GM! Constructorii

În acest ultim număr al HashingBits, ne aprofundăm în întâlnirile dezvoltatorilor de bază Ethereum, acoperind toate actualizările majore din ecosistemul Ethereum. Dar asta nu este tot – vom explora cele mai recente evenimente din ecosistemele Polygon, Arbitrum și Optimism, împreună cu evenimentele recente la ETHCC și progresele în spațiul AI și Web3. Pentru dezvoltatori, evidențiem noi instrumente concepute pentru a ajuta dezvoltatorii și auditorii de contracte inteligente. Și, desigur, vom aprofunda în titlurile despre hack-ul de portofel Bittensor de 8 milioane USD și pierderea de 1,94 milioane USD a Dough Finance în atacurile cu împrumuturi flash.

EtherScope: dezvoltări de bază 👨‍💻

  • Rezumatul tuturor dezvoltatorilor de bază — Consens (ACDC)#137​

  • De ce este Marius Van Der Wijden împotriva EOF în Pectra?​

  • O privire la evaziunea PeerDAS #3

  • Aprofundare în modelul de rezistență la cenzură

  • Constantine v0.1: implementări ale semnăturilor BLS, precompilări BN254 și BLS12–381

  • ​Lido a implementat Modulul DVT simplu alimentat de SSV

  • Vitalik Buterin face eforturi ca Ethereum să răspundă la 51% atacuri într-un mod mai automatizat

  • ​Deep Dive into Attestations — O analiză cantitativă​

Layer1 și Layer2

  • Péter Szilágyi: Biblioteca SSZ implementată în Go

  • ​RollCall (standarde L2) #6: Discuții și prezentări privind creșterea taxei de bază blob L1 despre precompilarea RIP7728 L1SLOAD și fabricile de implementare deterministă de preinstalare RIP7740

  • Titan Builder eth_sendBlobs: trimiteți permutări ale tranzacțiilor blob de la un singur expeditor

  • Protocolul Kernel este live

  • Vesu este în direct pe Starknet

  • Fundația Worldcoin lansează o previzualizare pentru dezvoltatori World Chain

  • Vă prezentăm Puffer UniFi — Puffer’s Based Rollup​

  • Penumbra este în direct

  • Skale introduce upgrade la Pacifica V3

  • LayerZero și Initia dezvoltă un standard de interoperabilitate pentru Cosmos

  • Vă prezentăm Termina: starea finală a scalării SVM

  • Reducerea inflației Evmos

  • Anunțând lansarea obișnuită a rețelei principale publice

  • Rețeaua OEV este live

  • Omni Network lansează Streams

  • Starknet va deschide miza până la sfârșitul acestui an

  • Vă prezentăm rețeaua de automatizare a comerțului Halliday

  • Exodus lansează Passkeys Wallet

  • Justin Sun: monedele stabile fără gaze care vin în Q4 pe Tron, urmate de Ethereum și toate lanțurile EVM

  • TAC face echipă cu Polygon pentru a aduce compatibilitatea EVM ecosistemului TON

  • Acceleratorul de lansare Notcoin, 1 inch și Sign pentru ecosistemele Telegram și TON

  • Vă prezentăm programul de puncte de combustibil

  • Acum puteți urmări narațiunile pe DefiLlama

  • dDocs: Onchain Google Docs este aici

  • Vă prezentăm Story Network, IP Blockchain din lume

ERC-uri

  • ​ERC7737: Model personalizat de acces la date

  • ERC7738: Registrul de script fără permisiune

  • ​ERC7739: Semnături tastate lizibile pentru conturi inteligente

  • ​ERC7741: Autorizarea operatorului (prin semnăturile EIP712 secp256k1)

EIP-uri

  • EIP7742: Decuplați numărul de blob între CL și EL

  • ​EIP.tools adaugă EIP-GPT, rezumatul generat de AI al unui EIP/ERC

RIP-uri

• RIP7740: Preinstalați fabrici de implementare deterministă

EcoExpansiuni: Dincolo de Ethereum 🚀

Poligon

  • Polygon Miden Alpha Testnet v3 este live

  • ​Rezumat săptămânal pentru jocurile de pe Polygon

  • Aruncă o privire la actualizările săptămânale despre Polygon

  • TON construiește un L2 alimentat cu zk folosind Polygon CDK care se va conecta la AggLayer

