What the Mobius Meltdown Reveals About Smart Contract Complacency
A rossz matematika egyik vonala.
Kilenc négymillió token.
2 millió dollár - kevesebb, mint 72 óra alatt.
Mobius nem volt durva. megrongálódott egycopy-paste error in an unaudited smart contractA Web3 szinte semmit nem látott.
De ez nem csak egy bug volt.a broadcast:
Web3 még mindig kezeli a pénzügyi szoftverek, mint a hétvégi kód sprint.
Web3 még mindig kezeli a pénzügyi szoftverek, mint a hétvégi kód sprint.
TL;DR - A Mobius Hack 10 másodperc alatt
- Exploit: A bug .deposit() lehetővé tette a korlátlan mentést
- Token: $MBU, elindult a BNB Chain
- Nyomtatott tokenek: 9,731,099,570,720,980,659,843,835,099,042,677
- Ellopták a pénzt: 2,16 millió dollár USDT-ben
- Kiindulási útvonal: Tornado Cash
- Értékelés állapota: Nulla
Nincs visszavonulási logika, nincs visszavonulási logika.
Mi történt valójában
Mobius elindította $MBU token minimális fanfare a BNB Chain.
A belsejében rejtett.deposit()A funkció egy csendes katasztrófa volt; egy multiplikátor hiba, amely lehetővé tette, hogy bárki milliárd tokent érjen el 0,001 BNB-ért.
Az egyik támadó látta, mintázta9+ quadrillion tokens, és csak annyit cseréltek ki, hogy 2,16 millió dollár tiszta stablecoinokkal menjen el.
A rosszindulatú TX:
0x2a65254b41b42f39331a0bcc9f893518d6b106e80d9a476b8ca3816325f4a150
A támadó cash-out cím:0xb32a53af96f7735d47f4b76c525bd5eb02b42600
A támadás után a támadó a megnövekedett $MBU tokeneket 2,16 millió dollárra cserélte USDT-ben, és az alapokat a felső pénztárcába irányította.
A kihasználás napján ez a cím aktívan részt vett több likviditási kiáramlási eseményben - és gyorsan csatolt alapokat a Tornado Cash-en keresztül, hogy elhomályosítsa a nyomot.
Nincs szüksége nulla napra.
Számítógépre volt szüksége.
A kód a tőke - és még mindig úgy kezelik, mint egy játékot
A hagyományos pénzügyekben a lopott 2 millió dollár kiváltja:
- vitás
- lefedettség
- hőszabályozás
A Web3-ban kap egy tweet szálat... és talán egy meme-t.
Íme a mélyebb kérdés:
Az intelligens szerződések nem csak forgatókönyvek, hanem intézmények.
Smart contracts are not just scripts. They are institutions.
És jelenleg nem ellenőrzött intézményeket telepítünk végtelen engedélyekkel és nulla felügyelettel.
És jelenleg nem ellenőrzött intézményeket telepítünk végtelen engedélyekkel és nulla felügyelettel.
Minden komposztálható primitív támadási felületgé válik, minden ellenőrizetlen feltételezés ticking bombává válik.
Minden komposztálható primitív támadási felületgé válik, minden ellenőrizetlen feltételezés ticking bombává válik.
Következő Következő bejegyzés: Szabadon szabotálunk
Segítettem az építészeti token ökoszisztémáknak, a Telegram-alapú gazdaságoknak és a tokenizált infra-stackoknak.
A Web3 nem támadás alatt áll, a Web3 figyelmen kívül hagyja a gravitációt.
A Web3 nem támadás alatt áll, a Web3 figyelmen kívül hagyja a gravitációt.
Mi vagyunk:
- Ellenőrizetlen kód elindítása
- Skip formális teszt
- Fallback tervezés
- Gyorsabban mozog, mint amit koordinációs rendszereink képesek támogatni
A Mobius hack nem volt meglepetés. elkerülhetetlen volt.
Hacsak nem kezeljüksmart contract design like critical infrastructureEz továbbra is történni fog.
A komposztálhatóság mindkét módon csökken
A komposztálhatóság a kriptográfia korona ékszere, de az üvegkarja is.
Minden összekapcsolt modul kockázati vektorgá válik, minden „lego blokk” hibás logikával megszakíthatja valaki más rendszerét.
Minden összekapcsolt modul kockázati vektorgá válik, minden „lego blokk” hibás logikával megszakíthatja valaki más rendszerét.
A Mobius hiba nem csak megsemmisítette a tokent - befolyásolta a halmozott likviditást, a token swapokat és a bizalmat az egész halomban.
A Mobius hiba nem csak megsemmisítette a tokent - befolyásolta a halmozott likviditást, a token swapokat és a bizalmat az egész halomban.
Ez azsystemic fragilityAz innováció álcázása.
A következő ciklus nem lesz olyan megbocsátó
2019-ben ez egy pontvonal lenne. 2021-ben talán egy figyelmeztető történet. 2025-ben?
It’s a credibility crisis.
Az intézmények figyelik.
A szabályozók köröznek.
A mainstream tőke nem bocsátja meg a matematikai hibákat a banki protokollokban.
Ha a kódod 9 négymilliárd tokent képes megcsinálni egy rossz bevitellel, akkor ez nem MVP.
It’s an attack surface waiting to be exploited.
Végső gondolat: az intelligens szerződéseknek érettnek kell lenniük - vagy meg kell halniuk
Ha nem kezeljük a kódot tőkeként, valaki más lehetőségként fog kezelni.
If we don’t treat code as capital, someone else will treat it as opportunity.
Amíg nem építünk a pénzügyi szoftverek szigorával, auditokkal, hivatalos ellenőrzésekkel, frissítési útvonalakkal és kill switchekkel, nem építünk pénzügyeket.
Mi csak a hackereket adjuk a fej kezdetét.
✍️ A szerző megjegyzése
Ez a bejegyzés egy bővített és optimalizált változata egy darab, amit eredetileg megosztottam aHashnode blogÚjratervezték a HackerNoon közösséget, hogy elmélyüljön az építészetben, a következményekben és az intézményi következményekben.
Heti esszéket osztok meg az intelligens szerződések biztonsága, az AI x infrastruktúra és a tokenizált értékrendszerek kereszteződésénél.
Maradjunk összekapcsolva – jelzés a zaj felett
👉 Kövess engem esszékhez, keretekhez és nyers határgondolkodáshoz:
Ez a hacker:hackernoon.com/@ronnie_huss Szállás
Ez a blog:Székesfehérvár.hu
A Linkedin esetében:linkedin.com/in a következőhöz
Twitter / X:twitter.com / ronniehuss
