dyrektor generalny! Budowniczowie

W najnowszym wydaniu HashingBits zagłębiamy się w spotkania głównych programistów Ethereum, omawiając wszystkie najważniejsze aktualizacje w ekosystemie Ethereum. Ale to nie wszystko — przyjrzymy się najnowszym wydarzeniom w ekosystemach Polygon, Arbitrum i Optimism, a także ostatnim wydarzeniom w ETHCC i postępom w przestrzeni AI i Web3. W przypadku programistów zwracamy uwagę na nowe narzędzia zaprojektowane z myślą o programistach i audytorach inteligentnych kontraktów. I oczywiście zagłębimy się w doniesienia prasowe dotyczące włamania do portfela Bittensor o wartości 8 milionów dolarów i straty Dough Finance w wysokości 1,94 miliona dolarów w wyniku ataków na pożyczki błyskawiczne.

EtherScope: Główne zmiany 👨‍💻

  • Podsumowanie wszystkich głównych deweloperów — konsensus (ACDC) nr 137​

  • Dlaczego Marius Van Der Wijden gra przeciwko EOF w Pectrze?​

  • Przyjrzyjmy się trzeciemu wyzwaniu PeerDAS

  • Głębokie zanurzenie w modelu oporu wobec cenzury​

  • Constantine v0.1: implementacje podpisów BLS, prekompilacje BN254 i BLS12–381

  • Lido wdrożyło prosty moduł DVT oparty na SSV

  • Vitalik Buterin naciska na Ethereum, aby reagowało na ataki 51% w sposób bardziej zautomatyzowany

  • Głębokie zanurzenie w atestach — analiza ilościowa​

Warstwa 1 i warstwa 2

  • Péter Szilágyi: Biblioteka SSZ zaimplementowana w Go

  • ​RollCall (standardy L2) #6: Dyskusja i prezentacje na temat szczytowej opłaty bazowej blobów L1 na temat prekompilacji RIP7728 L1SLOAD i preinstalacji RIP7740 w deterministycznych fabrykach wdrożeniowych

  • Titan Builder eth_sendBlobs: wysyłaj permutacje transakcji blobów od jednego nadawcy

  • Protokół jądra jest aktywny

  • Vesu na żywo w Starknet​

  • Fundacja Worldcoin uruchamia podgląd dla deweloperów World Chain​

  • Przedstawiamy Puffer UniFi — zwijany produkt oparty na Pufferze​

  • Penumbra jest na żywo

  • Skale wprowadza aktualizację Pacifica V3​

  • LayerZero i Initia opracowują standard interoperacyjności dla Cosmos​

  • Przedstawiamy Termina: stan końcowy skalowania SVM​

  • Zmniejszanie inflacji Evmos​

  • Ogłaszanie zwykłego publicznego uruchomienia sieci głównej

  • Sieć OEV jest na żywo

  • Omni Network uruchamia Streams​

  • Starknet otworzy staking do końca tego roku​

  • Przedstawiamy sieć automatyzacji handlu Halliday​

  • Exodus wprowadza portfel Passkeys

  • Justin Sun: stablecoin bez gazu pojawi się w czwartym kwartale na Tron, a następnie Ethereum i wszystkie łańcuchy EVM

  • TAC współpracuje z Polygon, aby zapewnić zgodność EVM z ekosystemem TON

  • Notcoin, 1inch i Sign uruchamiają akcelerator dla ekosystemów Telegram i TON

  • Przedstawiamy program punktów paliwowych​

  • Teraz możesz śledzić narracje na DefiLlama​

  • ​dDocs: Onchain Google Docs jest już tutaj

  • Przedstawiamy Story Network, światowy blockchain IP​​

ERC

  • ERC7737: Niestandardowy model dostępu do danych

  • ERC7738: Rejestr skryptów bez uprawnień

  • ERC7739: Czytelne podpisy maszynowe dla kont inteligentnych

  • ERC7741: Autoryzuj operatora (za pomocą podpisów secp256k1 EIP712)

EBI

  • EIP7742: Odłącz liczbę blobów między CL i EL

  • EIP.tools dodaje EIP-GPT, podsumowanie EIP/ERC generowane przez AI

RIP-y

• RIP7740: Wstępna instalacja deterministycznych fabryk wdrożeniowych

EcoExpansions: poza Ethereum 🚀

Wielokąt

  • ​Polygon Miden Alpha Testnet v3 jest już dostępny

  • Tygodniowe podsumowanie gier na Polygon

  • Sprawdź cotygodniowe aktualizacje na Polygon

  • TON buduje L2 zasilany zk przy użyciu Polygon CDK, który połączy się z AggLayer

  • Liczba aktywnych adresów w @0xPolygon PoS wzrosła o 227% od początku roku

Optymizm

  • Aktualizacja OP Stack Fjord jest już dostępna – tańsza weryfikacja hasła inteligentnego portfela za pomocą prekompilacji RIP7212 secp256r1 i o 5–15% niższe koszty dostępności danych dzięki kompresji kanału Brotli.

