BlockThreat - Uke 28, 2025 💙 Sponset av @SecurityOak 🔥 Masseutnyttelse av proxy-kontrakter oppdaget av @deeberiroz og hvithattet av @pcaversaccio @dedaub og @_SEAL_Org 💸 @GMX_IO reentrancy-hack $42M ($37M gjenopprettet) 💸 @KintoXYZ ikke-initialisert proxy. $ 1.55 millioner

Leksjoner for sikkerhetseksperter: Overvåk proxy grundig. Overvåk delegatanropskjeder (enkelt å gjøre i appen vår) og sørg for lagringsintegritet med komplekse proxying-mønstre. Rekvisitter går til @deeberiroz @VennBuild @pcaversaccio @_SEAL_Org Vær årvåken.

så jeg fant ut at det er enda mer avansert. Jeg observerte at frontrunning tx (av angriperne) kaller 'initialize' og protokoller kaller også _vellykket_ 'initialize' etter (dermed tror de at alt er normalt). Men vent, hvordan er dette i det hele tatt mulig? Jeg måtte se veldig dypt inn i endringene i lagringssporene og gjette hva jeg fant: de _tilbakestiller_ '_initialized' lagringssporverdien på slutten av frontrunning tx (etter at de byttet til den ondsinnede implementeringskontrakten). Dette betyr at proxy-lagringen ser ut nå som den aldri ble initialisert. Det relevante lagringssporet å se på er 'keccak256(abi.encode(uint256(keccak256(" - 1)) & ~bytes32(uint256(0xff))' = '0xf0c57e16840df040f15088dc2f81fe391c3923bec73e23a9662efc9c229c6a00' Dette er ondskap på neste nivå.

Tidligere denne uken ble det identifisert en potensiell sårbarhet i Orderlys cross-chain manager-kontrakt på BNB-kjeden. Som svar ble vårt BNB-hvelv for innskudd og uttak umiddelbart satt på pause, kontrakter ble migrert og innskudd/uttak gjenopptatt innen 2 timer. ✅ Ingen brukermidler er i faresonen, eller gikk tapt. Spesiell takk til @deeberiroz, @VennBuild, @seal_911, @pcaversaccio og resten av teamet som hjalp til med å flagge dette! Tryggere sammen 🤝

[5/5] Navneopprop ved takknemlighet • @SlowMist_Team for uavbrutt triage og oppdatering • @dedaub, @pcaversaccio og det @seal_911 krigsrommet for et 36-timers kodesveip • @etherscan for lynrask opprydding i brukergrensesnittet • Og igjen, takk @deeberiroz, @VennBuild, @davidberiro – heads-up reddet dagen 💙

Det blir enda mer fancy: måten Etherscan ble lurt på ved å vise feil implementeringskontrakt er basert på å sette 2 forskjellige proxy-spor i samme frontrunning tx. Så Etherscan bruker en viss heuristikk som inneholder forskjellige lagringsspor for å hente implementeringskontrakten. Det er en gammel proxy av OpenZeppelin som brukte følgende spor: 'keccak256("org.zeppelinos.proxy.implementation")' = '0x7050c9e0f4ca769c69bd3a8ef740bc37934f8e2c036e5a723fd8ee048ed3f8c3' Vi har nå også standard EIP-1967-sporet 'bytes32(uint256(keccak256('eip1967.proxy.implementation')) - 1)' = '0x360894a13ba1a3210667c828492db98dca3e2076cc3735a920a3ca505d382bbc' Så det som skjedde er at det gamle OpenZeppelin-proxy-sporet ble skrevet til med den godartede implementeringsadressen _og_ standard EIP-1967-sporet ble også skrevet til med den ondsinnede implementeringsadressen. Siden Etherscan først spør etter det gamle proxy-sporet, hentet den den godartede utseendet først og viste den dermed.

RT @devops199fan: .@seal_911 fungerer i utgangspunktet som kryptos frivillige globale sikkerhetsoperasjonssenter (GSOC) Vi er heldige som har folk som ...

Jeg vet ikke mann, men den virkelige trusselen mot Ethereum er faktisk ikke staten (i hvert fall ikke i dag). Det er VC-ene og protokollkarriereistene som prøver å kastrere det til en skinnende fintech-lekeplass for "trygg", kompatibel DeFi. Hør på meg: De vil ikke ha ustoppelig kode. De vil ikke ha motstand. De vil ha jævla _kontroll_. For innerst inne vet de hva Ethereum kan bli hvis det blir stående ulenket: et sensurbestandig, personvern-først globalt henrettelseslag som ingen stat, ikke noe korps, ikke noe kartell av drakter noen gang kan stoppe. La oss gjøre dette til en realitet.

Så noen kontakter deg på LinkedIn med en lovende jobbmulighet. Høres fint ut, ikke sant? De virker legitime (etter å ha sjekket dem i 1 min), og etter en kort samtale sender de deg en GitHub-repo med en enkel Next.js "rekrutteringsoppgave". Du kloner den, kjører den ... og 10 minutter senere er enheten din fullstendig kompromittert når du finner ut at de varme lommebøkene dine ble tømt. Ok, hva skjedde? Gitt det faktum at vi (= SEAL 911) har sett dette angrepet om og om igjen, la meg avsløre noen av de viktigste detaljene: - først, det viktigste forbeholdet: IKKE kjør tilfeldig kode som en tilfeldig fyr sendte deg. Ærlig talt, faen ikke. - Sjekk alltid de _kjørbare_ konfigurasjonsfilene til repositoriene grundig. I dette spesielle tilfellet hadde 'next.config.js'-filen en stor polstring som skjulte den ondsinnede nyttelasten langt til høyre. - Rull alltid horisontalt – bare fordi du ikke ser noe ondsinnet når du ser på innholdet, betyr det ikke at det er rent. Viktig: Skadelig kode kan skjules i filer du stoler på, bare ikke der du forventer det. Jeg håper virkelig denne tweeten når nok mennesker til å forhindre at i det minste noen få fremtidige ofre faller for denne typen angrep.

se, jeg er vanligvis en stor tilhenger av Proton. Men i en verden full av infotyvere, ber du ikke folk om å lagre sine private nøkler til kryptolommeboken i en passordbehandler - selv om det er Proton Pass! Og la oss være tydelige: du bør heller ikke lagre ting som pass, førerkort, medisinske journaler eller personnummer i en passordbehandler. Hvis du blir kompromittert, kan alt dette brukes til å bestå KYC-kontroller og stjele identiteten eller eiendelene dine. Jeg respekterer Proton, men seriøst fuck dette. Det er ikke slik du sikrer de mest kritiske dataene dine.