Magnify #3 — радіти чи горіти?

Оригінал статті: https://blog.claystack.com/magnify-3-rejoice-or-burn-5f7a68ef72be

Щотижня я ділюся своїми поглядами на найгарячіші розмови тижня. Ще не підписалися? Натисніть тут, щоб отримувати щотижневі інформаційні бюлетені.

Коротко про головне

Чи є масовий вихід майнерів із США неминучим?
Чи вимоги щодо звітності брокерів знищать криптовалюти?
Це судний день для криптолюдей?
Бу…вам би хотілось.

Люди збожеволіли від нового законопроекту про інфраструктуру, ухваленого Сенатом. Плутанини навколо того, хто що має робити, багато. Але перш ніж ми з вами спрогнозуємо судний день в криптовалюті, давайте поговоримо про факти.

1. Законопроект ще не прийнятий. Сенат лише затвердив його. Він ще має пройти через Палату представників, де існує сильна опозиція з боку сенаторів-республіканців Джона Корніна і Теда Круза, а також 28 інших представників.
2. Наполегливих спроб, зроблених сенаторами Ламмісом, Тумі та Роном Уайденом, було недостатньо, щоб протистояти аргументу сенатора Шелбі щодо збільшення витрат на оборону в розмірі 50 мільярдів доларів. Він лобіював підтримку оборонного та військового персоналу та наполягав на безпеці нації понад усе — не дивуйтеся, якщо він не надає перевагу криптовалютам в цілому.
3. У законопроекті незрозуміло, чи майнери криптовалют також підпадатимуть під сферу оподаткування. Сенатор Ламміс (республіканець), який дуже хотів цього самого роз’яснення в законопроекті, родом із Вайомінга — дружнього до криптовалют штату в США. Я вважаю, що після початку обговорень у Палаті представників вона звернеться за додатковими роз’ясненнями.

Давайте на секунду задумаємось над усім цим. Незабаром буде ухвалений законопроект, який регулює криптовалютні прибутки. Сподіваємося, роз’яснення надійдуть. Гм… яким чином це не добре для нас? Особливо, коли ми чекали, поки неоднозначні нормативні хмари розвіються.

Для американських майнерів, розробників та інших людей зі сфери криптовалют, які проливали кров, піт і сльози через цю плутанину — друзі, давайте наберемося терпіння та розберемося з іншими проблемами. До речі, ви помітили, що ми щойно зазнали одного з найбільших хакерських зломів у криптовалютах?

У вівторок зловмисник зламав PolyNetwork і відібрав приблизно 600 мільйонів доларів у викрадених BNB, ETH і USDC активах, скориставшись контрактами на блокування проксі на Ethereum, BSC і Polygon. Коротше кажучи, так пройшла атака.

Контракт EthCrossChainManager має функцію під назвою verifyHeaderandExecuteTx, яка викликає ExecuteCrossChainTx, яка здійснює виклик цільового контракту — саме в цьому криється вразливість. PolyNetwork підтвердив, що ціллю є контракт, але через вразливість у коді користувачі можуть викликати контракт EthCrossChainData. Користувачі маніпулюють контрактом EthCrossChainData і обходять перевірку only0wner. Опублікуйте це, їм просто потрібно створити правильні дані, щоб зрештою запустити функцію, яка замінює публічні ключі (public keys).

Досить сказати, що зловмисник був достатньо розумним, щоб скористатися вразливістю смарт-контракту. Атаки на смарт-контракти не є рідкістю, але тут проблема криється в мості. Основна причина, чому блокчейн-мости вразливі до атак, полягає в тому, що кожен має свою власну модель безпеки, незалежно від моделей безпеки блокчейнів, з якими він взаємодіє.

Більше того, це не перша атака на блокчейн-міст. ChainSwap, Thorchain і AnySwap зазнали атаки цього року, і для перших двох використовувалися смарт-контракти, тоді як для AnySwap приватні ключі були зламані.

Ця безпечна серія атак на блокчейн-мости нагадує нам про відсутність досліджень щодо безпеки блокчейн-мостів. Хоча ці атаки можуть поставити під загрозу кошти користувачів на мільйони доларів, вони також допомагають нам зрозуміти, наскільки вразливі протоколи. А в деяких випадках зловмисники просто намагаються «дати нам урок».

Ви будете здивовані, дізнавшись, що більшість вкрадених коштів (в атаці Poly) повернуто. Зловмисник навіть відмовився від винагороди в розмірі 500 тисяч доларів, яку обіцяла PolyNetwork. Вони стверджували, що роблять злом в основному «для розваги» і тому, що «злом крос-ланцюга — це популярно».

Чим ви займались цього тижня?

Про ClayStack:

ClayStack — це децентралізований протокол стейкінгу, який дозволяє отримувати винагороди за стейкінг, зберігаючи при цьому свої активи ліквідними. Без будь-яких блокувань.

Отримуйте останні оновлення!

Дізнайтеся більше про ClayStack, спілкуйтеся з нашою командою, беріть участь в обговореннях спільноти та поділіться своїми цінними відгуками.

• Телеграм: https://t.me/claystack
• Твітер: https://twitter.com/ClayStack_HQ
• Вебсайт: https://claystack.com/
• Анонси: https://t.me/claystackchannel
• Програма контрибюторів: https://bit.ly/3r6neGU