MJ ! Constructeurs

Dans ce dernier numéro de HashingBits, nous approfondissons les réunions des principaux développeurs d’Ethereum, couvrant toutes les mises à jour majeures de l’écosystème Ethereum. Mais ce n'est pas tout : nous explorerons les derniers événements dans les écosystèmes Polygon, Arbitrum et Optimism, ainsi que les événements récents à l'ETHCC et les avancées dans l'espace AI et Web3. Pour les développeurs, nous mettons en avant de nouveaux outils conçus pour aider les développeurs et les auditeurs de contrats intelligents. Et bien sûr, nous aborderons les gros titres concernant le piratage du portefeuille Bittensor de 8 millions de dollars et la perte de 1,94 million de dollars de Dough Finance lors d’attaques de prêts flash.

EtherScope : développements de base 👨‍💻

  • Résumé de tous les développements principaux — Consensus (ACDC) n° 137​

  • Pourquoi Marius Van Der Wijden est-il contre EOF à Pectra ?​

  • Un aperçu de l'évasion PeerDAS n°3

  • Plongée en profondeur dans le modèle de résistance à la censure​

  • Constantine v0.1 : implémentations des signatures BLS, précompilations BN254 et BLS12-381

  • ​Lido a implémenté le module Simple DVT alimenté par SSV

  • ​Vitalik Buterin fait pression pour qu'Ethereum réponde à 51 % des attaques de manière plus automatisée​

  • ​Exploration approfondie des attestations — Une analyse quantitative​

Couche 1 et Couche 2

  • Péter Szilágyi : bibliothèque SSZ implémentée en Go

  • ​RollCall (normes L2) #6 : discussion et présentations sur les pics de frais de base des blob L1 sur la précompilation RIP7728 L1SLOAD et les usines de déploiement déterministes de préinstallation RIP7740

  • Titan Builder eth_sendBlobs : envoie des permutations de transactions blob à partir d'un seul expéditeur

  • Le protocole du noyau est en ligne

  • Vesu est en direct sur Starknet​

  • La Fondation Worldcoin lance un aperçu des développeurs de World Chain​

  • Présentation de Puffer UniFi — Rollup basé sur Puffer​

  • Penumbra est en direct

  • Skale présente la mise à niveau Pacifica V3​

  • LayerZero et Initia développent une norme d'interopérabilité pour Cosmos​

  • Présentation de Termina : l'état final de la mise à l'échelle SVM​

  • Réduire l’inflation d’Evmos​

  • Annonce du lancement habituel du réseau principal public​

  • Le réseau OEV est en ligne

  • Omni Network lance Streams​

  • Starknet ouvrira le jalonnement d'ici la fin de cette année

  • Présentation du réseau d'automatisation du commerce Halliday​

  • Exodus lance le portefeuille Passkeys​

  • Justin Sun : un stablecoin sans gaz arrive au quatrième trimestre sur Tron, suivi d'Ethereum et de toutes les chaînes EVM

  • TAC s'associe à Polygon pour apporter la compatibilité EVM à l'écosystème TON

  • Accélérateur de lancement Notcoin, 1inch et Sign pour les écosystèmes Telegram et TON

  • Présentation du programme de points carburant​

  • Vous pouvez désormais suivre les récits sur DefiLlama​

  • ​dDocs : Onchain Google Docs est là

  • ​Présentation de Story Network, la blockchain IP mondiale​​

ERC

  • ​ERC7737 : modèle d'accès aux données personnalisé

  • ​ERC7738 : registre de scripts sans autorisation

  • ​ERC7739 : Signatures dactylographiées lisibles pour les comptes intelligents

  • ​ERC7741 : Autoriser l'opérateur (via les signatures EIP712 secp256k1)

EIP

  • ​EIP7742 : dissocier le nombre de blob entre CL et EL

  • ​EIP.tools ajoute EIP-GPT, résumé généré par l'IA d'un EIP/ERC

RIP

• RIP7740 : préinstaller des usines de déploiement déterministes

EcoExpansions : Au-delà d'Ethereum 🚀

Polygone

  • Polygon Miden Alpha Testnet v3 est en ligne

  • Résumé hebdomadaire des jeux sur Polygon

  • Jetez un œil aux mises à jour hebdomadaires sur Polygon

  • TON construit un L2 alimenté par zk à l'aide de Polygon CDK qui se connectera à AggLayer