  • Numărul de adrese active pe @0xPolygon PoS a crescut cu 227% de la începutul anului

Optimism

  • Actualizarea OP Stack Fjord este aici, verificare mai ieftină a cheii de acces pentru portofelul inteligent prin precompilarea RIP7212 secp256r1 și costuri cu 5-15% mai mici pentru disponibilitatea datelor prin compresia canalului Brotli.

  • ​SuperFest, Festivalul Superchain DeFi, este oficial aici.

  • O explicație simplă a superlanțului

  • RIP-7212 este acum disponibil pe Superchain.

  • Celo L2 Dango testnet este acum pe OP Stack

Decizie

  • Aplicația No-Code Deployer pentru Rollups este în direct în colaborare cu Arbitrum

  • Karak introduce funcționalitatea de repetare pentru Arbitrum

  • Arbitrum a integrat OKX Wallet pe puntea lor

  • ​Trei propuneri importante ArbitrumDAO

DevToolkit: Esențiale și inovații 🛠️

  • Lodestar v1.20.0: pachetul lodestar/api modifică tipurile exportate, semnalează pentru a utiliza API-urile SSZ cu clientul validator și ENR-urile testnetului bootnode actualizate.

  • Besu v24.7.0: adaugă suport eth_maxPriorityFeePerGas și îmbunătățiri la performanța de sincronizare, peering și pornire

  • Erigon v2.60.3: adaugă opțional include precompilări flag la urmărire

  • Geth v1.14.7: remediere rapidă pentru eroarea de citire/scriere simultană a hărții în v1.14.6

  • Reth v1.0.1: îmbunătățiri complete ale performanței nodului, completare ExEx și remedieri RPC

  • Stereum v2.2: suport pentru configurații multiple și verificarea conexiunii pentru a testa stabilitatea și conectivitatea rețelei

  • gevm — implementare EVM de la zero scrisă în go​

Hackathon-uri, ateliere și evenimente

  • Actualizări despre Devcon 2024: aplicațiile pentru vorbitori și voluntari sunt deschise

  • Bursa de vară Solana este aici

  • Începe Superteam Talent Olympics: Frontend & Rust track

Explorați profunzimile cunoștințelor: lucrări de cercetare, bloguri și tweet-uri🔖

Stare de nervozitate

  • Mysticeti: ​​Atingerea limitelor latenței cu DAG-uri necertificate

  • RFC 9591: Protocolul de prag Schnorr optimizat rotund flexibil (FROST) pentru semnăturile Schnorr cu două runde​

  • Alice’s Ring Protocol Whitepaper V1.0 este disponibilă

  • Slot-to-Ping și o altă măsură descriptivă pentru blockchains

  • ​Atestări de scufundări adânci — O analiză cantitativă

  • Maximum Viable Security (MVS): un nou cadru pentru Ethereum Issuance

  • Raport privind capitalul de risc Crypto și Blockchain — T2 2024​

  • Introducerea rambursărilor de gaz de la Flashbots

  • EVIntent — Darkmatter în MEV​

  • ​Licitație de preț dinamic rezistentă la MEV a drepturilor de propunere de execuție

  • Aruncă o privire la Flashbots Protect Explorer

  • ​Modelul de securitate al BTC este spart?​

  • Distrugerea unor mituri despre Bera Chain

Articole

  • Anders Elowsson: licitație dinamică a prețurilor pentru drepturile de propunere de execuție, induce mai puține noi VEM și produce o ardere totală ridicată a VEM

  • Aruncă o privire la ghidul de inițializare a contractelor OpenZeppelin

  • Nethermind Clear: cadru formal de verificare pentru codul Yul

  • ​Byteracing: rezolvator de labirint în Solidity, încercați să faceți mai eficient gazul

  • ​Interoperabilitatea activelor L2 prin poduri canonice bidirecționale

  • Toate problemele din IP

  • ​Solana este motivul pentru care haosul acumulatorului L2 a început pe Ethereum​

  • Îmbunătățirea predictibilității în operațiunile Arbitrum DAO

  • AGI va învechi blockchain-urile?

