GC General Chat
Hier kun je praten over van alles en nog wat. Eigenlijk alles wat niet in een van de andere rubrieken thuishoort.
Ah, je had m al gepostquote:Op donderdag 20 juli 2017 06:45 schreef leolinedance het volgende:
Wat betreft Aeternity en de hack:
https://blog.aeternity.co(...)et-hack-47cc507d964d
This is where we firmly stand:
All AE tokens of the contributors are unaffected by this issue. Everyone will receive their tokens exactly as contributed.
Dat is iig positief.
Lambo of Rekt
Naja ze hadden kunnen zeggen dat ze het af gingen blazen. In de Terms and Conditions stond klare taal bij het kopen van die tokens.quote:
Verder hebben ze nog 22k ETH tot hun beschikking en een shitload aan BTC. Dus ik ben blij dat het verder gaat
Lambo of Rekt
Maar 80k zijn ze kwijt? Behoorlijke overkill dan als ze de klus alsnog weten te klaren met 22k ETH. Het is dus vooral erg pijnlijk voor henzelf. Ze hadden dik miljonair kunnen worden van dit project.quote:Op donderdag 20 juli 2017 09:31 schreef EggsTC het volgende:
[..]
Naja ze hadden kunnen zeggen dat ze het af gingen blazen. In de Terms and Conditions stond klare taal bij het kopen van die tokens.
Verder hebben ze nog 22k ETH tot hun beschikking en een shitload aan BTC. Dus ik ben blij dat het verder gaat
ETH staat er weer lekker op.
Would you like to know more?
Alles over cryptocurrency, bitcoin en blockchain in begrijpelijke taal
Alles over cryptocurrency, bitcoin en blockchain in begrijpelijke taal
Nu ben jij de hacker. Je hebt net 30 miljoen aan ETH gestolen. Wat zijn je vervolg stappen, wat zou jij nu gaan doen?
Ik denk eerst verhuizen naar een land waar ik weinig pakkans heb met het geld wat ik zelf kan ophoesten.quote:Op donderdag 20 juli 2017 09:40 schreef onlogisch het volgende:
Nu ben jij de hacker. Je hebt net 30 miljoen aan ETH gestolen. Wat zijn je vervolg stappen, wat zou jij nu gaan doen?
Uitvinder van de biersmiley.
Gewoon blijven werken. Misschien een nieuwe waterkoker kopen.quote:
Nu ben jij de hacker. Je hebt net 30 miljoen aan ETH gestolen. Wat zijn je vervolg stappen, wat zou jij nu gaan doen?
This crypto stuff is all hype anyway, nothing will ever replace Windows 10.
Ik zou vooral lekker gaan babbelen met mijn slachtoffers en ze de schijn geven dat ze het terugkrijgen. Wat denk jezelf? 'm peren natuurlijk en niks van he laten horen.quote:
Nu ben jij de hacker. Je hebt net 30 miljoen aan ETH gestolen. Wat zijn je vervolg stappen, wat zou jij nu gaan doen?
I only tell you once. Don't fuck me, Tony. Don't you ever try to fuck me.
Jij verdwijnt met de noorderzon, je familie en vrienden achterlatend met enkel vragen?quote:Op donderdag 20 juli 2017 09:46 schreef Sosa het volgende:
[..]
Ik zou vooral lekker gaan babbelen met mijn slachtoffers en ze de schijn geven dat ze het terugkrijgen. Wat denk jezelf? 'm peren natuurlijk en niks van he laten horen.
Dit ja, en dan een constructie gaan verzinnen hoe je dat geld op een bankrekenin krijgt in datzelfde land zonder dat je naam naar voren komt.quote:
[..]
Ik denk eerst verhuizen naar een land waar ik weinig pakkans heb met het geld wat ik zelf kan ophoesten.
Maar geloof me; als je een exploit kan vinden in een behoorlijk nieuwe en complexe technologie als blockchain, dan is het geld ergens krijgen waar jij er anoniem toegang tot hebt, the easy part.
