Construtores GM!

Nesta última edição do HashingBits, estamos mergulhando fundo nas reuniões dos desenvolvedores principais do Ethereum, cobrindo todas as principais atualizações no ecossistema Ethereum. Mas isso não é tudo — exploraremos os últimos acontecimentos nos ecossistemas Polygon, Starknet e Avalanche, juntamente com os avanços no espaço AI e Web3. Para os desenvolvedores, estamos destacando novas ferramentas projetadas para auxiliar desenvolvedores e auditores de contratos inteligentes. E, claro, vamos nos aprofundar nas manchetes sobre o hack de US$ 235 milhões da carteira WazirX Multisig e a perda de US$ 9,7 milhões do LiFi Protocol em vulnerabilidade de contrato inteligente.

EtherScope: Principais desenvolvimentos 👨‍💻

  • Todos os desenvolvedores principais - Recapitulação da chamada de execução (ACDE) nº 192

  • Breve histórico e situação atual do RIP-7212: revisão assíncrona e decisão sobre inclusão (em breve)

  • Chamada de implementadores do Verkle nº 21: proposta para reduzir o tamanho da testemunha, atualizações para EIP6800 e EIP2935 e custo de fragmentação de código

  • Uma melhor diversidade geográfica é ótima, especialmente fora da América do Norte e da Europa

  • Blocknative: visualização de dados de blocos autoconstruídos, aumenta involuntariamente a volatilidade da taxa básica

  • EIP7732 ePBS breakout #5: chamada curta, vazamentos de IP do proponente solicitando cabeçalhos do construtor e correções de testes de especificação de consenso em andamento

  • Nethermind EVMYulLean: Especificação EVM + Yul, executável, em Lean

Camada 1 e Camada 2

  • DefiLlama: rastreador narrativo apresenta retrospectivas mais longas

  • O preconfs baseado agora está ativo no testnet Helder

  • A Cadeia de Gnose Obturada está ativa

  • A Mainnet do Chromia MVP está ativa

  • Anunciando o Nexus 2.0 zkVM

  • Atualização DVT simples: SSV vai para a Mainnet

  • TPRO Chain, uma nova cadeia virtual é lançada na Aurora

  • O testnet do Viction DA está ativo

  • Apechain Testnet Curtic lança

  • Anunciar o lançamento do Ceramic-One

  • Migração de token nativo covalente bem-sucedida

  • Blockscan Multichain Explorer (Beta) está aqui

  • Tangem lança novo anel de carteira fria

  • Apresentando Gwyneth — um rollup baseado em sincronia componível com Ethereum

  • Introdução à cadeia polinomial

  • Apresentando Henez - camada de liquidez OmniDeFi

  • Proposta de Governança da Casa de Estaca NEAR

  • O teste de forma está ativo

  • LYNC está construindo um Movimento L2

  • Esquema de compensação LI.FI

  • As reivindicações da 2ª temporada do ETH.FI estão ativas

  • Resumo regulatório de ativos do Curve PegKeeper

  • Uma nota sobre como encontrar com segurança o ciclo médio mínimo

  • Devolução do Voucher da Delegação

  • A Tese de Fat Bera

  • Operação Chainalysis Spincaster

  • Finalização atrasada do Scroll para investigar possível incidente no ecossistema, confirmado que o Rho Markets era específico do aplicativo

  • Emblemas L2BEAT: exibição visual dos recursos L2

  • Anunciando a Fundação Avail

ERCs

  • ERC7743: Tokens não fungíveis de múltiplos proprietários (MO-NFT)

  • ERC7744: Índice de código (bytecode de contrato de índice)

  • ERC7746: Ganchos de middleware de segurança componíveis

EIPs

  • EIP7745: Estrutura de dados de filtro de log bidimensional

  • EIP.tools adiciona RIPs (propostas de melhoria de rollup)

EcoExpansions: Além do Ethereum 🚀

Polígono

  • A Cimeira da Agregação está aqui

  • Mergulho profundo no Polygon Plonky3

  • Como seriam as transações do Polygon PoS se as reduzíssemos a transações de ação de aplicativo?

  • Resumo semanal de jogos no polígono

  • Polygon define 4 de setembro como data para migração para POL

Rede Estelar

  • Dê uma olhada no roteiro da Starknet

  • Todos os motivos pelos quais você deve construir no Starknet

  • A API Starknet Wallet<>Dapp está recebendo uma grande atualização com o Starknet-js V6!

