¡GM! Constructores
En este último número de HashingBits, profundizaremos en las reuniones de los desarrolladores principales de Ethereum y cubriremos todas las actualizaciones importantes del ecosistema Ethereum. Pero eso no es todo: exploraremos los últimos acontecimientos en los ecosistemas Polygon, Starknet y Avalanche, junto con los avances en el espacio de la IA y la Web3. Para los desarrolladores, destacamos las nuevas herramientas diseñadas para ayudar a los desarrolladores y auditores de contratos inteligentes. Y, por supuesto, profundizaremos en los titulares sobre el hackeo de la billetera multifirma WazirX de $235 millones y la pérdida de $9,7 millones del protocolo LiFi en la vulnerabilidad de los contratos inteligentes.
EtherScope: novedades principales 👨💻
Resumen de la llamada n.° 192 de All Core Devs: ejecución (ACDE)
Breve historia y situación actual de RIP-7212: revisar la asincronía y decidir sobre su inclusión (próximamente)
Llamado n.° 21 de los implementadores de Verkle: propuesta para reducir el tamaño de los testigos, actualizaciones de EIP6800 y EIP2935 y el costo de fragmentación del código
Una mejor diversidad geográfica es óptima, especialmente fuera de América del Norte y Europa.
Blocknative: visualización de datos de bloques autoconstruidos, que aumenta involuntariamente la volatilidad de la tarifa base
EIP7732 ePBS breakout #5: llamada corta, fugas de IP del proponente que solicitan encabezados del generador y correcciones de pruebas de especificaciones de consenso en progreso
Nethermind EVMYulLean: especificación EVM + Yul, ejecutable, en Lean
Capa 1 y capa 2
DefiLlama: el rastreador narrativo presenta retrospectivas más largas
Preconfs basado en la red de pruebas Helder ya está disponible
Shutterized Gnosis Chain ya está disponible
La red principal de Chromia MVP ya está activa
Anunciamos el Nexus 2.0 zkVM
Actualización de Simple DVT: SSV pasa a la red principal
TPRO Chain, una nueva cadena virtual se lanza en Aurora
La red de pruebas Viction DA ya está activa
Se lanza la red de pruebas Apechain Curtic
Anunciamos el lanzamiento de Ceramic-One
La migración del token nativo covalente fue exitosa
Blockscan Multichain Explorer (Beta) ya está aquí
Tangem lanza un nuevo anillo de billetera fría
Presentamos Gwyneth: un rollup basado en la sincronía con Ethereum
Introducción a la cadena polinómica
Presentamos Henez: la capa de liquidez de OmniDeFi
Propuesta de gobernanza de la Cámara de Estacas NEAR
La red de pruebas Shape está activa
LYNC está construyendo un Movimiento L2
Sistema de compensación LI.FI
Las reclamaciones de ETH.FI de la temporada 2 ya están activas
Resumen normativo de los activos de Curve PegKeeper
Una nota sobre cómo encontrar de forma segura el ciclo medio mínimo
Devolución del Bono de Delegación
La tesis de Fat Bera
Operación Spincaster de Chainalysis
Se retrasó la finalización del desplazamiento para investigar un posible incidente del ecosistema y se confirmó que Rho Markets era específico de la aplicación
Insignias L2BEAT: representación visual de las características de L2
Anunciamos la Fundación Avail
ERC
ERC7743: Tokens no fungibles multipropietario (MO-NFT)
ERC7744: Índice de código (código de bytes del contrato de índice)
ERC7746: Ganchos de middleware de seguridad componibles
EIP
EIP7745: Estructura de datos de filtro de registro bidimensional
EIP.tools agrega RIP (propuestas de mejora acumuladas)
EcoExpansiones: más allá de Ethereum 🚀
Polígono
La Cumbre de Agregación ya está aquí
Análisis en profundidad de Polygon Plonky3
¿Cómo se ven las transacciones de Polygon PoS si las reducimos a transacciones de acción de la aplicación?
Resumen semanal de juegos en Polygon
Polygon fija el 4 de septiembre como fecha para la migración a POL
Red de estrellas
Echa un vistazo a la hoja de ruta de Starknet
Todas las razones por las que deberías construir en Starknet
¡Starknet Wallet<>Dapp API está recibiendo una actualización importante con Starknet-js V6!
