GM! Costruttori

In quest'ultimo numero di HashingBits, ci addentriamo in profondità negli incontri degli sviluppatori principali di Ethereum, coprendo tutti i principali aggiornamenti nell'ecosistema Ethereum. Ma non è tutto: esploreremo gli ultimi avvenimenti negli ecosistemi Polygon, Arbitrum e Optimism, insieme ai recenti eventi all'ETHCC e ai progressi nello spazio AI e Web3. Per gli sviluppatori, stiamo evidenziando nuovi strumenti progettati per assistere gli sviluppatori e i revisori dei contratti intelligenti. E, naturalmente, approfondiremo i titoli dei giornali sull’hacking del portafoglio Bittensor da 8 milioni di dollari e sulla perdita di 1,94 milioni di dollari di Dough Finance in attacchi di prestiti flash.

EtherScope: sviluppi principali 👨‍💻

  • Riepilogo di tutti gli sviluppatori principali — Consenso (ACDC)#137​

  • Perché Marius Van Der Wijden è contro l'EOF in Pectra?​

  • Uno sguardo al breakout n. 3 di PeerDAS

  • Approfondimento sul modello di resistenza alla censura

  • Constantine v0.1: implementazioni delle firme BLS, precompilazione BN254 e BLS12–381

  • Lido ha implementato il modulo Simple DVT basato su SSV

  • Vitalik Buterin spinge affinché Ethereum risponda agli attacchi del 51% in modo più automatizzato

  • ​Approfondimento sulle attestazioni: un'analisi quantitativa​

Livello 1 e Livello 2

  • Péter Szilágyi: libreria SSZ implementata in Go

  • RollCall (standard L2) n. 6: discussione e presentazioni sui picchi di basefee dei blob L1 su RIP7728 L1SLOAD precompile e RIP7740 deterministic deployment factory preinstall

  • Titan Builder eth_sendBlobs: invia permutazioni di transazioni blob da un singolo mittente

  • Il protocollo Kernel è attivo

  • Vesu è in diretta su Starknet

  • La Worldcoin Foundation lancia l'anteprima per gli sviluppatori di World Chain

  • Presentazione di Puffer UniFi: il rollup basato su Puffer

  • Penumbra è in diretta

  • Skale presenta l'aggiornamento Pacifica V3

  • LayerZero e Initia stanno sviluppando uno standard di interoperabilità per Cosmos

  • Introduzione a Termina: lo stato finale del ridimensionamento SVM

  • Riduzione dell'inflazione Evmos

  • Annuncio del consueto lancio della mainnet pubblica

  • La rete OEV è attiva

  • Omni Network lancia Streams

  • Starknet aprirà lo staking entro la fine dell'anno

  • Presentazione della rete di automazione del commercio Halliday

  • Exodus lancia Passkeys Wallet

  • Justin Sun: stablecoin senza gas in arrivo nel Q4 su Tron, seguita da Ethereum e tutte le catene EVM

  • TAC collabora con Polygon per portare la compatibilità EVM all'ecosistema TON

  • Notcoin, 1inch e Sign lanciano acceleratori per gli ecosistemi Telegram e TON

  • Presentazione del programma Fuel Points

  • Ora puoi tracciare le narrazioni su DefiLlama

  • dDocs: è arrivato Onchain Google Docs

  • Presentazione di Story Network, la blockchain IP del mondo

ERC

  • ERC7737: Modello di accesso ai dati personalizzato

  • ERC7738: Registro di script senza autorizzazione

  • ERC7739: Firme digitate leggibili per account intelligenti

  • ERC7741: Autorizza operatore (tramite firme EIP712 secp256k1)

EIP

  • EIP7742: Disaccoppia il conteggio dei blob tra CL ed EL

  • EIP.tools aggiunge EIP-GPT, riepilogo generato dall'intelligenza artificiale di un EIP/ERC

