GM! constructores
En este último número de HashingBits, profundizaremos en las reuniones de desarrolladores principales de Ethereum y cubriremos todas las actualizaciones importantes en el ecosistema de Ethereum. Pero eso no es todo: exploraremos los últimos acontecimientos en los ecosistemas Polygon, Arbitrum y Optimism, junto con eventos recientes en ETHCC y avances en el espacio AI y Web3. Para los desarrolladores, destacamos nuevas herramientas diseñadas para ayudar a los desarrolladores y auditores de contratos inteligentes. Y, por supuesto, profundizaremos en los titulares sobre el hackeo de la billetera Bittensor de 8 millones de dólares y la pérdida de 1,94 millones de dólares de Dough Finance en ataques de préstamos urgentes.
EtherScope: novedades principales 👨💻
Resumen de todos los desarrolladores principales: consenso (ACDC) n.° 137
¿Por qué Marius Van Der Wijden está contra EOF en Pectra?
Una mirada al breakout#3de PeerDAS
Profundización en el modelo de resistencia a la censura
Constantine v0.1: implementaciones de firmas BLS, precompilaciones BN254 y BLS12–381
Lido ha implementado el módulo DVT simple impulsado por SSV
Vitalik Buterin presiona para que Ethereum responda a los ataques del 51% de una manera más automatizada
Análisis cuantitativo de las certificaciones
Capa 1 y capa 2
Péter Szilágyi: biblioteca SSZ implementada en Go
RollCall (estándares L2) n.° 6: Discusión sobre el aumento de la tarifa base de blobs L1 y presentaciones sobre la precompilación RIP7728 L1SLOAD y las fábricas de implementación deterministas de preinstalación RIP7740
Titan Builder eth_sendBlobs: envía permutaciones de transacciones de blobs desde un único remitente
El protocolo Kernel está activo
Vesu está en vivo en Starknet
La Fundación Worldcoin lanza la versión preliminar para desarrolladores de World Chain
Presentamos Puffer UniFi: el paquete acumulativo basado en Puffer
Penumbra está en vivo
Skale presenta la actualización Pacifica V3
LayerZero e Initia están desarrollando un estándar de interoperabilidad para Cosmos
Presentamos Termina: el estado final del escalamiento de SVM
Reducción de la inflación de Evmos
Anuncio del lanzamiento habitual de la red principal pública
La red OEV está activa
Omni Network lanza Streams
Starknet abrirá el staking a finales de este año
Presentamos la red de automatización comercial de Halliday
Exodus lanza la billetera Passkeys
Justin Sun: la stablecoin sin gas llegará en el cuarto trimestre a Tron, seguida de Ethereum y todas las cadenas EVM
TAC se asocia con Polygon para brindar compatibilidad con EVM al ecosistema TON
Notcoin, 1inch y Sign lanzan un acelerador para los ecosistemas de Telegram y TON
Presentamos el programa de puntos de combustible
Ahora puedes seguir las narraciones en DefiLlama
dDocs: Google Docs en cadena ya está aquí
Presentamos Story Network, la cadena de bloques IP del mundo
ERC
ERC7737: Modelo de acceso a datos personalizado
ERC7738: Registro de scripts sin permisos
ERC7739: Firmas mecanografiadas legibles para cuentas inteligentes
ERC7741: Autorizar operador (a través de firmas EIP712 secp256k1)
EIP
EIP7742: Desacoplar el recuento de blobs entre CL y EL
EIP.tools agrega EIP-GPT, resumen generado por IA de un EIP/ERC
Descansen en paz
• RIP7740: Preinstalar fábricas de implementación deterministas
EcoExpansiones: más allá de Ethereum 🚀
Polígono
La prueba Alpha v3 de Polygon Miden ya está disponible
Resumen semanal de juegos en Polygon
Echa un vistazo a las actualizaciones semanales en Polygon
TON está construyendo un L2 impulsado por zk usando Polygon CDK que se conectará a AggLayer
El número de direcciones activas en @0xPolygon PoS ha aumentado un 227% desde principios de año
Optimismo
La actualización de OP Stack Fjord ya está aquí, verificación de clave de billetera inteligente más económica a través de la precompilación RIP7212 secp256r1 y costos de disponibilidad de datos entre un 5 y un 15 % más bajos a través de la compresión del canal Brotli.
SuperFest, el festival DeFi de Superchain, ya está aquí oficialmente.
Una explicación sencilla de la supercadena
RIP-7212 ya está disponible en Superchain.
La red de pruebas Celo L2 Dango ahora está en OP Stack
Decisión
La aplicación No-Code Deployer para Rollups está disponible en colaboración con Arbitrum
Karak presenta la función de resttaking para Arbitrum
Arbitrum ha integrado OKX Wallet en su puente
Tres propuestas importantes de ArbitrumDAO
DevToolkit: elementos esenciales e innovaciones 🛠️
Lodestar v1.20.0: el paquete lodestar/api cambia los tipos exportados, se actualizan los indicadores para usar las API SSZ con el cliente validador y los ENR de bootnode de testnet.