  • Despre orchestrarea transmisiilor paralele pentru sisteme distribuite

  • ​Pointenomics 101: Stăpânirea noului limbaj al stimulentelor criptografice

  • Mai mulți lideri concurenți

  • ​O postare pe blog despre cum a fost creat portofelul de familie​

Lucrări de cercetare

  • ​eyeballvul: un etalon de viitor pentru detectarea vulnerabilităților în sălbăticie

  • ​SpiralShard: Partajarea blockchain extrem de concurentă și sigură prin aprobarea încrucișată încrucișată

  • ​BriDe Arbitrager: Îmbunătățirea arbitrajului în Ethereum 2.0 prin producția de blocuri întârziată activată de mită

  • Tactici, tehnici și proceduri (TTP) în malware interpretat: o generație zero-shot cu modele de limbaj mari​

  • Îmbunătățirea confidențialității învățării federate spațio-temporale împotriva atacurilor cu inversare în gradient

Github

  • ​Web-solc: adaptor pentru a prelua/executa o versiune specifică a compilatorului Solidity în browser

  • ERC3770 (Rugina): metodă de ajutor pentru adresele specifice lanțului ERC3770

  • Firefly Pixie de la RicMoo: portofel hardware open source

Urmărește🎥

Web3 Security Watch 🛡️

Articole

  • Exploatare de 2 milioane USD Dough Finance prin date de apel nevalidate

  • Tocurile lui Ahile ale Crypto?

  • Raportul de șmecherism al lui Sniffer la jumătatea anului

  • ​Prezentăm Safe Harbor: Ultima ta linie de apărare împotriva exploatărilor active

  • ​CryptoISAC s-a lansat ca o comunitate de CeFi, DeFi, audit, infrastructură și alte proiecte legate de criptomonede.

  • Twilio spune că hackerii au identificat numerele de telefon mobil ale utilizatorilor aplicației Authy cu doi factori

  • ​Noua vulnerabilitate OpenSSH ar putea duce la RCE ca root pe sistemele Linux.

  • După o așteptare de 10 ani, Bitcoin Mt. Gox este în sfârșit returnat.

  • ​Karma servită: Pink Drainer este lovit de o escrocherie cu otrăvire la adresa.

  • Inferno Drainer este activ din nou de către SlowMist. Grupul de scurgere a încetat să funcționeze în noiembrie anul trecut.

  • Escrocii care prezintă Coinbase fură 1,7 milioane de dolari de la un utilizator în mijlocul unui șir de atacuri.

Lucrări de cercetare

  • Abuzarea serviciilor de verificare a contractelor inteligente Ethereum pentru distracție și profit

  • Detectarea atacurilor cibernetice în timp real cu învățare colaborativă pentru rețele Blockchain.

  • Evaluarea performanței algoritmilor de hashing pe hardware-ul de bază

  • Detectarea vulnerabilităților în contractele inteligente: un sondaj cuprinzător

Stare de nervozitate

  • Tayvano: exemplu de atac Lazarus, contact prin intermediul rețelelor sociale și apoi compromis prin depozitul GitHub

  • Mai multe proiecte cripto au fost deturnate de domenii în urma unui atac DNS care vizează furnizorul de servicii de găzduire web Squarespace.

  • Conturile X false duc la atacuri de cripto phishing de 341 de milioane de dolari.

  • Fondurile dvs. sunt SAFU?

Hackuri și escrocherii 🚨

Cerere sor

Pierdere ~ 8 milioane USD

  • 2 iulie, 19:06 UTC: Atacatorul începe să transfere fonduri din portofelele compromise în propriul portofel.

  • 2 iulie, 19:25 UTC: Fundația Opentensor detectează o creștere anormală a volumului de transfer și asambla o cameră de război.

