What the Mobius Meltdown Reveals About Smart Contract Complacency
Jedna linia złej matematyki.
9 kwadransów tokenów.
2 miliony dolarów - w mniej niż 72 godziny.
Mobius nie stał się twardy. Został zniszczonycopy-paste error in an unaudited smart contractWeb3 prawie się nie załamał.
Ale to nie był tylko bug.a broadcast:
Web3 nadal traktuje oprogramowanie finansowe jak weekendowe sprinty kodowe.
Web3 nadal traktuje oprogramowanie finansowe jak weekendowe sprinty kodowe.
TL;DR – The Mobius Hack w 10 sekund
- Eksploit: Błąd w .deposit() pozwala na nieograniczone minowanie
- Token: $MBU, uruchomiony na BNB Chain
- Tokeny drukowane: 9,731,099,570,720,980,659,843,835,099,042,677
- Skradzione fundusze: 2,16 mln USD w USDT
- Droga wyjścia: Tornado Cash
- Status audytu: Nie ma. zero
Żadnych przełomów. żadna logika zwrotu. żadna odpowiedzialność.
Co tak naprawdę wydarzyło się
Mobius uruchomił token $MBU z minimalnym fanfare na BNB Chain.
Ukryte w środku.deposit()Funkcja była cichą katastrofą; błąd mnożnika, który pozwala każdemu kopać miliardy tokenów za 0,001 BNB.
Jeden z napastników to zobaczył, minął9+ quadrillion tokens, i wymienił się wystarczająco dużo, aby odejść z $ 2.16M w czystych stablecoins.
Złośliwy TX:
0x2a65254b41b42f39331a0bcc9f893518d6b106e80d9a476b8ca3816325f4a150
Adres ataku cash-out:0xb32a53af96f7735d47f4b76c525bd5eb02b42600
Po minowaniu, napastnik wymienił wypełnione $MBU tokeny na $2.16 milionów USDT i przekierował fundusze do portfela powyżej.
W dniu eksplozji adres ten był aktywnie zaangażowany w wiele zdarzeń związanych z wypływem płynności - i szybko przekazywał fundusze za pośrednictwem Tornado Cash, aby zasłonić ślad.
Nie potrzebował dnia zerowego.
Potrzebował więc kalkulatora.
Kod jest kapitałem - i nadal jest traktowany jak zabawka
W tradycyjnych finansach kradzione 2 mln dolarów wywołałoby:
- spory
- Pokrycie
- Regulacja ciepła
W Web3? otrzymuje thread tweet... i być może meme.
Oto głębszy problem:
Inteligentne kontrakty to nie tylko skrypty, są instytucjami.
Smart contracts are not just scripts. They are institutions.
W tej chwili wdrażamy nieaudytowane instytucje z nieskończonymi uprawnieniami i zerowym nadzorem.
W tej chwili wdrażamy nieaudytowane instytucje z nieskończonymi uprawnieniami i zerowym nadzorem.
Każdy kompostowalny prymityw staje się powierzchnią ataku, a każda niekontrolowana przypuszczenie staje się bombą.
Każdy kompostowalny prymityw staje się powierzchnią ataku, a każda niekontrolowana przypuszczenie staje się bombą.
Tytuł oryginalny: We Are Self-Sabotaging
Pomogłem architektom ekosystemów tokenowych, gospodarkach native-Telegram i tokenizowanych pakietów infra.
Web3 nie jest atakowany, Web3 ignoruje grawitację.
Web3 nie jest atakowany, Web3 ignoruje grawitację.
a my :
- Uruchamianie nieaudytowanego kodu
- Formalne testy Skip
- Zapomnij o planowaniu fallback
- Poruszaj się szybciej niż nasze systemy koordynacji
Mobius hack nie był zaskoczeniem. to było nieuniknione.
Jeśli nie będziemy traktowaćsmart contract design like critical infrastructureI to będzie się nadal działo.
Kompozycyjność obniża oba sposoby
Kompozycyjność jest klejnotem korony kryptowaluty, ale jest również jej szklaną szczęką.
Każdy wzajemnie połączony moduł staje się wektorem ryzyka.Każdy „blok Lego” z wadliwą logiką może złamać czyjś system.
Każdy wzajemnie połączony moduł staje się wektorem ryzyka.Każdy „blok Lego” z wadliwą logiką może złamać czyjś system.
Błąd Mobius nie tylko zniszczył ich token - wpłynął na łączną płynność, wymiany tokenów i zaufanie w stosie.
Błąd Mobius nie tylko zniszczył ich token - wpłynął na łączną płynność, wymiany tokenów i zaufanie w stosie.
To jestsystemic fragilityMaskuje się jako innowacja.
Następny cykl nie będzie tak przebaczający
W 2019 roku byłaby to porażka. W 2021 roku, być może, opowieść ostrzegawcza.
It’s a credibility crisis.
Instytucje to obserwują.
Regulatorzy krążą w kółko.
Główny kapitał nie wybacza błędów matematycznych w protokołach bankowych.
Jeśli Twój kod może kopiować 9 kwadrillionów tokenów z jednym błędnym wpisem, nie jest to MVP.
It’s an attack surface waiting to be exploited.
Ostateczna myśl: Inteligentne kontrakty muszą dojrzewać - lub umrzeć próbując
Jeśli nie traktujemy kodu jako kapitału, ktoś inny będzie traktował go jako szansę.
If we don’t treat code as capital, someone else will treat it as opportunity.
Dopóki nie zbudujemy z rygorem oprogramowania finansowego, z audytami, formalną weryfikacją, ścieżkami aktualizacji i zabijaniem przełączników, nie budujemy finansów.
Po prostu dajemy hakerom początek.
✍️ Notatka autora
Ten post to rozszerzona i zoptymalizowana wersja utworu, który początkowo udostępniłem na moim profilu.Blog Hashnode-przetworzone dla społeczności HackerNoon, aby pogłębić architekturę, implikacje i konsekwencje instytucjonalne.
Dzielę się tygodniowymi esejami na skrzyżowaniu bezpieczeństwa inteligentnych kontraktów, infrastruktury AI x i tokenizowanych systemów wartości.
Pozostańmy połączeni - sygnał nad hałasem
👉 Śledź mnie na eseje, ramy i surowe myślenie graniczne:
Oto hackerzy:strona hackernoon.com/@ronnie_huss
Na blogu:Rzeszów.pl
Na LinkedIn:linkedin.com / w/ronyhuss
Twitter / X:serwis twitter.com/ronniehuss
