Chủ đề thịnh hành
#
Bonk Eco continues to show strength amid $USELESS rally
#
Pump.fun to raise $1B token sale, traders speculating on airdrop
#
Boop.Fun leading the way with a new launchpad on Solana.
wavey
đây là phát hiện bảo mật thú vị nhất năm 2025 theo ý kiến của tôi:
một "zero‑day" mà các hacker đã âm thầm chuẩn bị, đặt cược rằng nó sẽ vẫn ẩn giấu trong khi lợi nhuận tương lai gia tăng.
may mắn thay, đã được những người tốt phát hiện kịp thời.
công việc xuất sắc của @deeberiroz @pcaversaccio @dedaub
22:13 10 thg 7
Nó trở nên phức tạp hơn: cách mà Etherscan bị lừa hiển thị hợp đồng triển khai sai dựa trên việc thiết lập 2 slot proxy khác nhau trong cùng một giao dịch frontrunning. Vì vậy, Etherscan sử dụng một số heuristics nhất định kết hợp các slot lưu trữ khác nhau để truy xuất hợp đồng triển khai.
Có một proxy cũ của OpenZeppelin đã sử dụng slot sau: `keccak256("org.zeppelinos.proxy.implementation")` = `0x7050c9e0f4ca769c69bd3a8ef740bc37934f8e2c036e5a723fd8ee048ed3f8c3`
Bây giờ chúng ta cũng có slot tiêu chuẩn EIP-1967 `bytes32(uint256(keccak256('eip1967.proxy.implementation')) - 1)` = `0x360894a13ba1a3210667c828492db98dca3e2076cc3735a920a3ca505d382bbc`
Vậy điều gì đã xảy ra là slot proxy cũ của OpenZeppelin đã được ghi với địa chỉ triển khai vô hại _và_ slot EIP-1967 tiêu chuẩn cũng đã được ghi với địa chỉ triển khai độc hại. Vì Etherscan truy vấn trước slot proxy cũ, nó đã truy xuất địa chỉ nhìn có vẻ vô hại trước và do đó hiển thị nó.
5,81K
đây là phát hiện bảo mật thú vị nhất năm 2025 theo ý kiến của tôi:
a "zero‑day" mà các hacker đã âm thầm chuẩn bị, đặt cược rằng nó sẽ vẫn ẩn giấu trong khi lợi nhuận tương lai gia tăng.
may mắn thay, đã được những người tốt phát hiện kịp thời.
công việc xuất sắc của @deeberiroz @pcaversaccio @deeberiroz
22:13 10 thg 7
Nó trở nên phức tạp hơn: cách mà Etherscan bị lừa hiển thị hợp đồng triển khai sai dựa trên việc thiết lập 2 slot proxy khác nhau trong cùng một giao dịch frontrunning. Vì vậy, Etherscan sử dụng một số heuristics nhất định kết hợp các slot lưu trữ khác nhau để truy xuất hợp đồng triển khai.
Có một proxy cũ của OpenZeppelin đã sử dụng slot sau: `keccak256("org.zeppelinos.proxy.implementation")` = `0x7050c9e0f4ca769c69bd3a8ef740bc37934f8e2c036e5a723fd8ee048ed3f8c3`
Bây giờ chúng ta cũng có slot tiêu chuẩn EIP-1967 `bytes32(uint256(keccak256('eip1967.proxy.implementation')) - 1)` = `0x360894a13ba1a3210667c828492db98dca3e2076cc3735a920a3ca505d382bbc`
Vậy điều gì đã xảy ra là slot proxy cũ của OpenZeppelin đã được ghi với địa chỉ triển khai vô hại _và_ slot EIP-1967 tiêu chuẩn cũng đã được ghi với địa chỉ triển khai độc hại. Vì Etherscan truy vấn trước slot proxy cũ, nó đã truy xuất địa chỉ nhìn có vẻ vô hại trước và do đó hiển thị nó.
142
Điều tôi thích về các cuộc kiểm toán của @electisec:
Các phát hiện được theo dõi như các vấn đề trên github. Cung cấp cho các nhà phát triển và kiểm toán viên một chủ đề thảo luận và lịch sử cho mỗi mục.
Điều này tiện lợi và hợp tác hơn nhiều so với những trải nghiệm khác mà tôi đã có, liên quan đến việc quản lý các tài liệu pdf hoặc Word.
1,77K
wavey đã đăng lại
Hai Đề Xuất Cung Cấp Mới
1. Tiết kiệm reUSD ($sreUSD) một khối xây dựng DEFI mới
Giới thiệu tiết kiệm reUSD, một kho staking ERC-4626 mới nhằm tăng cường nhu cầu $reUSD, thưởng cho những người nắm giữ lâu dài và cải thiện sự ổn định của peg thông qua một cơ chế phí động dựa trên peg của reUSD.
Liên kết:
1/2
7,82K
báo cáo hàng tuần khá thú vị + những thông tin chi tiết từ @CurveFinance
02:38 4 thg 7
Lợi suất tốt?
5,53K
Hàng đầu
Thứ hạng
Yêu thích