Popularne tematy
#
Bonk Eco continues to show strength amid $USELESS rally
#
Pump.fun to raise $1B token sale, traders speculating on airdrop
#
Boop.Fun leading the way with a new launchpad on Solana.
wavey
to jest najbardziej fascynujące odkrycie zabezpieczeń 2025 roku, moim zdaniem:
"zero-day", na którym hakerzy cicho się pozycjonowali, licząc, że pozostanie ukryty, podczas gdy przyszła wypłata rosła.
na szczęście złapane w samą porę przez dobrych ludzi.
znakomita praca @deeberiroz @pcaversaccio @dedaub
10 lip, 22:13
To staje się jeszcze bardziej wyszukane: sposób, w jaki Etherscan został oszukany, aby pokazać niewłaściwy kontrakt implementacji, opiera się na ustawieniu 2 różnych slotów proxy w tej samej transakcji frontrunning. Etherscan używa pewnej heurystyki, która uwzględnia różne sloty pamięci, aby pobrać kontrakt implementacji.
Istnieje stary proxy od OpenZeppelin, który używał następującego slotu: `keccak256("org.zeppelinos.proxy.implementation")` = `0x7050c9e0f4ca769c69bd3a8ef740bc37934f8e2c036e5a723fd8ee048ed3f8c3`
Mamy teraz również standardowy slot EIP-1967 `bytes32(uint256(keccak256('eip1967.proxy.implementation')) - 1)` = `0x360894a13ba1a3210667c828492db98dca3e2076cc3735a920a3ca505d382bbc`
Co się stało, to to, że stary slot proxy OpenZeppelin został zapisany z benignym adresem implementacji _i_ standardowy slot EIP-1967 również został zapisany z złośliwym adresem implementacji. Ponieważ Etherscan najpierw zapytuje o stary slot proxy, najpierw pobrał ten wyglądający na nieszkodliwy i w ten sposób go wyświetlił.
5,78K
to jest najbardziej fascynujące odkrycie w dziedzinie bezpieczeństwa w 2025 roku, moim zdaniem:
"zero-day", na którym hakerzy cicho się koncentrowali, licząc, że pozostanie ukryty, podczas gdy przyszła wypłata będzie rosła.
na szczęście złapane w samą porę przez dobrych ludzi.
znakomita praca @deeberiroz @pcaversaccio @deeberiroz
10 lip, 22:13
To staje się jeszcze bardziej wyszukane: sposób, w jaki Etherscan został oszukany, aby pokazać niewłaściwy kontrakt implementacji, opiera się na ustawieniu 2 różnych slotów proxy w tej samej transakcji frontrunning. Etherscan używa pewnej heurystyki, która uwzględnia różne sloty pamięci, aby pobrać kontrakt implementacji.
Istnieje stary proxy od OpenZeppelin, który używał następującego slotu: `keccak256("org.zeppelinos.proxy.implementation")` = `0x7050c9e0f4ca769c69bd3a8ef740bc37934f8e2c036e5a723fd8ee048ed3f8c3`
Mamy teraz również standardowy slot EIP-1967 `bytes32(uint256(keccak256('eip1967.proxy.implementation')) - 1)` = `0x360894a13ba1a3210667c828492db98dca3e2076cc3735a920a3ca505d382bbc`
Co się stało, to to, że stary slot proxy OpenZeppelin został zapisany z benignym adresem implementacji _i_ standardowy slot EIP-1967 również został zapisany z złośliwym adresem implementacji. Ponieważ Etherscan najpierw zapytuje o stary slot proxy, najpierw pobrał ten wyglądający na nieszkodliwy i w ten sposób go wyświetlił.
100
coś, co mi się podoba w audytach @electisec:
ustalenia są śledzone jako problemy na githubie. dając deweloperom i audytorom wątek dyskusyjny oraz historię dla każdego elementu.
to jest znacznie bardziej wygodne i współpracy niż inne zaangażowania, które miałem, a które polegały na zarządzaniu plikami PDF lub dokumentami Word.
1,73K
Użytkownik wavey udostępnił ponownie
Dwie nowe propozycje uzupełnienia zapasów
1. Oszczędności reUSD ($sreUSD) nowy element DEFI
Wprowadzenie oszczędności reUSD, nowego skarbca stakingowego ERC-4626, który ma na celu zwiększenie popytu na $reUSD, nagradzanie długoterminowych posiadaczy oraz poprawę stabilności peg poprzez dynamiczny mechanizm opłat oparty na peg reUSD.
Link:
1/2
7,81K
fajny cotygodniowy raport + spostrzeżenia od @CurveFinance
4 lip, 02:38
Dobre plony?
5,5K
Najlepsze
Ranking
Ulubione