  • Le nombre d'adresses actives sur @0xPolygon PoS est en hausse de 227 % depuis le début de l'année

Optimisme

  • La mise à niveau d'OP Stack Fjord est là, une vérification du mot de passe du portefeuille intelligent moins chère via la précompilation RIP7212 secp256r1 et des coûts de disponibilité des données inférieurs de 5 à 15 % via la compression du canal Brotli.

  • ​SuperFest, le Superchain DeFi Festival, est officiellement là.

  • Une explication simple de la superchaîne​

  • ​RIP-7212 est désormais disponible sur la Superchain.

  • ​Le testnet Celo L2 Dango est maintenant sur OP Stack

Décision

  • L'application No-Code Deployer pour Rollups est disponible en collaboration avec Arbitrum

  • Karak introduit la fonctionnalité de reprise pour Arbitrum​

  • Arbitrum a intégré OKX Wallet sur son pont​

  • ​Trois propositions importantes d'ArbitrumDAO​

DevToolkit : Essentiels et innovations 🛠️

  • Lodestar v1.20.0 : le package lodestar/api modifie les types exportés, indicateur pour utiliser les API SSZ avec le client de validation et les ENR du nœud de démarrage testnet mis à jour.

  • Besu v24.7.0 : ajoute la prise en charge eth_maxPriorityFeePerGas et des améliorations aux performances de synchronisation, de peering et de démarrage

  • Erigon v2.60.3 : ajoute un indicateur facultatif d'inclusion des précompilations au traçage

  • Geth v1.14.7 : correctif pour un bug de lecture/écriture de carte simultanée dans la v1.14.6

  • Reth v1.0.1 : améliorations complètes des performances des nœuds, correctifs de remplissage ExEx et RPC

  • Stereum v2.2 : prise en charge de plusieurs configurations et vérification de la connexion pour tester la stabilité et la connectivité du réseau

  • gevm — Implémentation EVM à partir de zéro écrite en Go​

Hackathons, ateliers et événements

  • Mises à jour sur Devcon 2024 : les candidatures pour les conférenciers et les bénévoles sont ouvertes

  • La bourse d'été Solana est ici

  • Début des Superteam Talent Olympics : piste Frontend & Rust

Explorez les profondeurs des connaissances : documents de recherche, blogs et tweets🔖

Twitter

  • Mysticeti : Atteindre les limites de la latence avec des DAG non certifiés​

  • RFC 9591 : Protocole FROST (Flexible Round-Optimized Schnorr Threshold) pour les signatures Schnorr à deux tours​

  • Le livre blanc V1.0 d'Alice's Ring Protocol est sorti

  • ​Slot-to-Ping et autre mesure descriptive pour les blockchains

  • ​Attestations de plongée profonde — Une analyse quantitative

  • ​Maximum Viable Security (MVS) : un nouveau cadre pour l'émission d'Ethereum

  • Rapport sur le capital-risque Crypto et Blockchain — T2 2024​

  • Présentation des remboursements d'essence à partir des Flashbots​

  • EVIntent — Matière noire dans MEV​

  • ​Enchères à prix dynamiques résistantes au MEV pour les droits de proposition d'exécution

  • Jetez un œil à Flashbots Protect Explorer​

  • ​Le modèle de sécurité de BTC est brisé ?​

  • Briser certains mythes sur Bera Chain

Des articles

  • Anders Elowsson : une vente aux enchères dynamique des droits de proposition d'exécution induit moins de nouveaux MEV et produit une consommation globale élevée de MEV

  • Jetez un œil au guide des contrats OpenZeppelin initialisables​

  • Nethermind Clear : cadre de vérification formelle pour le code Yul

  • Byteracing : solveur de labyrinthe dans Solidity, essayez de le rendre plus économe en gaz

  • ​Interopérabilité des actifs L2 via des ponts canoniques bidirectionnels​

  • ​Tous les problèmes en IP​

  • Solana est la raison pour laquelle le chaos du cumul L2 a commencé sur Ethereum

  • ​Améliorer la prévisibilité des opérations d'Arbitrum DAO​

  • ​AGI va-t-il rendre les blockchains obsolètes ?

