Mestre! Construtores

Nesta última edição da HashingBits, estamos nos aprofundando nas reuniões de desenvolvedores principais da Ethereum, cobrindo todas as principais atualizações no ecossistema Ethereum. Mas isso não é tudo – exploraremos os acontecimentos mais recentes nos ecossistemas Polygon, Arbitrum e Optimism, juntamente com eventos recentes na ETHCC e avanços no espaço AI e Web3. Para desenvolvedores, estamos destacando novas ferramentas projetadas para auxiliar desenvolvedores e auditores de contratos inteligentes. E, é claro, nos aprofundaremos nas manchetes sobre o hack de US$ 8 milhões da carteira Bittensor e a perda de US$ 1,94 milhão da Dough Finance em ataques instantâneos de empréstimos.

EtherScope: Principais desenvolvimentos 👨‍💻

  • Resumo de todos os desenvolvedores principais — Consenso (ACDC)#137​

  • Por que Marius Van Der Wijden é contra a EOF em Pectra?​

  • Uma olhada no breakout#3do PeerDAS

  • Mergulho profundo no modelo de resistência à censura

  • Constantine v0.1: implementações de assinaturas BLS, pré-compilações BN254 e BLS12–381

  • ​A Lido implementou o Módulo DVT Simples com tecnologia SSV

  • Vitalik Buterin pressiona para que o Ethereum responda aos ataques de 51% de forma mais automatizada

  • Mergulho profundo em atestados — uma análise quantitativa

Camada 1 e Camada 2

  • Péter Szilágyi: biblioteca SSZ implementada em Go

  • ​RollCall (padrões L2) #6: Discussão sobre pico de taxa base de blob L1 e apresentações sobre fábricas de implantação determinísticas de pré-compilação L1SLOAD RIP7728 e pré-instalação RIP7740

  • Titan Builder eth_sendBlobs: enviar permutações de transações de blob de um único remetente

  • O protocolo do kernel está ativo

  • Vesu está ao vivo no Starknet​

  • Fundação Worldcoin lança prévia do desenvolvedor da World Chain

  • Apresentando o Puffer UniFi — Rollup baseado no Puffer

  • Penumbra está ao vivo

  • Skale apresenta atualização Pacifica V3

  • LayerZero e Initia estão desenvolvendo um padrão de interoperabilidade para Cosmos​

  • Apresentando Termina: o estado final do dimensionamento de SVM

  • Reduzindo a inflação do Evmos

  • Anunciando o lançamento habitual da mainnet pública

  • A Rede OEV está ativa

  • Omni Network lança Streams​

  • Starknet abrirá staking até o final deste ano

  • Apresentando a Halliday Commerce Automation Network

  • Exodus lança Passkeys Wallet​

  • Justin Sun: stablecoin sem gás chegando no quarto trimestre na Tron, seguida por Ethereum e todas as cadeias EVM

  • A TAC está se unindo à Polygon para trazer compatibilidade com EVM ao ecossistema TON

  • ​Notcoin, 1inch e Sign lançam acelerador para ecossistemas Telegram e TON

  • Apresentando o Programa Fuel Points

  • Agora você pode rastrear narrativas no DefiLlama​

  • ​dDocs: Onchain Google Docs está aqui

  • Apresentando a Story Network, a blockchain de propriedade intelectual do mundo

ERCs

  • ​ERC7737: Modelo de acesso a dados personalizado

  • ​ERC7738: Registro de script sem permissão

  • ​ERC7739: Assinaturas digitadas legíveis para contas inteligentes

  • ​ERC7741: Autorizar operador (via assinaturas EIP712 secp256k1)