  • 2 iulie, 19:41 UTC: Validatorii din lanțul Opentensor sunt plasați în spatele unui firewall, iar Subtensor este comutat în modul sigur pentru a opri toate tranzacțiile.

  • 3 iulie: Echipa identifică sursa atacului ca un pachet rău intenționat în PyPi Package Manager versiunea 6.12.2, care a compromis securitatea utilizatorului.

  • Pachetul rău intenționat s-a mascarat ca un pachet Bittensor legitim și a interceptat detaliile coldkey necriptate atunci când utilizatorii și-au decriptat cheile.

  • Utilizatorii afectați au fost cei care au descărcat pachetul Bittensor PyPi între 22 mai, 19:14 UTC și 29 mai, 18:47 UTC și au efectuat operațiuni care implică decriptarea cheilor.

  • Pachetul compromis (6.12.2) a fost eliminat din depozitul PyPi.

  • Codul Subtensor și Bittensor de pe GitHub a fost revizuit amănunțit; nu au fost găsite vulnerabilități suplimentare.

  • OTF a contactat mai multe schimburi de criptomonede pentru a urmări atacatorul și a încerca să recupereze fondurile furate.

  • Comunitatea Bittensor a susținut activ eforturile de investigare și atenuare.

  • După revizuirea codului, operațiunile normale ale blockchain-ului Bittensor se vor relua treptat, cu actualizări regulate furnizate comunității.

  • Utilizatorii sunt sfătuiți să creeze noi portofele și să își transfere fondurile odată ce blockchain-ul își reia operațiunile și să facă upgrade la cea mai recentă versiune a Bittensor.

  • Îmbunătățirile viitoare includ procese mai stricte de acces și verificare pentru pachete, frecvența crescută a auditurilor de securitate, implementarea celor mai bune practici în politicile de securitate publică și monitorizarea îmbunătățită a încărcărilor și descărcărilor de pachete.

Dough Finance

Pierdere - 1,94 milioane USD

  • În dimineața zilei de 12 iulie 2024, Dough Finance a suferit un atac de împrumut rapid, pierzând aproximativ 1,94 milioane USD din fonduri ale utilizatorilor.

  • Cyvers a detectat mai multe tranzacții suspecte care implică Dough Finance.

  • Hackerul a furat 1,8 milioane de dolari în USDC și a schimbat fondurile către Ethereum (ETH) folosind protocolul Railgun cu zero cunoștințe (ZK), obținând 608 ETH.

  • Olympix a dezvăluit că exploatarea s-a datorat datelor de apel nevalidate din contractul ConnectorDeleverageParaswap, permițând manipularea datelor contractului și transferurile de fonduri către un cont deținut extern (EOA).

  • A avut loc un al doilea atac, care a dus la o pierdere suplimentară de 141.000 USD în USDC.

  • În ciuda atacului, Cyvers a confirmat că bazinele lui Aave au rămas neafectate.

  • Dough Finance a îndemnat utilizatorii să-și retragă fondurile rămase și a identificat și închis exploitul.

  • Echipa a contactat atacatorul printr-un mesaj în lanț, oferindu-se să discute despre o recompensă dacă exploatarea a fost efectuată ca o pălărie albă sau gri și solicitând returnarea fondurilor până pe 15 iulie 2024, la 23:00 UTC.

  • Dough Finance a asigurat comunitatea că lucrează activ pentru a recupera fondurile și a face investitorii întregi.

  • Săptămâna aceasta, diverse proiecte DeFi, inclusiv Compound Finance, au fost compromise într-un atac de phishing care implică un domeniu DNS care redirecționează utilizatorii către un site web fals care a scurs fonduri. Proiectele afectate i-au îndemnat pe clienți să nu interacționeze cu site-urile web până la o nouă notificare.

În atenția comunității

https://twitter.com/quillaudits_ai/status/1811290907922117015

https://twitter.com/quillaudits_ai/status/1810653169787220135?

https://twitter.com/quillaudits_ai/status/1809508585170178268?