トレンドトピック
#
Bonk Eco continues to show strength amid $USELESS rally
#
Pump.fun to raise $1B token sale, traders speculating on airdrop
#
Boop.Fun leading the way with a new launchpad on Solana.
sudo rm -rf --no-preserve-root /
次に何に取り組むか。
ꟼGꟼ: 063E 966C 93AB 4356 492F E032 7C3B 4B4B 7725 111F
だから、それがさらに派手であることを知りました。私は、(攻撃者による)フロントランニングtxが「initialize」を呼び出し、プロトコルもその後に「initialize」を_successfully_呼び出すことを確認しました(したがって、彼らはすべてが正常であると考えています)。しかし、待ってください、これはどうやって可能なのでしょうか?ストレージスロットの変更を非常に深く調べて、見つけたものを推測する必要がありました:彼らはフロントランニングtxの最後に「_initialized」ストレージスロットの値を_リセット_しました(悪意のある実装コントラクトにスワップした後)。これは、プロキシストレージが初期化されていないように見えることを意味します。
確認する関連ストレージスロットは 'keccak256(abi.encode(uint256(keccak256(" - 1)) & ~bytes32(uint256(0xff))' = '0xf0c57e16840df040f15088dc2f81fe391c3923bec73e23a9662efc9c229c6a00' です。
これは次のレベルの悪です。
7月10日 22:13
さらに凝り固まったのは、Etherscanが騙されて間違った実装契約を表示させたのは、同じフロントランニングtxに2つの異なるプロキシスロットを設定することに基づいているということです。そのため、Etherscanは、さまざまなストレージスロットを組み込んだ特定のヒューリスティックを使用して、実装コントラクトを取得します。
OpenZeppelinによる古いプロキシがあり、次のスロットを使用していました: 'keccak256("org.zeppelinos.proxy.implementation")' = '0x7050c9e0f4ca769c69bd3a8ef740bc37934f8e2c036e5a723fd8ee048ed3f8c3'
現在、標準の EIP-1967 スロット 'bytes32(uint256(keccak256('eip1967.proxy.implementation')) - 1)' = '0x360894a13ba1a3210667c828492db98dca3e2076cc3735a920a3ca505d382bbc' もあります。
つまり、古いOpenZeppelinプロキシスロットは無害な実装アドレスで書き込まれ、標準のEIP-1967スロットも悪意のある実装アドレスで書き込まれたのです。Etherscanは最初に古いプロキシスロットをクエリするため、良性のように見えるものを最初に取得して表示しました。
21.53K
さらに凝り固まったのは、Etherscanが騙されて間違った実装契約を表示させたのは、同じフロントランニングtxに2つの異なるプロキシスロットを設定することに基づいているということです。そのため、Etherscanは、さまざまなストレージスロットを組み込んだ特定のヒューリスティックを使用して、実装コントラクトを取得します。
OpenZeppelinによる古いプロキシがあり、次のスロットを使用していました: 'keccak256("org.zeppelinos.proxy.implementation")' = '0x7050c9e0f4ca769c69bd3a8ef740bc37934f8e2c036e5a723fd8ee048ed3f8c3'
現在、標準の EIP-1967 スロット 'bytes32(uint256(keccak256('eip1967.proxy.implementation')) - 1)' = '0x360894a13ba1a3210667c828492db98dca3e2076cc3735a920a3ca505d382bbc' もあります。
つまり、古いOpenZeppelinプロキシスロットは無害な実装アドレスで書き込まれ、標準のEIP-1967スロットも悪意のある実装アドレスで書き込まれたのです。Etherscanは最初に古いプロキシスロットをクエリするため、良性のように見えるものを最初に取得して表示しました。
41.02K
しかし、イーサリアムに対する本当の脅威は、実際には国家ではありません(少なくとも今日は)。VCやプロトコルのキャリア主義者たちは、それを「安全でコンプライアンスに準拠したDeFi」のための輝くフィンテックの遊び場に中性化しようとしているのです。聞いてください:彼らは止められないコードを望んでいません。彼らは抵抗を望んでいません。彼らはクソみたいなコントロールを望んでいる。なぜなら、彼らは心の奥底で、イーサリアムが束縛されないままにしておくとどうなるかを知っているからだ:検閲に強く、プライバシーを第一に考えたグローバルな実行レイヤーであり、国家も、企業も、スーツのカルテルも決して止めることのできないものだ。これを実現しましょう。
19.35K
そのため、誰かがLinkedInであなたに有望な仕事の機会を連絡します。いいですね、イニット?彼らは合法的に見え(1分間確認した後)、短い会話の後、簡単なNext.js「募集タスク」を含むGitHubリポジトリを送ります。クローンを作成して実行します...そして10分後、ホットウォレットが空になったことに気づき、デバイスは完全に危険にさらされます。さて、何が起こったのでしょうか?私たち(=SEAL 911)がこの攻撃を何度も何度も見てきたという事実を踏まえて、最も重要な詳細のいくつかを開示させてください。
- まず、最も重要な注意点は、ランダムな男が送ってきたランダムなコードを実行しないことです。正直なところ、クソッタレはダメだ。
- リポジトリの_executable_設定ファイルを常に徹底的に確認してください。この特定のケースでは、「next.config.js」ファイルには、悪意のあるペイロードを右端に隠す大きなパディングがありました。
- 常に水平方向にスクロールする - コンテンツを見ても悪意のあるものが何も見当たらないからといって、それがきれいであるとは限りません。
重要: 悪意のあるコードは、信頼できるファイルの中に隠れていても、予期した場所には隠されていないことがあります。
このツイートが、少なくとも少数の将来の被害者がこの種の攻撃に引っかかるのを防ぐために、十分な数の人々に届くことを心から願っています。
34.43K
トップ
ランキング
お気に入り