GM! Costruttori
In questo ultimo numero di HashingBits, ci immergiamo nei meeting dei Core Developers di Ethereum, coprendo tutti i principali aggiornamenti nell'ecosistema Ethereum. Ma non è tutto: esploreremo gli ultimi avvenimenti negli ecosistemi Polygon, Starknet e Avalanche, insieme ai progressi nello spazio AI e Web3. Per gli sviluppatori, stiamo evidenziando nuovi strumenti progettati per assistere gli sviluppatori e gli auditor di smart contract. E, naturalmente, approfondiremo i titoli sull'hack del portafoglio WazirX Multisig da 235 milioni di dollari e sulla perdita di 9,7 milioni di dollari del protocollo LiFi nella vulnerabilità degli smart contract.
EtherScope: sviluppi principali 👨💻
Riepilogo della chiamata n. 192 di All Core Devs - Esecuzione (ACDE)
Breve storia e situazione attuale di RIP-7212: revisione async e decisione sull'inclusione (presto)
Gli implementatori di Verkle chiamano n. 21: proposta per ridurre le dimensioni del testimone, aggiornamenti a EIP6800 e EIP2935 e costo del chunking del codice
Una migliore diversità geografica è ottimale, in particolare al di fuori del Nord America e dell'Europa
Blocknative: visualizzazione dei dati dei blocchi autocostruiti, aumento involontario della volatilità della commissione di base
Breakout ePBS EIP7732 n. 5: chiamata breve, perdite IP del proponente che richiedono intestazioni dal costruttore e correzioni dei test delle specifiche di consenso in corso
Nethermind EVMYulLean: specifica EVM + Yul, eseguibile, in Lean
Livello 1 e Livello 2
DefiLlama: il tracker narrativo presenta retrospettive più lunghe
Basato preconfs è ora attivo su testnet Helder
Shutterized Gnosis Chain è in diretta
La rete principale di Chromia MVP è attiva
Annuncio del Nexus 2.0 zkVM
Aggiornamento semplice DVT: SSV passa alla rete principale
TPRO Chain, una nuova catena virtuale lanciata su Aurora
La testnet Viction DA è attiva
Lancio del testnet Apechain Curtic
Annuncia l'uscita di Ceramic-One
Migrazione del token nativo covalente riuscita
Blockscan Multichain Explorer (Beta) è qui
Tangem lancia il nuovo anello cold wallet
Presentazione di Gwyneth, un rollup basato sincronicamente componibile con Ethereum
Introduzione alla catena polinomiale
Introduzione di Henez - OmniDeFi Liquidity layer
Proposta di governance della Camera di palo NEAR
La testnet Shape è attiva
LYNC sta costruendo un Movimento L2
Schema di compensazione LI.FI
Le affermazioni della seconda stagione di ETH.FI sono attive
Breve informativa sulle attività di Curve PegKeeper
Una nota per trovare in modo sicuro il ciclo medio minimo
Restituzione del Voucher di Delegazione
La tesi di Fat Bera
Operazione Chainalysis Spincaster
Scorrimento ritardato finalizzazione per indagare potenziale incidente ecosistema, confermato Rho Markets era specifico applicazione
Badge L2BEAT: visualizzazione delle funzionalità L2
Annuncio della Fondazione Avail
ERC
ERC7743: Token non fungibili multi-proprietario (MO-NFT)
ERC7744: Indice del codice (bytecode del contratto indice)
ERC7746: Hook di middleware di sicurezza componibili
BEI
EIP7745: Struttura dati del filtro di registro bidimensionale
EIP.tools aggiunge RIP (proposte di miglioramento del rollup)
EcoExpansions: oltre Ethereum 🚀
Poligono
Il Summit dell'aggregazione è qui
Approfondimento su Polygon Plonky3
Come appaiono le transazioni Polygon PoS se le scomponiamo in transazioni app-action?
Rassegna settimanale di giochi su Polygon
Polygon fissa la data del 4 settembre per la migrazione a POL
Rete stellare
Dai un'occhiata alla Roadmap di Starknet
Tutti i motivi per cui dovresti costruire su Starknet
L'API Starknet Wallet<>Dapp riceverà un importante aggiornamento con Starknet-js V6!