Besu v24.7.0: agrega compatibilidad con eth_maxPriorityFeePerGas y mejoras en el rendimiento de sincronización, emparejamiento e inicio
Erigon v2.60.3: agrega la opción de incluir precompilaciones al seguimiento
Geth v1.14.7: corrección de errores de lectura y escritura simultáneas de mapas en v1.14.6
Reth v1.0.1: mejoras en el rendimiento de nodos completos, relleno de ExEx y correcciones de RPC
Stereum v2.2: compatibilidad con múltiples configuraciones y verificación de conexión para probar la estabilidad y la conectividad de la red
gevm — Implementación de EVM desde cero escrita en Go
Hackatones, talleres y eventos
Novedades sobre Devcon 2024: las postulaciones para oradores y voluntarios están abiertas
La beca de verano Solana ya está aquí
Comienzan las Olimpiadas de talentos de Superteam: pista Frontend y Rust
Explora las profundidades del conocimiento: artículos de investigación, blogs y tweets🔖
Gorjeo
Mysticeti: Alcanzando los límites de latencia con DAG no certificados
RFC 9591: Protocolo de umbral Schnorr optimizado para rondas flexibles (FROST) para firmas Schnorr de dos rondas
El informe técnico del protocolo Ring de Alice V1.0 ya está disponible
Slot-to-Ping y otra medida descriptiva para las cadenas de bloques
Atestaciones en profundidad: un análisis cuantitativo
Máxima Seguridad Viable (MVS): un nuevo marco para la emisión de Ethereum
Informe de capital de riesgo de criptomonedas y blockchain: segundo trimestre de 2024
Presentamos los reembolsos de gasolina de Flashbots
EVIntent — Materia oscura en MEV
Subasta de precios dinámicos resistentes a MEV de derechos de propuesta de ejecución
Eche un vistazo al Flashbots Protect Explorer
¿El modelo de seguridad de BTC está roto?
Derribando algunos mitos sobre la cadena Bera
Artículos
Anders Elowsson: la subasta de precios dinámicos de los derechos de propuesta de ejecución induce menos vehículos eléctricos nuevos y produce un alto consumo de vehículos eléctricos agregados
Eche un vistazo a la guía de contratos inicializables de OpenZeppelin
Nethermind Clear: marco de verificación formal para el código Yul
Byteracing: solucionador de laberintos en Solidity, intenta hacerlo más eficiente en el uso del gas
Interoperabilidad de activos L2 a través de puentes canónicos bidireccionales
Todos los problemas en IP
Solana es la razón por la que comenzó el caos en el L2 rollup de Ethereum
Mejorando la previsibilidad en las operaciones de Arbitrum DAO
¿La IAG dejará obsoletas las cadenas de bloques?
Sobre la orquestación de transmisiones paralelas para sistemas distribuidos
Pointenomics 101: Cómo dominar el nuevo lenguaje de los incentivos criptográficos
Líderes múltiples concurrentes
Una publicación de blog sobre cómo se creó Family Wallet
Documentos de investigación
Eyeballvul: un punto de referencia a prueba de futuro para la detección de vulnerabilidades en la naturaleza
SpiralShard: fragmentación de cadenas de bloques altamente concurrente y segura mediante la aprobación de fragmentos cruzados vinculados
BriDe Arbitrager: mejora del arbitraje en Ethereum 2.0 mediante la producción de bloques retrasada mediante sobornos
Tácticas, técnicas y procedimientos (TTP) en malware interpretado: una generación de cero disparos con grandes modelos de lenguaje
Mejora de la privacidad del aprendizaje federado espaciotemporal frente a ataques de inversión de gradiente
Github
Web-solc: adaptador para obtener/ejecutar una versión específica del compilador Solidity en el navegador
ERC3770 (Rust): método auxiliar para direcciones específicas de la cadena ERC3770
Firefly Pixie de RicMoo: billetera de hardware de código abierto
Mira🎥
Vigilancia de seguridad Web3 🛡️
Artículos
Explotación de 2 millones de dólares en Dough Finance a través de datos de llamadas no validados
¿Los talones de Aquiles de las criptomonedas?
Informe de phishing de mitad de año de Scam Sniffer
Presentamos Safe Harbor: su última línea de defensa contra ataques activos
CryptoISAC se lanzó como una comunidad de CeFi, DeFi, auditoría, infraestructura y otros proyectos relacionados con criptomonedas.
Twilio afirma que los piratas informáticos identificaron los números de teléfono de los usuarios de la aplicación de autenticación de dos factores Authy
Nueva vulnerabilidad de OpenSSH podría llevar a RCE como root en sistemas Linux.
Después de una espera de 10 años, finalmente se devolverán los bitcoins de Mt. Gox.
Karma servido: Pink Drainer es víctima de una estafa de envenenamiento de direcciones.
Inferno Drainer está activo nuevamente gracias a SlowMist. Según se informa, el grupo Drainer dejó de operar en noviembre del año pasado.
