Разработчики Augur не могут остановить мошенника, который зарабатывает на уязвимости в архитектуре рынков предсказаний -

Разработчики Augur не могут остановить мошенника, который зарабатывает на уязвимости в архитектуре рынков предсказаний

Опубликовал: Владимир Опря (23.03.2019)
Категория: Мошенничество

Злоумышленник воспользовался несовершенством механизма популярной платформы предсказаний Augur и тем самым скомпрометировал всю платформу, так как используемые им методы на данный момент нельзя пресечь. Можно только предупредить пользователей.

Мошенник создает на платформе Augur собственные темы для прогнозирования с едва уловимыми ошибками, вводящими других участников в заблуждение. После чего злоумышленник приглашает пользователей принять участие в данных темах. Далее, после того как жертва/жертвы соглашаются с его условиями, он раскрывает информацию об ошибке и согласно правилам платформы такая тема признается не действительной. Согласно тем же правилам, если рынок был признан не действительным, то средства участвовавшие в рынке делятся поровну между всеми участниками.

«Допустим кто-то создает тему/рынок для голосования с двумя разными исходами (отрицательным и положительным) и вносит 1 ETH. Система выдает ему два разных токена, которые можно обменять на этот самый один ETH. Если вы создали правильную тему, без ошибок и намерения на мошенничество, то в таком случае обналичить можно будет только один из этих двух токенов. В случае если исход темы/рынка будет положительным, то владелец «положительного» токена получит 1 ETH, если же исход будет отрицательным, то соответственно 1 ETH получит владелец «отрицательного» токена. Далее вы продаете положительный токен за 0.7 ETH и после того, как исход станет известен, токен победителя будет стоить 1 ETH. В случае, если рынок будет признан не действительным, то тогда каждый из участников этого рынка получит по 0.5 ETH. Не сложно догадаться кто будет в плюсе, если все это было подстроено изначально»,- объясняет разработчик Augur Мика Золту (Micah Zoltu)

Таким образом, если создатель темы/рынка изначально намеренно заложил в него ошибку, и намеренно продал токен с наиболее вероятным результатом исхода дороже стоимости доли, то после того, как тема/рынок будут признаны не действительными, он окажется в плюсе.

Еще один пример:

«Имеется тема/рынок с двойным исходом: положительным и отрицательным. Вносится 100 ETH и создается по 100 токенов для каждого участника. Назовем их Алиса и Боб. Алиса покупает токены с положительным исходом за 70 ETH, так как он наиболее вероятен, а боб забирает токены с отрицательным результатом за 30 ETH. В случае если победит Алиса, то она получит 100 ETH и таким образом будет в плюсе на 50%, а если победит Боб, то он также получит 100 ETH и будет в плюсе более чем на 200%. Но, если из-за ошибки в названии или указанных датах тема/рынок будут признаны не действительными, то каждый из них получит по 50 ETH», — говорит Золту.

Если тему/рынок для прогнозирования создавал Боб или его пособник, то он/они будут в плюсе на 20 ETH.

Один из разработчиков Джои Круг (Joey Krug) отметил, что согласно статистике, проблема таких рынков кроется не сколько в словах, используемых при заключении пари, а в датах: «95% всех вводящих в заблуждение рынков имели некорректные даты закрытия», — говорит он.

Например, одна из подобных мошеннических тем была создана под заголовком «Какой будет цена эфира в конце марта 2019 года?». В описании этой темы утверждается, что окончанием сделки стоит считать конец дня 31 марта текущего года по времени UTC, но на самом деле рынок закрывается 31 марта в 13:59 UTC. Согласно правилам платформы Augur, этого расхождения вполне достаточно для того, чтобы рынок был признан недействительным и мошенник получил выплату.

Круг отмечает, что пока проблема еще не глобальна, так как на данный момент им известно только об одном таком мошеннике под псевдонимом «Poyo-Poyo» на Reddit и в Discord. Именно он создал вышеупомянутую тему/рынок по поводу прогнозирования цены Ethereum. Также он предлагал создать тему/рынок с условием, что «Ethereum вырастет выше $500 к концу сентября 2018 года» и указал при этом дату закрытия рынка 3 сентября.

Как уже было отмечено выше, Poyo-Poyo создает темы и делает ставку на заведомо маловероятный исход, чем и завлекает пользователей, после того, как пользователь соглашается с условиями рынка и вносит оплату, мошенник раскрывает суть ошибки. На Reddit был написан разоблачительный пост, но лишь потому, что изначально Poyo-Poyo опубликовал другое сообщение, в котором задавал вопросы об одном из рынков: «Очевидно же, что в этом рынке ошибка, так почему он все еще действителен?».

У разработчиков Augur пока нет возможности пресечь действия подобных мошенников. Чтобы устранить данною уязвимость нужно создать новою версию контракта, которая будет доступна только летом. Все что пока могут сделать разработчики — это предупреждать своих пользователей о наличии подобной проблемы и призывать их быть внимательными.