Lambo of Rekt
Wie zich de Mtgov hack van 2011 herinnert, weet dat het slechtste idee is om alles in 1 keer op de markt te dumpen, de waarde van BTC zakte toen tot .001. Het was echter een pyrrusoverwinning voor wie toen BTC aan die prijs kocht. Er kon een rollback gedaan worden omdat er toen slechts een max. van 1000$/dag de exchange kon verlaten.
Het beste systeem is om die ETH's wat rond te sturen en ze beetje per beetje te verkopen als je het geld nodig hebt.
Het beste systeem is om die ETH's wat rond te sturen en ze beetje per beetje te verkopen als je het geld nodig hebt.
Klopt alleen is het vooral zaak dat niemand merkt dat jij t bent. MtGox bedoel je neem ik aan.quote:
Wie zich de Mtgov hack van 2011 herinnert, weet dat het slechtste idee is om alles in 1 keer op de markt te dumpen, de waarde van BTC zakte toen tot .001. Het was echter een pyrrusoverwinning voor wie toen BTC aan die prijs kocht. Er kon een rollback gedaan worden omdat er toen slechts een max. van 1000$/dag de exchange kon verlaten.
Het beste systeem is om die ETH's wat rond te sturen en ze beetje per beetje te verkopen als je het geld nodig hebt.
Lambo of Rekt
quote:
[..]
Dit is geen normale hacker, dit is een God.
-Blockchain zelf is al erg complex op zichzelf.
-Exploits uberhaupt vinden is bijzonder complex
-Code schrijven om de exploit uit te buiten is ook vrij complex maar minder dan bovenstaande 2
Ook zag ik dat Edraket schreef dat dit de 2e keer is dat dezelfde persoon dit flikt. Dan ben je geen normale hacker, dan ben je one of a kind op aarde.
Ik heb vanochtend de hack bekeken en het ziet er uit als een programmeerblunder van degenen die het multisig contract hebben geschreven. Het is geen intrinsieke zwakte van de Ethereum blockchain of de Solidity programmeertaal die gebruikt wordt voor de smart contracts. Dit is wat er gebeurd is:quote:
Een multisigwallet wordt gemaakt door een functie aan te roepen om de wallet te initialiseren, de zogenaamde constructor. Aan die constructor geef je de adressen van de eigenaren van de wallet mee. Bij initialisatie van zo een multisigwallet worden de eigenaren dus vastgelegd. Op het moment dat iemand ethers wil overmaken vanuit de wallet moeten alle eigenaren daarvoor tekenen.
Een wallet heeft zijn eigen adres op de blockchain. Door een transactie met de juiste parameters daar naartoe te sturen kun je functies van die wallet aanroepen. De programmeur van de wallet had bedacht dat het wel handig zou zijn om 1 centrale functie te maken waarmee je de andere functies van die wallet kon aanroepen. Een soort proxy. Daarbij heeft hij de fout gemaakt dat ook de constructor, waarmee je de wallet aanmaakt aan te roepen was. Dat is namelijk ook een functie van het walletcontract. En aan de constructor vertel je zoals je hierboven al gezien hebt de eigenaren van de wallet.
De eerste fout is dus dat de constructor nog een keer aan te roepen was, door de hele wereld,nadat de wallet al was aangemaakt, door er een ethereumtransactie naartoe te sturen.
De tweede fout is dat vervolgens de eigenaren die aan de constructor werden meegegeven zonder enige controle werden geregistreerd als de nieuwe eigenaren van de multisigwallet. Normaal gesproken zou je zeggen: Ofwel je mag de eigenaren van een wallet niet wijzigen, ofwel je mag de eigenaren van een wallet alleen wijzigen als alle huidige eigenaren daarvoor tekenen.
Het was dus mogelijk om een wallet nieuwe eigenaren te geven door een ethereum transactie naar het walletadres te sturen. Vervolgens kun je de wallet leegtrekken door de nieuwe eigenaren zo een transactie te laten goedkeuren. Dat is precies wat de hackers hebben gedaan:
1. Stuur een transactie met je eigen walletadres als enige eigenaar naar de constructor van een bestaand wallet
2. Geef de wallet opdracht het hele saldo aan jezelf uit te keren. Als enige eigenaar kan je die transactie goedkeuren
Variant:
1. Stuur een transactie naar de constructor van de multisig wallet met een leeg setje eigenaren. Die wallet heeft dan geen eigenaar.
