Semana 41 Mes 10 Año 2022
Hackean la BSC, liquidaciones, ataque del 51%, Ethereum se muere y muuuuchos robos.
Crypto 101 es un espacio dedicado a la educación y formación en criptomonedas y su tecnología. Dejando de lado los precios nos centramos en como funcionan las cosas, curiosidades del sistema, noticias interesantes y sobre todo en aspectos de seguridad.
Aspectos como adopción, regulación, fiscalidad, tecnología, robos, errores, y de nuevo seguridad son recopilados aquí y remitidos por correo todos los lunes a las 09:05 AM GMT +2
Esta es una newsletter gratuita y son muy agradecidos los ❤️ y muy contestados los comentarios 😆.
Si no estás suscrito hazlo ya. Además, esta semana hemos probado el Ellipal Titan. ¿Quieres verlo?
Hackean la BSC
El 7 de Octubre saltaba la bomba en Twitter:
La BSC se estaba marcando un Solana. ¿Qué estaba pasando? Minutos más tarde otro tweet confirmaba que habían confirmado un exploit. Un atacante robó 2 millones de BNB (unos 566 millones de dólares en el momento de la transacción). La persona que realizó la operación lo hizo en dos veces, (1 millón cada vez) dando por validos mensajes que no lo eran, creando esos importes de la nada. Saco una parte de la BSC, quedando el resto bloqueados en la red detenida. Unos 100 millones. Además uso parte del BNB obtenido como colateral para pedir créditos (deposito en Venus). En Venus Protocol el BNB se usó para pedir USDT , USDC y BUSD. Lo repartió así entre diferentes redes:
Los responsables de algunas de esas stables coins han bloqueado esa dirección, por ejemplo Tether (USDT) y se espera confirmación de Circle (USDC).
Las medidas que tomó la red fueron
Detener la red (no se firmaban bloques).
Coordinarse con los nodos y actualizar a la BSC v.1.1.15 mediante un hard fork (se está generando una cadena nueva que como va a ser seguida por todos los nodos realmente no bifurca). Esta actualización bloquea las direcciones del atacante.
Se cierra el puente entre BNB Beacon Chain y BNB Smart Chain.
Ojo que al atacante, en una transacción ha añadido la siguiente información:
I don't believe you because you are not sincere. I only exploited eth and bsc chains. If I attack other chains like FTM, TRON, POLYGON, I believe I can get $100 million. With reference to past Nomad and Wintermute events, I should get a higher bounty than what I get now. It's hard not to suspect that this is your official backdoor, and you should be happy that the exploit was done by me and no one else.
Es decir, el hacker dice que el exploit que el ha usado era en realidad una puerta trasera de los desarrolladores. Vía Crypto Gerónimo.
Más info en el video de Tonga NFT. En unas semanas más.
¿Qué son las famosas liquidaciones?
Cuando hablamos de liquidaciones ocasionadas por el mercado de criptomonedas puede deberse mayormente a dos operativas:
Operaciones de futuros ejecutadas en Exchanges, dónde tu apuestas a que el precio sube o baja y si va en sentido contrario pierdes la apuesta (y el dinero). Explicado de manera muy muy simple.
Operaciones de préstamos de criptomonedas dónde tu pides prestado por ejemplo 1.000.000$. Para ello dejas una contrapartida como colateral. Por ejemplo digamos que dejas 2.500.000$ en bitcoin, es decir 125 bitcoins. No has perdido la propiedad de esos bitcoins, son tuyos siempre que devuelvas el millón que te han dejado. Porque a lo mejor tu con ese millón vas a generar un 30% de rendimiento, pagas al prestamista un 10%, es decir 100.000$ y al acabar tu operación tienes tus 125 bitcoins y has ganado 200.000$. Cosa que solamente con bitcoin no has podido hacer. ¿Problema?
Pues imagina que tus bitcoins, que los has prestado a 20.000$x125 btcs= 2.500.000$ bajan de precio y se ponen a 7.500$ y tu colateral ya no vale 2.500.000$ sino 937.500$. Pues antes de que eso pase, la persona a la que le has prestado los bitcoins, los venderá.
Por eso cuando hacemos una de estas operaciones no dejamos en una de estas plataformas 100.000$ en bitcoin para pedir 100.000$ en USDT, sino que dejaríamos un colateral muy amplio, de más del 200%, aunque depende del sentido del mercado.
Hay muchas maneras de jugar con activos ilíquidos para generar cash, o rendimientos, como podemos ver aquí y aquí.
