Уязвимости в блокчейне. Цена вопроса?

[lisa99]

Всем привет! На связи сарафанное радио, и как всегда для вас, дорогие наши слушатели, порция интерес-ней-ших новостей. В студии..
============
Несерьезно. Неконкретно. Но интересно ваше мнение.

Вводные таковы. Щиток со своим блокчейном и дивной "экосистемой" щитков второго и третьего уровня может иметь уязвимости, позволяющие вычистить большую часть кошельков юзеров.
Капитализация - несколько лмв зелени. Вертится на известных биржах.

Вопрос. Если удасться дожать до реализации уязвимости, то как лучше поступить? =)

1. Заявить о проблемах разрабам-овнерам с пруфами и рассчитывать на ббаунти. Красиво, но..но вы поняли. Шансы остаться с нулями.
Или не им, а какой-то фирме посреднику, например, известной компании, торгующей зеродеями.
Какова мб сумма выплат?

2. Продать ушлым компетентным людям и не парится. Вопрос - сколько это может стоить и как в таких схемах используется гарант?
Минус - задешево и возможен кидок

3. Пытаться забрать все и самолично. Готовясь к визгам, уголовным делам и проч. Есть в этом аспекте нехорошие моменты, кстати, усугубляющие ситуацию.
Минусы - проблемы с анонимностью крипты, т.к. считаю,что щитки проще отследить по свопам, проблемы с обналом.

У нас в РФ путей к счастью много.
Что посоветуете, братьяи сестры?

п.с. Повторюсь - считаем все абстрактным вопросом. Покупателей(лохов, компаньонов, инвесторов, и проч) в данный момент не ищу, продавать нечего.
п.п.с. Тема начиналась в Болталке. Из-за несерьезности. Перенес модератор

 

[weaver]

Или не им, а какой-то фирме посреднику, например, известной компании, торгующей зеродеями.
Какова мб сумма выплат?

Такое они не покупают, это деструктивные эксплойты, их нельзя использоваться для шпиона, как обычне LPE\RCE.

Вопрос. Если удасться дожать до реализации уязвимости, то как лучше поступить? =)

Решать тебе как поступить. Читал я истории как хлопают блокчейны и выводят куеву тучу бабла. Что тут сказать.... В основном происходит 3 ситуациии

1. удается скрыться с бабками
2. часть бабок замораживают, часть уходит злоумышленникам (большая остается у владельцев)
3. владельцы начинают ныть и пытаются договорится с злоумышленниками, чтобы те вернули средства в обмен на очень крупную баунти в несколько миллионов

2. Продать ушлым компетентным людям и не парится. Вопрос - сколько это может стоить и как в таких схемах используется гарант?

Такие эксплойты будут стоить в 10 раз дороже зеролика. Ну давай прикинем 100-300 лямов можно вывести. Тогда продажник будет ~ 25-50 на такое добро. Я бы такое загнал бы каким нибудь северокорейцам они такое любят.


Тут три варианта...

1) Можно анонимно связаться с владельцами и поинтересоваться про багбаунти, ск будет цена за такой баг.

2) Либо ждите удобного момента, чтобы вывести, как ребята сделали в новый год, вывели очень крупную сумму. Когда все были заняты праздниками.

3) Искать покупателя, на счет гаранта я не знаю, как тут быть просто

 

[lisa99]

Такое они не покупают, это деструктивные эксплойты, их нельзя использоваться для шпиона, как обычне LPE\RCE.

Мда...ты крут. В этих темах. Я помню большую статью о компаниях, брокерах зеродеев (мечтала заняться этим, но нереально).
Смысл обращения в фирму-брокер как раз в гарантии выплат.
Загнать северокорейцам....Легко сказать! Видимо посыл в том, что речь о госструктурах, а не о толпе бандюков за клавами. Хз..

Можно анонимно связаться с владельцами и поинтересоваться про багбаунти, ск будет цена за такой баг.