RIP

• RIP7740: Preinstallare fabbriche di distribuzione deterministiche

EcoExpansions: oltre Ethereum 🚀

Poligono

  • ​Polygon Miden Alpha Testnet v3 è attivo

  • Rassegna settimanale per il gaming su Polygon

  • Dai un'occhiata agli aggiornamenti settimanali su Polygon

  • TON sta costruendo un L2 alimentato da zk utilizzando Polygon CDK che si collegherà ad AggLayer

  • Il numero di indirizzi attivi su @0xPolygon PoS è aumentato del 227% dall'inizio dell'anno

Ottimismo

  • È arrivato l'aggiornamento di OP Stack Fjord, verifica più economica della passkey del portafoglio intelligente tramite precompilazione RIP7212 secp256r1 e costi di disponibilità dei dati inferiori del 5-15% tramite compressione del canale Brotli.

  • SuperFest, il Superchain DeFi Festival, è ufficialmente qui.

  • Una semplice spiegazione della supercatena

  • RIP-7212 è ora disponibile su Superchain.

  • La testnet Celo L2 Dango è ora su OP Stack

Decisione

  • L'app No-Code Deployer per Rollup è attiva in collaborazione con Arbitrum

  • Karak introduce la funzionalità di restking per Arbitrum

  • Arbitrum ha integrato OKX Wallet sul proprio bridge

  • Tre importanti proposte di ArbitrumDAO

DevToolkit: elementi essenziali e innovazioni 🛠️

  • Lodestar v1.20.0: il pacchetto lodestar/api modifica i tipi esportati, aggiorna il flag per utilizzare le API SSZ con il client di convalida e gli ENR del bootnode testnet.

  • Besu v24.7.0: aggiunge il supporto eth_maxPriorityFeePerGas e miglioramenti alla sincronizzazione, al peering e alle prestazioni di avvio

  • Erigon v2.60.3: aggiunge il flag opzionale di precompilazione include al tracciamento

  • Geth v1.14.7: hotfix per bug di lettura/scrittura simultanea della mappa in v1.14.6

  • Reth v1.0.1: miglioramenti completi delle prestazioni del nodo, backfill ExEx e correzioni RPC

  • Stereum v2.2: supporto multi-configurazione e controllo della connessione per testare la stabilità e la connettività della rete

  • gevm — Implementazione EVM da zero scritta in go​

Hackathon, workshop ed eventi

  • Aggiornamenti su Devcon 2024: sono aperte le candidature per relatori e volontari

  • È arrivata la borsa di studio estiva Solana

  • Superteam Talent Olympics inizia: pista Frontend e Rust

Esplora le profondità della conoscenza: articoli di ricerca, blog e tweet🔖

Cinguettio

  • Mysticeti: ​​raggiungere i limiti della latenza con DAG non certificati

  • RFC 9591: Protocollo FROST (Flexible Round-Optimized Schnorr Threshold) per firme Schnorr a due round

  • È uscito il Whitepaper V1.0 del protocollo Ring di Alice

  • Slot-to-Ping e un'altra misura descrittiva per le blockchain

  • ​Attestati di immersioni profonde: un'analisi quantitativa

  • ​Maximum Viable Security (MVS): un nuovo framework per l'emissione di Ethereum

  • Report di Crypto & Blockchain Venture Capital — Q2 2024​

  • Introduzione dei rimborsi di carburante da Flashbots

  • EVIntent — Materia oscura in MEV​

  • Asta di prezzi dinamici resistente a MEV per i diritti di proposta di esecuzione

  • Dai un'occhiata a Flashbots Protect Explorer

  • Il modello di sicurezza di BTC è rotto?

  • Sfatando alcuni miti sulla Bera Chain

Articoli

  • Anders Elowsson: asta dinamica dei prezzi dei diritti di proposta di esecuzione, induce meno nuovi MEV e produce un elevato consumo aggregato di MEV

  • Dai un'occhiata alla guida ai contratti OpenZeppelin Initializable​

  • Nethermind Clear: framework di verifica formale per il codice Yul

  • Byteracing: risolutore di labirinti in Solidity, prova a renderlo più efficiente in termini di gas

  • Interoperabilità delle risorse L2 tramite bridge canonici bidirezionali

  • Tutti i problemi dell'IP

  • Solana è la ragione per cui è iniziato il caos del rollup L2 su Ethereum

  • Migliorare la prevedibilità nelle operazioni di Arbitrum DAO

  • L'AGI renderà obsolete le blockchain?

