Postagens do Canal Web 3.0 :: Web3

bybit: а эта статья вошла в ТОП-1 на Hackernoon и уже перешла планку в 8 100 прочитываний... не плохо. с учётом того, что это даже не статья, а заметки на полях шляпы, чтобы не забыть, что Байбит - форменные мудаки. в итоге мои опасения оказались НЕ напрасны: медиа трещат о плохом Safe, об ужасных Lazarus, но "забыли", что сотрудники CEX ничего не сделали для безопасности средств пользователей.

буду рад вашим комментам, даже если вы со мной НЕ согласны, реакциям и шерингу в соц. сетях: https://hackernoon.com/bybit-only-has-itself-to-blame

bybit: что ж, пора завершать эту эпопею с чудакми с большой буквы м. для меня комьюнити разделилось примерно 80/20: где 20% - читали предыдущие взломы, изучали представленные аудиты и пытались разобраться в атаке в целом. а 80% - просто поверили CEX и СМИ. хорошо это или плохо - не важно, но важно, что это для меня лично ватерлиния, по которой проходит чёткая градация тех и других...

суть же вот в чём, если SAFE станет ещё лучше, Ledger/Trezor - ещё круче, если мы уйдём от AWS совсем в Web3-мире, НО ПРИ ЭТОМ bybit НЕ поменяет подход к подписанию транзакций, будут ли продолжены взломы? да. и вот не понять это - значит не понять суть взлом.

Bybit виновны, говоря иначе, в том, что:
◦ Использовали не компетентных сотрудников, ◦ Самым не компетентным из которых был последний подписант - CEO:
◦ Они подписывали всё вслепую, без доп. проверок
◦ Более того - с наличием очевидных ошибок
◦ Ничего не сделали для раздельного хранения средств

а теперь ещё они дампят рынок вместе с маркет-мейкерами, кот. дали им займы: взял дорого, опустил, купил дешевле - отдал долг. Но это совсем уж тупорылая схема, поэтому её даже обсуждать не хочу.

для тех же, кто хочет изучить взлом, подборка переводов - от последнего к первому: от аудитов - к описанию:
-- https://teletype.in/@menaskop/bybit-hack-05
-- https://teletype.in/@menaskop/bybit-hack-04
-- https://teletype.in/@menaskop/bybit-hack-03
-- https://teletype.in/@menaskop/bybit-hack-02
-- https://teletype.in/@menaskop/bybit-hack-01

и да, bybit засыпали деньгами этот случай, чтобы СМИ "забыли" про их вину и трещали о том, как "взломали" SAFE: хотя на самом деле это было лишь уточнение вектора атаки, когда на фронте и бэке у тебя - разные данные, т.е. модификация атаки на Radiant & Wazirx. как верно заметили в комьюниит: большие сайты будут ломать всегда, но это не значит, что нужно им доверять, это как раз значит ровно противоположное.

UPD. совсем забыл, но вот и рекомендации по мультисигу, которые надо было выполнять: https://teletype.in/@menaskop/safe-multisig-with-trezor-ledger-keystone

Web 3.0 :: Web3 pinned «#DeFi: важный материал: https://teletype.in/@menaskop/defi-curve-vs-clamm - который был опубликован в Symplix.DAO: https://app.myshch.io/showcases/42161/SymplixDAO. если вам нужна детализированная теория и практика, то приходите»

Web 3.0 :: Web3 pinned «Вы используете ZK(P) на практике?»

bybit: а вот ответ SAFE: https://x.com/safe/status/1894768522720350673:

Заявление Safe{Wallet} о целенаправленной атаке на Bybit

Кратко:
1. Судебно-криминалистическая экспертиза подтвердила, что Bybit подвергся целевой атаке со стороны Lazarus. (Опустим этот момент, потому что снова - ноль паблика).
2. Смарт-контракты Safe не были затронуты, атака была проведена через компрометацию машины разработчика Safe{Wallet}, что повлияло на аккаунт, управляемый Bybit.
3. Safe{Wallet} добавил дополнительные меры безопасности для устранения этой уязвимости.

Полное заявление:
Расследование целенаправленной атаки Lazarus Group на Bybit показало, что компрометация машины разработчика Safe{Wallet} позволила злоумышленникам создать вредоносное предложение транзакции, замаскированное под легитимное. Lazarus — это северокорейская хакерская группировка, финансируемая государством, известная своими сложными атаками социальной инженерии на учётные данные разработчиков, иногда в сочетании с эксплойтами нулевого дня.