Estafadores que se hacen pasar por Coinbase roban 1,7 millones de dólares a un usuario en medio de una serie de ataques.
Documentos de investigación
Abuso de los servicios de verificación de contratos inteligentes de Ethereum por diversión y beneficio
Detección de ciberataques en tiempo real con aprendizaje colaborativo para redes blockchain.
Evaluación del rendimiento de algoritmos hash en hardware de consumo masivo
Detección de vulnerabilidades en contratos inteligentes: un estudio exhaustivo
Gorjeo
Tayvano: ejemplo de un ataque a Lazarus, contacto a través de redes sociales y luego compromiso a través del repositorio de GitHub
Varios proyectos de criptomonedas tuvieron sus dominios secuestrados luego de un ataque DNS dirigido al proveedor de servicios de alojamiento web Squarespace.
Cuentas X falsas conducen a ataques de phishing de criptomonedas por un valor récord de 341 millones de dólares.
¿Sus fondos están SAFU?
Hackeos y estafas 🚨
Solicitar sor
Pérdida ~ $8 millones
2 de julio, 7:06 p.m. UTC: El atacante comienza a transferir fondos de las billeteras comprometidas a su propia billetera.
2 de julio, 19:25 UTC: La Fundación Opentensor detecta un aumento anormal en el volumen de transferencia y reúne una sala de guerra.
2 de julio, 7:41 p.m. UTC: los validadores de la cadena Opentensor se colocan detrás de un firewall y Subtensor se cambia a modo seguro para detener todas las transacciones.
3 de julio: El equipo identifica la fuente del ataque como un paquete malicioso en PyPi Package Manager versión 6.12.2, que comprometió la seguridad del usuario.
El paquete malicioso se hizo pasar por un paquete Bittensor legítimo e interceptó detalles de claves frías no cifradas cuando los usuarios descifraron sus claves.
Los usuarios afectados fueron aquellos que descargaron el paquete Bittensor PyPi entre el 22 de mayo a las 19:14 UTC y el 29 de mayo a las 18:47 UTC, y realizaron operaciones que implicaban descifrado de claves.
El paquete comprometido (6.12.2) fue eliminado del repositorio PyPi.
Se revisó exhaustivamente el código Subtensor y Bittensor en GitHub; no se encontraron vulnerabilidades adicionales.
OTF se puso en contacto con varios intercambios de criptomonedas para rastrear al atacante e intentar recuperar los fondos robados.
La comunidad Bittensor apoyó activamente los esfuerzos de investigación y mitigación.
Después de la revisión del código, las operaciones normales de la cadena de bloques Bittensor se reanudarán gradualmente y se proporcionarán actualizaciones periódicas a la comunidad.
Se recomienda a los usuarios crear nuevas billeteras y transferir sus fondos una vez que la cadena de bloques reanude sus operaciones y actualizar a la última versión de Bittensor.
Las mejoras futuras incluyen procesos de acceso y verificación más estrictos para los paquetes, una mayor frecuencia de auditorías de seguridad, la implementación de las mejores prácticas en políticas de seguridad pública y una mejor supervisión de las cargas y descargas de paquetes.
Finanzas de masa
Pérdida: $1,94 millones
En la mañana del 12 de julio de 2024, Dough Finance sufrió un ataque de préstamo flash y perdió aproximadamente $1,94 millones en fondos de usuarios.
Cyvers detectó múltiples transacciones sospechosas que involucraban a Dough Finance.
El hacker robó $1,8 millones en USDC e intercambió los fondos a Ethereum (ETH) utilizando el protocolo de conocimiento cero (ZK) Railgun, obteniendo 608 ETH.
Olympix reveló que la vulnerabilidad se debió a datos de llamadas no validados dentro del contrato ConnectorDeleverageParaswap, lo que permitió la manipulación de datos del contrato y transferencias de fondos a una cuenta de propiedad externa (EOA).
Se produjo un segundo ataque, que resultó en una pérdida adicional de $141.000 en USDC.
A pesar del ataque, Cyvers confirmó que las piscinas de Aave no se vieron afectadas.
Dough Finance instó a los usuarios a retirar sus fondos restantes e identificó y cerró el exploit.
El equipo se comunicó con el atacante a través de un mensaje en cadena, ofreciendo discutir una recompensa si la explotación se realizaba como un sombrero blanco o gris y solicitando la devolución de los fondos antes del 15 de julio de 2024, a las 23:00 UTC.
Dough Finance aseguró a la comunidad que están trabajando activamente para recuperar los fondos y compensar a los inversores.
Esta semana, varios proyectos DeFi, incluido Compound Finance, se vieron comprometidos en un ataque de phishing que involucraba un dominio DNS que redirigía a los usuarios a un sitio web falso que drenaba fondos. Los proyectos afectados instaron a los clientes a no interactuar con los sitios web hasta nuevo aviso.
Foco de la comunidad
https://twitter.com/quillaudits_ai/status/1811290907922117015
https://twitter.com/quillaudits_ai/status/1810653169787220135?
https://twitter.com/quillaudits_ai/status/1809508585170178268?
