Комментарии 8
причем тут клоудфайр ? это же смартконтракт на блокчейне. я ничего не понял из новости
Моя текущая гипотеза о том, что произошло: злоумышленники направили (с помощью токена) трафик на свои сервера (изменив A запись). Т.к. SSL делал CF, то для пользователей этого не было видно. Сайт злоумышленников делал запрос на "правильные" сервера, срезал SSL, дописывал свой JS, который "заставлял" пользователя подписать невыгодный смарт-контракт при депозите средств якобы на правильный сервер". Дальше трафик заворачивался обратно в CF с выданным CF'ом SSL'ем (владелец токена может его получить у CF).
Т.е. классический mitm, против которого SSL и задумывался. Однако, наличие CF и токена к нему полностью поменяло схему происходящего, и теперь у нас есть сайт CF, который верит трафику, подписанному самоподписанным сертификатом, который можно выписать имея токен. Вместо того, чтобы иметь доверие сервер-клиент, у нас получается доверие CF-клиент, а связка сервер-CF оказывается защищена всего лишь одним токеном (при том, что аккаунт на двухфакторке).
Блоооокчееейн, смаарт-контрааакты... А теория вероятности, сцуко, работает по-прежнему. Толку от блокчейна и смарт-контрактов, если доверяем мы не только им?
Когда же появятся понятные выражения для объяснения всего что связано с криптовалютой и блокчейном. До сих пор не все понимаю, как это все работает. )
Неизвестные взломали сайт DeFi и украли $120 млн в криптовалюте