Precio de BNB

Por Rekt News    Compilado por: Deep Tide TechFlow Haga clic aquí para una pérdida de $13 millones. Una ballena en Venus Protocol acaba de aprender de la desgarradora experiencia que las llamadas de Zoom pueden costar más que su hipoteca. Un cliente de video malicioso, una firma perfectamente sincronizada, $ 13 millones desaparecieron más rápido que el anuncio de rug pull. Pero el giro en la historia es que Venus no solo vio a los usuarios ser vaciados y luego dejados indiferentes. Cerraron su protocolo, convocaron urgentemente una votación y completaron la "operación de rescate" más controvertida en el espacio DeFi en menos de 12 horas. Lo que comenzó como un ataque de phishing aparentemente ordinario finalmente se convirtió en una gran clase magistral sobre si los protocolos descentralizados pueden "pescar y soportar". Cuando rescatar a la ballena significa exponer un interruptor de apagado oculto en el protocolo, ¿quién es realmente rescatado? Fuente: Peckshield, Protocolo de Venus, Blocksec, Kuan Sun 2 de septiembre, 9:05 UTC. Una ballena de Venus Protocol ha lanzado su cliente Zoom, listo para comenzar un nuevo día en DeFi. Pero el software de video aparentemente inocente es pirateado silenciosamente, lo que les da a los atacantes acceso a todo su dispositivo a través de una puerta trasera. ¿Por qué descifrar códigos? ¿No sería más fácil romper la confianza directamente? La víctima firma una transacción de autorización delegada, una operación de rutina que ocurre miles de veces al día en DeFi. Un protocolo para gestionar tus posiciones sin tener acceso a la clave privada. En general, firmar estos acuerdos es más rápido que leer los términos de servicio. Clic. Firma. Instantáneamente "liquidado". De la firma a la ruina financiera, solo seis segundos. Un cliente de video violado entregó la administración de una billetera de $ 13 millones a un atacante que esperó pacientemente la oportunidad. Aquí es donde terminan la mayoría de las historias de phishing: las ballenas sufren, los atacantes desaparecen y las burlas de las víctimas en Twitter continúan durante una semana. Pero esta vez, el plan del ladrón es mucho más ambicioso que un simple "robo". ¿Qué sucede cuando robar millones de dólares no es suficiente satisfacción? Operación de robo 09:05:36 UTC. Solo seis segundos después de que la ballena firmara su "protocolo de suicidio criptográfico", los atacantes lanzaron una "obra maestra" de préstamo flash. Trading de vulnerabilidad: 0x4216f924ceec9f45ff7ffdfdad0cea71239603ce3c22056a9f09054581836286 La autopsia de Venus Protocol deconstruye las tácticas del atacante en detalle: Paso 1: Lightning pide prestados 285,72 BTCB: después de todo, ¿por qué usar su propio dinero? DeFi le permite pedir prestados millones de fondos sin garantía. Paso 2: Utilice los fondos prestados para pagar la deuda existente de la víctima, mientras agrega 21 BTCB a la propia cuenta del atacante. Lo que parece generoso es en realidad un despiadado "asesinato contable". Paso 3: Activar los permisos delegados. Se transfirieron todos los activos digitales de las víctimas, incluidos 19,8 millones de dólares en vUSDT, 7,15 millones de dólares en vUSDC, 285 BTCB y una larga lista de otros tokens. Todo esto es completamente legal, porque la firma "ingenua" hace seis segundos ha sido autorizada para hacerse. Paso 4: Un golpe brillante. Usando estos activos recién robados como garantía, se tomaron prestados USD 7.14 millones en USDC en función del BNB restante de la víctima. El atacante no solo vació la billetera, sino que también hizo que la víctima pagara por su "robo". Paso 5: Pide prestado suficiente BTCB para pagar el préstamo flash. La transacción se completa y el atacante desaparece silenciosamente. Una transacción automatizada, una ballena ahuecada, un ladrón de criptomonedas muy satisfecho, que acababa de convertir los ahorros de toda la vida de otra persona en su propio patio de juguetes hipotecarios. Sin embargo, la codicia a menudo convierte a los cazadores en presas. ¿Qué sucede cuando un "robo perfecto" se convierte en una "operación suicida"? Contramedidas 09:09 UTC. Cuatro minutos después del robo del