El programa de recompensas $STRK de Layerswap x Starkent ya está aquí
Decisión
¿El ACP-77 de Avalanche está despertando? Todo lo que necesitas saber sobre el ACP-77
Explicación de la transferencia de tokens entre cadenas de Avalanche
Comience a utilizar el kit de inicio ICTT de Avalanche
DevToolkit: elementos esenciales e innovaciones 🛠️
rindexer: herramienta de indexación EVM rápida y de código abierto en Rust
spice: cliente de Python para extraer datos de la API de Dune Analytics
Lodestar v1.20.2: parche para publicar bloques ciegos utilizando el nodo de baliza Lodestar y el cliente validador Lighthouse/Nimbus con MEV-Boost
Reth v1.0.3: corrección para la red principal de Base y la transmisión de relleno asincrónica
Rindexer, herramienta de indexación EVM en Rust, versión beta
Echidna v2.2.4: mejora la velocidad de fuzzing y la experiencia del usuario, agrega soporte para códigos de operación transitorios
El Asistente de auditoría agrega Cyfrin Aderyn (analizador estático de Solidity)
Damn Vulnerable DeFi v4: migración a Foundry, nuevos desafíos: títere curvilíneo, fragmentos, retiro y recompensador
Hackatones, talleres y eventos
Maelstrom de Arthur Hayes anuncia un programa de subvenciones de Bitcoin de hasta 250.000 dólares por desarrollador
Ganadores del concurso de pergaminos del Hackathon ETHGlobal
Ganadores del premio Uniswap del hackathon ETHGlobal
Ganadores del premio Hyperlane ETHGlobal Bruselas
Superhack en el hackathon Superchain
Explora las profundidades del conocimiento: artículos de investigación, blogs y tweets🔖
Gorjeo
Nexus 2.0 zkVM ya está aquí
Programa de estudios sobre monedas estables de Nic
Los riesgos y las recompensas de (re)staking
¿Cuántos usuarios reales de Web3?
No crees un juego en cadena
ELI5 - L3
IoTeX ha publicado su informe técnico 2.0
Escalado horizontal con ZKThreads
El hilo del libro blanco de Sink L2
¿Los rollups están sobrevalorados o infravalorados? Un análisis de la estructura de ingresos y costes de los rollups
Una importante actualización de FRI-Binius ofrece un mejor procesamiento por lotes, una recursión más rápida y pruebas más pequeñas
La economía de las L3
ERC-7739: Firmas mecanografiadas legibles para cuentas inteligentes
La crisis de escalabilidad de Ethereum: la capa de ejecución
Una mirada profunda al protocolo DeAI
Análisis en profundidad de los contratos inteligentes de Move
Explicación sencilla de EigenDa
Artículos
Explicación de la canalización de compilación de Solidity a través de IR: traduce Solidity a Yul (representación intermedia) para optimización en lugar de directamente a bytecode, plan para establecer el valor predeterminado con EOF
Desbordamiento oculto de Solidity: tipos de expresiones matemáticas convertidos al tipo más alto utilizado por las variables
Solady (fragmentos de Solidity): agrega servidores proxy mínimos ERC1967 con argumentos inmutables, verificados automáticamente en Etherscan
Z0r0z sstore3, almacenamiento de contratos de lectura/escritura utilizando saldo y dirección, licencia: AGPL v3
Ejemplos de extensión de ejecución de Reth (ExEx)
La escala OpenAI clasifica el progreso hacia la resolución de problemas a «nivel humano»
Documentos de investigación
Anders Elowsson: subasta de ejecución sellada, subasta de ranura Vickrey de derechos de propuesta de ejecución, los certificadores supervisan el esquema de compromiso/revelación facilitado por los constructores y el proponente de baliza
MEV-Boost de múltiples rondas: mitiga los aspectos negativos de las preconfiguraciones basadas y conserva los beneficios de los rollups basados
Aprendizaje federado heterogéneo privado sin un servidor confiable: algoritmos eficientes en términos de comunicación y óptimos en términos de errores para pérdidas convexas
FBChain: un modelo de aprendizaje federado basado en blockchain con eficiencia y comunicación segura
Ataques de manipulación de opiniones de caja negra a la generación aumentada de modelos lingüísticos de gran tamaño
Mira 🎥
Vigilancia de seguridad Web3 🛡️
Artículos
¿El mismo error dos veces? Descifrando el exploit de 9,7 millones de dólares del protocolo LiFi: informe post mortem