En esta página puedes ver los precios a partir de los cuales se producen liquidaciones,
Una persona que tenga un préstamo en curso puede aumentar el colateral si el precio se acerca a su precio de liquidación. El problema viene a que si el precio baja mucho y se producen liquidaciones es más venta al mercado lo que afecta más al mercado.
¿Quieres saber más sobre el protocolo de Oasis.app y el protocolo Maker? Aquí tienes un enlace con más información.
Montando un ataque del 51%
Ya hemos comentado alguna vez que un ataque del 51% consiste en la situación en la cual una entidad consigue un 51% de la capacidad de minado de una red POW e introduce modificaciones a su antojo sobre ella. Hay varios artículos que te recomiendo leer dónde vas a ver con mucho más detalle el sistema.
En la Academia de Bit2me hay un enlace muy bueno, en Español. Te va explicar en detalle que es, pro ejemplo no solo necesitas tener la capacidad de minado, sino suficientes nodos (que no minan, sino que confirman/validan). Verás costes y consecuencias. Apunte, ¿Quieres saber dónde están los nodos de Bitcoin?
El siguiente enlace, es en inglés y detalla mucho más en que consiste el ataque, en el cual primero se creará una blockchain alternativa y modificada, es decir minará y resolverá bloques pero no los va a compartir con otros nodos, solo con los suyos. Acto seguido esa red intentará ir más rápido que la principal, es decir será una red con un numero de bloques más elevado. Acto seguido empezará a emitir esos bloques confirmados a toda la red…y el protocolo obligará a los mineros en la red originalmente correcta…a empezar a confirmar sobre el ultimo bloque, es decir el bloque con el numero más alto. Todas las transacciones en la red original modificadas por la red alternativa serán revertidas.
Cuando la red llegue al bloque 42, los nodos buenos que estén en un bloque anterior tomarán el 42 y sucesivos, de la red que ya es mala, y que tiene más confirmaciones que la buena (por tener más del 51% del poder de la red).
El mayor problema aquí es el económico. Hacer un ataque del 51% cuesta mucho. ¿Cuánto es mucho? Esta web te lo dice. Revisa la web y como los cálculos son hechos, ya que lo mismo te crees que mañana puedes atacar Litecoin.
Y justo coincidió que Balo hacía un post explicando más cosas en detalle, pásate a verlo.
Se muere Ethereum? joder espero que no
El cambio de Ethereum de POW a POS (más información aquí) ha provocado varias cosas. Por ejemplo podría hacer que el Ether, la moneda gas en la red Ethereum pase a considerarse un token security. ¿Qué es eso? Pues básicamente en considerarla como una acción bursátil.
Si el Ether se considera un valor bursátil hay una cantidad enorme de reglamentación que le afecta. El test Howey es lo que determina, en principio, que es un token security:
Es una inversión de dinero.
La inversión es en una empresa común.
Hay una expectativa de ganancias del trabajo de los promotores o del tercero.
Si esto pasa la promoción, compra y funcionamiento de la red podría verse afectada, al menos para los ciudadanos bajo la tutela de la SEC (U. S. Securities and Exchange Commission). Seguimos:
En twitter, Rave 1.35.3, publicaba un hilo dónde cuestiona el “to big to fail”. En resumen:
Ethereum tiene un modelo de contabilidad llamado “Account”, dónde las cuentas tienen un saldo, que puede gastarse, y funciona de por estados contables individuales. Esto dificulta la escalabilidad.
Si la transacción falla, la fee se cobra igualmente. Además el nodo validador puede decir no procesar la transacción si considera poco el pago.
Problemas en el tipo de lenguaje de programación usado (Solidity).
Centralizado en varios aspectos.
La escalabilidad a 100.000 transacciones por segundo en su Account-based model podría hacer colapsar la red Ethereum y las L2 no serían suficientes.
Fallos de seguridad por lenguajes de programación orientados a objetos.
Te recomiendo que pases por su hilo de twitter y veas todos sus puntos de vista y puedas debatirlos si lo crees así. Está bien argumentado, veremos dónde acaba.
¿Hay muchos robos en la blockchain?
Noticia encontrada en el canal de Telegram de Seguridad Blockchain, dónde encontramos una web que así con un título bien grande dice:
Y en ella puedes ver si los robos han sido en la red Ethereum, en la BSC de Binance, Polkadot o NFTs. Además te detalla en que consisten cada uno. Por ejemplo yo quiero buscar uno muy famoso…El Hack de la DAO:
Y evidentemente está. Si quieres visitar la web y ver alguno con detalle y las fuentes de información, aquí tienes el enlace.
Y por esta semana ya estaría. Antes, ¿has visto todas las Hardware Wallets que hemos probado ya?
Dame un ❤️!
Hasta la semana que viene!