Share this page!

Maybe Scrolly?
Faycy Profile picture
Twitter logo
Aug 4 26 tweets 10 min read
[THREAD] Comment Mr. White Hat a réalisé le plus gros braquage de l'histoire de la crypto,

666 Millions de dollars dérobé à @PolyNetwork2. Image
Nous sommes ici pour voir comment il s'y est pris, analyser et déterminer ce qui a été exploité et pourquoi a-t-il rendu les 666 Millions qu'il a dérobés à @PolyNetwork2. Image
Premièrement, qu'est ce que @PolyNetwork2,

Polynetwork est un projet de transaction cross-chain qui vous permet de déplacer des actifs ou des jetons entre différents protocoles blockchain comme ethereum ou polygon. Image
C'est assez technique, donc prenez un Dafalgan car votre cerveau risque de chauffer, je vais vous expliquer tout ça pour que même les personnes qui ne comprennent rien aux fonctions informatiques puissent suivre.

Bonne lecture à vous ! Image
Pour commencer, j'ai pris quelques exemples pour que vous compreniez la suite,

il y a un comptable (b) qui a le contrôle de la banque.

Donc ce comptable (b) a le contrôle des comptes bancaires dans lesquels se trouve tout l'argent,
ce comptable (b) a un patron (a), et ce qui se passe c'est que les gens vont voir le patron et disent:

"Je veux faire cette transaction", le patron (a) vérifie si c'est une transaction valide ou non, et si c'est une transaction valide. Image
Alors le patron (a) donne des instructions au comptable (b) (qui ne répond qu'au patron) et lui dit d'effectuer les transactions financières suivantes pour lui, et tout cela fonctionne très bien.

Sauf que Mr. White Hat l'a fait fonctionné à sa manière, Image
Passons à l'explication un peu technique, je vais faire de mon mieux pour que vous compreniez, pour ce faire, retenez cela, 👇

"EthCrossChainManageur" (le comptable qui est le propriétaire de "EthCrossChainData", qui lui même a un gardien qu'on appellera (le patron), Image
Lorsque nous analysons l'attaque, nous pouvons voir que l'attaque a principalement fonctionné parce qu'il y a un gardien (le patron) dans un contrat appelé "EthCrossChainData" qui peut être modifié par un autre contrat séparé appelé "EthCrossChainManager" (le comptable). Image
Donc, on peut comprendre que le patron peut être "modifié" à cause du contrat "EthCrossChainManager" et ses fonctions qui sont séparées du contrat "EthCrossChainData" (qui contient le gardien (le patron).
Et c'est la que se trouve la faille, entre le patron et le comptable. Le patron peut dire au comptable, "écoute, je ne suis plus ton patron, c'est l'autre type ici présent qui est ton patron".

C'est la première faiblesse. Image
Le contrat "EthCrossChainManager" (le comptable) a une fonction appelée "verifyHeaderAndExecuteTransaction", et cette fonction permet au contrat "EthCrossChainManager" (le comptable) d'exécuter les données transmises par Mr. White Hat (le hackeur). Image
Ensuite, la seconde faiblesse qu'on va voir si dessous est que le patron peut enfaite être hypnotisé en donnant une telle instruction au comptable grâce aux différentes fonctions dans le contrat "EthCrossChainData" qui contient le gardien (le patron). Image
Puisque le propriétaire du contrat "EthCrossChainData" est le contrat "EthCrossChainManager" (le comptable).

Le contrat "EthCrossChainManager" peut modifier le gardien (le patron) du contrat en appelant la fonction "putCurEpochConPubKeyBytes" du contrat "EthCrossChainData".
les données sont soigneusement construite et transmise par le biais de la fonction "verifyHeaderAndExecuteTx" pour que la fonction "_executeCrossChainTx" exécute l'appel à la fonction "PutCurEpochConPubKeyBytes" du contrat ""EthCrossChainData" afin de Image
modifier le rôle de gardien à l'adresse spécifiée de Mr. White Hat (le hackeur).