banco digital, los sistemas de vigilancia de Hexagate e Hypernative comenzaron a hacer sonar alertas. Este no es el mensaje promedio de "transacción sospechosa detectada". Fue una alerta de nivel cinco de $ 13 millones, y las empresas de seguridad supieron de inmediato a quién contactar. ¿La respuesta de Venus Protocol? La opción nuclear se lanza directamente. Desde el robo hasta la suspensión del protocolo, solo tomó veinte minutos. Venus ha activado su propio interruptor de apagado, congelando todas las funciones básicas en todo el ecosistema. ¿Préstamo? Basta. ¿Retirada? Finiquitar. ¿Liquidación? Tiempo fuera. Un usuario fue víctima de phishing y todo el protocolo fue cerrado. No es solo el control de crisis, es una batalla financiera. Venus restringió decisivamente su plataforma, tratando de atrapar los bienes robados de los atacantes. Cada vToken en poder del pirata informático se convirtió instantáneamente en papel de desecho sin valor, bloqueado bajo la autoridad de emergencia de Venus. ¿Pero congelar todo un protocolo DeFi para salvar a una ballena? Tal decisión no es algo que el equipo de desarrollo pueda tomar solo. Así, entra la democracia: votación de gobernanza de emergencia. Cuando la comunidad tiene solo doce horas para decidir si salvar la riqueza de un usuario a través de medios centralizados, ¿realmente se puede llamar descentralización? Democracia relámpago Venus no solo detuvo el protocolo, sino que también llamó a una "reunión virtual" de emergencia que sería la envidia de cualquier equipo de gestión de crisis de Web2. Lo llaman un "voto relámpago". Después de todo, nada mejor que la "gobernanza de base" como aplastar millones de dólares en horas de acalorados debates de Discord. La propuesta es simple y clara: Fase 1: Función de recuperación parcial (permite a los usuarios evitar ser liquidados). Etapa 2: Liquidación forzosa de la posición del atacante. Etapa 3: Realice una revisión de seguridad exhaustiva para evitar que vuelvan a ocurrir incidentes similares. Fase 4: Restauración completa de las operaciones de Venus. ¿La reacción de la comunidad? 100% unánime. No el 99%. Tampoco el 98%. Cada voto apoya el plan de acción de Venus, como si fuera una especie de versión DeFi de los resultados de las elecciones de Corea del Norte. Tal vez este sea un consenso real, o tal vez sea por autoprotección. O cuando su acuerdo está perdiendo millones de dólares mientras los competidores lo rodean como buitres, el desacuerdo se convierte en un lujo que nadie puede permitirse. Por la tarde, Venus estaba empoderado. Lo que sigue es la ejecución de la operación de liquidación más controvertida en la historia de DeFi, una operación que requiere eludir las reglas de los contratos inteligentes y apoderarse por la fuerza de la garantía del atacante. La víctima está en crisis debido a una firma de transacción incorrecta, y Venus está a punto de firmar el "certificado de defunción de la democracia". ¿Qué sucede cuando Code as Law se encuentra con la Autoridad de Emergencia? Acción de recuperación 21:36 UTC. Doce horas después del robo, Venus llevó a cabo su contraataque. ¿Recuerdas los errores cometidos por los atacantes por codicia? Usar fondos robados como garantía está a punto de convertirse en el error más costoso de la historia. Una transacción, múltiples instrucciones, causando la mayor controversia. Liquidación: Inicio. Incautación de activos: Completa. Liquidación: Cerrada. Venus acaba de operar en una cadena de bloques en funcionamiento. Activa el interruptor de apagado, toma todos los activos desbloqueados y destruye todas las pruebas. La "obra maestra" del atacante finalmente se convirtió en su propia sentencia de muerte. ¿Esas garantías robadas están a salvo en el estanque de Venus? De repente, el poder de "liquidación de emergencia" recién lanzado del protocolo se convirtió en un juego limpio. La codicia es una dosis de veneno. Robar millones, usarlos como garantía y luego ser liquidado por sus propios fondos robados. 