GM! Constructeurs
Dans ce dernier numéro de HashingBits, nous nous plongeons dans les réunions des principaux développeurs d'Ethereum, couvrant toutes les mises à jour majeures de l'écosystème Ethereum. Mais ce n'est pas tout : nous explorerons les derniers événements dans les écosystèmes Polygon, Starknet et Avalanche, ainsi que les avancées dans l'espace IA et Web3. Pour les développeurs, nous mettons en avant de nouveaux outils conçus pour aider les développeurs et les auditeurs de contrats intelligents. Et, bien sûr, nous nous pencherons sur les gros titres concernant le piratage du portefeuille WazirX Multisig de 235 millions de dollars et la perte de 9,7 millions de dollars du protocole LiFi en raison de la vulnérabilité des contrats intelligents.
EtherScope : développements clés 👨💻
Tous les développeurs principaux - Récapitulatif de l'appel d'exécution (ACDE) n° 192
Bref historique et situation actuelle du RIP-7212 : examen asynchrone et décision sur l'inclusion (bientôt)
Appel n°21 des implémenteurs de Verkle : proposition de réduction de la taille des témoins, mises à jour des EIP6800 et EIP2935 et coût du découpage du code
Une meilleure diversité géographique est optimale, en particulier en dehors de l’Amérique du Nord et de l’Europe
Blocknative : visualisation des données des blocs auto-construits, augmentation involontaire de la volatilité des frais de base
EIP7732 ePBS breakout #5 : appel court, fuites d'IP du proposant demandant des en-têtes au constructeur et tests de spécifications de consensus correctifs en cours
Nethermind EVMYulLean : spécification EVM + Yul, exécutable, en Lean
Couche 1 et couche 2
DefiLlama : le tracker narratif propose des rétrospectives plus longues
Les préconfs basés sont désormais en ligne sur le réseau de test Helder
Shutterized Gnosis Chain est en ligne
Le réseau principal Chromia MVP est en ligne
Annonce de la zkVM Nexus 2.0
Mise à jour simple de DVT : SSV passe au réseau principal
TPRO Chain, une nouvelle chaîne virtuelle lancée sur Aurora
Le réseau de test Viction DA est en ligne
Lancement du réseau de test Apechain Curtic
Annoncer la sortie de Ceramic-One
Migration réussie du jeton natif covalent
Blockscan Multichain Explorer (Bêta) est ici
Tangem lance un nouvel anneau de portefeuille froid
Présentation de Gwyneth — un rollup basé sur la composition synchrone avec Ethereum
Présentation de la chaîne polynomiale
Présentation de Henez - Couche de liquidité OmniDeFi
Proposition de gouvernance de la Chambre de Pieu NEAR
Le réseau de test Shape est en ligne
LYNC construit un Mouvement L2
Système d'indemnisation LI.FI
Les réclamations ETH.FI de la saison 2 sont en ligne
Note d'information réglementaire sur les actifs Curve PegKeeper
Remarque sur la recherche sécurisée du cycle moyen minimum
Restitution du bon de délégation
La thèse de Fat Bera
Opération Spincaster de Chainalysis
Le défilement a retardé la finalisation pour enquêter sur un éventuel incident lié à l'écosystème, a confirmé que Rho Markets était spécifique à l'application
Badges L2BEAT : affichage visuel des fonctionnalités L2
Annonce de la fondation Avail
ERC
ERC7743 : Jetons non fongibles multi-propriétaires (MO-NFT)
ERC7744 : Index de code (code byte du contrat d'index)
ERC7746 : Hooks de middleware de sécurité composables
EIP
EIP7745 : Structure de données du filtre journal bidimensionnel
EIP.tools ajoute des RIP (propositions d'amélioration cumulatives)
EcoExpansions : Au-delà d'Ethereum 🚀
Polygone
Le Sommet de l'agrégation est ici
Plongée en profondeur dans Polygon Plonky3
À quoi ressemblent les transactions Polygon PoS si nous les réduisons en transactions d'action d'application ?
Tour d'horizon hebdomadaire des jeux sur Polygon
Polygon fixe la date du 4 septembre pour la migration vers POL
Starknet
Jetez un œil à la feuille de route de Starknet
Toutes les raisons pour lesquelles vous devriez construire sur Starknet
L'API Starknet Wallet<>Dapp reçoit une mise à jour majeure avec Starknet-js V6 !
