Начни торговлю
без вложений и риска
С новым STARTUP бонусом $1000
Получи бонус
55%
от ИнстаФорекс
на каждое пополнение
Заработай до
$50000
на приглашении друзей получить StartUp Bonus от ИнстаФорекс
Вложений не требуется!

Rss

Разработчики Augur не могут остановить мошенника, который зарабатывает на уязвимости в архитектуре рынков предсказаний

Безымянный

Злоумышленник воспользовался несовершенством механизма популярной платформы предсказаний Augur и тем самым скомпрометировал всю платформу, так как используемые им методы на данный момент нельзя пресечь. Можно только предупредить пользователей.

Мошенник создает на платформе Augur собственные темы для прогнозирования с едва уловимыми ошибками, вводящими других участников в заблуждение. После чего злоумышленник приглашает пользователей принять участие в данных темах. Далее, после того как жертва/жертвы соглашаются с его условиями, он раскрывает информацию об ошибке и согласно правилам платформы такая тема признается не действительной. Согласно тем же правилам, если рынок был признан не действительным, то средства участвовавшие в рынке делятся поровну между всеми участниками.

«Допустим кто-то создает тему/рынок для голосования с двумя разными исходами (отрицательным и положительным) и вносит 1 ETH. Система выдает ему два разных токена, которые можно обменять на этот самый один ETH. Если вы создали правильную тему, без ошибок и намерения на мошенничество, то в таком случае обналичить можно будет только один из этих двух токенов. В случае если исход темы/рынка будет положительным, то владелец «положительного» токена получит 1 ETH, если же исход будет отрицательным, то соответственно 1 ETH получит владелец «отрицательного» токена. Далее вы продаете положительный токен за 0.7 ETH и после того, как исход станет известен, токен победителя будет стоить 1 ETH. В случае, если рынок будет признан не действительным, то тогда каждый из участников этого рынка получит по 0.5 ETH. Не сложно догадаться кто будет в плюсе, если все это было подстроено изначально»,- объясняет разработчик Augur Мика Золту (Micah Zoltu)

Таким образом, если создатель темы/рынка изначально намеренно заложил в него ошибку, и намеренно продал токен с наиболее вероятным результатом исхода дороже стоимости доли, то после того, как тема/рынок будут признаны не действительными, он окажется в плюсе.

Еще один пример:

«Имеется тема/рынок с двойным исходом: положительным и отрицательным. Вносится 100 ETH и создается по 100 токенов для каждого участника. Назовем их Алиса и Боб.  Алиса покупает токены с положительным исходом за 70 ETH, так как он наиболее вероятен, а боб забирает токены с отрицательным результатом за 30 ETH. В случае если победит Алиса, то она получит 100 ETH и таким образом будет в плюсе на 50%, а если победит Боб, то он также получит 100 ETH и будет в плюсе более чем на 200%. Но, если из-за ошибки в названии или указанных датах тема/рынок будут признаны не действительными, то каждый из них получит по 50 ETH», — говорит Золту. 

Если тему/рынок для прогнозирования создавал Боб или его пособник, то он/они будут в плюсе на 20 ETH.

Один из разработчиков Джои Круг (Joey Krug) отметил, что согласно статистике, проблема таких рынков кроется не сколько в словах, используемых при заключении пари, а в датах: «95% всех вводящих в заблуждение рынков имели некорректные даты закрытия», — говорит он.

Например, одна из подобных мошеннических тем была создана под заголовком «Какой будет цена эфира в конце марта 2019 года?». В описании этой темы утверждается, что окончанием сделки стоит считать конец дня 31 марта текущего года по времени UTC, но на самом деле рынок закрывается 31 марта в 13:59 UTC. Согласно правилам платформы Augur, этого расхождения вполне достаточно для того, чтобы рынок был признан недействительным и мошенник получил выплату.

Круг отмечает, что пока проблема еще не глобальна, так как на данный момент им известно только об одном таком мошеннике под псевдонимом «Poyo-Poyo» на Reddit и в Discord. Именно он создал вышеупомянутую тему/рынок по поводу прогнозирования цены Ethereum. Также он предлагал создать тему/рынок с условием, что «Ethereum вырастет выше $500 к концу сентября 2018 года» и указал при этом дату закрытия рынка 3 сентября.

Как уже было отмечено выше, Poyo-Poyo создает темы и делает ставку на заведомо маловероятный исход, чем и завлекает пользователей, после того, как пользователь соглашается с условиями рынка и вносит оплату, мошенник раскрывает суть ошибки. На Reddit был написан разоблачительный пост, но лишь потому, что изначально Poyo-Poyo опубликовал другое сообщение, в котором задавал вопросы об одном из рынков: «Очевидно же, что в этом рынке ошибка, так почему он все еще действителен?».

У разработчиков Augur пока нет возможности пресечь действия подобных мошенников. Чтобы устранить данною уязвимость нужно создать новою версию контракта, которая будет доступна только летом. Все что пока могут сделать разработчики — это предупреждать своих пользователей о наличии подобной проблемы и призывать их быть внимательными.

