메가이더 프리디파짓의 코메디

팀이 "1시에 딱 맞춰서 캡 1B로 올려야지~" 하고 미리 멀티시그에 서명해뒀는데 Safe 멀티시그는 서명이 모두 모이면 아무나 실행할 수 있음
chud.eth 가 보고 바로 캡 올려버림
팀은 멘탈 나가서 급한 대로 500밀로 캡 다시 내려서 멈춰두고 1시에 다시 1B로 올릴 생각인듯

그러게 타임락을 걸었어야지...

https://x.com/yieldsandmore/status/1993341408334516451

업비트가 해킹당했다는 찌라시가 있어서....

결론부터 요약하면 '아닐 가능성 훨씬 높습니다'

1) 업비트 핫월렛 3개가 하나의 지갑으로 한 번에 모이고
2) 각각의 자금이 약 15 SOL씩 나눠져
3) 하나의 바이낸스 Deposit으로 모이는

너무나도 단순한 패턴이기에 '해킹'보단 '정렬의 과정'으로 보는 것이 더 합리적일 것 같습니다


저렇게 단순 전송이 되려면 pk가 털려야하는데 pk를 어떻게 털어낸 용감하고 똑똑한 사람이라면 저렇게 신원을 특정할만한 트랜잭션을 만들지도 않을 것 같기 때문...이라고 덧붙일 수 있을 것 같습니다

솔레이어 120억은 어떻게 지켰나 보니까, 솔레이어 재단 멀티시그가 SPL-token의 Freeze 기능을 써서 해킹당한 주소를 한땀한땀 정지시켰네요

무한 노가다의 흔적이 보임 ㅋㅋ

https://solscan.io/tx/2A6eDRkDFfWoEfdMuue7KuMJ3mUzmxa7Ff2qAe267PnQMb4zPcvbkWkpxiGiyHRDp3BXScwBRrVvC3eZ71DrNdhM

시작됐다 허백영의 조리돌림

최소한 솔라나 입출금 차단은 초장기화될 거 같고 기존 입금주소 버릴 가능성도 꽤 높아보이는데
해외 cex에서 업비트 솔라나 입금주소 화리한거 다 빼두는게 좋을듯?
실수로 출금하면 인생 거꾸로 가니까

트잭을 분석하면 개인키를 알수있는 취약점 ㄷ

암호학(트랜잭션 서명 등등 포함) 코드는 비전문가가 절대 직접 구현하면 안됩니다. 아주 작은 실수만 있어도 충분히 고도화된 상대가 비집고 들어가서 해킹할 수 있기 때문
(아직 정황이고 정확히 어디가 문제였는지는 안 나왔지만) 제 개인적인 추측으로는 업비트가 솔라나를 초창기부터 거래 지원했으니까(20년 3월 19일 메인넷 제네시스인데 세럼 거래지원이 20년 10월 7일), 공식 SDK가 미비해서 자체 구현하려다 실수를 했고 해당 코드를 최근까지 계속 사용했다가 일이 터진게 아닌가? 하는 뇌피셜

*생각해보니 세럼은 ERC로 상장했고 솔라나는 21년 10월 상장

극단적인 예시로, 서로 다른 두 이더리움 트랜잭션을 서명할 때 랜덤함수가 같은 값을 두 번 반환 하면 즉시 키를 복원할 수 있음. 이걸로 털린 게 Anyswap(이후 멀티체인으로 리브랜딩했다가 망함)

와 진짜 전직원 철야하나보네 이시간에 주소 재발급 ㄷㄷ;;;;;

컴파운드 슛~~!!

https://etherscan.io/address/0x08e0261212d660c95037fce8e53dec7cb1e97088

Kamino Finance는 Jupiter Lend로 포지션을 이동시키는 tx가 보이면 거부하도록 컨트랙트 상의 밴 리스트를 업데이트

카미노는 주피터의 발전이 두렵습니까?

