dyrektor generalny! Budowniczowie

W najnowszym numerze HashingBits zagłębiamy się w spotkania głównych programistów Ethereum, omawiając wszystkie najważniejsze aktualizacje w ekosystemie Ethereum. Ale to nie wszystko — będziemy badać najnowsze wydarzenia w ekosystemach Polygon, Starknet i Avalanche, a także postępy w przestrzeni AI i Web3. W przypadku programistów wyróżniamy nowe narzędzia zaprojektowane, aby pomóc programistom i audytorom inteligentnych kontraktów. I oczywiście zagłębimy się w doniesienia prasowe dotyczące włamania do portfela WazirX Multisig o wartości 235 mln dolarów i utraty 9,7 mln dolarów przez LiFi Protocol w związku z luką w inteligentnych kontraktach.

EtherScope: Główne zmiany 👨‍💻

  • Podsumowanie rozmowy telefonicznej nr 192 All Core Devs - Execution (ACDE)

  • Krótka historia i obecna sytuacja RIP-7212: przegląd asynchroniczny i decyzja o uwzględnieniu (wkrótce)

  • Implementatorzy Verkle wzywają do #21: propozycja zmniejszenia rozmiaru świadka, aktualizacje EIP6800 i EIP2935 oraz koszt podziału kodu

  • Lepsza różnorodność geograficzna jest optymalna, szczególnie poza Ameryką Północną i Europą

  • Blocknative: dane wizualne samodzielnie zbudowanych bloków, nieumyślnie zwiększają zmienność opłaty bazowej

  • EIP7732 ePBS breakout #5: krótkie połączenie, wycieki IP wnioskodawcy, żądanie nagłówków od konstruktora i testy specyfikacji konsensusu, poprawki w toku

  • Nethermind EVMYulLean: specyfikacja EVM + Yul, wykonywalna, w Lean

Warstwa 1 i warstwa 2

  • DefiLlama: narzędzie do śledzenia narracji z dłuższymi retrospekcjami

  • Wstępne konfiguracje oparte na plikach są już dostępne w sieci testowej Helder

  • Shutterized Gnosis Chain jest już dostępny

  • Główna sieć Chromia MVP jest już dostępna

  • Przedstawiamy Nexus 2.0 zkVM

  • Prosta aktualizacja DVT: SSV przechodzi do sieci głównej

  • TPRO Chain, nowy wirtualny łańcuch, uruchamia się na Aurorze

  • Testnet Viction DA jest już aktywny

  • Uruchomienie sieci testowej Apechain Curtic

  • Ogłoszono wydanie Ceramic-One

  • Migracja natywnego tokena Covalent zakończyła się sukcesem

  • Blockscan Multichain Explorer (wersja beta) jest już dostępny

  • Tangem wprowadza na rynek nowy pierścień do zimnego portfela

  • Przedstawiamy Gwyneth — bazowy rollup, który można synchronicznie komponować z Ethereum

  • Wprowadzenie do łańcucha wielomianowego

  • Przedstawiamy Henez - warstwę płynności OmniDeFi

  • NEAR Propozycja zarządzania House of Stake

  • Sieć testowa Shape jest już dostępna

  • LYNC buduje Ruch L2

  • Program rekompensat LI.FI

  • Sezon 2. Roszczenia ETH.FI są już dostępne

  • Curve PegKeeper Assets Informacje regulacyjne

  • Uwaga dotycząca bezpiecznego znajdowania minimalnego średniego cyklu

  • Zwrot Vouchera Delegacyjnego

  • Teza Grubej Bery

  • Operacja Chainalysis Spincaster

  • Przewiń opóźnione finalizowanie w celu zbadania potencjalnego incydentu ekosystemu, potwierdzono, że Rho Markets było specyficzne dla aplikacji

  • Odznaki L2BEAT: wizualna prezentacja funkcji L2

  • Ogłaszamy powstanie Fundacji Avail

ERC

  • ERC7743: Niezamienne tokeny wielowłaścicielskie (MO-NFT)

  • ERC7744: Indeks kodu (bajtkod kontraktu indeksu)

  • ERC7746: Składalne haki pośredniczące w oprogramowaniu zabezpieczającym

EIP

  • EIP7745: Dwuwymiarowa struktura danych filtra dziennika

  • EIP.tools dodaje RIP (zbiorcze propozycje ulepszeń)

EcoExpansions: poza Ethereum 🚀

Wielokąt

  • Szczyt agregacji już tu jest

  • Głębokie zanurzenie w Polygon Plonky3

  • Jak wyglądają transakcje PoS Polygon, jeśli podzielimy je na transakcje związane z akcją w aplikacji?

  • Tygodniowy przegląd gier na wielokącie

  • Polygon ustala datę migracji do POL na 4 września

Sieć Starknet

  • Spójrz na plan działania Starknet

  • Wszystkie powody, dla których warto budować na Starknet

  • Interfejs API Starknet Wallet<>Dapp otrzymuje dużą aktualizację w postaci Starknet-js V6!