Предыдущий пост

Выиграй от $750 до $1500 в конкурсе от платформы WAVES

Следующий пост

Неизвестный скупает старые биткоин-кошельки по $5000

pyatovroman

Я просто в шоке, сколько сейчас есть мошенников и сколько обмана вокруг всей этой темы. Это не правильно и пора давно принимать какие-то кардинальные меры.
Anton43

Значит мало кому заплатили, раз не могут остановить и делают просто вид, что не могут остановить. Одно из двух тут точно.
Темирязев

Если бы заплатили тысяч 30 долларов за эту работу, то тогда конечно быстрее бы намного нашли мошенников, а так они будут еще долго возиться.
- pyatovroman
  
  Их может быть очень много, поэтому на всех может и не хватит денег. Так что нужно решать эту проблему вообще на другом уровне.
  - Andruha
    
    Такие умы могут положить край всей системе очень быстро и потом еще требовать выкуп за предоставление какой-то ценной информации.
  - Темирязев
    
    Ну всё равно ничего с ними не делать — это не вариант, потому что убытки могут им обойтись в намного больше сумму, чем они себе это представляют.
Anton43

Всё сейчас можно решить при наличии крупной суммы денег. Должно быть денег столько, сколько бы не жаль было отдать за то, сколько вы в итоге можете потерять. Всё закономерно.
- igarmayakov
  
  Нужно просто найти таких специалистов, которые будут на шаг впереди от тех, кто мешает развиваться и тогда можно будет сделать ход конём и решить это.
igarmayakov

Боюсь даже представить то, что они сделают с этим человеком, когда найдут. Охота точно отпадёт сразу этим заниматься.
pyatovroman

Любая проблема решается. Вопрос только времени и того, сколько будет потеряно сил и времени прежде чем устранить эту проблему. Я думаю, что все прекрасно это понимают.
Alabadoev

Иногда всё равно нужно интересоваться такими схемами просто для собственного же спокойствия, потому что могут взять просто и нагреть на ровном месте. Вы потратите время, но сэкономите очень много денег.
dronalex

Всё равно попадётся. Еще не было такого случая, с которым бы не справились. Так что вопрос только времени и желания. Не первый и не последний раз.
- Темирязев
  
  Дай Бог, чтобы его поймали и наказали. Просто может появиться другой и не обязательно, что вообще смогут так быстро это осуществить.
  - Anton43
    
    Их могут ловить очень долго и могут и не поймать. Они могут очень хорошо маскироваться под других людей, компании. Могут вообще засланных засылать, чтобы те сливали информацию.
igarmayakov

Это еще проблема разработчиков этой платформы. Не учли некоторые факторы, слабые места, которые оказались для мошенников уязвимыми.
- Темирязев
  
  Раз на то пошло, то может быть им предложить этому человеку на официальном уровне какие-то выгодные для обеих сторон условия?
  - svechka
    
    Если бы они могли выйти 100% на этого человека, то точно бы уже ничего не предлагали, а задержали, Как минимум. С такими людьми не о чём договариваться.
    - pyatovroman
      
      Придумают они другую платформу и где гарантии будут относительно того, что её точно также не смогут взломать? Нет никаких гарантий вообще.
      - Темирязев
        
        Это хорошо, что они уже обнаружили, что есть утечка информации и наверняка уже над этим очень активно работают. Интересно будет посмотреть на то, чем это может закончиться.
Alabadoev

С такими вещами не стоит шутить и тем более делать намеренно ошибки, которые могут привести к таким последствиям. Так недалеко и к уголовной ответственности.
- Anton43
  
  Цена вопроса просто сильно большая, поэтому и делают такие ошибки. Они на этом уже заработали больше, чем мы с вами можем заработать за год, например.
Anton43

Я где-то вообще видел схемы, которые до сих пор доступны в бесплатном доступе и которыми пользовались для проведения похожих операций.
- pyatovroman
  
  Получилось предупредить и слава Богу, что хотя бы есть такие ответственные ребята, потому что другие бы могли бы вообще ничего не сообщать.
  - Anton43
    
    Таких проектов сейчас очень много и жаль, что в каждом индивидуальном случае можно попасть в такую неприятную ситуацию.
Темирязев

А может и могут установить личность, но просто не хотят этого делать в силу того, что могут просто на этом очень неплохо делать пиар.
- igarmayakov
  
  Ну а как можно установить личность, если этот человек может быть вообще находиться в другой стране и вы точно не сможете его найти и наказать. Максимум, что можно сделать — это перекрыть доступ.
- svechka
  
  Это может остаться вообще загадкой и никто ничего не сможет установить, потому что очень много таких мошенников, которые наносят большие убытки, но при этом остаются нераскрытыми.
dronalex

Если у них нет такой возможности это сделать сейчас, то тогда лучше заморозить проект до лета, чтобы не растерять то, что у них есть, потому что репутация очень быстро теряется.

Разработчики Augur не могут остановить мошенника, который зарабатывает на уязвимости в архитектуре рынков предсказаний

Подписка на Telegram

Подписка на рассылку

Рубрики