КАК МЫ ТР*ХНУЛИ LAYERZERO НА 30.000$

На связи Даня aka Votesa и в этой статье мы поделимся историей по выносу неплохой суммы, за счёт уязвимости в омничейн протоколе аптос бридж. И что самое главное, расскажем о ВЫВОДАХ, которые сделали!

Сама ситуация произошла более чем пол года назад и конееечно, если бы сейчас случилось подобное, то подход был бы совершенно иной. Поэтому...

Дочитай до конца и получи бесценный опыт, который увеличит твой потенциальный профит или даже спасёт от РЕКТА.

Воистину получили дроп от LAYERZERO ещё до выхода $ZRO. Браену спасиба, а вам приятного прочтения!

Перед тем как начнёте, мастхев оформление подписки на телеграм каналы авторов статьи и главных героев действия:

• Мой канал (votesa)
• Канал Курчавого

В особенности прошу подписаться на канал Курчавого, ведь без него бы не было этой статьи. Криптан, деген и просто смарт-чел! У себя в канале он расписал как и где вообще он нашёл эту уязвимость, так что смотрите!

Прежде чем я поделюсь с вами этой удивительной историей, обозначу что всё нижесказанное просто выдумка и ничего подобного взаправду даже и не происходило. Любые совпадения случайны, а суммы взяты с потолка. LFG!

Дело было вечером, а точнее ночью. После плотного рабочего дня я с удовольствием плюхнулся в свою кроватку и как это всегда бывает ненадолго залип за мобилой.

Тут в телеге внезапно прилетает месседж от моего коллеги Курчавого в духе:

"Тут? Спишь? Кажется, я нашёл дыру в протоколе".

Честно сказать, в тот момент я был такой заебавшийся, что не придал этому большого значения и далее мы просто немного пообщались на счёт анонимизации и всех последующих после эфемерного выноса какого-то проекта.

Но, Курчавый не сдался и написал что вынес уже 2000 баксов и прислал скрины вывода на биржу.

ТУТ ТО МНЕ И СТАЛО ИНТЕРЕСНЕЕ и моя сонливость куда-то улетучилась, после чего я с гордыми словами "сон для лохов" сел за комп и зашёл в дискорд...

Это чувство не передать словами, каждый криптан, который хотя бы раз находил или получал информацию об арбитражной ситуации, баге или просто летел с трясущимся руками откупать говно, которое вот вот должно взлететь, должен меня понять.

Первым делом, я решил протестить "темку" и убедиться своими глазами, что всё действительно работает. Взял рандомный аккаунт, что висел в ММ и запулил транзакцию из AVAX в APTOS через APTOS BRIDGE.

Бабки пришли, всё работает - значит надо ебашить.

Механика бага

Все махинации завязывались на АПТОС БРИДЖЕ который известен каждому Леерзира дрочеру.

1. Вам нужно было отправить копейки любого актива из любой EVM сети в сеть APTOS.
2. При отправке выбрать "gas on destination" на сумму одной монеты аптос (сейчас они, кстати, снизили максималку с 1 $APT до 0.1 $APT)
3. Несмотря на то, что одна монета аптоса стоила тогда примерно 7$ у вас НЕ СПИСЫВАЛО нативку из EVM сети, но в APTOS приходило то значение APTOS, которое вы установили.

Понимаете, да? Тратя всего 1 цент в EVM cети и мизерную комсу за транзу, на выходе вы получаете целых 7$ в сети аптоса. Настоящий печатный станок.

При этом, мост работал исправно и средства доходили почти без задержек.

Как отрабатывали?

Честно признаюсь, что постфактум мы чувствовали себя как этот мужик пытающийся съесть суп вилкой и вместо того, чтобы запустить скрипт по бриджу в APTOS с минимальными задержками между транзакциями, мы нонстоп хуярили руками. В процессе подключили синхронизатор ADS - всё на что нас хватило.

В моменте нельзя было наверняка знать сколько ещё проработает этот баг, времени на поиск и написание программисту мы тратить не стали. Да и тогда у нас ещё не так тесно была налажена связь с кодерами и вопрос доверия оставался открытым. Поэтому, в ебейшем чувстве эйфории, мы принялись хуярить мышкой пока не посинели пальцы.

Выше один из кошельков с 253 транзакциями мать его. Можете умножить на 7$ и посчитать примерный профит с 1 аккаунта в синхронизаторе ADS-ки.

Как долго мы ебашили и что делали ещё?

Сие действие продолжалось примерно с полуночи в течение двух-трёх часов, ровно до того момента, пока бабки на газ в сети назначения не перестали приходить.

Видимо, к утру сработала система безопасности, либо один из разрабов заметил подозрительную активность и решил выключить рубильник, либо мы истощили пул на газ в моменте.

Что с совестью?

С ней всё в порядке, ведь мы как порядочные баунти-хантеры вспомнили, что у L0 на выделены сумасшедшие бабки на баунти-программу по нахождению багов (5 лямов зелени) и как только баг был найден, мы написали им на почту с уведомлением о том, что и как у них наебнулось.