Le programme de récompenses Layerswap x Starkent $STRK est arrivé
Décision
Le réveil de l’ACP-77 d’Avalanche ? Tout ce que vous devez savoir sur l’ACP-77
Explication du transfert de jetons inter-chaînes Avalanche
Commencez avec le kit de démarrage ICTT d'Avalanche
DevToolkit : essentiels et innovations 🛠️
rindexer - outil d'indexation EVM open source et rapide en Rust
spice - client python pour extraire des données de l'API Dune Analytics
Lodestar v1.20.2 : correctif pour la publication de blocs aveugles à l'aide du nœud de balise Lodestar et du client validateur Lighthouse/Nimbus avec MEV-Boost
Reth v1.0.3 : correctif pour le réseau principal de base et le flux de remplissage asynchrone
Rindexer, outil d'indexation EVM en Rust, bêta
Echidna v2.2.4 : améliore la vitesse de fuzzing et l'expérience utilisateur, ajoute la prise en charge des opcodes transitoires
Audit Wizard ajoute Cyfrin Aderyn (analyseur statique de solidité)
Damn Vulnerable DeFi v4 : migré vers Foundry, nouveaux défis : marionnette courbée, éclats, retrait et récompense
Hackathons, ateliers et événements
Maelstrom d'Arthur Hayes annonce un programme de subventions Bitcoin pouvant atteindre 250 000 $ par développeur
Gagnants du concours de parchemins ETHGlobal Hackathon
Gagnants du prix Uniswap du hackathon ETHGlobal
Les gagnants du concours Hyperlane d'ETHGlobal Brussels
Superhack sur le hackathon Superchain
Explorez les profondeurs de la connaissance : articles de recherche, blogs et tweets🔖
Gazouillement
Nexus 2.0 zkVM est là
Programme de Stablecoin de Nic
Les risques et les avantages du (re)staking
Combien d'utilisateurs Web3 sont réels
Ne créez pas de jeu en chaîne
ELI5 - L3
IoTeX a publié son livre blanc 2.0
Mise à l'échelle horizontale avec ZKThreads
Fil de discussion du livre blanc sur le Sink L2
Rollups est-il surévalué ou sous-évalué ? Une analyse de la structure des revenus et des coûts de Rollup
Une mise à jour majeure de FRI-Binius permet un meilleur traitement par lots, une récursivité plus rapide et des preuves plus petites
L'économie des L3
ERC-7739 : Signatures typées lisibles pour les comptes Smart
La crise de l’évolutivité d’Ethereum : la couche d’exécution
Une plongée en profondeur dans le protocole DeAI
Plongée en profondeur dans les contrats intelligents Move
Explication simple de EigenDa
Articles
Explication du pipeline de compilation Solidity via IR : traduit Solidity en Yul (représentation intermédiaire) pour l'optimisation plutôt que directement en bytecode, prévoit de faire la valeur par défaut avec EOF
Débordement caché de Solidity : types d'expressions mathématiques convertis au type le plus élevé utilisé par les variables
Solady (extraits Solidity) : ajoute des proxys minimaux ERC1967 avec des arguments immuables, vérifiés automatiquement sur Etherscan
Z0r0z sstore3, stockage de contrat en lecture/écriture utilisant le solde et l'adresse, licence : AGPL v3
Exemples d'extension d'exécution Reth (ExEx)
L'échelle OpenAI classe les progrès vers la résolution de problèmes « au niveau humain »
Documents de recherche
Anders Elowsson : enchères d'exécution scellées, enchères à créneaux de Vickrey des droits de proposition d'exécution, les attestateurs supervisent le schéma d'engagement/révélation facilité par les constructeurs et le proposant de la balise
MEV-Boost multi-tours : atténuez les inconvénients des préconfigurations basées et conservez les avantages des cumuls basés
Apprentissage fédéré hétérogène privé sans serveur de confiance revisité : algorithmes optimaux en termes d'erreurs et efficaces en termes de communication pour les pertes convexes
FBChain : un modèle d'apprentissage fédéré basé sur la blockchain avec efficacité et communication sécurisée
Attaques de manipulation d'opinion en boîte noire pour la génération de modèles linguistiques volumineux avec récupération augmentée
Regarder 🎥
Surveillance de la sécurité Web3 🛡️
Articles
La même erreur deux fois ? Décryptage de l'exploit de 9,7 millions de dollars du protocole LiFi : rapport post-mortem
Une autre attaque du groupe Lazarus ? Décryptage de l'exploit de 235 millions de dollars du portefeuille multisignature Wazirx : rapport post-mortem
