المواضيع الرائجة
#
Bonk Eco continues to show strength amid $USELESS rally
#
Pump.fun to raise $1B token sale, traders speculating on airdrop
#
Boop.Fun leading the way with a new launchpad on Solana.
sudo rm -rf --no-preserve-root /
العمل على ما هو قادم.
ꟼGꟼ: 063E 966C 93AB 4356 492F E032 7C3B 4B4B 7725 111F
sudo rm -rf --no-preserve-root / أعاد النشر
BlockThreat - الأسبوع 28, 2025
💙 برعاية @SecurityOak
🔥 الاستغلال الجماعي للعقود بالوكالة التي اكتشفتها @deeberiroz وقامت @pcaversaccio @dedaub و @_SEAL_Org
💸 @GMX_IO اختراق إعادة الدخول 42 مليون دولار (تم استرداد 37 مليون دولار)
💸 @KintoXYZ وكيل غير مهيأ. 1.55 مليون دولار
2.42K
لذلك اكتشفت أنه مربي أكثر. لقد لاحظت أن التوجيه الأمامي tx (من قبل المهاجمين) يستدعي "تهيئة" وأن البروتوكولات تستدعي أيضا _successly_ "تهيئة" بعد ذلك (وبالتالي يعتقدون أن كل شيء طبيعي). لكن انتظر ، كيف يكون هذا ممكنا؟ اضطررت إلى النظر بعمق في تغييرات فتحة التخزين وتخمين ما وجدته: لقد قاموا بإعادة تعيين قيمة فتحة التخزين "_initialized" في نهاية الإرسال الأمامي (بعد أن تم تبديلهم إلى عقد التنفيذ الضار). هذا يعني أن تخزين الوكيل يبدو الآن كما لم يتم تهيئته أبدا.
فتحة التخزين ذات الصلة التي يجب النظر إليها هي "keccak256 (abi.encode(uint256 (keccak256 (" - 1)) & ~ bytes32 (uint256 (0xff))" = '0xf0c57e16840df040f15088dc2f81fe391c3923bec73e23a9662efc9c229c6a00'
هذا هو الشر من المستوى التالي.
10 يوليو، 22:13
يصبح الأمر أكثر خيالية: الطريقة التي تم خداع بها Etherscan تظهر عقد التنفيذ الخاطئ تعتمد على تعيين فتحتين مختلفتين للوكيل في نفس البث الأمامي. لذلك يستخدم Etherscan إرشادا معينا يتضمن فتحات تخزين مختلفة لاسترداد عقد التنفيذ.
هناك وكيل قديم بواسطة OpenZeppelin استخدم الفتحة التالية: 'keccak256 ("org.zeppelinos.proxy.implementation")' = '0x7050c9e0f4ca769c69bd3a8ef740bc37934f8e2c036e5a723fd8ee048ed3f8c3'
لدينا الآن أيضا فتحة EIP-1967 القياسية 'bytes32 (uint256 (keccak256 ('eip1967.proxy.implementation')) - 1)' = '0x360894a13ba1a3210667c828492db98dca3e2076cc3735a920a3ca505d382bbc'
إذن ما حدث هو أن فتحة وكيل OpenZeppelin القديمة تمت كتابتها مع عنوان التنفيذ الحميد _ و _ تمت كتابة فتحة EIP-1967 القياسية أيضا مع عنوان التنفيذ الضار. نظرا لأن Etherscan يستفسر أولا عن فتحة البروكسي القديمة ، فقد استرد المظهر الحميد أولا وبالتالي يعرضه.
21.58K
sudo rm -rf --no-preserve-root / أعاد النشر
في وقت سابق من هذا الأسبوع ، تم تحديد ثغرة أمنية محتملة في عقد المدير عبر السلاسل الخاص ب Orderly على سلسلة BNB.
ردا على ذلك، تم إيقاف خزينة BNB الخاصة بنا للإيداع والسحب مؤقتا على الفور، وتم ترحيل العقود واستؤنفت عمليات الإيداع/السحب في غضون ساعتين.
✅ لا توجد أموال مستخدم في خطر أو فقدت.
شكر خاص ل @deeberiroz و @VennBuild و @seal_911 و @pcaversaccio وبقية الفريق الذين ساعدوا في الإبلاغ عن هذا!