Получили ли мы ответ?

Да, но спустя время, когда баг уже был не актуален и ответ был в духе "да, круто, спасибо вам, но лучше напишите по другому адресу и так далее". Для участия в программе нужно было изрядно изъебнуться, предоставить KYC и прочую поеботу, потом ещё и неизвестно сколько ждать.

Что в итоге?

Вероятно, это WIN - WIN ситуация, как для проекта, так и для нас.

Если бы этот баг нашли профессиональные взломщики жопы или бы мы запотели с подключением программиста, то суммы бы не ограничились и сотней тысячей баксов, а тогда, это можно было бы считать полноценным злонамеренным использованием уязвимости со всеми вытекающими последствиями:

• Репутация проекта пострадала (допустили ошибку, не углядели).
• Проект потерял бабки, а разрабы получили пизды.
• Багоюзеры под прицелом и теперь у них могут быть проблемы с тем, чтобы вывести эти бабки без последствий.

По итогу, мы выплатили награды за найденный баг сами себе, а проект тихонько его пофиксил без лишней огласки на публику. Мы тоже молчали длительный промежуток времени и только спустя время решили выебнуться поделиться уникальным кейсом по андреррадар выносу, о котором из всего СНГ, да и в целом НЕ ЗНАЛ НИКТО КРОМЕ НАС.

Для себя считаю важным не просто поделиться успешным кейсом, но и поделиться выводами, которые мы сделали в процессе и осознали постфактум.

ВЫВОД 1: ДЕРЖИ КОШЕЛЬКИ НА ГОТОВЕ

Когда каждая секунда на счету, малейшее промедление или недоработка со стороны организации своего рабочего пространства играет роль.

На создание кошельков ушло примерно 3 минуты, на ввод данных при выводе средств с биржи и покупки нативки для газа ушло ещё минут 7, на импорт их в ADS и настройку ещё минут 10. Суммарно со спешкой и волнением на подготовку могло уйти до половины часа. Что такое пол часа? ЭТО ДОХУЯ.

В контексте данного бага, это как минимум пять тысяч баксов упущенного профита. В контексте любого другого – это полное упущение возможности или даже РЕКТ.

Если коротко, то СОБЕРИ СВОЙ ТРЕВОЖНЫЙ КРИПТО-ЧЕМОДАНЧИК ЗАРАНЕЕ.

• Создай нулевые кошельки.
• Добавь их в WL на разных биржах.
• Возможно, пополни кошельки нативкой заранее, беспалевным способом (насколько это возможно). Как минимум, чтобы с ходу протестить баг и уже далее предпринимать действия.
• Всегда держи инструменты по отслеживанию вводов/выводов с бирж наготове, чтобы потом как дебик не искать их по поискам в чате или заходить на биржи и смотреть вручную.

ВЫВОД 2: ЗАВЕДИ ДРУГА ПРОГРАММИСТА

Задача почти неподсильная нормису, но более чем реальная для любого дегена, который активно ведёт деятельность и отсвечивает в приватках/закрытых сообществах.

Важные моменты по кодеру:

• ЭКСПЕРТИЗА данного человека в WEB3.
• Энтузиазм данного человека (не забить хуй и пойти писать код в час ночи).
• Доверие к данному человеку.
• Репутация данного человека.

Сейчас, у меня есть как минимум 5 знакомых кодеров, в которых я уверен и знаю, что они меня не подъебут и если нужно будет моментом включатся в процесс.

ВЫВОД 3: ПОДГОТОВЬ ПУТИ ОТХОДА

Будь то баг, арбираж или ещё какая доходная история, помни – любая централизованная хуйня может тебя наебать. Не буду расписывать в деталях, тут кажый сам для себя должен подумать и ответить на вопросы:

• На каких биржах есть депозит и вывод без KYC?
• Как вывести/завести средства быстрее всего?
• Стоит ли мне делать тестовый депозит, прежде чем лить всю котлету на Zalupa.Exchange?
• Какие могут быть последствия у моих действий?

ВЫВОД 4: САМЫЙ ВАЖНЫЙ

Это коммьюнити.

Ваша тусовка.

Ваши друзья и коллеги.

Я безумно благодарен Курчавому, не просто за то, что благодаря его информации мне удалось заработать, а за то что он в принципе найдя "золотую шахту" позвал меня хуярить киркой и таскать это золото вместе с ним. Это дорогого стоит.

У вас обязательно должно быть локальное закрытое коммьюнити, а также своя "мини-тусовка" с близкими в крипте людьми, кому вы доверяете и будете готовы не только ВЗЯТЬ, но и ОТДАТЬ.

Поэтому развивайтесь, нетворкайте, помогайте другим и ДОБРО ВСЕГДА ВЕРНЁТСЯ БУМЕРАНГОМ ОБРАТНО.