2. Geef de wallet opdracht het hele saldo aan jezelf uit te keren. Dat gaat goed omdat aan de voorwaarde dat alle eigenaren daarvoor moeten tekenen voldaan is als er geen eigenaren zijn.
Kortom: Dit ziet er niet uit als een intrinsiek Ethereum probleem, maar een enorme blunder van de makers van de walletsoftware.
[ Bericht 6% gewijzigd door #ANONIEM op 20-07-2017 10:01:59 ]
Bedankt.quote:
[..]
[..]
Ik heb vanochtend de hack bekeken en het ziet er uit als een programmeerblunder van degenen die het multisig contract hebben geschreven. Het is geen intrinsieke zwakte van de Ethereum blockchain of de Solidity programmeertaal die gebruikt wordt voor de smart contracts. Dit is wat er gebeurd is:
Een multisigwallet wordt gemaakt door een functie aan te roepen om de wallet te initialiseren, de zogenaamde constructor. Aan die constructor geef je de adressen van de eigenaren van de wallet mee. Bij initialisatie van zo een multisigwallet worden de eigenaren dus vastgelegd. Op het moment dat ethers wil overmaken vanuit de wallet moeten alle eigenaren daarvoor tekenen.
Een wallte heeft zijn eigen adres op de blockchain. Door een transactie met de juiste parameters daar naartoe te sturen kun je functies van die wallet aanroepen. De programmeur van de wallet had bedacht dat het wel handig zou zijn om 1 centrale functie te maken waarmee je de andere functies van die wallet kon aanroepen. Een soort proxy. Daarbij heeft hij de fout gemaakt dat ook de constructor, waarmee je de wallet aanmaakt aan te roepen was. Dat is namelijk ook een functie van het walletcontract. En aan de constructor vertel je zoals je hierboven al gezien hebt de eigenaren van de wallet.
De eerste fout is dus dat de constructor nog een keer aan te roepen was, door de hele wereld,nadat de wallet al was aangemaakt, door er een ethereumtransactie naartoe te sturen.
De tweede fout is dat vervolgens de eigenaren die aan de constructor werden meegegeven zonder enige controle werden geregistreerd als de nieuwe eigenaren van de multisigwallet. Normaal gesproken zou je zeggen: Ofwel je mag de eigenaren van een wallet niet wijzigen, ofwel je mag de eigenaren van een wallet alleen wijzigen als alle huidige eigenaren daarvoor tekenen.
Het was dus mogelijk om een wallet nieuwe eigenaren te geven door een ethereum transactie naar het walletadres te sturen. Vervolgens kun je de wallet leegtrekken door de nieuwe eigenaren zo een transactie te laten goedkeuren. Dat is precies wat de hackers hebben gedaan:
1. Stuur een transactie met je eigen walletadres als enige eigenaar naar de constructor van een bestaand wallet
2. Geef de wallet opdracht het hele saldo aan jezelf uit te keren. Als enige eigenaar kan je die transactie goedkeuren
Variant:
1. Stuur een transactie naar de constructor van de multisig wallet met een leeg setje eigenaren. Die wallet heeft dan geen eigenaar.
2. Geef de wallet opdracht het hele saldo aan jezelf uit te keren. Dat gaat goed omdat aan de voorwaarde dat alle eigenaren daarvoor moeten tekenen voldaan is als er geen eigenaren zijn.
Kortom: Dit ziet er niet uit als een intrinsiek Ethereum probleem, maar een enorme blunder van de makers van de walletsoftware.
Dit zou reviewed zijn "by at least 1 expert developer"
Lambo of Rekt
Zeer simpele hack idd.quote:
[..]
[..]
