المواضيع الرائجة
#
Bonk Eco continues to show strength amid $USELESS rally
#
Pump.fun to raise $1B token sale, traders speculating on airdrop
#
Boop.Fun leading the way with a new launchpad on Solana.
sudo rm -rf --no-preserve-root /
العمل على ما هو قادم.
ꟼGꟼ: 063E 966C 93AB 4356 492F E032 7C3B 4B4B 7725 111F
sudo rm -rf --no-preserve-root / أعاد النشر
هذا هو البحث عن الأمان الأكثر روعة في عام 2025 IMO:
"يوم الصفر" الذي كان المتسللون يتمركزون عليه بهدوء ، ويراهنون على أنه سيظل مخفيا بينما تنمو المردود المستقبلي.
لحسن الحظ تم القبض عليه في الوقت المناسب من قبل الأخيار
عمل متميز من قبل @deeberiroz @pcaversaccio @dedaub
2.38K
sudo rm -rf --no-preserve-root / أعاد النشر
BlockThreat - الأسبوع 28, 2025
💙 برعاية @SecurityOak
🔥 الاستغلال الجماعي للعقود بالوكالة التي اكتشفتها @deeberiroz وقامت @pcaversaccio @dedaub و @_SEAL_Org
💸 @GMX_IO اختراق إعادة الدخول 42 مليون دولار (تم استرداد 37 مليون دولار)
💸 @KintoXYZ وكيل غير مهيأ. 1.55 مليون دولار
2.43K
لذلك اكتشفت أنه مربي أكثر. لقد لاحظت أن التوجيه الأمامي tx (من قبل المهاجمين) يستدعي "تهيئة" وأن البروتوكولات تستدعي أيضا _successly_ "تهيئة" بعد ذلك (وبالتالي يعتقدون أن كل شيء طبيعي). لكن انتظر ، كيف يكون هذا ممكنا؟ اضطررت إلى النظر بعمق في تغييرات فتحة التخزين وتخمين ما وجدته: لقد قاموا بإعادة تعيين قيمة فتحة التخزين "_initialized" في نهاية الإرسال الأمامي (بعد أن تم تبديلهم إلى عقد التنفيذ الضار). هذا يعني أن تخزين الوكيل يبدو الآن كما لم يتم تهيئته أبدا.
فتحة التخزين ذات الصلة التي يجب النظر إليها هي "keccak256 (abi.encode(uint256 (keccak256 (" - 1)) & ~ bytes32 (uint256 (0xff))" = '0xf0c57e16840df040f15088dc2f81fe391c3923bec73e23a9662efc9c229c6a00'
هذا هو الشر من المستوى التالي.
10 يوليو، 22:13
يصبح الأمر أكثر خيالية: الطريقة التي تم خداع بها Etherscan تظهر عقد التنفيذ الخاطئ تعتمد على تعيين فتحتين مختلفتين للوكيل في نفس البث الأمامي. لذلك يستخدم Etherscan إرشادا معينا يتضمن فتحات تخزين مختلفة لاسترداد عقد التنفيذ.
هناك وكيل قديم بواسطة OpenZeppelin استخدم الفتحة التالية: 'keccak256 ("org.zeppelinos.proxy.implementation")' = '0x7050c9e0f4ca769c69bd3a8ef740bc37934f8e2c036e5a723fd8ee048ed3f8c3'
لدينا الآن أيضا فتحة EIP-1967 القياسية 'bytes32 (uint256 (keccak256 ('eip1967.proxy.implementation')) - 1)' = '0x360894a13ba1a3210667c828492db98dca3e2076cc3735a920a3ca505d382bbc'
إذن ما حدث هو أن فتحة وكيل OpenZeppelin القديمة تمت كتابتها مع عنوان التنفيذ الحميد _ و _ تمت كتابة فتحة EIP-1967 القياسية أيضا مع عنوان التنفيذ الضار. نظرا لأن Etherscan يستفسر أولا عن فتحة البروكسي القديمة ، فقد استرد المظهر الحميد أولا وبالتالي يعرضه.
