Rubriques tendance
#
Bonk Eco continues to show strength amid $USELESS rally
#
Pump.fun to raise $1B token sale, traders speculating on airdrop
#
Boop.Fun leading the way with a new launchpad on Solana.
wavey
c'est la découverte de sécurité la plus fascinante de 2025 selon moi :
un "zero‑day" sur lequel les hackers se positionnaient discrètement, pariant qu'il resterait caché pendant que le bénéfice futur grandissait.
heureusement, cela a été attrapé juste à temps par les gentils.
travail exceptionnel de @deeberiroz @pcaversaccio @dedaub
10 juil., 22:13
C'est encore plus sophistiqué : la façon dont Etherscan a été trompé en affichant le mauvais contrat d'implémentation repose sur la définition de 2 slots de proxy différents dans la même transaction de frontrunning. Ainsi, Etherscan utilise une certaine heuristique qui incorpore différents slots de stockage pour récupérer le contrat d'implémentation.
Il existe un ancien proxy par OpenZeppelin qui utilisait le slot suivant : `keccak256("org.zeppelinos.proxy.implementation")` = `0x7050c9e0f4ca769c69bd3a8ef740bc37934f8e2c036e5a723fd8ee048ed3f8c3`
Nous avons maintenant aussi le slot standard EIP-1967 `bytes32(uint256(keccak256('eip1967.proxy.implementation')) - 1)` = `0x360894a13ba1a3210667c828492db98dca3e2076cc3735a920a3ca505d382bbc`
Ce qui s'est passé, c'est que l'ancien slot de proxy OpenZeppelin a été écrit avec l'adresse d'implémentation bénigne _et_ le slot standard EIP-1967 a également été écrit avec l'adresse d'implémentation malveillante. Puisqu'Etherscan interroge d'abord l'ancien slot de proxy, il a récupéré le premier qui semblait bénin et l'a donc affiché.
5,78K
c'est la découverte de sécurité la plus fascinante de 2025 selon moi :
un "zero‑day" que des hackers positionnaient discrètement, pariant qu'il resterait caché pendant que le bénéfice futur grandissait.
heureusement, il a été attrapé juste à temps par les gentils.
travail exceptionnel de @deeberiroz @pcaversaccio @deeberiroz
10 juil., 22:13
C'est encore plus sophistiqué : la façon dont Etherscan a été trompé en affichant le mauvais contrat d'implémentation repose sur la définition de 2 slots de proxy différents dans la même transaction de frontrunning. Ainsi, Etherscan utilise une certaine heuristique qui incorpore différents slots de stockage pour récupérer le contrat d'implémentation.
Il existe un ancien proxy par OpenZeppelin qui utilisait le slot suivant : `keccak256("org.zeppelinos.proxy.implementation")` = `0x7050c9e0f4ca769c69bd3a8ef740bc37934f8e2c036e5a723fd8ee048ed3f8c3`
Nous avons maintenant aussi le slot standard EIP-1967 `bytes32(uint256(keccak256('eip1967.proxy.implementation')) - 1)` = `0x360894a13ba1a3210667c828492db98dca3e2076cc3735a920a3ca505d382bbc`
Ce qui s'est passé, c'est que l'ancien slot de proxy OpenZeppelin a été écrit avec l'adresse d'implémentation bénigne _et_ le slot standard EIP-1967 a également été écrit avec l'adresse d'implémentation malveillante. Puisqu'Etherscan interroge d'abord l'ancien slot de proxy, il a récupéré le premier qui semblait bénin et l'a donc affiché.
99
ce que j'aime chez les audits de @electisec :
les résultats sont suivis comme des problèmes sur GitHub, offrant aux développeurs et aux auditeurs un fil de discussion et un historique pour chaque élément.
c'est de loin plus pratique et collaboratif que d'autres engagements que j'ai eus, qui impliquent de gérer des PDF ou des documents Word.
1,73K
wavey a reposté
Deux nouvelles propositions de réapprovisionnement
1. Savings reUSD ($sreUSD) un nouveau bloc de construction DEFI
Introduire savings reUSD, un nouveau coffre de staking ERC-4626 qui vise à accroître la demande de $reUSD, récompenser les détenteurs à long terme et améliorer la stabilité du peg grâce à un mécanisme de frais dynamique basé sur le peg de reUSD.
Lien :
1/2
7,81K
rapport hebdomadaire assez sympa + insights par @CurveFinance
4 juil., 02:38
De bons rendements ?
5,5K
Meilleurs
Classement
Favoris