Ik heb vanochtend de hack bekeken en het ziet er uit als een programmeerblunder van degenen die het multisig contract hebben geschreven. Het is geen intrinsieke zwakte van de Ethereum blockchain of de Solidity programmeertaal die gebruikt wordt voor de smart contracts. Dit is wat er gebeurd is:
Een multisigwallet wordt gemaakt door een functie aan te roepen om de wallet te initialiseren, de zogenaamde constructor. Aan die constructor geef je de adressen van de eigenaren van de wallet mee. Bij initialisatie van zo een multisigwallet worden de eigenaren dus vastgelegd. Op het moment dat iemand ethers wil overmaken vanuit de wallet moeten alle eigenaren daarvoor tekenen.
Een wallet heeft zijn eigen adres op de blockchain. Door een transactie met de juiste parameters daar naartoe te sturen kun je functies van die wallet aanroepen. De programmeur van de wallet had bedacht dat het wel handig zou zijn om 1 centrale functie te maken waarmee je de andere functies van die wallet kon aanroepen. Een soort proxy. Daarbij heeft hij de fout gemaakt dat ook de constructor, waarmee je de wallet aanmaakt aan te roepen was. Dat is namelijk ook een functie van het walletcontract. En aan de constructor vertel je zoals je hierboven al gezien hebt de eigenaren van de wallet.
De eerste fout is dus dat de constructor nog een keer aan te roepen was, door de hele wereld,nadat de wallet al was aangemaakt, door er een ethereumtransactie naartoe te sturen.
De tweede fout is dat vervolgens de eigenaren die aan de constructor werden meegegeven zonder enige controle werden geregistreerd als de nieuwe eigenaren van de multisigwallet. Normaal gesproken zou je zeggen: Ofwel je mag de eigenaren van een wallet niet wijzigen, ofwel je mag de eigenaren van een wallet alleen wijzigen als alle huidige eigenaren daarvoor tekenen.
Het was dus mogelijk om een wallet nieuwe eigenaren te geven door een ethereum transactie naar het walletadres te sturen. Vervolgens kun je de wallet leegtrekken door de nieuwe eigenaren zo een transactie te laten goedkeuren. Dat is precies wat de hackers hebben gedaan:
1. Stuur een transactie met je eigen walletadres als enige eigenaar naar de constructor van een bestaand wallet
2. Geef de wallet opdracht het hele saldo aan jezelf uit te keren. Als enige eigenaar kan je die transactie goedkeuren
Variant:
1. Stuur een transactie naar de constructor van de multisig wallet met een leeg setje eigenaren. Die wallet heeft dan geen eigenaar.
2. Geef de wallet opdracht het hele saldo aan jezelf uit te keren. Dat gaat goed omdat aan de voorwaarde dat alle eigenaren daarvoor moeten tekenen voldaan is als er geen eigenaren zijn.
Kortom: Dit ziet er niet uit als een intrinsiek Ethereum probleem, maar een enorme blunder van de makers van de walletsoftware.
Drop drop drop drop drop drop drop!!!! DROP!!! drop drop drop drop !!
22K ETH en een shitload aan BTC he, daar mocht je ook mee donerenquote:
[..]
Maar 80k zijn ze kwijt? Behoorlijke overkill dan als ze de klus alsnog weten te klaren met 22k ETH. Het is dus vooral erg pijnlijk voor henzelf. Ze hadden dik miljonair kunnen worden van dit project.
Lambo of Rekt
Mja, de mijne ookquote:
Allemaal leuk en aardig, maar mijn portfolio vind het minder leuk.
Door die hack is ETH flink gezakt... konden we net gebruiken 
Lambo of Rekt
Dank je de koekkoek, één review is geen review. Een review is maar één manier om de kwaliteit van gereleaste software te borgen en te voorkomen dat bugs worden gereleast. Bovendien zijn er verschillende typen reviews. Dit zal wel een "mail around" review of een "over the shoulder" review zijn geweest of iets dat er op lijkt. Dat is de minst formele variant van een review. Er zijn nog veel formelere en gestructureerdere varianten, zowel wat alleen mensenwerk is (bijvoorbeeld de zogenaamde "Fagan Inspection") als reviews waarbij gebruik gemaakt wordt van software (tool-assisted reviews). Die geven eigenlijk altijd meer zekerheid dan een informele review, ook al is dat door een "expert developer". Over-the-shoulder en andere informele reviews zijn de simpelste minst effectieve vormen van reviews die er zijn. Beter dan geen review, dat wel.quote:
[..]