21.6K
sudo rm -rf --no-preserve-root / أعاد النشر
في وقت سابق من هذا الأسبوع ، تم تحديد ثغرة أمنية محتملة في عقد المدير عبر السلاسل الخاص ب Orderly على سلسلة BNB.
ردا على ذلك، تم إيقاف خزينة BNB الخاصة بنا للإيداع والسحب مؤقتا على الفور، وتم ترحيل العقود واستؤنفت عمليات الإيداع/السحب في غضون ساعتين.
✅ لا توجد أموال مستخدم في خطر أو فقدت.
شكر خاص ل @deeberiroz و @VennBuild و @seal_911 و @pcaversaccio وبقية الفريق الذين ساعدوا في الإبلاغ عن هذا!
معا أكثر أمانا 🤝
7.54K
sudo rm -rf --no-preserve-root / أعاد النشر
[5/5]
نداء الدرج للامتنان • @SlowMist_Team للفرز والتصحيح دون توقف • @dedaub و @pcaversaccio وغرفة الحرب @seal_911 لمسح التعليمات البرمجية لمدة 36 ساعة • @etherscan لتنظيف واجهة المستخدم بسرعة البرق • ومرة أخرى ، شكرا لك @deeberiroz ، @VennBuild ، @davidberiro - أنقذت تنبيهك اليوم 💙
12.32K
يصبح الأمر أكثر خيالية: الطريقة التي تم خداع بها Etherscan تظهر عقد التنفيذ الخاطئ تعتمد على تعيين فتحتين مختلفتين للوكيل في نفس البث الأمامي. لذلك يستخدم Etherscan إرشادا معينا يتضمن فتحات تخزين مختلفة لاسترداد عقد التنفيذ.
هناك وكيل قديم بواسطة OpenZeppelin استخدم الفتحة التالية: 'keccak256 ("org.zeppelinos.proxy.implementation")' = '0x7050c9e0f4ca769c69bd3a8ef740bc37934f8e2c036e5a723fd8ee048ed3f8c3'
لدينا الآن أيضا فتحة EIP-1967 القياسية 'bytes32 (uint256 (keccak256 ('eip1967.proxy.implementation')) - 1)' = '0x360894a13ba1a3210667c828492db98dca3e2076cc3735a920a3ca505d382bbc'
إذن ما حدث هو أن فتحة وكيل OpenZeppelin القديمة تمت كتابتها مع عنوان التنفيذ الحميد _ و _ تمت كتابة فتحة EIP-1967 القياسية أيضا مع عنوان التنفيذ الضار. نظرا لأن Etherscan يستفسر أولا عن فتحة البروكسي القديمة ، فقد استرد المظهر الحميد أولا وبالتالي يعرضه.
41.1K
أيساط رجل ولكن التهديد الحقيقي ل Ethereum ليس الدولة في الواقع (على الأقل ليس اليوم). إنه أصحاب رأس المال المغامر والمهنيون في البروتوكول الذين يحاولون تحييدها في ملعب لامع للتكنولوجيا المالية من أجل DeFi "آمن" ومتوافق. اسمعني: إنهم لا يريدون رمزا لا يمكن إيقافه. إنهم لا يريدون المقاومة. يريدون سيطرة_ سخيفة. لأنهم في أعماقهم يعرفون ما يمكن أن تصبح عليه Ethereum إذا تركت غير مقيدة: طبقة تنفيذ عالمية مقاومة للرقابة والخصوصية أولا لا يمكن لأي دولة أو شركة أو كارتل من الدعاوى أن يوقفها على الإطلاق. دعونا نجعل هذا حقيقة واقعة.
19.43K
الأفضل
المُتصدِّرة
التطبيقات المفضلة