Важно! Экспертиза независимых исследователей не выявила уязвимостей в смарт-контрактах Safe, исходном коде фронтенда или сервисов.

После инцидента команда Safe{Wallet} провела детальное расследование и восстановила сервис в Ethereum поэтапно Была полностью перестроена и перенастроена инфраструктура, а также обновлены все ключи доступа, чтобы исключить возможность повторной атаки.

По завершении расследования команда Safe{Wallet} опубликует детальный разбор инцидента.

Веб-интерфейс Safe{Wallet} остаётся (рабочим), но теперь с дополнительными мерами безопасности. Однако пользователям рекомендуется проявлять максимальную бдительность при подписании транзакций*

* Safe берёт на себя инициативу по усилению проверяемости транзакций — это ключевая задача для всей экосистемы.
* Safe подтверждает приверженность безопасности, прозрачности, не-кастодиальности и развитию индустрии.

===

Проще говоря, SAFE снова оправдывается, вместо того, чтобы конкретно ответить мудакам из Bybit

===

bybit: вот что буквально написано на скрине выше:

(Стандартный) JavaScript-файл на app.safe.global, по-видимому, был заменён на вредоносный 19 февраля 2025 года в 15:29:25 UTC, (и был) специально нацелен на ETH-мультисиг - холодный кошелёк Bybit (0x1db92e2eebc8e0c075a02bea49a2935bcd2dfcf4). Атака была запрограммирована на активацию во время следующей транзакции Bybit, которая произошла 21 февраля 2025 года в 14:13:35 UTC.

На основании результатов расследования, полученных с машин подписантов Bybit, а также обнаруженного в Wayback Archive кешированного вредоносного JavaScript-кода, мы пришли к выводу, что, скорее всего, учётная запись/API-ключ AWS S3 или CloudFront платформы Safe.Global были скомпрометированы или утекли (в сеть).

(Примечание: В сентябре 2024 года Google Search объявил о своём сотрудничестве с Wayback Archive, предоставляя ссылки на кешированные версии веб-сайтов в Wayback Machine. Это подтверждает подлинность найденного вредоносного файла.

Для окончательной проверки выводов и выявления первопричины инцидента требуется дополнительное расследование...

===

как и говорил и буду повторять: с больной головы на здоровую скинуть. Попытка №03.

===

#фа: вот то, о чём я говорил... цитирую @forklog: "согласно отчету Bybit, взлом кошелька стал возможен из-за компроментации инфрастуктуры Safe (Gnosis Safe)". хотя это перекладывание с больной головы на здоровую. с очень больной, с сумасшедшей головы, на очень здоровую. надеюсь, это теперь станет хоть кому-то понятней...

#фа:

01. если вы не купили bitcoin по 3500-5000 в 2018, а потом в 2020-ом, то какая вам разница, что он снизится до $73 000 или $89 000?
02. если вы не купили bitcoin года 2-3 назад по $17.5k-$20k, то в чём смысл обсуждения сегодня?
03. если вы не верите, что 1 bitcoin - это 1 биткоин, то тем более, к чему суета?

это как альтсезон:
-- заработать на RNDR было можно
-- заработать на OM было можно
-- заработать на ADA было можно
-- заработать на SOL было можно

и даже на ETH заработать 2.5х + рестейкинг + DeFi было можно...

но я по-прежнему считаю, что долгосрочный тренд не есть медвежий, но бычий, но весь капитал выбивают всегда именно в такие моменты: все эти ваши мемы, все эти распроданные дропы, все эти деньги с ревардов, отданные в стейблы, все эти стейблы, превращённые в лонг/шорт позиции и т.д. - это всё отжим: чистый и холодный.

я свою стратегию менять не буду: заработал сверх-прибыль - вложи в то, во что веришь. веришь. не как в бога, а как в уже полученное, верифицированное и апробированное знание: считай как в теорему, которую доказал 3-4 способами. или даже в ряд - как в аксиому, потому что без них тоже никуда.

но эта вера в знания, навыки и умения, а не в иррациональное.

#DeFi: важный материал: https://teletype.in/@menaskop/defi-curve-vs-clamm - который был опубликован в Symplix.DAO: https://app.myshch.io/showcases/42161/SymplixDAO. если вам нужна детализированная теория и практика, то приходите

#NFT2.0: давно их не было в эфире, но они - живее всех живых: https://teletype.in/@menaskop/nft-ai-and-nftfi-2025
и не забывайте про https://nft2.envelop.is