En gros, le patron c'est fait "hypnotiser",

Mr. White Hat a dit au patron de dire au comptable que le patron n'est plus le patron du comptable mais qu'il est le patron du comptable à la place,
Grâce à cette transaction, Mr. White Hat modifie l'opération du gardien :
etherscan.io/tx/0xb1f70464b…

Donc, la fonction "_executecrosschainTx" appelle une autre fonction qui met à jour les bookkeepers avec les clés publiques de Mr. White Hat.
@PolyNetwork2 utilisent le concept de lock boxes, qui authentifie les messages signés et validés par un groupe de contrats appelés bookkeepers,

Mr. White Hat doit donc mettre à jour le bookkeeper avec sa clé publique grâce à une fonction,
Il a ensuite envoyé des instructions pour des transactions financières,

des transactions financières au comptable qui ont vidé l'argent des comptes bancaires,

La transaction par laquelle Mr. White Hat a effectué l'attaque: etherscan.io/tx/0xad7a2c70c…
On peut se demander, qu'est-ce qui a été mis dans cette transaction qui lui a permis de télécharger sa clé publique dans le bookkeeper et ainsi prendre le contrôle ?

C'est là que nous avons une "_méthod" qui a été fournie. Image
Une "_méthod" est un pointeur vers la fonction du contrat et elle peut être générée si vous avez le bon "hash" ;

Dans le cas de Mr. White Hat, c'est ce qu'il a fait, il devait fournir un identifiant de "_méthod" qui pointerait vers la fonction qui met à jour le bookkeeper ImageImage
avec sa clé publique.

Une fois l'identifiant encodé, l'attaquant reçois la "_méthod",

"0x41973cd9"

Il l'encode...

Maintenant que notre attaquant avait sa clé publique, mise à jour dans le bookkeeper.

Il pouvait exécuter n'importe qu'elle transaction qu'il voulait. ImageImage
Pourquoi a-t-il rendu les 666 Millions volés ?

Mr. White Hat a déclaré qu'il a volé les fonds afin de les mettre en sécurité suite à la découverte d'une faille dans les contrats de Poly Network, il voulait simplement contribuer à la sécurité de @PolyNetwork2

Voici sa #FAQ 👇 Image
L’équipe de PolyNetwork lui on proposé une prime de 500 000 dollars pour le récompenser d’avoir identifié la faille, il a finalement accepté.

Il a même reçu une proposition d’embauche en tant que chef de sécurité chez eux, qu'il a refusé au risque de compromettre son identité. Image
Voilà pour ce thread, merci d'avoir lu jusqu'ici, si vous souhaitez en apprendre plus sur l'écosystème crypto, n'hésitez pas à me suivre juste ici ! @0xFaycy

Ce Thread est traduit grâce à cette article:

slowmist.medium.com/the-root-cause… Image
@PolyNetwork2 dérobés*

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with Faycy

Faycy Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

More from @0xFaycy

Faycy Profile picture
Aug 3
[THREAD] 6 habitudes qui vont vous aider dans la #Crypto et qui peuvent vous faire gagnez plusieurs milliers de dollars,

Les habitudes ne se construisent pas en un jour, c'est un processus continu et répétitif avec quelques ajustements.
1) Positionnez-vous sur les #airdrops.

Beaucoup de personnes ont gagné plusieurs milliers de $ grâce aux airdrops avec un petit investissement,

PS: je vous prépare un thread sur les aidrops et comment y participer !
2) Restez à jour sur les news et n'arrêtez jamais de vous informé sur différent sujet à propos de la crypto !

On dit que l'information est le pouvoir, mais en réalité, l'information est tout.

La seule chose qui vous sépare du succès est la connaissance.
Read 9 tweets
Faycy Profile picture
Aug 2
[THREAD] Pour maximiser nos chances de faire plusieurs multiples en crypto, il y a quelque chose à maîtriser,

C'est l'analyse fondamentale.

Le tout premier thread d'une longue série qui regroupe plusieurs questions à se poser avant d'investir dans un projet !

Lets go !👇❤️ Image
Dans ce thread vous allez lirez une série de question, après y avoir répondu avec vos propres recherches, vous pourrez ainsi vous faire votre propre avis sur un projet !

Si il y'a des questions à rajouter, n'hésitez pas, les commentaires sont fait pour ça.
⚡️Premièrement, on va commencer par les chiffres, on rentrera dans les détails plus tard,

💧Le marketcap ?

💧Où est-il disponible ?

