Temas en tendencia
#
Bonk Eco continues to show strength amid $USELESS rally
#
Pump.fun to raise $1B token sale, traders speculating on airdrop
#
Boop.Fun leading the way with a new launchpad on Solana.
wavey
Este es el hallazgo de seguridad más fascinante de 2025 en mi opinión:
un "día cero" en el que los piratas informáticos se estaban posicionando silenciosamente, apostando a que permanecería oculto mientras crecía la recompensa futura.
afortunadamente atrapado justo a tiempo por los buenos.
Excelente trabajo de @deeberiroz @pcaversaccio @dedaub
10 jul, 22:13
Se vuelve aún más elegante: la forma en que Etherscan fue engañado mostrando el contrato de implementación incorrecto se basa en la configuración de 2 ranuras de proxy diferentes en la misma tx de frontrunning. Por lo tanto, Etherscan utiliza una cierta heurística que incorpora diferentes ranuras de almacenamiento para recuperar el contrato de implementación.
Hay un proxy antiguo de OpenZeppelin que usaba la siguiente ranura: 'keccak256("org.zeppelinos.proxy.implementation")' = '0x7050c9e0f4ca769c69bd3a8ef740bc37934f8e2c036e5a723fd8ee048ed3f8c3'
Ahora también tenemos la ranura estándar EIP-1967 'bytes32(uint256(keccak256('eip1967.proxy.implementation')) - 1)' = '0x360894a13ba1a3210667c828492db98dca3e2076cc3735a920a3ca505d382bbc'
Entonces, lo que sucedió es que la antigua ranura de proxy OpenZeppelin se escribió con la dirección de implementación benigna _y_ la ranura estándar EIP-1967 también se escribió con la dirección de implementación maliciosa. Dado que Etherscan consulta primero la ranura de proxy anterior, primero recuperó la de aspecto benigno y, por lo tanto, la mostró.
5.31K
Este es el hallazgo de seguridad más fascinante de 2025 en mi opinión:
un "día cero" en el que los piratas informáticos se estaban posicionando silenciosamente, apostando a que permanecería oculto mientras crecía la recompensa futura.
afortunadamente atrapado justo a tiempo por los buenos.
Excelente trabajo de @deeberiroz @pcaversaccio @deeberiroz
10 jul, 22:13
Se vuelve aún más elegante: la forma en que Etherscan fue engañado mostrando el contrato de implementación incorrecto se basa en la configuración de 2 ranuras de proxy diferentes en la misma tx de frontrunning. Por lo tanto, Etherscan utiliza una cierta heurística que incorpora diferentes ranuras de almacenamiento para recuperar el contrato de implementación.
Hay un proxy antiguo de OpenZeppelin que usaba la siguiente ranura: 'keccak256("org.zeppelinos.proxy.implementation")' = '0x7050c9e0f4ca769c69bd3a8ef740bc37934f8e2c036e5a723fd8ee048ed3f8c3'
Ahora también tenemos la ranura estándar EIP-1967 'bytes32(uint256(keccak256('eip1967.proxy.implementation')) - 1)' = '0x360894a13ba1a3210667c828492db98dca3e2076cc3735a920a3ca505d382bbc'
Entonces, lo que sucedió es que la antigua ranura de proxy OpenZeppelin se escribió con la dirección de implementación benigna _y_ la ranura estándar EIP-1967 también se escribió con la dirección de implementación maliciosa. Dado que Etherscan consulta primero la ranura de proxy anterior, primero recuperó la de aspecto benigno y, por lo tanto, la mostró.
39
Algo que me gusta de @electisec auditorías:
Los hallazgos se rastrean como problemas de GitHub. dando a los desarrolladores + auditores un hilo de discusión e historial para cada elemento.
esto es mucho más conveniente y colaborativo que otros compromisos que he tenido que involucran la administración de archivos PDF o documentos de Word.
1.65K
wavey reposteó
Dos nuevas propuestas de reabastecimiento
1. Savings reUSD ($sreUSD), un nuevo componente de DEFI
Presentamos savings reUSD, una nueva bóveda de staking ERC-4626 que tiene como objetivo aumentar $reUSD demanda, recompensar a los titulares a largo plazo y mejorar la estabilidad de la paridad a través de un mecanismo de tarifas dinámicas basado en la paridad de reUSD.
Enlace:
1/2
7.8K
Informe semanal bastante bueno + Insights by @CurveFinance
4 jul, 02:38
¿Buenos rendimientos?
5.44K
Populares
Ranking
Favoritas