  • SuperFest, festiwal Superchain DeFi, oficjalnie rozpoczęty.

  • Proste wyjaśnienie superłańcucha​

  • RIP-7212 jest już dostępny w Superchain.

  • Sieć testowa Celo L2 Dango jest teraz na stosie OP

Decyzja

  • Aplikacja No-Code Deployer dla Rollupów jest dostępna we współpracy z Arbitrum

  • Karak wprowadza funkcjonalność ponownego obstawiania dla Arbitrum​

  • Arbitrum zintegrowało portfel OKX ze swoim mostem​

  • Trzy ważne propozycje ArbitrumDAO

DevToolkit: Podstawy i innowacje 🛠️

  • Lodestar v1.20.0: pakiet lodestar/api zmienia eksportowane typy, flaga umożliwiająca korzystanie z interfejsów API SSZ z klientem walidatora oraz zaktualizowano rekordy ENR węzła rozruchowego sieci testowej.

  • Besu v24.7.0: dodaje obsługę eth_maxPriorityFeePerGas i usprawnia synchronizację, peering i wydajność uruchamiania

  • Erigon v2.60.3: dodaje opcjonalną flagę dołączania prekompilacji do śledzenia

  • Geth v1.14.7: poprawka błędu jednoczesnego odczytu/zapisu mapy w wersji 1.14.6

  • Reth v1.0.1: pełna poprawa wydajności węzła, uzupełnienie ExEx i poprawki RPC

  • Stereum v2.2: obsługa wielu konfiguracji i sprawdzanie połączenia w celu przetestowania stabilności sieci i łączności

  • gevm — implementacja EVM od podstaw napisana w języku go​

Hackathony, warsztaty i wydarzenia

  • Aktualności dotyczące Devcon 2024: Zgłoszenia prelegentów i wolontariuszy są otwarte

  • Już jest letnie stypendium Solana

  • Rozpoczyna się Olimpiada Talentów Superteam: Tor Frontend & Rust

Odkryj głębiny wiedzy: prace badawcze, blogi i tweety🔖

Świergot

  • Mysticeti: ​​Osiąganie granic opóźnień przy użyciu niecertyfikowanych DAG-ów​

  • RFC 9591: Protokół FROST (Flexible Round-Optimized Schnorr Threshold) dla dwurundowych sygnatur Schnorra​

  • Biała księga protokołu Alice’s Ring w wersji 1.0 jest już dostępna

  • Slot-to-Ping i inna miara opisowa dla Blockchainów

  • ​Atesty Deep Diving — analiza ilościowa

  • Maksymalne możliwe bezpieczeństwo (MVS): nowe ramy dla emisji Ethereum

  • Raport Crypto & Blockchain Venture Capital — II kw. 2024 r.​

  • Przedstawiamy zwroty kosztów benzyny od Flashbots​

  • EVIntent — Darkmatter w MEV​

  • ​Mev odporna dynamiczna aukcja cenowa praw do propozycji wykonania

  • Przyjrzyj się Flashbots Protect Explorer​

  • Model bezpieczeństwa BTC jest zepsuty?

  • Rozprawiamy się z kilkoma mitami na temat łańcucha Bera

Artykuły

  • Anders Elowsson: dynamiczna aukcja cenowa praw do propozycji wykonania, powoduje mniej nowych MEV i generuje wysokie łączne zużycie MEV

  • Zapoznaj się z przewodnikiem OpenZeppelin Contracts Initializable​

  • Nethermind Clear: formalny framework weryfikacji kodu Yul

  • ​Byteracing: rozwiązywacz labiryntów w Solidity, spróbuj uczynić go bardziej wydajnym pod względem zużycia gazu

  • Interoperacyjność zasobów L2 poprzez dwukierunkowe mosty kanoniczne​

  • Wszystkie problemy w IP

  • Solana jest powodem, dla którego na Ethereum rozpoczął się chaos związany z rolowaniem L2

  • ​Większa przewidywalność działań Arbitrum DAO

  • Czy AGI sprawi, że blockchainy staną się przestarzałe?