  • ​Sull'orchestrazione di trasmissioni parallele per sistemi distribuiti​

  • Pointenomics 101: padroneggiare il nuovo linguaggio degli incentivi crittografici

  • ​Più leader contemporanei​

  • Un post del blog su come è stato creato Family Wallet

Articoli di ricerca

  • eyeballvul: un punto di riferimento a prova di futuro per il rilevamento delle vulnerabilità in natura

  • SpiralShard: sharding blockchain altamente concorrente e sicuro tramite approvazione cross-shard collegata

  • BriDe Arbitrager: migliorare l'arbitraggio in Ethereum 2.0 tramite la produzione di blocchi ritardati abilitata dalla corruzione

  • Tattiche, tecniche e procedure (TTP) nel malware interpretato: una generazione zero-shot con modelli linguistici di grandi dimensioni

  • Miglioramento della privacy dell'apprendimento federato spaziotemporale contro gli attacchi di inversione del gradiente

Guida

  • Web-solc: adattatore per recuperare/eseguire una versione specifica del compilatore Solidity nel browser

  • ERC3770 (Rust): metodo di supporto per indirizzi specifici della catena ERC3770

  • Firefly Pixie di RicMoo: portafoglio hardware open source

Guarda🎥

Controllo di sicurezza Web3 🛡️

Articoli

  • Dough Finance sfrutta 2 milioni di dollari tramite calldata non convalidati

  • I punti deboli delle criptovalute?

  • Rapporto di metà anno sul phishing di Scam Sniffer

  • Presentazione di Safe Harbor: la tua ultima linea di difesa contro gli exploit attivi

  • CryptoISAC è stato lanciato come una comunità di progetti CeFi, DeFi, audit, infrastrutture e altri progetti correlati alle criptovalute.

  • ​Twilio afferma che gli hacker hanno identificato i numeri di cellulare degli utenti dell'app Authy a due fattori​

  • Una nuova vulnerabilità di OpenSSH potrebbe consentire a RCE di diventare root sui sistemi Linux.

  • Dopo un'attesa di 10 anni, Mt. Gox Bitcoin viene finalmente restituito.

  • Il karma è servito: Pink Drainer viene colpita da una truffa che prevede l'uso improprio dell'indirizzo.

  • ​Inferno Drainer è di nuovo attivo grazie a SlowMist. Il gruppo Drainer avrebbe smesso di operare a novembre dell'anno scorso.

  • I truffatori che si spacciano per Coinbase rubano 1,7 milioni di dollari a un utente durante una serie di attacchi.

Articoli di ricerca

  • ​Abuso dei servizi di verifica degli smart contract di Ethereum per divertimento e profitto

  • Rilevamento degli attacchi informatici in tempo reale con apprendimento collaborativo per reti blockchain.

  • Valutazione delle prestazioni degli algoritmi di hashing su hardware commerciale

  • Rilevamento delle vulnerabilità negli smart contract: un'indagine completa

Cinguettio

  • Tayvano: esempio di attacco Lazarus, contatto tramite social e poi compromesso tramite repository GitHub

  • I domini di numerosi progetti crittografici sono stati dirottati a seguito di un attacco DNS che ha preso di mira il fornitore di servizi di web hosting Squarespace.

  • I falsi account X hanno portato ad attacchi di crypto-phishing da record per un valore di 341 milioni di dollari.

  • I tuoi fondi sono SAFU?

Truffe e trucchi 🚨

Richiedi sor

Perdita ~ $8M

  • 2 luglio, 19:06 UTC: l'aggressore inizia a trasferire fondi dai portafogli compromessi al proprio portafoglio.

  • 2 luglio, 19:25 UTC: la Opentensor Foundation rileva un aumento anomalo nel volume di trasferimento e organizza una war room.