  • O programa de recompensas Layerswap x Starkent $STRK está aqui

Decisão

  • O ACP-77 Reawakening do Avalanche? Tudo o que você precisa saber sobre o ACP-77

  • Explicação da transferência de tokens intercadeia Avalanche

  • Comece com o Avalanche ICTT Starter Kit

DevToolkit: Fundamentos e Inovações 🛠️

  • rindexer - ferramenta de indexação EVM rápida e de código aberto em Rust

  • spice - cliente python para extrair dados da API Dune Analytics

  • Lodestar v1.20.2: patch para publicação de blocos cegos usando o nó beacon Lodestar e o cliente validador Lighthouse/Nimbus com MEV-Boost

  • Reth v1.0.3: correção para base mainnet e fluxo de Backfill assíncrono

  • Rindexer, ferramenta de indexação EVM em Rust, beta

  • Echidna v2.2.4: melhora a velocidade de fuzzing e a experiência do usuário, adiciona suporte para opcodes transitórios

  • Audit Wizard adiciona Cyfrin Aderyn (analisador estático Solidity)

  • Damn Vulnerable DeFi v4: migrado para Foundry, novos desafios: fantoche curvilíneo, fragmentos, retirada e recompensador

Hackathons, Workshops e Eventos

  • Maelstrom de Arthur Hayes anuncia programa de subsídios de Bitcoin de até US$ 250 mil por desenvolvedor

  • Vencedores da recompensa de rolagem ETHGlobal Hackathon

  • Vencedores do ETHGlobal Hackathon Uniswap Bounty

  • Vencedores da recompensa Hyperlane ETHGlobal Bruxelas

  • Superhack no hackathon Superchain

Explore as profundezas do conhecimento: artigos de pesquisa, blogs e tweets🔖

Twitter

  • O Nexus 2.0 zkVM está aqui

  • Programa de Nic sobre Stablecoin

  • Os riscos e recompensas de (re)apostar

  • Quantos usuários do Web3 são reais

  • Não crie um jogo onchain

  • ELI5 - L3s

  • A IoTeX lançou seu whitepaper 2.0

  • Escala horizontal com ZKThreads

  • Tópico do whitepaper Sink L2

  • Os Rollups estão supervalorizados ou subvalorizados? Uma análise da estrutura de receita e custo do Rollup

  • Uma atualização importante do FRI-Binius produz melhor processamento em lote, recursão mais rápida e provas menores

  • A Economia das L3s

  • ERC-7739: Assinaturas Digitadas Legíveis para Contas Inteligentes

  • Crise de escalabilidade do Ethereum: a camada de execução

  • Um mergulho profundo no protocolo DeAI

  • Mergulho profundo nos contratos inteligentes do Move

  • Explicação simples de EigenDa

Artigos

  • Explicador do pipeline de compilação Solidity via IR: traduz Solidity para Yul (representação intermediária) para otimização em vez de direto para bytecode, planeja tornar padrão com EOF

  • Solidity hidden overflow: tipos de expressões matemáticas convertidos para o tipo mais alto usado por variáveis

  • Solady (snippets de Solidity): adiciona proxies mínimos ERC1967 com argumentos imutáveis, verificados automaticamente no Etherscan

  • Z0r0z sstore3, armazenamento de contrato de leitura/gravação usando saldo e endereço, licença: AGPL v3

  • Exemplos de extensão de execução Reth (ExEx)

  • OpenAI Scale classifica o progresso em direção à resolução de problemas de ‘nível humano’

Artigos de Pesquisa

  • Anders Elowsson: leilão de execução selado, leilão de direitos de proposta de execução de slot Vickrey, atestadores supervisionam esquema de confirmação/revelação facilitado por construtores e proponente de beacon

  • Multi-round MEV-Boost: mitigar os aspectos negativos dos pré-confs baseados e reter os benefícios dos rollups baseados

  • Aprendizagem federada heterogênea privada sem um servidor confiável revisitado: algoritmos otimizados para erros e com comunicação eficiente para perdas convexas

  • FBChain: Um modelo de aprendizagem federada baseado em blockchain com eficiência e comunicação segura

  • Ataques de manipulação de opinião de caixa preta para geração aumentada de modelos de linguagem grandes



    Assistir 🎥

Vigilância de Segurança Web3 🛡️

Artigos

  • O mesmo erro duas vezes? Decodificando o exploit de US$ 9,7 milhões do protocolo LiFi: Relatório post mortem

