un hardware wallet.
1/
¿Cómo lo pueden hacer? Muy sencillo.
Los exchanges, antes de dejarte retirar tus criptos, te podrán pedir firmar un mensaje con tu hardware wallet para habilitar las retiradas a esa dirección.
A partir de ahí, si has hecho KYC, tu HW quedará enlazado a tu identidad.
2/
Read 8 tweets
Jan 27
El Gobierno de España dice que el IPC ha sido en 2021 del 6,5%.
El IPC es el índice que utiliza el INE para medir la inflación en un periodo temporal, por lo que es un índice cocinado por ellos mismos, un ente público.
¿Crees que realmente la inflación ha sido esa?🧐
Abro hilo👇
Para confirmarlo, vamos a revisar manualmente el cálculo con los datos estadísticos que nos da el INE: ine.es/dyngs/INEbase/…

Antes de proseguir voy a explicarte cómo funciona el IPC y cómo se calcula.
1/
En primer lugar realizan una cesta de productos ponderando cada producto con un porcentaje: lo que "consume" el español medio.
Adjunto la foto de la ponderación de 2021.
2/ Image
Read 9 tweets
Jan 18
Si el otro día os gustó el hilo sobre los snipers o el del impermanent loss de @Criptofasicko , este hilo de @cat5749 os va a flipar.
Lo voy a traducir y adaptar.

Vamos a ello🧵👇
Hace unos días se creó una dApp que lo que hacía básicamente era decirte cuántas fees habías gastado en $ETH: fees.wtf

Al conectar tu wallet te decía todo el histórico de estas.
1/
Como añadido extra, se sumaron a la moda de crear su token llamado $WTF en la blockchain de ethereum y repartirlo como un airdrop entre las wallets que usaron su dApp.
2/
Read 12 tweets

Did Thread Reader help you today?

Support us! We are indie developers!


This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Don't want to be a Premium member but still want to support us?

Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal

Or Donate anonymously using crypto!

Ethereum

0xfe58350B80634f60Fa6Dc149a72b4DFbc17D341E copy

Bitcoin

3ATGMxNzCUFzxpMCHL5sWSt4DVtS8UqXpi copy

Thank you for your support!

:(