Il programma premi Layerswap x Starkent $STRK è qui
Decisione
Il risveglio dell'ACP-77 di Avalanche? Tutto quello che devi sapere sull'ACP-77
Spiegazione del trasferimento di token Avalanche Interchain
Inizia con il kit di avvio Avalanche ICTT
DevToolkit: elementi essenziali e innovazioni 🛠️
rindexer - strumento di indicizzazione EVM open source e veloce in Rust
spice - client python per l'estrazione di dati dall'API Dune Analytics
Lodestar v1.20.2: patch per la pubblicazione di blocchi ciechi utilizzando il nodo beacon Lodestar e il client di validazione Lighthouse/Nimbus con MEV-Boost
Reth v1.0.3: correzione per la rete principale di base e il flusso di backfill asincrono
Rindexer, strumento di indicizzazione EVM in Rust, beta
Echidna v2.2.4: migliora la velocità di fuzzing e l'esperienza utente, aggiunge il supporto per gli opcode transitori
L'Audit Wizard aggiunge Cyfrin Aderyn (analizzatore statico di Solidità)
Damn Vulnerable DeFi v4: migrato a Foundry, nuove sfide: burattino curvo, frammenti, prelievo e ricompensatore
Hackathon, workshop ed eventi
Maelstrom di Arthur Hayes annuncia un programma di sovvenzioni Bitcoin fino a $ 250K per sviluppatore
Vincitori del premio Scroll ETHGlobal Hackathon
Vincitori del premio Uniswap Bounty dell'ETHGlobal Hackathon
Vincitori del premio Hyperlane ETHGlobal Brussels
Superhack all'hackathon Superchain
Esplora le profondità della conoscenza: articoli di ricerca, blog e tweet🔖
Cinguettio
Nexus 2.0 zkVM è qui
Programma Stablecoin di Nic
I rischi e i benefici del (ri)stake
Quanti utenti Web3 sono reali?
Non creare un gioco Onchain
ELI5-L3s
IoTeX ha rilasciato il suo whitepaper 2.0
Ridimensionamento orizzontale con ZKThreads
Il thread del whitepaper Sink L2
I rollup sono sopravvalutati o sottovalutati? Un'analisi della struttura dei ricavi e dei costi dei rollup
Un importante aggiornamento di FRI-Binius offre un batching migliore, una ricorsione più rapida e prove più piccole
L'economia degli L3
ERC-7739: Firme digitate leggibili per account intelligenti
La crisi di scalabilità di Ethereum: il livello di esecuzione
Un'analisi approfondita del protocollo DeAI
Approfondimento sui contratti intelligenti Move
Semplice spiegazione di EigenDa
Articoli
Spiegazione della pipeline di compilazione Solidity via-IR: traduce Solidity in Yul (rappresentazione intermedia) per l'ottimizzazione anziché direttamente in bytecode, prevede di rendere predefinito con EOF
Overflow nascosto di Solidity: tipi di espressioni matematiche convertiti al tipo più alto utilizzato dalle variabili
Solady (frammenti di Solidity): aggiunge proxy minimi ERC1967 con argomenti immutabili, verificati automaticamente su Etherscan
Z0r0z sstore3, archiviazione del contratto di lettura/scrittura utilizzando saldo e indirizzo, licenza: AGPL v3
Esempi di estensione di esecuzione Reth (ExEx)
OpenAI Scale classifica i progressi verso la risoluzione dei problemi a “livello umano”
Articoli di ricerca
Anders Elowsson: asta di esecuzione sigillata, asta di Vickrey slot dei diritti di proposta di esecuzione, gli attestatori supervisionano lo schema di impegno/rivelazione facilitato dai costruttori e dal proponente del faro
MEV-Boost multi-round: attenua gli aspetti negativi delle preconferenze basate e conserva i vantaggi dei rollup basati
Apprendimento federato eterogeneo privato senza un server attendibile rivisitato: algoritmi ottimali per gli errori e per la comunicazione efficiente per le perdite convesse
FBChain: un modello di apprendimento federato basato su blockchain con efficienza e comunicazione sicura
Attacchi di manipolazione delle opinioni Black-Box per la generazione di modelli linguistici di grandi dimensioni con recupero aumentato
Guarda 🎥
Controllo di sicurezza Web3 🛡️
Articoli
Stesso errore due volte? Decodifica dell'exploit da 9,7 milioni di dollari del protocollo LiFi: rapporto post mortem
Un altro attacco del gruppo Lazarus? Decodifica dell'exploit da 235 milioni di dollari del portafoglio multisig Wazirx: rapporto post mortem