  • O orkiestracji równoległych transmisji dla systemów rozproszonych

  • Pointenomics 101: Opanowanie nowego języka zachęt kryptowalutowych

  • ​Wielu równoczesnych liderów​

  • Wpis na blogu o tym, jak powstał Family Wallet

Prace badawcze

  • eyeballvul: przyszłościowy punkt odniesienia do wykrywania luk w zabezpieczeniach w środowisku naturalnym

  • SpiralShard: wysoce współbieżne i bezpieczne fragmentowanie łańcucha bloków za pośrednictwem powiązanego zatwierdzenia między fragmentami

  • ​BriDe Arbitrager: Ulepszanie arbitrażu w Ethereum 2.0 poprzez opóźnioną produkcję bloków z obsługą przekupstwa

  • Taktyki, techniki i procedury (TTP) w interpretowanym złośliwym oprogramowaniu: generacja zero-shot z dużymi modelami językowymi​

  • Zwiększanie prywatności federacyjnego uczenia czasoprzestrzennego przed atakami Gradient Inversion

GitHub

  • ​Web-solc: adapter do pobierania/uruchamiania określonej wersji kompilatora Solidity w przeglądarce

  • ERC3770 (Rust): metoda pomocnicza dla adresów specyficznych dla łańcucha ERC3770

  • Firefly Pixie firmy RicMoo: portfel sprzętowy typu open source

Obejrzyj🎥

Web3 Security Watch 🛡️

Artykuły

  • Dough Finance wykorzystał 2 mln USD za pośrednictwem niezweryfikowanych danych połączeń

  • Pięty achillesowe kryptowalut?

  • Raport półroczny Scam Sniffera na temat phishingu

  • Przedstawiamy Safe Harbor: Twoją ostatnią linię obrony przed aktywnymi atakami​

  • CryptoISAC powstało jako społeczność CeFi, DeFi, audytorów, infrastruktury i innych projektów związanych z kryptowalutami.

  • Twilio twierdzi, że hakerzy zidentyfikowali numery telefonów komórkowych użytkowników aplikacji dwuskładnikowej Authy

  • Nowa luka w zabezpieczeniach OpenSSH może prowadzić do RCE z uprawnieniami roota w systemach Linux.

  • Po 10 latach oczekiwania, Bitcoiny Mt. Gox w końcu wracają.

  • ​Karma dotrzymała słowa: Pink Drainer padł ofiarą oszustwa polegającego na podszywaniu się pod adres.

  • ​Inferno Drainer jest znów aktywny dzięki SlowMist. Grupa Drainer podobno przestała działać w listopadzie zeszłego roku.

  • Oszuści podszywający się pod Coinbase kradną użytkownikowi 1,7 mln dolarów w ramach serii ataków.

Prace badawcze

  • Nadmierne wykorzystywanie usług weryfikacji inteligentnych kontraktów Ethereum dla zabawy i zysku

  • Wykrywanie cyberataków w czasie rzeczywistym z wykorzystaniem technologii uczenia się w sieciach blockchain.

  • Ocena wydajności algorytmów haszujących na sprzęcie powszechnego użytku

  • Wykrywanie luk w zabezpieczeniach inteligentnych kontraktów: kompleksowe badanie

Świergot

  • Tayvano: przykład ataku Lazarus, kontakt za pośrednictwem mediów społecznościowych, a następnie kompromitacja za pośrednictwem repozytorium GitHub

  • ​Wiele projektów kryptowalutowych padło ofiarą przejęcia domen w wyniku ataku DNS na dostawcę usług hostingowych Squarespace.

  • Fałszywe konta X doprowadziły do ​​ataków phishingowych o wartości rekordowej 341 milionów dolarów.

  • Czy Twoje fundusze są SAFU?

Hacki i oszustwa 🚨

Poproś o sor

Strata ~ 8 mln dolarów

  • 2 lipca, 19:06 UTC: Atakujący zaczyna przelewać środki z zainfekowanych portfeli do własnego portfela.

  • 2 lipca, 19:25 UTC: Fundacja Opentensor wykrywa nienormalny wzrost wolumenu transferu i organizuje działania naprawcze.