¿Otro ataque del grupo Lazarus? Descifrando el exploit de 235 millones de dólares de la billetera multifirma Wazirx: informe post mortem
Exploit de 1,4 millones de dólares en Mantle L2 mediante reentrada
Security Alliance (SEAL): respuesta a incidentes por violación del dominio de Squarespace
El robo de 230 millones de dólares en criptomonedas en Wazirx es una llamada de atención para los reguladores y el gobierno de la India
WazirX presenta una denuncia ante la policía tras un ataque informático de 230 millones de dólares y se pone en contacto con la unidad de delitos cibernéticos de la India
Documentos de investigación
Cómo identificar problemas de seguridad de contratos inteligentes en fragmentos de código de Stack Overflow
Detect Llama: cómo encontrar vulnerabilidades en contratos inteligentes mediante modelos de lenguaje de gran tamaño
Mejorar la precisión de la detección de transacciones Ponzi en Ethereum
La viabilidad de un «interruptor de seguridad» de contrato inteligente
Gorjeo
Un análisis exhaustivo sobre cómo se produjo el exploit Wazirx
WazirX: Anuncio de servicio público sobre el hackeo
Análisis en cadena del hackeo de más de 230 millones de dólares a WazirX, probablemente vinculado a Lazarus - ZachXBT
Baño de sangre en el exchange WazirX debido a que actualmente no hay liquidez del lado del comprador
Análisis de Mudit Gupta sobre el exploit Wazirx
Análisis de Zachxbt y rastreo de fondos tras el exploit de Wazirx
Hackeos y estafas 🚨
Wazir X
Pérdida ~ $235 millones
La billetera multisig de WazirX, administrada con Liminal, fue atacada y se perdieron $235 millones de los $451 millones de activos en cadena.
La billetera multifirma tenía 6 signatarios: 5 de WazirX y 1 de Liminal.
Los atacantes comprometieron a 3 firmantes de WazirX y 1 de Liminal mediante phishing.
Comprometieron directamente a dos signatarios de WazirX y usaron una interfaz de usuario Liminal falsa para engañar a los demás para que firmaran transacciones maliciosas.
Los atacantes actualizaron la billetera multifirma a un contrato malicioso, transfiriendo fondos continuamente.
ZachXBT rastreó transacciones hasta Tornado Cash, encontró transacciones de prueba y vinculó depósitos de Bitcoin con el hackeo.
WazirX culpó al sistema de Liminal, sospechando que se había reemplazado la carga útil durante la verificación de la transacción.
Liminal afirmó que la violación involucró una billetera creada fuera de su plataforma.
Lea el informe post mortem para conocer más detalles sobre todo el exploit.
Protocolo Li.Fi
Pérdida: $9,7 millones
El equipo de LiFi implementó el contrato GasZipFacet cinco días antes del ataque para permitir el reabastecimiento de gas para transacciones puente.
El atacante explotó una vulnerabilidad de llamada arbitraria a través de depositToGasZipERC20() en el contrato GasZipFacet, lo que permitió realizar transacciones no autorizadas.
Los usuarios con aprobaciones infinitas para direcciones de contratos LiFi específicos fueron el objetivo, lo que permitió al atacante realizar operaciones de transferencia desde no autorizadas.
El atacante diseñó llamadas de transacciones arbitrarias para ejecutar transferencias no autorizadas en lugar de intercambios de activos legítimos. Esto drenó cantidades significativas de USDT, USDC y DAI de los usuarios que habían dado una aprobación infinita al contrato de LiFi Diamond.
Los fondos robados se convirtieron en aproximadamente 2.857 ETH utilizando plataformas como Uniswap y Hop Protocol, y luego se dispersaron en múltiples billeteras.
Se utilizó Tornado Cash para ocultar el origen de los fondos robados, lo que dificultó rastrear su destino final.
Tokens explotados: Los tokens principales que el atacante logró obtener incluyen:
6.335.889 USDT
3.191.914 USDC
169.533 DAI
Lea el informe post mortem para saber más sobre el exploit.
Foco de la comunidad
https://x.com/quillaudits_ai/status/1812741356387016828
https://x.com/quillaudits_ai/status/1813845595788120405
https://x.com/quillaudits_ai/status/1813944615613219277
https://x.com/icphub_VN/status/1813873185127031109
https://x.com/quillaudits_ai/status/1814607085612483046