What the Mobius Meltdown Reveals About Smart Contract Complacency
En linje af dårlig matematik.
9 kvadrillioner af tokens.
$ 2 millioner væk - på under 72 timer.
Mobius blev ikke rystet. Det blev ødelagt af encopy-paste error in an unaudited smart contract- og Web3 knapt blinkede.
Men det var ikke bare en bug.a broadcast:
Web3 behandler stadig finansiel software som weekend kode sprints.
Web3 behandler stadig finansiel software som weekend kode sprints.
TL;DR – The Mobius Hack på 10 sekunder
- Eksploit: Bug i .deposit() tilladt ubegrænset minting
- Token: $MBU, lanceret på BNB Chain
- Tokens Udskrives: 9,731,099,570,720,980,659,843,835,099,042,677
- Stjålne midler: $ 2,16M i USDT
- Udgangsvej: Tornado Cash
- Undersøgelsesstatus: Ingen. nul
Ingen kredsløbsbrud. ingen tilbagevirkende logik. ingen ansvarlighed.
Hvad der rent faktisk skete
Mobius lancerede sin $MBU token med minimal fanfare på BNB Chain.
Skjult inde i.deposit()Funktionen var en tavs katastrofe; en multiplikator bug, der tillod nogen at mynte milliarder af tokens for 0,001 BNB.
En angriber så det, mented9+ quadrillion tokens, og udvekslet lige nok til at gå væk med $ 2,16M i rene stablecoins.
Malware af TX:
0x2a65254b41b42f39331a0bcc9f893518d6b106e80d9a476b8ca3816325f4a150
Angriberens cash-out adresse:0xb32a53af96f7735d47f4b76c525bd5eb02b42600
Efter møntning udvekslede angriberen de opblæste $MBU-tokens for $2.16 millioner i USDT og rettede midlerne til tegnebogen ovenfor.
På dagen for exploiten var denne adresse aktivt involveret i flere likviditetsdræningshændelser - og hurtigt funnelede midler gennem Tornado Cash for at skjule sporet.
Han havde ikke brug for en nul-dag.
Han havde brug for en kalkulator.
Kode er kapital - og det bliver stadig behandlet som et legetøj
I traditionel finansiering ville $ 2M stjålet udløse:
- Tvister
- Dækning
- Reguleringsvarme
Det får en tweet thread ... og måske et meme.
Her er det dybere spørgsmål:
Smarte kontrakter er ikke bare scripts, de er institutioner.
Smart contracts are not just scripts. They are institutions.
Og lige nu implementerer vi uauditerede institutioner med uendelige tilladelser og nul tilsyn.
Og lige nu implementerer vi uauditerede institutioner med uendelige tilladelser og nul tilsyn.
Hvert komposterbart primitiv bliver til en angrebsoverflade.Hver ukontrolleret antagelse bliver til en tikkende bombe.
Hvert komposterbart primitiv bliver til en angrebsoverflade.Hver ukontrolleret antagelse bliver til en tikkende bombe.
Læs også: Vi saboterer os selv
Jeg har hjulpet arkitekt token økosystemer, Telegram-native økonomier, og tokenized infra stacks.
Web3 er ikke under angreb. Web3 ignorerer tyngdekraften.
Web3 er ikke under angreb. Web3 ignorerer tyngdekraften.
Vi er:
- Lansering af uauditeret kode
- Skip formel test
- Undgå fallback planlægning
- Flyt hurtigere, end vores koordinationssystemer kan understøtte
Mobius hack var ikke en overraskelse. det var uundgåeligt.
Medmindre vi behandlersmart contract design like critical infrastructureOg det vil fortsætte med at ske.
Komposibilitet skærer begge veje
Komposibilitet er kryptokronens kronjuvel, men det er også dets glaskæbe.
Hvert interconnected modul bliver en risikovektor.Hver "lego blok" med fejlagtig logik kan bryde andres system.
Hvert interconnected modul bliver en risikovektor.Hver "lego blok" med fejlagtig logik kan bryde andres system.
Mobius bug ikke bare nuke deres token - det påvirkede samlet likviditet, token swaps, og tillid på tværs af stak.
Mobius bug ikke bare nuke deres token - det påvirkede samlet likviditet, token swaps, og tillid på tværs af stak.
Dette ersystemic fragilityForklædt som innovation.
Den næste cyklus vil ikke være så tilgivende
I 2019 ville dette være en punchline. I 2021 måske en advarselshistorie. I 2025?
It’s a credibility crisis.
Institutionerne kigger på.
Regulatorerne er i cirkel.
Mainstream kapital tilgiver ikke matematiske fejl i bankprotokoller.
Hvis din kode kan minde 9 quadrillion tokens med en forkert input, er det ikke en MVP.
It’s an attack surface waiting to be exploited.
Den endelige tanke: Smarte kontrakter skal modne - eller dø forsøger
Hvis vi ikke behandler kode som kapital, vil en anden behandle det som en mulighed.
If we don’t treat code as capital, someone else will treat it as opportunity.
Indtil vi bygger med rigor af finansiel software, med revisioner, formel verifikation, opgraderingsveje og kill switches, bygger vi ikke finansiering.
Vi giver bare hackere en start.
✍️ Forfatterens notat
Dette indlæg er en udvidet og optimeret version af et stykke, jeg oprindeligt delte på minHashnode BlogOmarbejdet for HackerNoon-fællesskabet til at gå dybere ind i arkitekturen, konsekvenserne og de institutionelle konsekvenser.
Jeg deler ugentlige essays på krydset mellem smart kontrakt sikkerhed, AI x infrastruktur og tokeniserede systemer af værdi.
Lad os holde kontakten - signal over støj
👉 Følg mig for essays, rammer og rå grænse tænkning:
Det er hackeren:hackernoon.com/@ronnie_huss
På bloggen:Køge.dk
På LinkedIn:linkedin.com/i/Ronniehuss
Twitter / X:på twitter.com/ronniehuss