Sfruttamento da 1,4 milioni di $ di Minterest su Mantle L2 tramite rientro
Security Alliance (SEAL): risposta all'incidente alla compromissione del dominio Squarespace
Il furto di criptovalute da 230 milioni di dollari su Wazirx è un campanello d'allarme per i regolatori e il governo indiani
WazirX presenta denuncia alla polizia dopo un attacco hacker da 230 milioni di dollari e collabora con l'unità per i crimini informatici dell'India
Articoli di ricerca
Identificazione dei problemi di sicurezza degli smart contract nei frammenti di codice di Stack Overflow
Rileva Llama: trovare vulnerabilità nei contratti intelligenti utilizzando modelli linguistici di grandi dimensioni
Migliorare l'accuratezza del rilevamento Ponzi basato sulle transazioni su Ethereum
La fattibilità di un "Kill Switch" per contratti intelligenti
Cinguettio
Un'analisi completa su come è avvenuto l'exploit di Wazirx
WazirX: PSA sull'hacking
Analisi della catena dell'hacking di WazirX da oltre 230 milioni di dollari, probabilmente collegato a Lazarus - ZachXBT
Bagno di sangue nello scambio WazirX a causa del fatto che attualmente non c'è liquidità Buy Side
L'analisi di Mudit Gupta su Wazirx Exploit
Analisi Zachxbt e tracciamento dei fondi dopo l'Exploit di Wazirx
Truffe e trucchi 🚨
Italiano:
Perdita ~ $235M
Il portafoglio multisig di WazirX, gestito con Liminal, è stato sfruttato, perdendo 235 milioni di dollari su 451 milioni di asset on-chain.
Il portafoglio multisig aveva 6 firmatari: 5 di WazirX e 1 di Liminal.
Gli aggressori hanno compromesso 3 WazirX e 1 firmatario Liminal tramite phishing.
Hanno compromesso direttamente 2 firmatari di WazirX e hanno utilizzato una falsa interfaccia utente Liminal per indurre gli altri a firmare transazioni dannose.
Gli aggressori hanno aggiornato il portafoglio multisig trasformandolo in un contratto dannoso, trasferendo continuamente fondi.
ZachXBT ha rintracciato le transazioni effettuate tramite Tornado Cash, ha trovato transazioni di prova e ha collegato i depositi Bitcoin all'attacco informatico.
WazirX ha attribuito la colpa al sistema di Liminal, sospettando la sostituzione del payload durante la verifica della transazione.
Liminal ha affermato che la violazione ha coinvolto un portafoglio creato al di fuori della propria piattaforma.
Leggi il rapporto post mortem per conoscere maggiori dettagli sull'intera operazione.
Protocollo Li.Fi
Perdita: $ 9,7 milioni
Il team LiFi ha implementato il contratto GasZipFacet cinque giorni prima dell'attacco per consentire il rifornimento di gas per le transazioni ponte.
L'aggressore ha sfruttato una vulnerabilità di chiamata arbitraria tramite depositToGasZipERC20() nel contratto GasZipFacet, consentendo transazioni non autorizzate.
Sono stati presi di mira gli utenti con approvazioni infinite per specifici indirizzi di contratto LiFi, consentendo all'aggressore di eseguire operazioni transferFrom non autorizzate.
L'attaccante ha creato chiamate di transazione arbitrarie per eseguire trasferimenti non autorizzati anziché legittimi scambi di asset. Ciò ha prosciugato notevoli quantità di USDT, USDC e DAI dagli utenti che avevano dato un'approvazione infinita al contratto LiFi Diamond.
I fondi rubati sono stati convertiti in circa 2.857 ETH utilizzando piattaforme come Uniswap e Hop Protocol, per poi essere distribuiti su più portafogli.
Il Tornado Cash è stato utilizzato per nascondere l'origine dei fondi rubati, rendendo difficile risalire alla loro destinazione finale.
Token sfruttati: i token principali con cui l'aggressore è riuscito a farla franca includono:
6.335.889 USDT
3.191.914 USD/CC
169,533 DAI
Leggi il rapporto Post Mortem per saperne di più sull'exploit.
Riflettori sulla comunità
https://x.com/quillaudits_ai/status/1812741356387016828
https://x.com/quillaudits_ai/status/1813845595788120405
https://x.com/quillaudits_ai/status/1813944615613219277
https://x.com/icphub_VN/status/1813873185127031109
https://x.com/quillaudits_ai/status/1814607085612483046