https://x.com/prady_v/status/1995756192988323845

Jupiter DTF의 (어쩌면) 진짜 승자:
해당 블록에 리더로 당첨되어서 가스비와 팁으로 900솔 가까이 벌어간 밸리데이터

WET DTF 스나이퍼 물량 압수 후 월요일에 새 토큰 및 세일 컨트랙트로 다시 진행. 이전 페이즈 세일 참가자는 비례해서 에드

진짜로 밸리데이터가 승자였네

https://x.com/humidifi/status/1996789248905650653

oklink.com, tronscan.org 가 왜 동시에 터지면서 cloudflare 오류가 뜰까요
설마 또 장애는 아니겠지

업비트도 터졌다네요
클플 얘네 빅테크 맞음?

비트코인 왜 사냐 램트코인 사면 4배 오르는데

사람 피말리게 하는 Merkl UI
잘들한다 그냥

https://www.youtube.com/watch?v=gkwgZjNUDkk

슬픈날인데 클래식이나 듣죠...
테크이야기만 올리는 채널이었는데 오늘은 못참겠네

일단 DTF 세일은 기존 프리세일 컨트랙트가 아니라 새 컨트랙트(동작은 같은데 주피터쪽 서명이 추가로 요구된 포크 ) 를 올린거라서 세일을 참가하고싶어도 못할텐데 500불을 어디에 쑤셔넣으신거죠..?

어제 Humidifi 난리통의 숨은 바보: 가짜 WET 프리세일 컨트랙트에 낚여서 가스비 15불씩 내고 다계정 쑤셔넣음

구라 프리세일 런칭: https://solscan.io/tx/5wuAoCdSHyzgsXBUzCgddBj6RaPpY6fpeubB16iLnCVfXvmEYzLxr1xGKXLRb6RfyK47QKXGDuoVRuEEve76uMFQ
낚인 피해자: https://solscan.io/tx/5BvksJx532JEaNatbSPgcYWHvtPnhs1DpuAgmZrU1R7K1PcgFiaGcREKYDL1ugtNnNBHpJYsStQo5GpJxaPw4AZe (대충 비슷한 지갑 수십개 있다는 내용)

근데 먹튀 안하고 다 출금하게 놔뒀네요. 왜징

에테나 이 미친놈들 곧 HyENA 출시되면 시즌 4 나머지 1%p 에드 지급해준다면서(그게 한달전임) 또 곧 블로그에서 별도 업데이트가 있을 것이라고 말바꿨네요
뭐 하는 짓이지?

주피터 DTF 개발자의 사과문

- 봇 막으려고 노력했다 (대충 여러가지 시도했다는 말)
- (일정 못맞춘건) 테스트 이렇게 오래걸릴줄 몰랐다 근데 봇 막기 어려운거 맞잖아
- 암튼 암쏘쏘리

이번 DTF 봇 방지 매커니즘의 가장 핵심적 부분은 Cloudflare Turnstile Captcha를 무조건 풀게 하고, DTF에서 운영하는 API 서버가 트랜잭션을 서명해서 제출하도록 강제한 건데,
(당연히) 세일 직후 접속자가 몰리면서 서버가 다운되어 누구는 튕기고 누구는 들어가는 운빨이 생기기도 했고 서버가 세일을 어느 우선순위로 처리했는지는 외부에서 전혀 검증할 수가 없음. 그냥 오프체인 수강신청 한거임
봇을 자르고 싶었다면 그냥 FCFS를 포기하고 KYC 기반 추첨이나 균등분배를 했어야함. 아니면 메가이더처럼 경매를 하던가. 세일을 취소시킨 초강수를 둔 점을 고려하면 매우 실망스러운 해결방식이었음

https://x.com/bitcnoi/status/1998320846168076329

그리고 주피터 얼굴마담 meow도 주피터 요즘 맛이 가서 미안하고(Kamino랑 진흙탕 싸움한것도 포함) 소셜에서 소통 강화하겠다고 하네요
https://x.com/weremeow/status/1998380985566597464