  • pyatovroman

    Я просто в шоке, сколько сейчас есть мошенников и сколько обмана вокруг всей этой темы. Это не правильно и пора давно принимать какие-то кардинальные меры.

  • Anton43

    Значит мало кому заплатили, раз не могут остановить и делают просто вид, что не могут остановить. Одно из двух тут точно.

  • Темирязев

    Если бы заплатили тысяч 30 долларов за эту работу, то тогда конечно быстрее бы намного нашли мошенников, а так они будут еще долго возиться.

    • pyatovroman

      Их может быть очень много, поэтому на всех может и не хватит денег. Так что нужно решать эту проблему вообще на другом уровне.

      • Andruha

        Такие умы могут положить край всей системе очень быстро и потом еще требовать выкуп за предоставление какой-то ценной информации.

      • Темирязев

        Ну всё равно ничего с ними не делать — это не вариант, потому что убытки могут им обойтись в намного больше сумму, чем они себе это представляют.

  • Anton43

    Всё сейчас можно решить при наличии крупной суммы денег. Должно быть денег столько, сколько бы не жаль было отдать за то, сколько вы в итоге можете потерять. Всё закономерно.

    • igarmayakov

      Нужно просто найти таких специалистов, которые будут на шаг впереди от тех, кто мешает развиваться и тогда можно будет сделать ход конём и решить это.

  • igarmayakov

    Боюсь даже представить то, что они сделают с этим человеком, когда найдут. Охота точно отпадёт сразу этим заниматься.

  • pyatovroman

    Любая проблема решается. Вопрос только времени и того, сколько будет потеряно сил и времени прежде чем устранить эту проблему. Я думаю, что все прекрасно это понимают.

  • Alabadoev

    Иногда всё равно нужно интересоваться такими схемами просто для собственного же спокойствия, потому что могут взять просто и нагреть на ровном месте. Вы потратите время, но сэкономите очень много денег.

  • dronalex

    Всё равно попадётся. Еще не было такого случая, с которым бы не справились. Так что вопрос только времени и желания. Не первый и не последний раз.

    • Темирязев

      Дай Бог, чтобы его поймали и наказали. Просто может появиться другой и не обязательно, что вообще смогут так быстро это осуществить.

      • Anton43

        Их могут ловить очень долго и могут и не поймать. Они могут очень хорошо маскироваться под других людей, компании. Могут вообще засланных засылать, чтобы те сливали информацию.

  • igarmayakov

    Это еще проблема разработчиков этой платформы. Не учли некоторые факторы, слабые места, которые оказались для мошенников уязвимыми.

    • Темирязев

      Раз на то пошло, то может быть им предложить этому человеку на официальном уровне какие-то выгодные для обеих сторон условия?

      • svechka

        Если бы они могли выйти 100% на этого человека, то точно бы уже ничего не предлагали, а задержали, Как минимум. С такими людьми не о чём договариваться.

        • pyatovroman

          Придумают они другую платформу и где гарантии будут относительно того, что её точно также не смогут взломать? Нет никаких гарантий вообще.

          • Темирязев

            Это хорошо, что они уже обнаружили, что есть утечка информации и наверняка уже над этим очень активно работают. Интересно будет посмотреть на то, чем это может закончиться.

  • Alabadoev

    С такими вещами не стоит шутить и тем более делать намеренно ошибки, которые могут привести к таким последствиям. Так недалеко и к уголовной ответственности.

    • Anton43

      Цена вопроса просто сильно большая, поэтому и делают такие ошибки. Они на этом уже заработали больше, чем мы с вами можем заработать за год, например.

  • Anton43

    Я где-то вообще видел схемы, которые до сих пор доступны в бесплатном доступе и которыми пользовались для проведения похожих операций.

    • pyatovroman

      Получилось предупредить и слава Богу, что хотя бы есть такие ответственные ребята, потому что другие бы могли бы вообще ничего не сообщать.

      • Anton43

        Таких проектов сейчас очень много и жаль, что в каждом индивидуальном случае можно попасть в такую неприятную ситуацию.

  • Темирязев

    А может и могут установить личность, но просто не хотят этого делать в силу того, что могут просто на этом очень неплохо делать пиар.

    • igarmayakov

      Ну а как можно установить личность, если этот человек может быть вообще находиться в другой стране и вы точно не сможете его найти и наказать. Максимум, что можно сделать — это перекрыть доступ.

    • svechka

      Это может остаться вообще загадкой и никто ничего не сможет установить, потому что очень много таких мошенников, которые наносят большие убытки, но при этом остаются нераскрытыми.

  • dronalex

    Если у них нет такой возможности это сделать сейчас, то тогда лучше заморозить проект до лета, чтобы не растерять то, что у них есть, потому что репутация очень быстро теряется.

Return to Top ▲Return to Top ▲