Я подозреваю что они все знают и подготовили почву под экзит-скам. Мол пришли корейцы и слизали из-за ошибок в коде, никому не известных

. часть бабок замораживают, часть уходит злоумышленникам (большая остается у владельцев)

это самый реалистичный случай для щитков с не очень большими пулами ликвидности. разбросанными по defi-биржам
Узкое горлышко. Проще заблокировать.

Картина такая. Много раз мне попадались красивые идеи (можно скзать даже постоянно), за которые браться нет смысла. Мне конкретно.
Так и с блокчейном. Колупаться пару месяцев с кодом, готовить почву для вывода и заработать 2-3 к.. даже не смешно.

Как-то так =))

 

[ZakonUlits]

Конечно, самим выводить!
Лично знаю пример когда ломанули IPFS проекта и сняли 5.000.000$
Пусть это немного, наверное. Но тоже неплохо =)
Такую сумму точно нет проблем обналичить.
А если нет проблем обналичить 5.000.000$, то какая проблема будет обналичить x10, например, или x100.
Имхо, разницы нет.

Ломаем какой-то Web3 сервис/протокол -> выводим на обезличенный кошелек активы -> свапаем без тормозов пока не прилип AML в условный эфир -> чтобы разорвать связь связь с конкретным этим преступлением закидываем в некастодиальный децентрализованный миксер -> на выходе все участники которые получили свое смешанное дерьмо получили его на обезличенные кошельки равными долями, а значит установить принадлежность конкретного кошелька к событию возможности нет -> теми же малыми долями чтобы не привлекать внимания выводим бабки через разные сервисы по обналу, сразу получая кэш.

Условно, когда ты налишь 50.000$ до тебя вообще никому нет дела.
Повторяй цикл пока не снимешь всю сумму.
Для этого есть проверенные процессинговые сервисы, которые знают что делать с грязью.

Поэтому однозначно ломать и снимать самим, работать с профессионалами и горя не знать!

 

[weaver]

Смысл обращения в фирму-брокер как раз в гарантии выплат.

Я это понимаю, но прикол в том, как я выше сказал это деструктивные эксплойты, настоящая чёрнуха - "черные эксплойты". Тут либо ты идешь в багбаунти их, либо ты начинаешь грабить их как диком западе. В серой зоне эти эксплойты не применимы как LPE\RCE под windows. Вот почему они их не покупают.

Загнать северокорейцам....Легко сказать! Видимо посыл в том, что речь о госструктурах, а не о толпе бандюков за клавами. Хз..

Потому что часть работают по крипте и тому подобному. Можно и банде, но главное профессиональным, а то заруинить могут баг и его закроют.

Я подозреваю что они все знают и подготовили почву под экзит-скам. Мол пришли корейцы и слизали из-за ошибок в коде, никому не известных

Смысл в том, чтобы узнать расценки. Ты с ними общаешься и узнаешь конкретно за цены. Говоришь я независимый исследователь смарт-контрактов я работала с другими платформами и там были такие то цены за такие то баги, а вас какие. Так хотябы будет понятно есть ли смысл им отдавать багу или нет.

это самый реалистичный случай для щитков с не очень большими пулами ликвидности. разбросанными по defi-биржам
Узкое горлышко. Проще заблокировать.

Ну вот под новый год, был эпизод, там в систему управления челы залезли и вывели бабки. Как там всё устроено на самом деле мне не ясно. Но попытка не пытка. Надо пробовать прощупывать почву...

Картина такая. Много раз мне попадались красивые идеи (можно скзать даже постоянно), за которые браться нет смысла. Мне конкретно.

Что тут сказать... В любом деле должна быть мотивация без нее никуда...

Так и с блокчейном. Колупаться пару месяцев с кодом, готовить почву для вывода и заработать 2-3 к.. даже не смешно.

Как-то так =))

2-3к не может стоить такие баги ... 50-100к минимум надо. Если не борщить.

 

[ZakonUlits]

готовить почву для вывода и заработать 2-3 к

Это где вы такие бабки видели в крипте
Сейчас у нищего индуса который работает модератором в Discord канале будет лежать минимум 20.000$ в токенах проекта, который ждет пока они превратятся в мелионы =)

 

[celty]

Я как понял в коде контракта нашел дырку и можешь все вывести, я бы вывел не задумываясь на кошель. Если это токен сразу бы свапнул и пусть в эфире весит. Когда монеты у тебя на кошельке тогда время есть подумать чем профукать их.

