​​🔥🔥🔥🔥

⚜️30 000 EOS похитил злоумышленник, загрузив сеть арендованными ресурсами⚜️
#A_ZCrypto

🔷 Злоумышленник присвоил как минимум 30 000 #EOS стоимостью свыше $110 000 по текущему курсу из игорных приложений в сети, загрузив её арендованными ресурсами. Один из разработчиков смарт-контрактов сообщил, что атаке, вероятно, подвергся не только #EOSPlay, но и некоторые другие приложения, для взаимодействия с которыми использовались дополнительные аккаунты, но схема оставалась той же.

💬 Для осуществления атаки он арендовал большие объёмы CPU и RAM-ресурсов на бирже EOS REX, запущенной ранее в этом году. С их помощью он смог сделать свои транзакции более приоритетными перед транзакциями других пользователей и направил их на атаку контракта EOSPlay

🔷 Изначально пользователи предполагали, что организатор атаки каким-то образом прогнозирует исход раундов на основании информации, имеющейся в предыдущих блоках, однако позднее появилась иная версия, связанная с заполнением транзакциями будущих блоков в условиях перегруженной сети.

💬 Никто заранее не знает случайное число. Организатор атаки заполняет очередь различными транзакциями, после чего ждёт, пока они попадут в блок, в котором будет определён исход ставки. Если исход оказывается отрицательным, он выводит транзакции из строя, отправляя их в бесконечный цикл и таким образом предотвращая проигрыш

🔷 Уязвимости протокола не имеют никакого отношения к этой атаке. Аналогичным образом злоумышленники могут заполнять транзакциями с высокими комиссиями блокчейны #BTC и #Ethereum. Разработчикам #EOSPlay порекомендовали снизить требование к объёму #CPU для осуществления остановки контракта или арендовать достаточно ресурсов, чтобы иметь возможность вмешаться в случае необходимости.

💬 Предположительно, за аренду ресурсов для осуществления замысла организатор атаки отдал около 300 EOS. В результате осуществлять действия в сети не могли не только её пользователи, но и сами разработчики EOSPlay, чтобы остановить злонамеренные действия в своём контракте

👉 @A_ZCrypto👁

​​🔥🔥🔥🔥

⚜️Более 60% нод Ethereum используют для функционирования облачные сервисы⚜️
#A_ZCrypto

🔷 Аналитики #Chainstack проанализировали данные ресурса #Еthernodes, который предоставляет полный список нод эфириума и их IP-адресов. Все службы интернет-маршрутизации (например, облачные провайдеры) могут быть идентифицированы по их уникальному «номеру автономной системы» (Autonomous System Number, ASN) и каждый IP-адрес может быть сопоставлен с #ASN. Используя эти открытые данные, аналитики #Chainstack сопоставили IP-адреса нод с #ASN известных облачного сервисов. Это позволило аналитикам узнать, на каком облачном сервисе работает определенная нода.

💬 Эфириум позиционирует себя как открытый децентрализованный блокчейн, который работает независимо от государств, финансовых организаций и корпораций, но недавнее исследование показывает, что это не совсем так

🔷 По данным #Chainstack, в сети эфируима работает 8 933 нод. Только 38,4% (3434) из них размещены полностью независимо (самостоятельно), а 61,6% (5499) работают в облачных сервисах. 10 крупнейших облачных сервисов обслуживают 57,3% всех нод эфириума, а на #AWS приходится значительно больше нод, чем на любой другой сервис.

💬 Согласно данным The Next Web и Chainstack, на вполне централизованных облачных сервисах работает 61,6% всех нод эфириума, из них 25% — на Amazon Web Services (AWS)

🔷 Это значит, что если #Amazon захочет завтра запустить свой собственный блокчейн и криптовалюту, Джефф Безос потенциально может отключить 25% сети конкурента, что сильно навредит эффективной работе #блокчейна (который и без этого пока далек от совершенства).

💬 Если бы другие облачные сервисы также ограничили работу нод эфириума, более половины сети могло бы исчезнуть за одну ночь. Это явно плохие новости для блокчейна, который хочет быть полностью децентрализованным

👉 @A_ZCrypto👁

​​🔥🔥🔥🔥

⚜️Уязвимость Zcash⚜️
#A_ZCrypto

🔷 Разработчик Джонатан Лето в эту субботу сообщил об обнаружении уязвимости в протоколе приватной криптовалюты #Zcash, которая могла стать причиной утечки IP-адресов пользователей. Уязвимость содержится в коде криптовалюты с момента создания и радикальным образом противоречит её назначению.

💬 В зоне риска находятся все пользователи, которые публично раскрывали свои затенённые адреса (shielded address), в том числе в социальных сетях, на Github, при выводе средств с бирж, майнинг-пулов и т.д.

🔷 Пользователям, которые не использовали затенённые адреса или использовали их только для отправки, но не для получения средств, беспокоиться не о чем. Кроме того, вне зоны риска находятся те, кто использует протокол #Tor или операционную систему #TAILS для сокрытия своего реального #IP-адреса.

💬 Если вы не хотите, чтобы люди, которые знают ваш Zcash-адрес, узнали ещё и IP-адрес, я рекомендую отключить полные ноды до выхода патча или создать новый кошелёк и перестать пользоваться старым

🔷 На этой неделе разработчики #Zcash опубликовали исходный код обновлённого клиента ноды, отметив, что в нём содержится важное исправление уязвимости, не угрожавшей средствам клиентов, но не раскрыв деталей. Интересующий большинство пользователей исполняемый файл пока недоступен.

💬 Помимо Zcash уязвимость присутствует во всех криптовалютах, использующих его кодовую базу, в том числе Komodo, Horizen, Ycash, BitcoinPrivate и ZClassic

👉 @A_ZCrypto👁

Еще один ЯДамВамЗаработатьToken накрыли.

https://t.iss.one/cryptocritique/4569