EIPs

  • ​EIP7742: Desacopla a contagem de blobs entre CL e EL

  • ​EIP.tools adiciona EIP-GPT, resumo gerado por IA de um EIP/ERC

Descanse em paz

• RIP7740: Pré-instalar fábricas de implantação determinísticas

EcoExpansions: Além do Ethereum 🚀

Polígono

  • ​Polygon Miden Alpha Testnet v3 está no ar

  • ​Resumo semanal de jogos no Polygon

  • Dê uma olhada nas atualizações semanais no Polygon

  • A TON está construindo um L2 alimentado por zk usando o Polygon CDK que se conectará ao AggLayer

  • O número de endereços ativos no @0xPolygon PoS aumentou 227% desde o início do ano

Otimismo

  • A atualização do OP Stack Fjord chegou, verificação de senha de carteira inteligente mais barata via pré-compilação RIP7212 secp256r1 e custos de disponibilidade de dados 5–15% menores via compressão de canal Brotli.

  • O SuperFest, o Superchain DeFi Festival, chegou oficialmente.

  • Uma explicação simples da supercadeia

  • ​RIP-7212 já está disponível na Superchain.

  • ​A rede de teste Celo L2 Dango agora está no OP Stack

Decisão

  • O aplicativo No-Code Deployer para Rollups está ativo em colaboração com a Arbitrum

  • Karak apresenta funcionalidade de retomada para Arbitrum​

  • A Arbitrum integrou a OKX Wallet em sua ponte

  • ​Três propostas importantes da ArbitrumDAO​

DevToolkit: Fundamentos e Inovações 🛠️

  • Lodestar v1.20.0: o pacote lodestar/api altera os tipos exportados, sinalizador para usar APIs SSZ com cliente validador e ENRs de bootnode de testnet atualizados.

  • Besu v24.7.0: adiciona suporte eth_maxPriorityFeePerGas e melhorias na sincronização, peering e desempenho de inicialização

  • Erigon v2.60.3: adiciona o sinalizador opcional include precompiles ao rastreamento

  • Geth v1.14.7: hotfix para bug de leitura/gravação de mapa simultâneo na v1.14.6

  • Reth v1.0.1: melhorias de desempenho de nó completo, backfill ExEx e correções de RPC

  • Stereum v2.2: suporte a múltiplas configurações e verificação de conexão para testar a estabilidade e a conectividade da rede

  • gevm — Implementação EVM do zero escrita em go​

Hackathons, Workshops e Eventos

  • Atualizações sobre Devcon 2024: Inscrições para palestrantes e voluntários estão abertas

  • ​A Solana Summer Fellowship está aqui

  • Começam as Olimpíadas de Talentos Superteam: Trilha Frontend & Rust

Explore as profundezas do conhecimento: artigos de pesquisa, blogs e tweets🔖

Twitter

  • Mysticeti: ​​Atingindo os limites de latência com DAGs não certificados

  • RFC 9591: O Protocolo de Limiar Schnorr Otimizado para Rodadas Flexíveis (FROST) para Assinaturas Schnorr de Duas Rodadas

  • O Whitepaper V1.0 do Protocolo Alice’s Ring foi lançado

  • Slot-to-Ping e outra medida descritiva para blockchains

  • ​Atestados de mergulho profundo — Uma análise quantitativa

  • ​Maximum Viable Security (MVS): uma nova estrutura para emissão de Ethereum

  • Relatório de Crypto & Blockchain Venture Capital — Q2 2024​

  • Apresentando reembolsos de gás da Flashbots

  • EVIntent — Matéria Escura em MEV​

  • Leilão de preços dinâmicos resistentes a MEV de direitos de proposta de execução

  • Dê uma olhada no Flashbots Protect Explorer​

  • O modelo de segurança do BTC está quebrado?

  • Desmistificando alguns mitos sobre a Bera Chain

Artigos

  • Anders Elowsson: leilão de preços dinâmicos de direitos de proposta de execução, induz menos novos MEV e produz alta queima agregada de MEV

  • Dê uma olhada no guia para OpenZeppelin Contracts Initializable​

  • Nethermind Clear: estrutura de verificação formal para código Yul

  • Byteracing: solucionador de labirintos em Solidity, tente torná-lo mais eficiente em termos de gás

  • Interoperabilidade de ativos L2 por meio de pontes canônicas bidirecionais

  • Todos os problemas em IP

  • Solana é a razão pela qual o caos do rollup L2 começou no Ethereum

  • ​Melhorando a previsibilidade nas operações da Arbitrum DAO​

  • ​AGI tornará os blockchains obsoletos?