  • 2 luglio, 19:41 UTC: i validatori sulla catena Opentensor vengono posizionati dietro un firewall e Subtensor passa in modalità provvisoria per interrompere tutte le transazioni.

  • 3 luglio: il team identifica la fonte dell'attacco come un pacchetto dannoso in PyPi Package Manager versione 6.12.2, che ha compromesso la sicurezza dell'utente.

  • Il pacchetto dannoso si mascherava da pacchetto Bittensor legittimo e intercettava i dettagli coldkey non crittografati quando gli utenti decrittografavano le loro chiavi.

  • Gli utenti interessati sono coloro che hanno scaricato il pacchetto Bittensor PyPi tra il 22 maggio alle 19:14 UTC e il 29 maggio alle 18:47 UTC ed eseguito operazioni che comportavano la decrittazione della chiave.

  • Il pacchetto compromesso (6.12.2) è stato rimosso dal repository PyPi.

  • Il codice Subtensor e Bittensor su GitHub è stato esaminato attentamente e non sono state trovate ulteriori vulnerabilità.

  • L'OTF ha contattato diversi exchange di criptovalute per rintracciare l'aggressore e tentare di recuperare i fondi rubati.

  • La comunità di Bittensor ha supportato attivamente gli sforzi di indagine e di mitigazione.

  • Dopo la revisione del codice, le normali operazioni della blockchain Bittensor riprenderanno gradualmente, con aggiornamenti regolari forniti alla community.

  • Si consiglia agli utenti di creare nuovi portafogli e di trasferire i propri fondi non appena la blockchain riprenderà a funzionare e di eseguire l'aggiornamento all'ultima versione di Bittensor.

  • I miglioramenti futuri includono procedure di accesso e verifica più rigorose per i pacchetti, una maggiore frequenza dei controlli di sicurezza, l'implementazione delle migliori pratiche nelle politiche di sicurezza pubblica e un migliore monitoraggio dei caricamenti e dei download dei pacchetti.

Finanza dell'impasto

Perdita — $ 1,94 milioni

  • La mattina del 12 luglio 2024, Dough Finance ha subito un attacco di prestito lampo, perdendo circa 1,94 milioni di dollari di fondi degli utenti.

  • Cyvers ha rilevato numerose transazioni sospette che coinvolgevano Dough Finance.

  • L'hacker ha rubato 1,8 milioni di dollari in USDC e ha scambiato i fondi con Ethereum (ETH) utilizzando il protocollo a conoscenza zero (ZK) Railgun, ottenendo 608 ETH.

  • Olympix ha rivelato che l'exploit era dovuto a calldata non convalidati all'interno del contratto ConnectorDeleverageParaswap, che consentivano la manipolazione dei dati del contratto e il trasferimento di fondi a un account di proprietà esterna (EOA).

  • Si è verificato un secondo attacco, che ha causato un'ulteriore perdita di 141.000 dollari in USDC.

  • Nonostante l'attacco, Cyvers ha confermato che i pool di Aave sono rimasti inalterati.

  • Dough Finance ha invitato gli utenti a prelevare i fondi rimanenti e ha identificato e chiuso l'exploit.

  • Il team ha contattato l'aggressore tramite un messaggio on-chain, offrendosi di discutere di una ricompensa nel caso in cui l'exploit fosse stato condotto in modalità white hat o grey hat e richiedendo la restituzione dei fondi entro il 15 luglio 2024 alle 23:00 UTC.

  • Dough Finance ha assicurato alla comunità che sta lavorando attivamente per recuperare i fondi e risarcire gli investitori.

  • Questa settimana, vari progetti DeFi, tra cui Compound Finance, sono stati compromessi in un attacco di phishing che ha coinvolto un dominio DNS che reindirizzava gli utenti a un sito Web falso che prosciugava i fondi. I progetti interessati hanno invitato i clienti a non interagire con i siti Web fino a nuovo avviso.

Riflettori sulla comunità

https://twitter.com/quillaudits_ai/status/1811290907922117015

https://twitter.com/quillaudits_ai/status/1810653169787220135?

https://twitter.com/quillaudits_ai/status/1809508585170178268?