  • ​Sur l'orchestration des diffusions parallèles pour les systèmes distribués​

  • ​Pointenomics 101 : Maîtriser le nouveau langage des incitations cryptographiques​

  • ​Plusieurs dirigeants simultanés​

  • ​Un article de blog sur la création de Family Wallet​

Documents de recherche

  • eyeballvul : une référence évolutive pour la détection des vulnérabilités dans la nature

  • ​SpiralShard : partage de blockchain hautement simultané et sécurisé via l'approbation de fragments croisés liés

  • BriDe Arbitrager : amélioration de l'arbitrage dans Ethereum 2.0 via une production de blocs différée compatible avec la corruption

  • Tactiques, techniques et procédures (TTP) dans les logiciels malveillants interprétés : une génération Zero-Shot avec de grands modèles de langage​

  • Améliorer la confidentialité de l'apprentissage fédéré spatio-temporel contre les attaques par inversion de gradient​

GitHub

  • Web-solc : adaptateur pour récupérer/exécuter une version spécifique du compilateur Solidity dans le navigateur

  • ​ERC3770 (Rust) : méthode d'assistance pour les adresses spécifiques à la chaîne ERC3770

  • Firefly Pixie de RicMoo : portefeuille matériel open source

Regardez🎥

Veille de sécurité Web3 🛡️

Des articles

  • Exploit de 2 millions de dollars de Dough Finance via des données d'appel non validées

  • Le talon d’Achille de la crypto ?

  • Rapport de mi-année sur le phishing de Scam Sniffer​

  • ​Présentation de Safe Harbor : votre dernière ligne de défense contre les exploits actifs​

  • CryptoISAC a été lancé en tant que communauté de projets CeFi, DeFi, d'audit, d'infrastructure et autres liés à la crypto-monnaie.

  • ​Twilio affirme que les pirates ont identifié les numéros de téléphone portable des utilisateurs de l'application à deux facteurs Authy​

  • ​Une nouvelle vulnérabilité OpenSSH pourrait conduire à RCE en tant que racine sur les systèmes Linux.

  • ​Après une attente de 10 ans, Mt. Gox Bitcoin est enfin restitué.

  • Karma servi : Pink Drainer est victime d'une escroquerie par empoisonnement d'adresse.

  • ​Inferno Drainer est à nouveau actif par SlowMist. Le groupe de drainage aurait cessé ses activités en novembre de l'année dernière.

  • Les escrocs qui se font passer pour Coinbase volent 1,7 million de dollars à un utilisateur au milieu d'une série d'attaques.

Documents de recherche

  • Abuser des services de vérification de contrats intelligents Ethereum pour le plaisir et le profit

  • ​Détection des cyberattaques en temps réel avec apprentissage collaboratif pour les réseaux Blockchain.

  • Évaluation des performances des algorithmes de hachage sur du matériel de base

  • ​Détection des vulnérabilités dans les contrats intelligents : une enquête complète

Twitter

  • Tayvano : exemple d'attaque Lazarus, contact via les réseaux sociaux puis compromis via le repo GitHub

  • ​Plusieurs projets de cryptographie ont vu leurs domaines piratés à la suite d'une attaque DNS ciblant le fournisseur de services d'hébergement Web Squarespace.

  • ​Les faux comptes X conduisent à des attaques de crypto-phishing record d'un montant de 341 millions de dollars.

  • Vos fonds sont-ils SAFU ?

Hacks et escroqueries 🚨

Demander

Perte ~ 8 millions de dollars

  • 2 juillet à 19 h 06 UTC : l'attaquant commence à transférer des fonds des portefeuilles compromis vers son propre portefeuille.