21:58 UTC. Restauración ligera. Se recuperan los fondos. La crisis se ha levantado. Pero ya nadie habla de pérdidas por valor de 13 millones de dólares. La gente habla de cómo Venus está demostrando que la "descentralización" no es más que un eslogan de marketing en estas 12 horas. Resulta que su protocolo DeFi imparable tiene un freno de emergencia muy bloqueable, y no dudan en usarlo cuando el costo es lo suficientemente alto. ¿Quién está siendo derrocado cuando una revolución necesita un rey para sostenerla? La víctima habló "Aunque pueda considerarse un tonto, es mejor permanecer en silencio que hablar y disipar todas las dudas". Este es el perfil de Twitter de Kuan Sun, el fundador de Eureka Crypto y víctima del robo de 13 millones de dólares. Hablando de "estupidez", publicó un artículo de revisión detallado explicando cómo fue engañado exactamente. Venus Protocol también confirmó que él fue el que fue víctima del ataque de phishing. Este método de ingeniería social es muy malvado. Los atacantes comenzaron su diseño en abril de este año, pirateando un contacto de "Stack Asia BD" que Sun Kuan conoció en una conferencia en Hong Kong. Unos meses de paciencia allanaron el camino para construir gradualmente la confianza a través de relaciones familiares pero no demasiado íntimas. El cliente malicioso de Zoom hace tiempo que le dio al atacante acceso a su dispositivo. Durante una reunión falsa: "Su micrófono no funciona, actualice". "Esta es otra estafa en capas que cubre a los atacantes que operan en segundo plano. Posteriormente, el navegador Chrome se bloquea inesperadamente. "¿Restaurar pestaña?" Clic. De alguna manera, su confiable extensión de billetera Rabby fue reemplazada por una versión falsa que eliminó todas las advertencias de seguridad. Venus se retira, como lo ha hecho miles de veces antes. Pero esta vez, no hay advertencias de riesgo, ni vistas previas de demostraciones comerciales, ni controles de seguridad. El front-end comprometido disfraza una operación de autorización como una transacción ordinaria. Las billeteras de hardware no importan. Las características de seguridad de Rabby tampoco son importantes. Cuando el frontend está envenenado, incluso la configuración de seguridad más estricta solo puede crear una falsa sensación de seguridad. Para empeorar las cosas, según los recuerdos de las víctimas, el ataque fue supuestamente llevado a cabo por Lazarus Group, un grupo de piratas informáticos de élite de Corea del Norte que ha estado llevando a cabo actividades terroristas en el espacio de las criptomonedas durante años. Esta vez no fue pescado por un novato, sino que fue derrotado con precisión por expertos nacionales en guerra digital, que pueden haber pulido este proceso de ataque a la perfección. Ahora, agradece a Venus Protocol, PeckShield, SlowMist, Chaos Labs, Hexagate, HyperactiveLabs, Binance y otros que lo ayudaron a recuperar sus fondos. Fue un final feliz, gracias a un acuerdo que estaba dispuesto a romper sus propias reglas cuando se trataba de intereses personales. ¿Hay alguien en DeFi que esté realmente seguro cuando los piratas informáticos más sofisticados del mundo pueden engañar a las billeteras de hardware y a los usuarios conscientes de la seguridad? Venus salvó a la ballena y destrozó el sueño de la descentralización en una sola transacción. Doce horas de caos de coordinación demostraron que detrás de cada protocolo llamado "descentralizado" se encuentra un "botón de pánico" centralizado oculto por los mecanismos de gobernanza. Claro, la comunidad votó, pero cuando el consenso del 100% es más rápido que el debate de Discord sobre las tarifas de gas, has sido testigo de la mayor magia de la democracia: hacer que la autocracia parezca una toma de decisiones colectiva. Los atacantes regresaron con las manos vacías, las ballenas reclamaron su riqueza y Venus demostró que podían anular su código en cualquier momento frente a la inmensa presión digital. La misión se cumple y la reputación se arruina. La verdadera tragedia no es que alguien haya caído en la estafa de phishing de Zoom, sino que los protocolos que todavía pretendemos tener permisos de emergencia son fundamentalmente diferentes del sistema financiero tradicional que dicen reemplazar. Si la descentralización muere una vez que se vuelve inconveniente, ¿ha existido realmente?