Bedankt.
Dit zou reviewed zijn "by at least 1 expert developer"
[ afbeelding ]
Daarnaast zijn er in een goed softwaredevelopmentproces nog veel meer mechanismen ingebouwd die allemaal als doel hebben om uiteindelijk te voorkomen dat je rommel releast: collaborative design, allerlei vormen van automatiseerbare en niet automatiseerbare tests, statische code analyse (tools die code automatisch beoordelen op bepaalde criteria), de al eerder genoemde formelere vormen van reviews, etc. etc.
Als je software maakt waarmee honderden miljoenen dollars worden beveiligd mag je echt wel beter je best doen om te voorkomen dat je software met defecten de wereld instuurt, dan alleen de allersimpelste vorm van kwaliteitsborging: tenminste één handmatige informele review. Mijn persoonlijke en professionele mening is dat dit een enorme fout is, niet alleen van de programmeur en van de reviewer, maar ook van degenen die verantwoordelijk zijn voor het hele softwaredevelopmentproces van deze wallet.
De sourcecode staat op de blockchain.quote:Op donderdag 20 juli 2017 10:05 schreef EggsTC het volgende:
[..]
Nou nee hoor, probeer dit maar eens te vinden als je geen soucecode ervan hebt.
Goede uitleg. Voor mij weer een reden om van 3rd party wallets weg te blijven. Toch blijf ik bij mijn opmerking, dit heeft wel effect op het vertrouwen in ETH. Ondanks dat het er zelf wellicht niks aan kan doen.quote:
[..]
De sourcecode staat op de blockchain.
Would you like to know more?
Alles over cryptocurrency, bitcoin en blockchain in begrijpelijke taal
Alles over cryptocurrency, bitcoin en blockchain in begrijpelijke taal
Mee eens, dit mag nooit gebeuren op een platform als dit. Heel slecht, en ik denk dat Parity's dagen ook wel geteld zin nu. Dat mag ik hopen iig. Als je iets bouwt waar zoveel geld overheen gaat moet dit keihard naar voren komen in een security audit of pentest situatie.quote:
[..]
Dank je de koekkoek, één review is geen review. Een review is maar één manier om de kwaliteit van gereleaste software te borgen en te voorkomen dat bugs worden gereleast. Bovendien zijn er verschillende typen reviews. Dit zal wel een "mail around" review of een "over the shoulder" review zijn geweest of iets dat er op lijkt. Dat is de minst formele variant van een review. Er zijn nog veel formelere en gestructureerdere varianten, zowel wat alleen mensenwerk is (bijvoorbeeld de zogenaamde "Fagan Inspection") als reviews waarbij gebruik gemaakt wordt van software (tool-assisted reviews). Die geven eigenlijk altijd meer zekerheid dan een informele review, ook al is dat door een "expert developer". Over-the-shoulder en andere informele reviews zijn de simpelste minst effectieve vormen van reviews die er zijn. Beter dan geen review, dat wel.
Daarnaast zijn er in een goed softwaredevelopmentproces nog veel meer mechanismen ingebouwd die allemaal als doel hebben om uiteindelijk te voorkomen dat je rommel releast: collaborative design, allerlei vormen van automatiseerbare en niet automatiseerbare tests, statische code analyse (tools die code automatisch beoordelen op bepaalde criteria), de al eerder genoemde formelere vormen van reviews, etc. etc.
Als je software maakt waarmee honderden miljoenen dollars worden beveiligd mag je echt wel beter je best doen om te voorkomen dat je software met defecten de wereld instuurt, dan alleen de allersimpelste vorm van kwaliteitsborging: tenminste één handmatige informele review. Mijn persoonlijke en professionele mening is dat dit een enorme fout is, niet alleen van de programmeur en van de reviewer, maar ook van degenen die verantwoordelijk zijn voor het hele softwaredevelopmentproces van deze wallet.
Ah, dat verklaart wat meer, dat maakt de hack tientallen keren eenvoudiger ja.quote:
[..]
De sourcecode staat op de blockchain.
Lambo of Rekt