  • Program nagród Layerswap x Starkent $STRK jest już dostępny

Decyzja

  • ACP-77 Avalanche’s Reawakening? Wszystko, co musisz wiedzieć o ACP-77

  • Wyjaśnienie transferu tokenów międzyłańcuchowych Avalanche

  • Rozpocznij pracę z zestawem startowym Avalanche ICTT

DevToolkit: Podstawy i innowacje 🛠️

  • rindexer - opensource'owe, szybkie narzędzie do indeksowania EVM w Rust

  • spice - klient python do wyodrębniania danych z interfejsu API Dune Analytics

  • Lodestar v1.20.2: poprawka do publikowania bloków niewidomych przy użyciu węzła sygnalizacyjnego Lodestar i klienta walidatora Lighthouse/Nimbus z MEV-Boost

  • Reth v1.0.3: poprawka dla głównej sieci Base i strumienia Backfill async

  • Rindexer, narzędzie do indeksowania EVM w Rust, wersja beta

  • Echidna v2.2.4: poprawia szybkość rozmycia i komfort użytkowania, dodaje obsługę przejściowych kodów operacji

  • Kreator audytu dodaje Cyfrin Aderyn (analizator statyczny Solidity)

  • Damn Vulnerable DeFi v4: migracja do Foundry, nowe wyzwania: curvy puppet, shards, wypłata i nagroda

Hackathony, warsztaty i wydarzenia

  • Maelstrom Arthura Hayesa ogłasza program dotacji Bitcoin do kwoty 250 tys. dolarów na programistę

  • Zwycięzcy nagród za przewijanie ETHGlobal Hackathon

  • Zwycięzcy nagrody Uniswap Bounty na ETHGlobal Hackathon

  • Zwycięzcy nagród Hyperlane ETHGlobal Bruksela

  • Superhack na hackathonie Superchain

Odkryj głębiny wiedzy: prace badawcze, blogi i tweety🔖

Świergot

  • Nexus 2.0 zkVM jest już tutaj

  • Sylabus Stablecoin Nica

  • Ryzyko i korzyści z (ponownego) stakowania

  • Ilu użytkowników Web3 jest prawdziwych

  • Nie buduj gry onchain

  • ELI5 - L3s

  • IoTeX wydał swój dokument 2.0

  • Skalowanie poziome z ZKThreads

  • Wątek białej księgi Sink L2

  • Czy Rollupy są przewartościowane czy niedowartościowane? Analiza struktury przychodów i kosztów Rollup

  • Duża aktualizacja FRI-Binius zapewnia lepsze przetwarzanie wsadowe, szybszą rekurencję i mniejsze dowody

  • Ekonomia L3

  • ERC-7739: Czytelne podpisy maszynowe dla kont inteligentnych

  • Kryzys skalowalności Ethereum: warstwa wykonawcza

  • Głębokie zanurzenie w protokole DeAI

  • Głębokie zanurzenie w inteligentnych kontraktach Move

  • Proste wyjaśnienie EigenDa

Artykuły

  • Wyjaśnienie potoku kompilacji Solidity przez IR: tłumaczy Solidity na Yul (reprezentacja pośrednia) w celu optymalizacji, a nie bezpośrednio na kod bajtowy, planuje ustawienie domyślne z EOF

  • Ukryte przepełnienie Solidity: typy wyrażeń matematycznych rzutowane na najwyższy typ używany przez zmienne

  • Solady (fragmenty Solidity): dodaje minimalne proxy ERC1967 z niezmiennymi argumentami, automatycznie weryfikowane w Etherscan

  • Z0r0z sstore3, odczyt/zapis magazynu kontraktów przy użyciu salda i adresu, licencja: AGPL v3

  • Przykłady rozszerzenia wykonania Reth (ExEx)

  • Skala OpenAI klasyfikuje postęp w kierunku rozwiązywania problemów na „poziomie ludzkim”

Prace badawcze

  • Anders Elowsson: aukcja egzekucji w formie zamkniętej, aukcja slotów Vickreya praw do propozycji egzekucji, poświadczający nadzorują schemat zatwierdzania/ujawniania ułatwiony przez budowniczych i proponującego sygnalizator

  • Wielorundowe wzmocnienie MEV: łagodzenie negatywnych skutków prekonfiguracji bazowych i zachowywanie korzyści wynikających z zestawiania bazowego

  • Prywatne heterogeniczne uczenie federacyjne bez zaufanego serwera – ponowne rozpatrzenie: algorytmy zoptymalizowane pod kątem błędów i wydajne pod względem komunikacji dla strat wypukłych

  • FBChain: Model uczenia federacyjnego oparty na technologii blockchain, zapewniający wydajność i bezpieczną komunikację

  • Ataki manipulacji opiniami typu „czarna skrzynka” na generowanie dużych modeli językowych wspomagane wyszukiwaniem



    Obejrzyj 🎥

Web3 Security Watch 🛡️

Artykuły

  • Ten sam błąd dwa razy? Odkodowanie 9,7 mln dolarów eksploatu protokołu LiFi: raport z analizy post mortem

