GM! Bauherren
In dieser neuesten Ausgabe von HashingBits tauchen wir tief in die Core Developers Meetings von Ethereum ein und behandeln alle wichtigen Updates im Ethereum-Ökosystem. Aber das ist noch nicht alles – wir werden die neuesten Ereignisse in den Ökosystemen Polygon, Starknet und Avalanche sowie die Fortschritte im Bereich KI und Web3 untersuchen. Für Entwickler stellen wir neue Tools vor, die Entwickler und Prüfer von Smart Contracts unterstützen sollen. Und natürlich werden wir uns mit den Schlagzeilen über den Hack des WazirX Multisig Wallet im Wert von 235 Millionen US-Dollar und den Verlust von 9,7 Millionen US-Dollar des LiFi-Protokolls aufgrund der Sicherheitslücke bei Smart Contracts befassen.
EtherScope: Kernentwicklungen 👨💻
Zusammenfassung des Anrufs Nr. 192 von All Core Devs – Ausführung (ACDE)
Kurze Geschichte und aktuelle Situation von RIP-7212: Asynchron prüfen und über Aufnahme entscheiden (bald)
Verkle-Implementierer-Aufruf Nr. 21: Vorschlag zur Reduzierung der Zeugengröße, Aktualisierungen für EIP6800 und EIP2935 sowie Kosten für Code-Chunking
Eine bessere geografische Vielfalt ist optimal, insbesondere außerhalb Nordamerikas und Europas
Blocknative: Datenvisualisierung selbst erstellter Blöcke erhöht unbeabsichtigt die Volatilität der Basisgebühren
EIP7732 ePBS-Breakout Nr. 5: Kurzanruf, IP-Lecks des Antragstellers, die Header vom Builder anfordern, und Konsensspezifikationstests, Fehlerbehebungen in Arbeit
Nethermind EVMYulLean: EVM + Yul-Spezifikation, ausführbar, in Lean
Schicht1 und Schicht2
DefiLlama: Narrative Tracker bietet längere Rückblicke
Basierend auf Preconfs ist jetzt im Testnetz Helder live
Shutterized Gnosis Chain ist live
Chromia MVP Mainnet ist live
Ankündigung der Nexus 2.0 zkVM
Einfaches DVT-Update: SSV geht zum Mainnet
TPRO Chain, eine neue virtuelle Kette startet auf Aurora
Das Viction DA-Testnetz ist live
Apechain Testnet Curtic startet
Kündigen Sie die Veröffentlichung von Ceramic-One an
Kovalente native Tokenmigration erfolgreich
Blockscan Multichain Explorer (Beta) ist da
Tangem bringt neuen Cold Wallet-Ring auf den Markt
Wir stellen vor: Gwyneth – ein basierendes Rollup, das synchron mit Ethereum zusammengestellt werden kann
Einführung in die Polynomkette
Einführung von Henez - OmniDeFi Liquidity Layer
NEAR-Vorschlag zur Governance des House of Stake
Das Shape-Testnetz ist live
LYNC baut eine Bewegung L2
LI.FI-Entschädigungssystem
ETH.FI-Ansprüche der zweiten Staffel sind live
Kurzbericht zu den Regulierungen für Curve PegKeeper Assets
Ein Hinweis zum sicheren Finden des minimalen Mittelzyklus
Rückgabe des Delegationsgutscheines
Die Fat-Bera-These
Kettenanalyse-Operation Spincaster
Scroll verzögerte die Fertigstellung, um einen möglichen Vorfall im Ökosystem zu untersuchen. Es wurde bestätigt, dass Rho Markets anwendungsspezifisch war.
L2BEAT-Abzeichen: visuelle Darstellung von L2-Funktionen
Ankündigung der Avail Foundation
Europäische Forschungskommissionen
ERC7743: Nicht fungible Token mit mehreren Eigentümern (MO-NFT)
ERC7744: Codeindex (Indexvertrags-Bytecode)
ERC7746: Zusammensetzbare Sicherheits-Middleware-Hooks
EIB
EIP7745: Zweidimensionale Log-Filter-Datenstruktur
EIP.tools fügt RIPs (Rollup-Verbesserungsvorschläge) hinzu
EcoExpansions: Über Ethereum hinaus 🚀
Vieleck
Der Aggregation Summit ist da
Tauchen Sie tief in Polygon Plonky3 ein
Wie sehen Polygon PoS-Transaktionen aus, wenn wir sie auf App-Action-Transaktionen reduzieren?
Wöchentlicher Gaming-Roundup auf Polygon
Polygon legt 4. September als Datum für die Migration zu POL fest
Starknet
Werfen Sie einen Blick auf die Roadmap von Starknet
Alle Gründe, warum Sie auf Starknet bauen sollten
Starknet Wallet<>Dapp API erhält mit Starknet-js V6 ein umfangreiches Update!