💧Le volume d’échange ?
Read 12 tweets
Faycy Profile picture
Jun 23
[THREAD] Prédiction pour le #Bearmarket 2021-2023,

Dans ce THREAD nous allons analyser les anciens bear markets pour ainsi prédire un BOTTOM grâce aux informations qu'on aura recueillies !

Et combien de temps il nous reste avant le next bull run !

Lets go !👇 Image
Sommaire:

💧1- Combien de temps cela dure-t-il ?
💧2- Situation actuel,
💧3- Prédiction Bearmarket 2021 - 2023,
💧4- Prédiction du temps qu'il nous reste,
💧5- Meilleur période pour investir
Disclaimer: Ce thread reste juste une prédiction grâce aux ANCIENS bear market !

La situation actuelle dans le monde n'est pas à notre avantage, de + rien dans ce THREAD est fiable à 100%, ça reste seulement une prédiction grâce aux informations de nos anciens bear markets.. Image
Read 16 tweets
Faycy Profile picture
Jun 12
[THREAD] Qu'est ce qu'un BEAR MARKET et comment SURVIVRE AUX PROCHAINS ?🧸

Pour mieux appréhender ce qu'il va se passer sur le marché (si cela arrive) et éviter de perde encore + d'argent, je t'invite à lire ce THREAD !

Lets go ! 👇❤️
Sommaire:

💧1- Qu'est-ce qu'un bear market ?
💧2- Combien de temps cela dure-t-il ?
💧3- La psychologie en bearmarket,
💧4- Comment y survivre ?
1- Qu'est-ce qu'un bear market ?

Bear market provient de l'anglais, cela veut dire "marché ours",

C'est un marché à tendance baissière, une période ou la baisse des prix persiste pendant une longue période,

Je vais vous montrer quelques exemples de récents bear markets 👇
Read 25 tweets
Faycy Profile picture
Apr 17
Bonjours à tous, voici le THREAD qui regroupe TOUTES les questions à se poser avant d'investir dans un projet,

Ces questions vous sont indispensables pour minimiser les risques,

Ce THREAD vous permettra de faire une bonne "analyse fondamentale",

Lets go !👇❤️🔃
DISCLAIMER: dans ce THREAD je ne parle pas d'analyse de projets type ponzi like, ce que vous voyez partout sur twitter, fork node etc..

Ici on parle d'analyser des projets avec une réel utilité dans le monde !
⚡️Premièrement, on va commencer par les chiffres, on rentrera dans les détails plus tard,

💧Le marketcap ?

Si le market cap est faible, + de chance de faire un multiple mais l'investissement est donc + risqué,

Ex: UOS = €251,243,051, si il va à 2,5 MILLIARDS (top50), = x10
Read 18 tweets
Faycy Profile picture
Apr 14
[THREAD] sur @Cloud_Financee et Qu'est ce qu'un Fork @TitanoFinance ?

Dans ce THREAD je vais vous présenter le prochain fork #titano qui va péter dans les prochaines semaines,

Gérer par des membres A.A🏴‍☠️:

@tomeslaa
@GablsMe
@brokebuidler

#FORKTITANO $TITANO #FORKTITANO $BNB Image
💧Tout d'abord, qu'est-ce qu'un Fork $TITANO ?

Fork du projet @TitanoFinance, c'est un protocole d'auto-staking et d'auto-compound sur la #BSC,

💧Qu'est ce que tu autant par la ?

Il vous suffit simplement de hold le token pour générer des rewards.
Sur @Cloud_Financee, l'auto-staking s'effectue toute les 30 minutes (48x/jour)

💧Pour la Presale, la WL est encore accessible, je vous conseil vraiment de pas rater ça !

💰 500$ d'alloc avec ~500 WL
⌛️ 24h
💸 0.00001$ (même prix qu'au launch)
Read 6 tweets

Did Thread Reader help you today?

Support us! We are indie developers!

This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Don't want to be a Premium member but still want to support us?

Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal

Or Donate anonymously using crypto!

Ethereum

0xfe58350B80634f60Fa6Dc149a72b4DFbc17D341E copy

Bitcoin

3ATGMxNzCUFzxpMCHL5sWSt4DVtS8UqXpi copy

Thank you for your support!

Follow Us on Twitter!

:(