 

[ZakonUlits]

чем профукать их

Задонатить на конкурс статей/проектов/видео на xss.pro, однозначно!

 

[celty]

Задонатить на конкурс статей/проектов/видео на xss.pro, однозначно!

Не знаю, если бы мне уже стучали в дверь я эти деньги слил бы на сгенерированный рандомно адрес к которому не имел бы доступ. Многие подумают что никто бы так не сделал, возможно даже бы отпустили чтоб якобы обмануть типо ты потом покажешь сам где доступ типо слежка будет, а ты реально слил все деньги в никуда, ебало инвесторов представили?

 

[weaver]

Частично почистил флуд... Для тех кто хочет грабить как на диком западе по 100-300 лямов за раз, можете уже сейчас начинать читать дорожную карту и смотреть эксплойты.

 

[Dddc]

Если монетка есть на cex то можешь сами токены вывести,поморозиться,вернуть и сыграть в шорт с большим х а потом в Лонг)

 

[viskas]

Всем привет! На связи сарафанное радио, и как всегда для вас, дорогие наши слушатели, порция интерес-ней-ших новостей. В студии..
============
Несерьезно. Неконкретно. Но интересно ваше мнение.

Вводные таковы. Щиток со своим блокчейном и дивной "экосистемой" щитков второго и третьего уровня может иметь уязвимости, позволяющие вычистить большую часть кошельков юзеров.
Капитализация - несколько лмв зелени. Вертится на известных биржах.

Вопрос. Если удасться дожать до реализации уязвимости, то как лучше поступить? =)

1. Заявить о проблемах разрабам-овнерам с пруфами и рассчитывать на ббаунти. Красиво, но..но вы поняли. Шансы остаться с нулями.
Или не им, а какой-то фирме посреднику, например, известной компании, торгующей зеродеями.
Какова мб сумма выплат?

2. Продать ушлым компетентным людям и не парится. Вопрос - сколько это может стоить и как в таких схемах используется гарант?
Минус - задешево и возможен кидок

3. Пытаться забрать все и самолично. Готовясь к визгам, уголовным делам и проч. Есть в этом аспекте нехорошие моменты, кстати, усугубляющие ситуацию.
Минусы - проблемы с анонимностью крипты, т.к. считаю,что щитки проще отследить по свопам, проблемы с обналом.

У нас в РФ путей к счастью много.
Что посоветуете, братьяи сестры?

п.с. Повторюсь - считаем все абстрактным вопросом. Покупателей(лохов, компаньонов, инвесторов, и проч) в данный момент не ищу, продавать нечего.
п.п.с. Тема начиналась в Болталке. Из-за несерьезности. Перенес модератор

сделай полный вынос этой дивной экосистемы. деньги лучше через всевозможные свапилки/dex'ы уводи в биток.
тут кто-то советовал в эфире держать - плохая идея тк ушастый чертила Виталик Бутерин может кошелек просто побанить, как он уже это делал с другими кошельками (были новости пару лет назад на эту тему). в троне такая же ситуация. в битке +- все прозрачно в этом плане. в монеро - автор монеро сам писал что сидит на бутылке госдепа сотрудничает с ФБР и прочими.

п.с: если перед выносом в ЛС скажешь что за монетка, чтобы я в шорты зашел на 150м плече, буду искренне признателен xD и даже лайк тут поставлю)))

 

[madnadbad]

умеешь выводить? - выводи, нет сейчас такого понятия как "мораль"

 

[Petrarka76]

А вообще насколько перспективно данное направление?Кажется что останутся ТИР1 монеты типо BTC и ETH(и ничего там не сделать) и скам проекты которые в какойто момент закончатся

 

[lisa99]

Вот почему они их не покупают.

Хм. Кажется я неправильно упомянула зеродеи. Имелись ввиду компании, торгующие криптобагами\уязвимостями.
Есть такие в крипте? Что-то попадались программы багбаунти только под собственные проекты..

