Актуальные темы
#
Bonk Eco continues to show strength amid $USELESS rally
#
Pump.fun to raise $1B token sale, traders speculating on airdrop
#
Boop.Fun leading the way with a new launchpad on Solana.
wavey
это самое увлекательное открытие в области безопасности 2025 года, на мой взгляд:
"ноль-день", на который хакеры тихо ставили, надеясь, что он останется скрытым, пока будущая выгода не вырастет.
К счастью, его поймали вовремя хорошие парни.
Выдающаяся работа @deeberiroz @pcaversaccio @dedaub
10 июл., 22:13
Ситуация становится еще более интересной: способ, которым Etherscan был обманут, показывая неправильный контракт реализации, основан на установке 2 различных прокси-слотов в одной транзакции фронтраннинга. Таким образом, Etherscan использует определенную эвристику, которая включает различные слоты хранения для получения контракта реализации.
Существует старый прокси от OpenZeppelin, который использовал следующий слот: `keccak256("org.zeppelinos.proxy.implementation")` = `0x7050c9e0f4ca769c69bd3a8ef740bc37934f8e2c036e5a723fd8ee048ed3f8c3`
Теперь у нас также есть стандартный слот EIP-1967 `bytes32(uint256(keccak256('eip1967.proxy.implementation')) - 1)` = `0x360894a13ba1a3210667c828492db98dca3e2076cc3735a920a3ca505d382bbc`
Таким образом, что произошло: старый слот прокси OpenZeppelin был записан с доброкачественным адресом реализации _и_ стандартный слот EIP-1967 также был записан с вредоносным адресом реализации. Поскольку Etherscan сначала запрашивает старый слот прокси, он сначала извлекает доброкачественный, и, таким образом, отображает его.
5,79K
это самое увлекательное открытие в области безопасности 2025 года, на мой взгляд:
"ноль-день", на который хакеры тихо ставили ставки, надеясь, что он останется скрытым, пока будущая выгода не вырастет.
К счастью, его вовремя поймали хорошие парни.
Отличная работа @deeberiroz @pcaversaccio @deeberiroz
10 июл., 22:13
Ситуация становится еще более интересной: способ, которым Etherscan был обманут, показывая неправильный контракт реализации, основан на установке 2 различных прокси-слотов в одной транзакции фронтраннинга. Таким образом, Etherscan использует определенную эвристику, которая включает различные слоты хранения для получения контракта реализации.
Существует старый прокси от OpenZeppelin, который использовал следующий слот: `keccak256("org.zeppelinos.proxy.implementation")` = `0x7050c9e0f4ca769c69bd3a8ef740bc37934f8e2c036e5a723fd8ee048ed3f8c3`
Теперь у нас также есть стандартный слот EIP-1967 `bytes32(uint256(keccak256('eip1967.proxy.implementation')) - 1)` = `0x360894a13ba1a3210667c828492db98dca3e2076cc3735a920a3ca505d382bbc`
Таким образом, что произошло: старый слот прокси OpenZeppelin был записан с доброкачественным адресом реализации _и_ стандартный слот EIP-1967 также был записан с вредоносным адресом реализации. Поскольку Etherscan сначала запрашивает старый слот прокси, он сначала извлекает доброкачественный, и, таким образом, отображает его.
105
что мне нравится в аудитах @electisec:
результаты отслеживаются как проблемы на github. Это дает разработчикам и аудиторам возможность обсуждать и вести историю по каждому пункту.
это гораздо удобнее и совместнее, чем другие взаимодействия, с которыми я сталкивался, которые включают управление pdf или документами Word.
1,74K
wavey сделал репост
Два новых предложения по пополнению запасов
1. Сбережения reUSD ($sreUSD) - новый строительный блок DEFI
Представляем сбережения reUSD, новый стейкинг-кошелек ERC-4626, который нацелен на увеличение спроса на $reUSD, вознаграждение долгосрочных держателей и улучшение стабильности привязки через динамический механизм сборов, основанный на привязке reUSD.
Ссылка:
1/2
7,81K
довольно интересный еженедельный отчет + аналитика от @CurveFinance
4 июл., 02:38
Хорошая доходность?
5,5K
Топ
Рейтинг
Избранное