  • Sobre orquestração de transmissões paralelas para sistemas distribuídos

  • ​Pointenomics 101: Dominando a nova linguagem dos incentivos criptográficos​

  • Vários líderes simultâneos

  • ​Uma postagem de blog sobre como a Family Wallet foi construída​

Artigos de Pesquisa

  • ​eyeballvul: um benchmark à prova de futuro para detecção de vulnerabilidades na natureza

  • ​SpiralShard: Fragmentação de blockchain altamente simultânea e segura por meio do endosso de cross-shard vinculado

  • ​BriDe Arbitrager: Aprimorando a arbitragem no Ethereum 2.0 por meio da produção de blocos atrasados ​​habilitada para suborno

  • Táticas, técnicas e procedimentos (TTPs) em malware interpretado: uma geração Zero-Shot com grandes modelos de linguagem

  • Melhorando a privacidade do aprendizado federado espaço-temporal contra ataques de inversão de gradiente

Github

  • ​Web-solc: adaptador para buscar/executar uma versão específica do compilador Solidity no navegador

  • ​ERC3770 (Rust): método auxiliar para endereços específicos da cadeia ERC3770

  • Firefly Pixie da RicMoo: carteira de hardware de código aberto

Assistir🎥

Vigilância de Segurança Web3 🛡️

Artigos

  • Exploração de US$ 2 milhões do Dough Finance por meio de dados de chamada não validados

  • Os calcanhares de Aquiles da Criptomoeda?

  • Relatório de Phishing de Meio de Ano do Scam Sniffer

  • ​Apresentando o Safe Harbor: sua última linha de defesa contra explorações ativas​

  • ​O CryptoISAC foi lançado como uma comunidade de CeFi, DeFi, auditoria, infraestrutura e outros projetos relacionados a criptomoedas.

  • ​Twilio diz que hackers identificaram números de celular de usuários do aplicativo Authy de dois fatores​

  • Nova vulnerabilidade do OpenSSH pode levar ao RCE como root em sistemas Linux.

  • Após uma espera de 10 anos, o Bitcoin da Mt. Gox está finalmente sendo devolvido.

  • Karma servido: Pink Drainer é vítima de golpe de envenenamento de endereço.

  • ​Inferno Drainer está ativo novamente pela SlowMist. O grupo drainer supostamente parou de operar em novembro do ano passado.

  • Golpistas que se passam pela Coinbase roubam US$ 1,7 milhão de um usuário em meio a uma série de ataques.

Artigos de Pesquisa

  • Abusando dos serviços de verificação de contrato inteligente Ethereum para diversão e lucro

  • Detecção de ataques cibernéticos em tempo real com aprendizado colaborativo para redes de blockchain.

  • Avaliação de desempenho de algoritmos de hash em hardware de commodities

  • Detecção de vulnerabilidades em contratos inteligentes: uma pesquisa abrangente

Twitter

  • Tayvano: exemplo de um ataque Lazarus, contato via redes sociais e depois comprometimento via repositório GitHub

  • Vários projetos de criptomoedas tiveram seus domínios sequestrados após um ataque de DNS direcionado ao provedor de serviços de hospedagem na web Squarespace.

  • Contas falsas X levam a ataques de phishing de criptomoedas recordes de US$ 341 milhões.

  • Seus fundos são SAFU?

Truques e golpes 🚨

Solicitar sor

Perda ~ $ 8 milhões

  • 2 de julho, 19h06 UTC: O invasor começa a transferir fundos de carteiras comprometidas para sua própria carteira.