Потому что часть работают по крипте и тому подобному.

По северной Корее. Да, работают по крипте. Но как может выглядеть продажа? Вот вам баг, вот вам пруфы, задонатьте пожалуйста?

Смысл в том, чтобы узнать расценки. Ты с ними общаешься и узнаешь конкретно за цены. Говоришь я независимый исследователь смарт-контрактов я работала с другими платформами и там были такие то цены за такие то баги, а вас какие. Так хотябы будет понятно есть ли смысл им отдавать багу или нет.

Соль еще в чем. Речь о том, что в математике блокчейна - косяки. Это не частный баг. Это системная проблема, которую уже не исправить (на мой взгляд, мб и ошибаюсь).
Не создавая новый ..форк(?)

В любом деле должна быть мотивация без нее никуда...

Вот и ищу понимания, за что бится) Отсюда и тема. Например.
Зашел мальчик Дима (РФ) в админку банка (РФ) и тихо-тихо вышел.

2-3к не может стоить такие баги ... 50-100к минимум надо. Если не борщить.

10% - да, норм практика))

Я как понял в коде контракта нашел дырку и можешь все вывести, я бы вывел не задумываясь на кошель. Если это токен сразу бы свапнул

Нет, радость моя. Это отдельный блокчейн 1 уровня, не имеющий отношения к evm

Задонатить на конкурс статей/проектов/видео на xss.pro, однозначно!

Штирлица всегда выдавала дурацкая привычка обосабливать запятыми дополнения.
А визгливо-истеричные криптом[иллионЭры] уже кончились? или где чё?

если перед выносом в ЛС скажешь что за монетка, чтобы я в шорты зашел на 150м плече, буду искренне признателен xD и даже лайк тут поставлю)))

СеменСемееееныч....

умеешь выводить? - выводи, нет сейчас такого понятия как "мораль"

это на лолзах нет.
А в олдскулах еще есть...

Итак.
(1)Осталась нераскрытой тема продажи уязвимости, за которой несколько лям баксов. Сам механизм. Как?)
(2) Сформировался приквел - тема дампа щитка.
(3) Путь Exodus-a. Найти кошельки с высоким AML и слизать у аморальных личностей актив. Дальше - дампить.
(4) Стать брокером уязвимостей криптосистем (нереально).

 

[weaver]

Хм. Кажется я неправильно упомянула зеродеи. Имелись ввиду компании, торгующие криптобагами\уязвимостями.
Есть такие в крипте?

Никогда о таких не слышал, но даже если такие существуют т.е. изучают уязвимости в криптографии, то это безопасность государственного уровня и вопрос национальной безопасности. Поэтому время от времени даже если не удалось взломать шифр, они на перед говорят, что шифр устарел, говорят переходить на новый алгоритм шифрования.

Я же вроде уже объяснил, что такие экспы не покупают, компании которые торгуют зиродеями.

Просто смотри взять хотя бы уязвимость под iMessage iOS? Почему её покупают разные компании брокеры, потому что её можно задействовать для шпионажа, как и для наступательной безопасности против каких-то террористов.

Но в случае уязвимости в блокчейне это ничего не даст, это тоже самое как взять из собственно кошелька свои же деньги. Ведь все подобные компании которые покупают зиродеи, они сотрудничают с государствами от сюда и вывод, что такое не приминимо для спец.операций OpSec. Разве что это уязвимость могла бы снять с определенного кошелька баланс по щелчку. Тогда бы эту уязвимость они бы купили, чтобы отбирать деньги у киберпреступников

Что-то попадались программы багбаунти только под собственные проекты..

Под собственные проекты конечно есть и ты это сама прекрасно знаешь. Это вот тот момент когда я говорил, поинтересоваться у них на счет цены за баг. Даже если у проекта нету багбаунти на сайте все равно написать надо. Поинтересоваться за цены и тд. Добавлю что успешных багхантеров, которые держаться в топе, приглашают на закрытые багбаунти. Там проекты поинтересней и баунти вкуснее.