  • Outro ataque do Lazarus Group? Decodificando o exploit de US$ 235 milhões da carteira Wazirx Multisig: Relatório Post Mortem

  • Exploração de US$ 1,4 milhões do Minterest no Mantle L2 via reentrada

  • Security Alliance (SEAL): resposta a incidentes de comprometimento de domínio do Squarespace

  • O roubo de criptomoedas de US$ 230 milhões na Wazirx é um alerta para reguladores e governo indianos

  • WazirX registra queixa policial após hack de US$ 230 milhões e se envolve com a unidade de crimes cibernéticos da Índia

Artigos de Pesquisa

  • Identificando problemas de segurança de contratos inteligentes em trechos de código do Stack Overflow

  • Detect Llama — Encontrando vulnerabilidades em contratos inteligentes usando grandes modelos de linguagem

  • Melhorando a precisão da detecção de Ponzi baseada em transações no Ethereum

  • A viabilidade de um "interruptor de segurança" de contrato inteligente

Twitter

  • Uma análise abrangente sobre como ocorreu a exploração do Wazirx

  • WazirX: PSA sobre hack

  • Análise da cadeia de hack de mais de US$ 230 milhões do WazirX, provavelmente vinculado ao Lazarus - ZachXBT

  • Banho de sangue na bolsa WazirX devido ao fato de não haver liquidez do Buy Side atualmente

  • Análise de Mudit Gupta sobre o Wazirx Exploit

  • Análise Zachxbt e rastreamento de fundos após Wazirx Exploit

Truques e golpes 🚨

Wazir X

Perda ~ $ 235 milhões

  • A carteira multisig da WazirX, gerenciada com Liminal, foi explorada, perdendo US$ 235 milhões de US$ 451 milhões em ativos na cadeia.

  • A carteira multisig tinha 6 signatários: 5 da WazirX e 1 da Liminal.

  • Os invasores comprometeram 3 signatários do WazirX e 1 do Liminal usando phishing.

  • Eles comprometeram diretamente dois signatários do WazirX e usaram uma interface de usuário Liminal falsa para enganar os outros e fazê-los assinar transações maliciosas.

  • Os invasores atualizaram a carteira multisig para um contrato malicioso, transferindo fundos continuamente.

  • O ZachXBT rastreou transações até o Tornado Cash, encontrou transações de teste e vinculou depósitos de Bitcoin ao hack.

  • O WazirX culpou o sistema do Liminal, suspeitando de substituição de carga útil durante a verificação da transação.

  • A Liminal afirmou que a violação envolveu uma carteira criada fora de sua plataforma.

Leia o relatório post mortem para saber mais detalhes sobre toda a exploração.

Protocolo Li.Fi

Perda - $ 9,7 milhões

  • A equipe LiFi implantou o contrato GasZipFacet cinco dias antes do ataque para permitir o reabastecimento de gás para transações de ponte.

  • O invasor explorou uma vulnerabilidade de chamada arbitrária via depositToGasZipERC20() no contrato GasZipFacet, permitindo transações não autorizadas.

  • Usuários com aprovações infinitas para endereços de contrato LiFi específicos foram alvos, permitindo que o invasor realizasse operações transferFrom não autorizadas.

  • O invasor criou chamadas de transação arbitrárias para executar transferências não autorizadas em vez de trocas legítimas de ativos. Isso drenou quantias significativas de USDT, USDC e DAI dos usuários que deram aprovação infinita ao contrato LiFi Diamond.

  • Os fundos roubados foram convertidos em aproximadamente 2.857 ETH usando plataformas como Uniswap e Hop Protocol e depois distribuídos em várias carteiras.

  • O Tornado Cash foi usado para ocultar as origens dos fundos roubados, dificultando o rastreamento de seu destino final.

  • Tokens explorados: os principais tokens que o invasor conseguiu roubar incluem:

    • 6.335.889 dólares

    • 3.191.914 dólares americanos

    • 169.533 DAI

Leia o relatório Post Mortem para saber mais sobre a exploração.

Destaque da comunidade

https://x.com/quillaudits_ai/status/1812741356387016828

https://x.com/quillaudits_ai/status/1813845595788120405

https://x.com/quillaudits_ai/status/1813944615613219277

https://x.com/icphub_VN/status/1813873185127031109

https://x.com/quillaudits_ai/status/1814607085612483046

#MATIC #AI #USDT #AVAX #ETH #USDC