  • 2 de julho, 19h25 UTC: A Opentensor Foundation detecta um aumento anormal no volume de transferência e monta uma sala de guerra.

  • 2 de julho, 19h41 UTC: Os validadores na cadeia Opentensor são colocados atrás de um firewall, e o Subtensor é colocado no modo de segurança para interromper todas as transações.

  • 3 de julho: A equipe identifica a origem do ataque como um pacote malicioso no PyPi Package Manager versão 6.12.2, que comprometeu a segurança do usuário.

  • O pacote malicioso se disfarçou como um pacote Bittensor legítimo e interceptou detalhes de chaves frias não criptografadas quando os usuários descriptografaram suas chaves.

  • Os usuários afetados foram aqueles que baixaram o pacote Bittensor PyPi entre 22 de maio, 19h14 UTC, e 29 de maio, 18h47 UTC, e realizaram operações envolvendo descriptografia de chaves.

  • O pacote comprometido (6.12.2) foi removido do repositório PyPi.

  • O código do Subtensor e do Bittensor no GitHub foi revisado minuciosamente; nenhuma vulnerabilidade adicional foi encontrada.

  • A OTF contatou diversas exchanges de criptomoedas para rastrear o invasor e tentar recuperar os fundos roubados.

  • A comunidade Bittensor apoiou ativamente os esforços de investigação e mitigação.

  • Após a revisão do código, as operações normais da blockchain Bittensor serão gradualmente retomadas, com atualizações regulares fornecidas à comunidade.

  • Os usuários são aconselhados a criar novas carteiras e transferir seus fundos assim que o blockchain retomar as operações e a atualizar para a versão mais recente do Bittensor.

  • Melhorias futuras incluem processos de acesso e verificação mais rigorosos para pacotes, maior frequência de auditorias de segurança, implementação de melhores práticas em políticas de segurança pública e monitoramento aprimorado de uploads e downloads de pacotes.

Finanças de massa

Perda — $ 1,94M

  • Na manhã de 12 de julho de 2024, a Dough Finance sofreu um ataque de empréstimo rápido, perdendo aproximadamente US$ 1,94 milhão em fundos de usuários.

  • A Cyvers detectou diversas transações suspeitas envolvendo a Dough Finance.

  • O hacker roubou US$ 1,8 milhão em USDC e trocou os fundos para Ethereum (ETH) usando o protocolo de conhecimento zero (ZK) Railgun, obtendo 608 ETH.

  • A Olympix revelou que a exploração ocorreu devido a dados de chamada não validados no contrato ConnectorDeleverageParaswap, permitindo a manipulação de dados do contrato e transferências de fundos para uma Conta de Propriedade Externa (EOA).

  • Um segundo ataque ocorreu, resultando em uma perda adicional de US$ 141.000 em USDC.

  • Apesar do ataque, Cyvers confirmou que as piscinas de Aave permaneceram inalteradas.

  • A Dough Finance pediu aos usuários que retirassem os fundos restantes e identificou e encerrou a exploração.

  • A equipe entrou em contato com o invasor por meio de uma mensagem na cadeia, oferecendo-se para discutir uma recompensa se a exploração fosse conduzida como um white hat ou grey hat e solicitando a devolução dos fundos até 15 de julho de 2024, às 23:00 UTC.

  • A Dough Finance garantiu à comunidade que está trabalhando ativamente para recuperar os fundos e ressarcir os investidores.

  • Esta semana, vários projetos DeFi, incluindo o Compound Finance, foram comprometidos em um ataque de phishing envolvendo um domínio DNS redirecionando usuários para um site falso que drenava fundos. Os projetos afetados pediram aos clientes que não interagissem com os sites até novo aviso.

Destaque da comunidade

https://twitter.com/quillaudits_ai/status/1811290907922117015

https://twitter.com/quillaudits_ai/status/1810653169787220135?

https://twitter.com/quillaudits_ai/status/1809508585170178268?