معا أكثر أمانا 🤝
7.54K
sudo rm -rf --no-preserve-root / أعاد النشر
[5/5]
نداء الدرج للامتنان • @SlowMist_Team للفرز والتصحيح دون توقف • @dedaub و @pcaversaccio وغرفة الحرب @seal_911 لمسح التعليمات البرمجية لمدة 36 ساعة • @etherscan لتنظيف واجهة المستخدم بسرعة البرق • ومرة أخرى ، شكرا لك @deeberiroz ، @VennBuild ، @davidberiro - أنقذت تنبيهك اليوم 💙
12.32K
يصبح الأمر أكثر خيالية: الطريقة التي تم خداع بها Etherscan تظهر عقد التنفيذ الخاطئ تعتمد على تعيين فتحتين مختلفتين للوكيل في نفس البث الأمامي. لذلك يستخدم Etherscan إرشادا معينا يتضمن فتحات تخزين مختلفة لاسترداد عقد التنفيذ.
هناك وكيل قديم بواسطة OpenZeppelin استخدم الفتحة التالية: 'keccak256 ("org.zeppelinos.proxy.implementation")' = '0x7050c9e0f4ca769c69bd3a8ef740bc37934f8e2c036e5a723fd8ee048ed3f8c3'
لدينا الآن أيضا فتحة EIP-1967 القياسية 'bytes32 (uint256 (keccak256 ('eip1967.proxy.implementation')) - 1)' = '0x360894a13ba1a3210667c828492db98dca3e2076cc3735a920a3ca505d382bbc'
إذن ما حدث هو أن فتحة وكيل OpenZeppelin القديمة تمت كتابتها مع عنوان التنفيذ الحميد _ و _ تمت كتابة فتحة EIP-1967 القياسية أيضا مع عنوان التنفيذ الضار. نظرا لأن Etherscan يستفسر أولا عن فتحة البروكسي القديمة ، فقد استرد المظهر الحميد أولا وبالتالي يعرضه.
41.07K
أيساط رجل ولكن التهديد الحقيقي ل Ethereum ليس الدولة في الواقع (على الأقل ليس اليوم). إنه أصحاب رأس المال المغامر والمهنيون في البروتوكول الذين يحاولون تحييدها في ملعب لامع للتكنولوجيا المالية من أجل DeFi "آمن" ومتوافق. اسمعني: إنهم لا يريدون رمزا لا يمكن إيقافه. إنهم لا يريدون المقاومة. يريدون سيطرة_ سخيفة. لأنهم في أعماقهم يعرفون ما يمكن أن تصبح عليه Ethereum إذا تركت غير مقيدة: طبقة تنفيذ عالمية مقاومة للرقابة والخصوصية أولا لا يمكن لأي دولة أو شركة أو كارتل من الدعاوى أن يوقفها على الإطلاق. دعونا نجعل هذا حقيقة واقعة.
19.4K
لذلك يتصل بك شخص ما على LinkedIn بفرصة عمل واعدة. يبدو لطيفا ، innit؟ تبدو شرعية (بعد فحصها لمدة دقيقة واحدة) وبعد بعض المحادثات القصيرة يرسلون لك مستودع GitHub مع "مهمة تجنيد" بسيطة Next.js. يمكنك استنساخها ، وتشغيلها ... وبعد 10 دقائق ، تم اختراق جهازك بالكامل عندما تكتشف أن محافظك الساخنة قد استنزفت. حسنا ، ماذا حدث؟ بالنظر إلى حقيقة أننا (= SEAL 911) شهدنا هذا الهجوم مرارا وتكرارا ، اسمحوا لي أن أكشف عن بعض أهم التفاصيل:
- أولا ، التحذير الأكثر أهمية: لا تقم بتشغيل رمز عشوائي أرسله إليك بعض المتأنق العشوائي. بصراحة ، لا تفعل ذلك.
- تحقق دائما من ملفات التكوين _executable_ الخاصة بالمستودعات بدقة. في هذه الحالة بالذات ، كان الملف "next.config.js" يحتوي على حشوة كبيرة تخفي الحمولة الضارة إلى اليمين.
- قم بالتمرير دائما أفقيا - لمجرد أنك لا ترى أي شيء ضار عند النظر إلى المحتوى لا يعني أنه نظيف.
هام: يمكن إخفاء التعليمات البرمجية الضارة داخل الملفات التي تثق بها، وليس في المكان الذي تتوقعه.
آمل حقا أن تصل هذه التغريدة إلى عدد كاف من الأشخاص لمنع عدد قليل من الضحايا المستقبليين على الأقل من الوقوع في هذا النوع من الهجمات.
34.47K
الأفضل
المُتصدِّرة
التطبيقات المفضلة