Exploit de 1,4 million de dollars de Minterest sur Mantle L2 via la réentrance
Security Alliance (SEAL) : réponse aux incidents liés à la compromission du domaine Squarespace
Le vol de crypto-monnaies de 230 millions de dollars chez Wazirx est un signal d'alarme pour les régulateurs et le gouvernement indiens
WazirX dépose une plainte auprès de la police après un piratage de 230 millions de dollars et collabore avec l'unité indienne de lutte contre la cybercriminalité
Documents de recherche
Identification des problèmes de sécurité des contrats intelligents dans les extraits de code de Stack Overflow
Détecter Llama – Trouver des vulnérabilités dans les contrats intelligents à l'aide de grands modèles de langage
Amélioration de la précision de la détection de Ponzi basée sur les transactions sur Ethereum
La faisabilité d'un « Kill Switch » pour les contrats intelligents
Gazouillement
Une analyse complète sur la façon dont l'exploit Wazirx s'est produit
WazirX : PSA sur le piratage
Analyse de la chaîne de piratage de WazirX de plus de 230 millions de dollars, probablement liée à Lazarus - ZachXBT
Bain de sang sur la bourse WazirX en raison du manque de liquidités côté achat actuellement
Analyse de Mudit Gupta sur l’exploit Wazirx
Analyse et traçage des fonds de Zachxbt après l'exploit Wazirx
Piratage et arnaques 🚨
WazirX
Perte d'environ 235 millions de dollars
Le portefeuille multisig de WazirX, géré avec Liminal, a été exploité, perdant 235 millions de dollars sur 451 millions de dollars d'actifs en chaîne.
Le portefeuille multisig comptait 6 signataires : 5 de WazirX et 1 de Liminal.
Les attaquants ont compromis 3 signataires de WazirX et 1 signataire de Liminal en utilisant le phishing.
Ils ont directement compromis 2 signataires de WazirX et ont utilisé une fausse interface utilisateur Liminal pour inciter les autres à signer des transactions malveillantes.
Les attaquants ont mis à niveau le portefeuille multisig vers un contrat malveillant, transférant continuellement des fonds.
ZachXBT a retracé les transactions jusqu'à Tornado Cash, trouvé des transactions de test et lié les dépôts Bitcoin au piratage.
WazirX a blâmé le système de Liminal, soupçonnant un remplacement de la charge utile lors de la vérification de la transaction.
Liminal a déclaré que la violation impliquait un portefeuille créé en dehors de sa plateforme.
Lisez le rapport post-mortem pour connaître plus de détails sur l'ensemble de l'exploit.
Protocole Li.Fi
Perte - 9,7 M$
L'équipe LiFi a déployé le contrat GasZipFacet cinq jours avant l'attaque pour permettre le ravitaillement en gaz pour les transactions de pont.
L'attaquant a exploité une vulnérabilité d'appel arbitraire via depositToGasZipERC20() dans le contrat GasZipFacet, autorisant des transactions non autorisées.
Les utilisateurs disposant d'approbations infinies pour des adresses de contrat LiFi spécifiques ont été ciblés, permettant à l'attaquant d'effectuer des opérations de transfert TransferFrom non autorisées.
L'attaquant a conçu des appels de transaction arbitraires pour exécuter des transferts non autorisés au lieu d'échanges d'actifs légitimes. Cela a drainé des quantités importantes d'USDT, d'USDC et de DAI des utilisateurs qui avaient donné une approbation infinie au contrat LiFi Diamond.
Les fonds volés ont été convertis en environ 2 857 ETH à l'aide de plateformes comme Uniswap et Hop Protocol, puis dispersés sur plusieurs portefeuilles.
Tornado Cash a été utilisé pour masquer l’origine des fonds volés, rendant difficile la recherche de leur destination finale.
Jetons exploités : Les principaux jetons avec lesquels l'attaquant s'est enfui sont :
6 335 889 USDT
3 191 914 USDC
169 533 jours JAI
Lisez le rapport post-mortem pour en savoir plus sur l’exploit.
Pleins feux sur la communauté
https://x.com/quillaudits_ai/status/1812741356387016828
https://x.com/quillaudits_ai/status/1813845595788120405
https://x.com/quillaudits_ai/status/1813944615613219277
https://x.com/icphub_VN/status/1813873185127031109
https://x.com/quillaudits_ai/status/1814607085612483046