Das Layerswap x Starkent $STRK-Prämienprogramm ist da
Entscheidung
Avalanches ACP-77-Wiedererwachen? Alles, was Sie über ACP-77 wissen müssen
Erläuterung des Avalanche Interchain Token Transfers
Erste Schritte mit dem Avalanche ICTT Starter Kit
DevToolkit: Grundlagen und Innovationen 🛠️
rindexer – Open Source, schnelles EVM-Indizierungstool in Rust
Spice – Python-Client zum Extrahieren von Daten aus der Dune Analytics API
Lodestar v1.20.2: Patch zum Veröffentlichen von Blindblöcken mithilfe des Lodestar-Beacon-Knotens und des Lighthouse/Nimbus-Validator-Clients mit MEV-Boost
Reth v1.0.3: Fix für Base-Mainnet und asynchronen Backfill-Stream
Rindexer, EVM-Indizierungstool in Rust, Beta
Echidna v2.2.4: verbessert die Fuzzing-Geschwindigkeit und das Benutzererlebnis, fügt Unterstützung für transiente Opcodes hinzu
Audit Wizard fügt Cyfrin Aderyn hinzu (statischer Solidity-Analysator)
Damn Vulnerable DeFi v4: zu Foundry migriert, neue Herausforderungen: Curvy Puppet, Shards, Auszahlung und Belohnung
Hackathons, Workshops & Events
Arthur Hayes‘ Maelstrom kündigt Bitcoin-Förderprogramm von bis zu 250.000 US-Dollar pro Entwickler an
Gewinner des Scroll-Kopfgeldes beim ETHGlobal Hackathon
Gewinner des ETHGlobal Hackathon Uniswap Bounty
Gewinner des Hyperlane-Kopfgeldes ETHGlobal Brüssel
Superhack beim Superchain-Hackathon
Entdecken Sie die Tiefen des Wissens: Forschungsarbeiten, Blogs und Tweets🔖
Þjórsárden
Nexus 2.0 zkVM ist da
Nics Stablecoin-Lehrplan
Die Risiken und Vorteile des (Re-)Stakings
Wie viele Web3-Benutzer sind echt
Bauen Sie kein Onchain-Spiel
ELI5 – L3s
IoTeX hat sein Whitepaper 2.0 veröffentlicht
Horizontale Skalierung mit ZKThreads
Der Sink L2-Whitepaper-Thread
Sind Rollups über- oder unterbewertet? Eine Analyse der Umsatz- und Kostenstruktur von Rollups
Ein umfassendes Update von FRI-Binius ermöglicht besseres Batching, schnellere Rekursion und kleinere Beweise
Die Ökonomie von L3s
ERC-7739: Lesbare typisierte Signaturen für Smart Accounts
Ethereums Skalierbarkeitskrise: Die Ausführungsschicht
Ein tiefer Einblick in das DeAI-Protokoll
Detaillierter Einblick in Move Smart Contracts
Einfache Erklärung von EigenDa
Artikel
Erläuterung zur Kompilierungspipeline von Solidity via IR: übersetzt Solidity zur Optimierung in Yul (Zwischendarstellung) statt direkt in Bytecode, geplante Festlegung als Standard mit EOF
Versteckter Überlauf von Solidity: Mathematische Ausdruckstypen werden auf den höchsten von Variablen verwendeten Typ konvertiert
Solady (Solidity-Snippets): fügt minimale ERC1967-Proxys mit unveränderlichen Argumenten hinzu, automatisch verifiziert auf Etherscan
Z0r0z sstore3, Vertragsspeicher mithilfe von Guthaben und Adresse lesen/schreiben, Lizenz: AGPL v3
Beispiele für die Reth Execution Extension (ExEx)
OpenAI-Skala bewertet Fortschritt bei der Problemlösung auf „menschlichem Niveau“
Forschungsberichte
Anders Elowsson: versiegelte Vollstreckungsauktion, Vickrey-Slot-Auktion von Vollstreckungsvorschlagsrechten, Attestierer beaufsichtigen Commit/Reveal-Schema, unterstützt durch Builders & Beacon Proposer
Mehrrunden-MEV-Boost: Negative basierte Preconfs abmildern und Vorteile basierte Rollups beibehalten
Privates heterogenes föderiertes Lernen ohne vertrauenswürdigen Server – erneut betrachtet: Fehleroptimale und kommunikationseffiziente Algorithmen für konvexe Verluste
FBChain: Ein Blockchain-basiertes Federated-Learning-Modell mit Effizienz und sicherer Kommunikation
Black-Box-Angriffe zur Meinungsmanipulation bei der durch Retrieval unterstützten Generierung großer Sprachmodelle
Ansehen 🎥
Web3-Sicherheitsüberwachung 🛡️
Artikel
Zweimal derselbe Fehler? Entschlüsselung des 9,7-Millionen-Dollar-Exploits des LiFi-Protokolls: Post-Mortem-Bericht
Ein weiterer Angriff der Lazarus-Gruppe? Entschlüsselung des 235-Millionen-Dollar-Exploits von Wazirx Multisig Wallet: Post-Mortem-Bericht
Minterest-Exploit im Wert von 1,4 Mio. $ auf Mantle L2 mittels Reentrancy
