AnnieBronson May 16 at 18:14

Минюст США: студенты MIT украли $25 млн за считанные секунды, воспользовавшись уязвимостью блокчейна ETH

2 min

14K

Finance in ITCryptocurrencies

+17

Comments 31

Ivnika May 16 at 18:19

Интересно как именно их нашли, да и сумма откуда известна?

adron_s May 16 at 18:45

Видимо как всегда бывает в таких случаях, слишком много языком болтали. Судя по этой статье с технической стороной вопроса у них все было хорошо.

Kira625 May 17 at 12:07

Судя по этой статье про техническую сторону вообще сложно что-то сказать, а акцент на 12-ти секундах это просто смешно, это время подтверждения блока в эфире. Это так же как написать, что кто-то украл много миллионов за время проведения банковской транзакции.

iRumba May 17 at 11:39

Я думаю что сумму можно отследить по подходу. Было же выяснено, как они это провернули. После этого можно перепроверить транзакции и определить сколько коинов было похищено.

По поводу того как нашли, полагаю, поймали на обмене (крипта на доллары). Отследить движение средств задача тоже выполнимая. Даже с учетом миксеров

Wesha May 16 at 18:52

Два студента MIT украли $25 млн за 12 секунд, воспользовавшись уязвимостью в блокчейне Ethereum. Им грозит до 60 лет лишения свободы.

Ну всё правильно "украл курочку — сел в тюрьму, украл миллион — сел в госдуму". Такими мелочами реальные пацаны тут не заморачиваются. $90'000 за мешочек бронзовых втулок — вот это для реальных пацанов, да.

Vsevo10d May 16 at 22:09

Ну тут ведь нет прямого мошенничества. Есть рыначек, где кто угодно называет цену, а другой с ней согласен либо нет, и госзаказы тоже формально рыночные. Я не знаю предыстории, но рискну предположить, что здесь вы покупаете мешочек бушингов за $1 и уверенность, что оно MILITARY GRADE за $89 999, потому что херу с горы такой сертификат не дадут, а значит - товар дорогой, штуч... ну... короче говоря, это такая же эфемерная ценность, как авангардная интерьерная скульптура из арматурин или там новые кроссовки в коллаборации с каким-нибудь очередным рэпером Lil' Lil'.

Wesha May 16 at 22:39

Ну вот наш мируканский депутат и поднимает вопрос, что с этим "$39000 мне, $39000 тебе, а за $2000 пусть немец летает" хорошо бы уже заканчивать.

uhf May 16 at 19:21

Так уязвимость не устранена?

ABy May 16 at 20:18

Будет повод для форка. Думаю Виталик только рад.

Sibiryak999 May 16 at 19:22

Интересно, закрыта ли сейчас эта уязвимость?..

plFlok May 16 at 19:27

Так и не понял суть уязвимости.

Если их собственные валидаторы меняли порядок блоков, то другие валидаторы просто не должны принять такой порядок у себя - на то они и вадидаторы

Как будто не хватает деталей дыры

+11

vaslobas May 16 at 19:56

Да, нужна пояснительная бригада.

Единственное на ум приходит такая схема (поправьте, пожалуйста).

Есть боты, которые везде пытаются быть первыми.

У таких торговых ботов поднята собственная нода, чтобы быстро принимать/отправлять данные в сеть. Братья поставили свои фейковые ноды рядом с нодой ботов и слали в ноду ботов эти фейк транзакции, а боты делали выводы на основе не подтвержденных сетью транзакций от этих фейк-нод и делали какие-то действия.

Потом эта транзакция отбивалась остальными нодами, конечно же.

derpymarine May 16 at 20:16

Да, торговых ботов атаковали. Тут на коиндеске расширенное описание атаки.

uhf May 16 at 20:35

Тогда бот сам ~~лох~~ поторопился, использовав неподтвержденную информацию. Непонятно, в чем мошенничество.
Когда бот обгоняет человека в скорости, это типа честно. А как боту надо думать, так сразу караул обманули.

vaslobas May 16 at 20:36

Это просто мои предположения, я правды не знаю и не дока в этом деле.

vanxant May 16 at 21:37

Да, мне тоже захотелось посмотреть, как прокурор будет доказывать мошенничество в суде 12-ти идиотам.

exTvr May 16 at 22:35

Главное, чтобы не двенадцати ИИдиотам. Ибо те быстро примут нужную точку зрения.

Wesha May 16 at 22:58

как прокурор будет доказывать мошенничество в суде 12-ти идиотам.

Нет ничего проще. Нужно просто как можно чаще повторять волшебные слова "компьютер", "Интернет", "биткойн", "блокчейн", и, самое главное, "хакеры" — и дело в шляпе.

А присяжных, понимающих, о чём вообще речь, отсеют на этапе отбора жюри. Я в курсе — сам сидел в пуле присяжных. Соображающие там не задерживаются.

vanxant May 17 at 10:47

Для этого есть специально обученные адвокаты. А у обвиняемых наверняка в загашнике есть сколько-нибудь немножечко шекелей на этот случай.

Wesha May 16 at 22:44

расширенное описание атаки.
lured the bots to one of their validators which was validating a new block and basically tricked these bots into proposing certain transactions.

Подозрительно напоминает старую поговорку "вор у вора дубинку украл".

exTvr May 16 at 20:55

студенты MIT украли $25 млн за считанные секунды, воспользовавшись уязвимостью блокчейна ETH

Хорошие студенты, годные. Надо брать.

Wesha May 16 at 22:52

Хорошие студенты, годные. Надо брать.

Ну вот их и взяли. В тюрьме к ним подойдут дяди в строгих костюмах и тёмных очках и сделают предложение, от которого нельзя отказаться.

xkb45bkc4 May 16 at 23:27

и будут и с блока в блок в штанах хмурый носить, мол с блокчейном то знакомы.

Специалистов и на воле хватает, вербовать надо до того как они засветились, что бы в стукачи записать или темные дела проворачивать и был козел отпущения на всякий случай.

hphphp May 16 at 23:11

Кто на кого учился...)

Dorill May 17 at 00:04

Могли бы пустить свои умы в нормальное русло и не сесть. Честно зарабатывать деньги сложнее, чем напрячь мозг однажды, и пользоваться уязвимостью блокчейна (да и вообще чего угодно) постоянно. Но такое не может работать вечно)

Daddy_Cool May 17 at 01:44

Главное - ДОЛЬШЕ. Даже если зарабатывать по 300 к$ в год на человека, чтобы заработать 25M понадобится 40 лет. А еще ж налоги с ЗП платить...
Я так понимаю, проблема что делать с нелегальными деньгами, в США стоит гораздо острее чем у нас.