Trendande ämnen
#
Bonk Eco continues to show strength amid $USELESS rally
#
Pump.fun to raise $1B token sale, traders speculating on airdrop
#
Boop.Fun leading the way with a new launchpad on Solana.
wavey
Detta är 2025:s mest fascinerande säkerhetsfynd IMO:
En "zero-day" som hackare i tysthet positionerade sig på och satsade på att den skulle förbli dold medan den framtida utdelningen växte.
Tack och lov fångad precis i tid av de goda.
Enastående arbete av @deeberiroz @pcaversaccio @dedaub
10 juli 22:13
Det blir ännu mer tjusigt: sättet som Etherscan lurades att visa fel implementeringskontrakt bygger på att ställa in 2 olika proxyplatser i samma frontrunning tx. Så Etherscan använder en viss heuristik som innehåller olika lagringsplatser för att hämta implementeringskontraktet.
Det finns en gammal proxy från OpenZeppelin som använde följande plats: 'keccak256("org.zeppelinos.proxy.implementation")' = '0x7050c9e0f4ca769c69bd3a8ef740bc37934f8e2c036e5a723fd8ee048ed3f8c3'
Vi har nu också standard EIP-1967-platsen 'bytes32(uint256(keccak256('eip1967.proxy.implementation')) - 1)' = '0x360894a13ba1a3210667c828492db98dca3e2076cc3735a920a3ca505d382bbc'
Så vad som hände är att den gamla OpenZeppelin-proxyplatsen skrevs till med den godartade implementeringsadressen _och_ standardplatsen EIP-1967 skrevs också till med den skadliga implementeringsadressen. Eftersom Etherscan först frågar efter den gamla proxyplatsen, hämtade den den godartade först och visade den på så sätt.
5,81K
Detta är 2025:s mest fascinerande säkerhetsfynd IMO:
En "zero-day" som hackare i tysthet positionerade sig på och satsade på att den skulle förbli dold medan den framtida utdelningen växte.
Tack och lov fångad precis i tid av de goda.
Enastående arbete av @deeberiroz @pcaversaccio @deeberiroz
10 juli 22:13
Det blir ännu mer tjusigt: sättet som Etherscan lurades att visa fel implementeringskontrakt bygger på att ställa in 2 olika proxyplatser i samma frontrunning tx. Så Etherscan använder en viss heuristik som innehåller olika lagringsplatser för att hämta implementeringskontraktet.
Det finns en gammal proxy från OpenZeppelin som använde följande plats: 'keccak256("org.zeppelinos.proxy.implementation")' = '0x7050c9e0f4ca769c69bd3a8ef740bc37934f8e2c036e5a723fd8ee048ed3f8c3'
Vi har nu också standard EIP-1967-platsen 'bytes32(uint256(keccak256('eip1967.proxy.implementation')) - 1)' = '0x360894a13ba1a3210667c828492db98dca3e2076cc3735a920a3ca505d382bbc'
Så vad som hände är att den gamla OpenZeppelin-proxyplatsen skrevs till med den godartade implementeringsadressen _och_ standardplatsen EIP-1967 skrevs också till med den skadliga implementeringsadressen. Eftersom Etherscan först frågar efter den gamla proxyplatsen, hämtade den den godartade först och visade den på så sätt.
144
Något jag gillar med @electisec revisioner:
Resultaten spåras som GitHub-problem. Ge utvecklare + revisorer en diskussionstråd och historik för varje objekt.
detta är mycket bekvämare och mer samarbetsinriktat än andra engagemang jag har haft som involverar hantering av PDF-filer eller Word-dokument.
1,77K
wavey delade inlägget
Två nya förslag till proviantering
1. Besparingar reUSD ($sreUSD) en ny DEFI-byggsten
Introducera spar reUSD, ett nytt ERC-4626 stakingvalv som syftar till att öka $reUSD efterfrågan, belöna långsiktiga innehavare och förbättra peg-stabiliteten genom en dynamisk avgiftsmekanism baserad på reUSD:s peg.
Länk:
1/2
7,82K
Ganska snygg veckorapport + insikter av @CurveFinance
4 juli 02:38
Bra skördar?
5,53K
Topp
Rankning
Favoriter