Security Alliance (SEAL): Reaktion auf den Vorfall im Zusammenhang mit der Kompromittierung der Squarespace-Domäne
Der 230 Millionen Dollar schwere Kryptodiebstahl bei Wazirx ist ein Weckruf für die indischen Regulierungsbehörden und die Regierung
WazirX erstattet Anzeige bei der Polizei nach Hackerangriff im Wert von 230 Millionen US-Dollar und arbeitet mit der indischen Cybercrime-Einheit zusammen
Forschungsberichte
Identifizieren von Smart Contract-Sicherheitsproblemen in Code-Snippets von Stack Overflow
Detect Llama – Auffinden von Schwachstellen in Smart Contracts mithilfe großer Sprachmodelle
Verbesserung der Genauigkeit der transaktionsbasierten Ponzi-Erkennung auf Ethereum
Die Machbarkeit eines Smart Contract „Kill Switch“
Þjórsárden
Eine umfassende Analyse, wie es zum Wazirx-Exploit kam
WazirX: PSA zum Hack
Kettenanalyse des WazirX-Hacks im Wert von über 230 Mio. $, wahrscheinlich mit Lazarus verbunden – ZachXBT
Blutbad an der WazirX-Börse aufgrund der Tatsache, dass es derzeit keine Liquidität auf der Kaufseite gibt
Mudit Guptas Analyse zu Wazirx Exploit
Zachxbt-Analyse und Fondsverfolgung nach Wazirx Exploit
Hacks und Betrügereien 🚨
WazirX
Verlust ~ 235 Mio. $
Das mit Liminal verwaltete Multisig-Wallet von WazirX wurde ausgenutzt, wobei 235 Millionen US-Dollar von 451 Millionen US-Dollar an On-Chain-Vermögenswerten verloren gingen.
Das Multisig-Wallet hatte 6 Unterzeichner: 5 von WazirX und 1 von Liminal.
Angreifer haben durch Phishing 3 WazirX- und 1 Liminal-Unterzeichner kompromittiert.
Sie haben zwei WazirX-Unterzeichner direkt kompromittiert und eine gefälschte Liminal-Benutzeroberfläche verwendet, um die anderen dazu zu verleiten, böswillige Transaktionen zu unterzeichnen.
Angreifer rüsteten die Multisig-Wallet zu einem bösartigen Vertrag auf, der kontinuierlich Geld überwies.
ZachXBT verfolgte Transaktionen zu Tornado Cash, fand Testtransaktionen und verknüpfte Bitcoin-Einzahlungen mit dem Hack.
WazirX machte das System von Liminal dafür verantwortlich und vermutete einen Payload-Ersatz während der Transaktionsüberprüfung.
Liminal gab an, dass der Verstoß auf eine außerhalb ihrer Plattform erstellte Wallet zurückzuführen sei.
Lesen Sie den Post-mortem-Bericht, um weitere Einzelheiten zum gesamten Exploit zu erfahren.
Li.Fi-Protokoll
Verlust - 9,7 Mio. USD
Das LiFi-Team hat den GasZipFacet-Vertrag fünf Tage vor dem Angriff bereitgestellt, um das Auftanken von Gas für Überbrückungstransaktionen zu ermöglichen.
Der Angreifer hat eine beliebige Aufrufschwachstelle über depositToGasZipERC20() im GasZipFacet-Vertrag ausgenutzt und so nicht autorisierte Transaktionen ermöglicht.
Das Ziel waren Benutzer mit unbegrenzten Genehmigungen für bestimmte LiFi-Vertragsadressen, wodurch der Angreifer nicht autorisierte TransferFrom-Vorgänge durchführen konnte.
Der Angreifer erstellte willkürliche Transaktionsaufrufe, um nicht autorisierte Überweisungen anstelle von legitimen Asset-Swaps auszuführen. Dadurch wurden den Benutzern, die dem LiFi Diamond-Vertrag unbegrenzte Zustimmung erteilt hatten, erhebliche Mengen an USDT, USDC und DAI entzogen.
Die gestohlenen Gelder wurden mithilfe von Plattformen wie Uniswap und Hop Protocol in etwa 2.857 ETH umgewandelt und dann auf mehrere Wallets verteilt.
Tornado Cash wurde verwendet, um die Herkunft der gestohlenen Gelder zu verschleiern, wodurch es schwierig wurde, ihr endgültiges Ziel zu ermitteln.
Ausgenutzte Token: Zu den wichtigsten Token, die der Angreifer erbeutet hat, gehören:
6.335.889 USDT
3.191.914 USDC
169.533 DAI
Lesen Sie den Post-Mortem-Bericht, um mehr über den Exploit zu erfahren.
Community-Spotlight
https://x.com/quillaudits_ai/status/1812741356387016828
https://x.com/quillaudits_ai/status/1813845595788120405
https://x.com/quillaudits_ai/status/1813944615613219277
https://x.com/icphub_VN/status/1813873185127031109
https://x.com/quillaudits_ai/status/1814607085612483046