Неизвестные взломали сайт DeFi и украли $120 млн в криптовалюте

[korsetlr473]

причем тут клоудфайр ? это же смартконтракт на блокчейне. я ничего не понял из новости

[mxr]

Через Cloudflare можно вносить изменения в контент отдаваемый пользователю. А дальше...

когда скрипт был активен, он перехватывал транзакции Web3 и вставлял запрос на передачу токенов жертвы на выбранный злоумышленником адрес.

[amarao]

Моя текущая гипотеза о том, что произошло: злоумышленники направили (с помощью токена) трафик на свои сервера (изменив A запись). Т.к. SSL делал CF, то для пользователей этого не было видно. Сайт злоумышленников делал запрос на "правильные" сервера, срезал SSL, дописывал свой JS, который "заставлял" пользователя подписать невыгодный смарт-контракт при депозите средств якобы на правильный сервер". Дальше трафик заворачивался обратно в CF с выданным CF'ом SSL'ем (владелец токена может его получить у CF).

Т.е. классический mitm, против которого SSL и задумывался. Однако, наличие CF и токена к нему полностью поменяло схему происходящего, и теперь у нас есть сайт CF, который верит трафику, подписанному самоподписанным сертификатом, который можно выписать имея токен. Вместо того, чтобы иметь доверие сервер-клиент, у нас получается доверие CF-клиент, а связка сервер-CF оказывается защищена всего лишь одним токеном (при том, что аккаунт на двухфакторке).

[lealxe]

Блоооокчееейн, смаарт-контрааакты... А теория вероятности, сцуко, работает по-прежнему. Толку от блокчейна и смарт-контрактов, если доверяем мы не только им?

[amarao]

Толк большой - в обычной банковской среде у вас хотя бы есть шансы, а в блокчейне с смартконтрактами - нет, деньги вывели. Если в контракте вывода бага нет, то всё.

[pupkinsergey]

Когда же появятся понятные выражения для объяснения всего что связано с криптовалютой и блокчейном. До сих пор не все понимаю, как это все работает. )

[sets]

Эта история не вполне про блокчейн, а скорее про инжект вредоносного JSа на веб-страницу.