По северной Корее. Да, работают по крипте. Но как может выглядеть продажа? Вот вам баг, вот вам пруфы, задонатьте пожалуйста?

Я уверен, что на этом форуме все сидят, просто может они себя не проявляют. Но в любом деле хочется гарантии, как со стороны покупателя так и со стороны продавца. Как это все грамотно сделать не могу подсказать. Тут наверно в качестве гаранта должнен выступать доверенное лицо, которое технически подковано в технологиях блокчейна. Тем более сделка на очень крупную сумму будет.

На форуме сливали документы под зерокликам

http://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/threads/104790/post-729738

и та статья про брокеров

http://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/threads/115070/post-812221

Где то я видел цену в 18 миллионов евро на комплект... найти не могу

Короче к чему я это всё говорю, к тому что цена на такой эксплойт высокой будет, тем более на черном рынке. Например если с помощью твоего эксплойта можно украсть 100.000.000$ Какую цену можно выставить 10 ? 25 ? 50 ? А можно и за % все это отработать, если будет успех. Или не париться, а просто отдать за какую-то N-сумму.

Соль еще в чем. Речь о том, что в математике блокчейна - косяки. Это не частный баг. Это системная проблема, которую уже не исправить (на мой взгляд, мб и ошибаюсь).
Не создавая новый ..форк(?)

Вот и ищу понимания, за что бится) Отсюда и тема. Например.

Ошибки они везде, даже в формулах и в науке. Раз ты так утверждаешь и разобралась в теме, значит баги будут постоянно появляться. И будет тут тоже самое "одно лечим, другое колечим". Поэтому что тут говорить, надо этим пользоваться. Какой путь выбирать решать тебе White\Black.

Итак. (1)Осталась нераскрытой тема продажи уязвимости, за которой несколько лям баксов. Сам механизм.
(2) Сформировался приквел - тема дампа щитка.

Возможно я ошибаюсь, но я думаю ты будешь первопроходцем, это как было с сетками до локеров их незнали как монетизировать о чем писали Group-IB в одно из своих отчетов.... про "Fxmsp". Под первопроходцем я имею введу, если уязвимость продадут на форуме. Или появится группировка которая по кд будет атаковать криптовалюты. А не то что мы читаем в новостях как разовые акции... уязвимости в криптовалютах более прибыльнее, чем скажем теже локеры. Но нужны знания и опыт, а опыт можно получить только методом проб и ошибок.

 

[lisa99]

Возможно я ошибаюсь, но я думаю ты будешь первопроходцем, это как было с сетками до локеров их незнали как монетизировать

Хм. В универе меня (студенткой когда была) называли Сусаниной. В том самом смысле.
Честно говоря, я тоже ЛБ вспоминала (привет, зай!) с этим блокчейном. Заходишь в контору. С АКМС и ли просто с макаровым.
Пруфы предварительно...Все как у людей, короче.
Готова возглавить новое направление. Но чуть попозже.

====
А мораль ты правильно пробил. В корень. Я решила пройтись по чейнам и их кодингу. Думаю, сюрпризов будет много у профи.
Абсолютное большинство вообще не интересуется базой. Онли спекуляции (и дрейнеры)

Спасибо за ответы. Очень интересное направление. Пусть даже и не для меня конкретно.

 

[celty]

Нет, радость моя. Это отдельный блокчейн 1 уровня, не имеющий отношения к evm

Это жаль и анлак =(

 

[вавилонец]

я за 3 вариант: 1 - кинут на бб, выплаты, в основном исследователям с именем или работающим в крупной ИБ, очеееень редко нонэйм получит $1kk, 2 - если они на гаранта XSS не согласны, то кто?, а если 3 - то бабки то уже в кармане, осталось крути верти даже если сольешь 15% - 20% от $10-100kk, не велика беда. ИМХО.

 

[FantasticExploits]

Как-то раз я начал делать ББ (почти 4 года было положено) платформу (много личных топ контактов, через лом и выплаты, еще до овасп спецификации с их воркфлоу , но ни какой платформы) в итоге меня уделал hackerone ( вернее Benchmark). Не тормози.