  • 2 lipca, 19:41 UTC: Walidatory w łańcuchu Opentensor zostają umieszczone za zaporą sieciową, a Subtensor zostaje przełączony w tryb bezpieczny, aby zatrzymać wszystkie transakcje.

  • 3 lipca: Zespół identyfikuje źródło ataku jako złośliwy pakiet w Menedżerze pakietów PyPi w wersji 6.12.2, który narusza bezpieczeństwo użytkownika.

  • Złośliwy pakiet podszywał się pod legalny pakiet Bittensor i przechwytywał niezaszyfrowane szczegóły zimnego klucza, gdy użytkownicy odszyfrowywali swoje klucze.

  • Narażeni na ten problem byli użytkownicy, którzy pobrali pakiet Bittensor PyPi między 22 maja, godz. 19:14 UTC, a 29 maja, godz. 18:47 UTC i wykonali operacje wymagające odszyfrowania klucza.

  • Zagrożony pakiet (6.12.2) został usunięty z repozytorium PyPi.

  • Kod Subtensor i Bittensor w serwisie GitHub został dokładnie sprawdzony; nie znaleziono żadnych dodatkowych luk w zabezpieczeniach.

  • OTF skontaktowało się z kilkoma giełdami kryptowalut, aby wyśledzić atakującego i podjąć próbę odzyskania skradzionych środków.

  • Społeczność Bittensor aktywnie wspierała dochodzenie i działania mające na celu złagodzenie skutków.

  • Po przeglądzie kodu normalne działanie blockchaina Bittensor zostanie stopniowo wznowione, a społeczność będzie regularnie informowana o aktualizacjach.

  • Użytkownikom zaleca się utworzenie nowych portfeli i przeniesienie środków po wznowieniu działania łańcucha bloków oraz aktualizację do najnowszej wersji Bittensor.

  • Przyszłe udoskonalenia obejmują bardziej rygorystyczne procesy dostępu i weryfikacji pakietów, zwiększoną częstotliwość audytów bezpieczeństwa, wdrożenie najlepszych praktyk w zakresie zasad bezpieczeństwa publicznego oraz ulepszony monitoring przesyłania i pobierania pakietów.

Finanse na ciasto

Strata — 1,94 mln USD

  • Rano 12 lipca 2024 r. Dough Finance padł ofiarą ataku błyskawicznego, w wyniku którego straciło około 1,94 mln dolarów środków użytkowników.

  • Cyvers wykrył wiele podejrzanych transakcji z udziałem Dough Finance.

  • Haker ukradł 1,8 miliona dolarów w USDC i wymienił te środki na Ethereum (ETH) korzystając z protokołu zerowej wiedzy (ZK) Railgun, uzyskując w ten sposób 608 ETH.

  • Firma Olympix ujawniła, że ​​przyczyną exploita były niezweryfikowane dane połączeń w kontrakcie ConnectorDeleverageParaswap, co umożliwiało manipulację danymi kontraktu i przelewy środków na rachunek zewnętrzny (EOA).

  • Doszło do drugiego ataku, w wyniku którego utracono dodatkowo 141 tys. USDC.

  • Mimo ataku Cyvers potwierdził, że baseny Aave pozostały nienaruszone.

  • Dough Finance zaapelowało do użytkowników o wypłacenie pozostałych środków, zidentyfikowało i zamknęło lukę w zabezpieczeniach.

  • Zespół skontaktował się z atakującym za pośrednictwem wiadomości łańcuchowej, proponując omówienie nagrody, jeśli atak zostanie przeprowadzony zgodnie z zasadami white hat lub grey hat, i żądając zwrotu środków do 15 lipca 2024 r., do godziny 23:00 UTC.

  • Dough Finance zapewniło społeczność, że aktywnie działa na rzecz odzyskania środków i wyrównywania szans inwestorów.

  • W tym tygodniu różne projekty DeFi, w tym Compound Finance, zostały naruszone w ataku phishingowym obejmującym domenę DNS przekierowującą użytkowników na fałszywą stronę internetową, która wysysała fundusze. Dotknięte projekty wzywały klientów, aby nie wchodzili w interakcje ze stronami internetowymi do odwołania.

Społeczność w centrum uwagi

https://twitter.com/quillaudits_ai/status/1811290907922117015

https://twitter.com/quillaudits_ai/status/1810653169787220135?

https://twitter.com/quillaudits_ai/status/1809508585170178268?