  • Kolejny atak grupy Lazarus? Odszyfrowanie 235 mln dolarów exploita portfela Wazirx Multisig: raport post mortem

  • Mininterest $1.4M exploit na Mantle L2 przez reentrancy

  • Security Alliance (SEAL): reakcja na incydent związany z naruszeniem domeny Squarespace

  • Kradzież kryptowaluty o wartości 230 milionów dolarów w Wazirx to sygnał ostrzegawczy dla indyjskich regulatorów i rządu

  • WazirX składa skargę na policję po włamaniu na kwotę 230 mln USD, współpracuje z indyjską jednostką ds. cyberprzestępczości

Prace badawcze

  • Identyfikowanie problemów bezpieczeństwa inteligentnych kontraktów w fragmentach kodu ze Stack Overflow

  • Detect Llama — znajdowanie luk w inteligentnych kontraktach przy użyciu dużych modeli językowych

  • Poprawa dokładności wykrywania Ponziego opartego na transakcjach w Ethereum

  • Wykonalność inteligentnego kontraktu „Kill Switch”

Świergot

  • Kompleksowa analiza tego, jak doszło do wykorzystania Wazirx

  • WazirX: PSA o hakowaniu

  • Analiza łańcucha $230M+ włamania do WazirX, prawdopodobnie powiązane z Lazarus - ZachXBT

  • Krwawa łaźnia na giełdzie WazirX z powodu braku płynności po stronie kupującego

  • Analiza Mudita Gupty dotycząca exploita Wazirx

  • Analiza Zachxbt i śledzenie funduszy po wykorzystaniu Wazirx

Hacki i oszustwa 🚨

WazirX

Strata ~ 235 mln USD

  • Portfel multisig firmy WazirX, zarządzany przez Liminal, został wykorzystany, co spowodowało utratę 235 mln USD z 451 mln USD aktywów on-chain.

  • Portfel multisig miał 6 sygnatariuszy: 5 z WazirX i 1 z Liminal.

  • Atakujący złamali zabezpieczenia 3 kont WazirX i 1 konta Liminal Signatory, wykorzystując do tego celu phishing.

  • Bezpośrednio przejęli bezpieczeństwo dwóch sygnatariuszy WazirX i użyli fałszywego interfejsu użytkownika Liminal, aby oszukać pozostałych i nakłonić ich do podpisania złośliwych transakcji.

  • Napastnicy ulepszyli portfel multisig do złośliwego kontraktu, który stale przesyłał środki.

  • ZachXBT prześledził transakcje związane z Tornado Cash, znalazł transakcje testowe i powiązał depozyty Bitcoin z atakiem hakerskim.

  • WazirX oskarżył system Liminal, podejrzewając, że doszło do podmiany danych podczas weryfikacji transakcji.

  • Firma Liminal poinformowała, że ​​włamanie nastąpiło przy użyciu portfela utworzonego poza jej platformą.

Przeczytaj raport z sekcji zwłok, aby poznać więcej szczegółów na temat całego ataku.

Protokół Li.Fi

Strata - 9,7 mln USD

  • Zespół LiFi wdrożył kontrakt GasZipFacet pięć dni przed atakiem, aby umożliwić uzupełnianie gazu na potrzeby transakcji pomostowych.

  • Atakujący wykorzystał lukę w zabezpieczeniach umożliwiającą arbitralne wywołania za pośrednictwem depositToGasZipERC20() w kontrakcie GasZipFacet, umożliwiając nieautoryzowane transakcje.

  • Celem ataków byli użytkownicy dysponujący nieograniczonymi uprawnieniami do określonych adresów kontraktów LiFi, co umożliwiło atakującemu wykonywanie nieautoryzowanych operacji transferFrom.

  • Atakujący stworzył dowolne wywołania transakcji w celu wykonania nieautoryzowanych przelewów zamiast legalnych wymian aktywów. Spowodowało to utratę znacznych kwot USDT, USDC i DAI od użytkowników, którzy udzielili nieograniczonej zgody na kontrakt LiFi Diamond.

  • Skradzione środki zostały zamienione na około 2857 ETH za pomocą platform takich jak Uniswap i Hop Protocol, a następnie rozdzielone na wiele portfeli.

  • Tornado Cash służyło do ukrywania pochodzenia skradzionych środków, co utrudniało ustalenie ich ostatecznego miejsca przeznaczenia.

  • Wykorzystywane tokeny: Podstawowe tokeny, które udało się zdobyć atakującemu, to:

    • 6 335 889 USDT

    • 3 191 914 USDC

    • 169 533 DAI

Przeczytaj raport Post Mortem, aby dowiedzieć się więcej o tym błędnym oprogramowaniu.

Społeczność w centrum uwagi

https://x.com/quillaudits_ai/status/1812741356387016828

https://x.com/quillaudits_ai/status/1813845595788120405

https://x.com/quillaudits_ai/status/1813944615613219277

https://x.com/icphub_VN/status/1813873185127031109

https://x.com/quillaudits_ai/status/1814607085612483046

#MATIC #AI #USDT #AVAX #ETH #USDC