  • 2 juillet, 19h25 UTC : La Fondation Opentensor détecte une augmentation anormale du volume de transfert et rassemble une salle de guerre.

  • 2 juillet, 19 h 41 UTC : les validateurs de la chaîne Opentensor sont placés derrière un pare-feu et Subtensor est basculé en mode sans échec pour arrêter toutes les transactions.

  • 3 juillet : l'équipe identifie la source de l'attaque comme étant un package malveillant dans la version 6.12.2 de PyPi Package Manager, qui a compromis la sécurité des utilisateurs.

  • Le package malveillant s'est fait passer pour un package Bittensor légitime et a intercepté les détails des clés froides non chiffrées lorsque les utilisateurs déchiffraient leurs clés.

  • Les utilisateurs concernés étaient ceux qui ont téléchargé le package Bittensor PyPi entre le 22 mai à 19 h 14 UTC et le 29 mai à 18 h 47 UTC et ont effectué des opérations impliquant le décryptage de clé.

  • Le package compromis (6.12.2) a été supprimé du référentiel PyPi.

  • Le code Subtensor et Bittensor sur GitHub a été soigneusement revu ; aucune vulnérabilité supplémentaire n’a été trouvée.

  • OTF a contacté plusieurs bourses de crypto-monnaie pour retrouver l'attaquant et tenter de récupérer les fonds volés.

  • La communauté Bittensor a activement soutenu les efforts d’enquête et d’atténuation.

  • Après la révision du code, les opérations normales de la blockchain Bittensor reprendront progressivement, avec des mises à jour régulières fournies à la communauté.

  • Il est conseillé aux utilisateurs de créer de nouveaux portefeuilles et de transférer leurs fonds une fois que la blockchain reprendra ses opérations et de passer à la dernière version de Bittensor.

  • Les améliorations futures incluent des processus d'accès et de vérification plus stricts pour les packages, une fréquence accrue des audits de sécurité, la mise en œuvre des meilleures pratiques dans les politiques de sécurité publique et une surveillance améliorée des téléchargements et des téléchargements de packages.

Financement de la pâte

Perte – 1,94 M$

  • Le matin du 12 juillet 2024, Dough Finance a subi une attaque de prêt flash, perdant environ 1,94 million de dollars de fonds d'utilisateurs.

  • Cyvers a détecté plusieurs transactions suspectes impliquant Dough Finance.

  • Le pirate informatique a volé 1,8 million de dollars en USDC et a échangé les fonds contre Ethereum (ETH) en utilisant le protocole à connaissance nulle (ZK) Railgun, obtenant 608 ETH.

  • Olympix a révélé que l'exploit était dû à des données d'appel non validées dans le contrat ConnectorDeleverageParaswap, permettant la manipulation des données du contrat et les transferts de fonds vers un compte externe (EOA).

  • Une deuxième attaque a eu lieu, entraînant une perte supplémentaire de 141 000 $ en USDC.

  • Malgré l’attaque, Cyvers a confirmé que les pools d’Aave n’étaient pas affectés.

  • Dough Finance a exhorté les utilisateurs à retirer leurs fonds restants et a identifié et clôturé l'exploit.

  • L'équipe a contacté l'attaquant via un message en chaîne, lui proposant de discuter d'une prime si l'exploit était réalisé sous forme de chapeau blanc ou gris et demandant le retour des fonds avant le 15 juillet 2024, à 23h00 UTC.

  • Dough Finance a assuré à la communauté qu'elle travaillait activement pour récupérer les fonds et rétablir l'intégrité des investisseurs.

  • Cette semaine, divers projets DeFi, dont Compound Finance, ont été compromis dans une attaque de phishing impliquant un domaine DNS redirigeant les utilisateurs vers un faux site Web qui a drainé des fonds. Les projets concernés ont exhorté les clients à ne pas interagir avec les sites Web jusqu'à nouvel ordre.

Pleins feux sur la communauté

https://twitter.com/quillaudits_ai/status/1811290907922117015

https://twitter.com/quillaudits_ai/status/1810653169787220135?

https://twitter.com/quillaudits_ai/status/1809508585170178268?