ГМ! Строители

В этом последнем выпуске HashingBits мы углубимся в встречи основных разработчиков Ethereum, освещая все основные обновления в экосистеме Ethereum. Но это еще не все: мы рассмотрим последние события в экосистемах Polygon, Starknet и Avalanche, а также достижения в области искусственного интеллекта и Web3. Для разработчиков мы выделяем новые инструменты, предназначенные для помощи разработчикам и аудиторам смарт-контрактов. И, конечно же, мы углубимся в заголовки новостей о взломе кошелька WazirX Multisig стоимостью 235 миллионов долларов и потерях протокола LiFi в размере 9,7 миллиона долларов из-за уязвимости смарт-контрактов.

EtherScope: основные разработки 👨‍💻

  • Все основные разработчики - Выполнение (ACDE) вызов#192Резюме

  • Краткая история и текущая ситуация с RIP-7212: обзор асинхронности и решение о включении (скоро)

  • Разработчики Verkle призывают №21: предложение по уменьшению размера свидетеля, обновления EIP6800 и EIP2935 и стоимость фрагментации кода

  • Оптимальным является лучшее географическое разнообразие, особенно за пределами Северной Америки и Европы.

  • Blocknative: данные, полученные из самостоятельно созданных блоков, непреднамеренно увеличивают волатильность базовой платы

  • EIP7732 ePBS breakout #5: короткий вызов, утечки IP-адреса предлагающего, запрашивающие заголовки от строителя и исправления консенсусных спецификаций тестов в процессе

  • Nethermind EVMYulLean: спецификация EVM + Yul, исполняемый файл, в Lean

Слой1 и Слой2

  • DefiLlama: повествовательный трекер с более длительными обзорами

  • Предварительные настройки на основе теперь доступны в тестовой сети Helder

  • Закрытая цепь Gnosis функционирует

  • Основная сеть Chromia MVP запущена

  • Анонс Nexus 2.0 zkVM

  • Простое обновление DVT: SSV переходит в основную сеть

  • TPRO Chain, новая виртуальная сеть, запущенная на Aurora

  • Тестовая сеть Viction DA запущена

  • Тестовая сеть Apechain Curtic запущена

  • Анонсируем выпуск Ceramic-One

  • Миграция ковалентного собственного токена прошла успешно

  • Blockscan Multichain Explorer (бета) уже здесь

  • Tangem выпускает новое холодное кольцо-кошелек

  • Представляем Gwyneth — синхронно компонуемый пакет на основе Ethereum

  • Знакомство с полиномиальной цепочкой

  • Представляем Henez - слой ликвидности OmniDeFi

  • Предложение по управлению NEAR House of Stake

  • Тестовая сеть Shape запущена

  • LYNC создает Движение L2

  • Схема компенсации LI.FI

  • Сезон 2 ETH.FI заявления актуальны

  • Краткий обзор нормативной базы активов Curve PegKeeper

  • Примечание о безопасном нахождении минимального среднего цикла

  • Возврат ваучера делегации

  • Тезис Толстого Бера

  • Операция «Спинкастер»

  • Прокрутка отложила завершение для расследования потенциального инцидента в экосистеме, подтвердила, что Rho Markets был специфичным для приложения

  • Значки L2BEAT: визуальное отображение функций L2

  • Анонс фонда Avail

ERC

  • ERC7743: Невзаимозаменяемые токены с несколькими владельцами (MO-NFT)

  • ERC7744: Индекс кода (байт-код контракта индекса)

  • ERC7746: Компонуемые хуки промежуточного программного обеспечения безопасности

EIP-ы

  • EIP7745: Двумерная структура данных лог-фильтра

  • EIP.tools добавляет RIP (предложения по улучшению набора)

EcoExpansions: за пределами Ethereum 🚀

Полигон

  • Агрегационный саммит уже здесь

  • Глубокое погружение в Polygon Plonky3

  • Как будут выглядеть PoS-транзакции Polygon, если разбить их на транзакции действий приложения?

  • Еженедельный игровой обзор на polygon

  • Polygon назначает 4 сентября датой перехода на POL

Старкнет

  • Взгляните на дорожную карту Starknet

  • Все причины, по которым вам следует развивать Starknet

  • Starknet Wallet<>Dapp API получает крупное обновление с выходом Starknet-js V6!

  • Программа вознаграждений Layerswap x Starkent $STRK уже здесь

Решение

  • Пробуждение ACP-77 от Avalanche? Все, что вам нужно знать об ACP-77

  • Объяснение передачи токенов Avalanche Interchain

  • Начните работу с набором Avalanche ICTT Starter Kit

DevToolkit: Основы и инновации 🛠️

  • rindexer — быстрый инструмент индексации EVM с открытым исходным кодом в Rust

  • spice - клиент Python для извлечения данных из API Dune Analytics

  • Lodestar v1.20.2: патч для публикации слепых блоков с использованием узла-маяка Lodestar и клиента-валидатора Lighthouse/Nimbus с MEV-Boost

  • Reth v1.0.3: исправление для базовой сети и асинхронного потока Backfill

  • Rindexer, инструмент индексации EVM в Rust, бета-версия

  • Echidna v2.2.4: улучшает скорость фаззинга и пользовательский опыт, добавляет поддержку временных кодов операций

  • Audit Wizard добавляет Cyfrin Aderyn (статический анализатор Solidity)

  • Damn Vulnerable DeFi v4: перенесено в Foundry, новые проблемы: изогнутая марионетка, осколки, вывод средств и вознаграждение

Хакатоны, семинары и мероприятия

  • Maelstrom Артура Хейса объявляет о программе грантов Bitcoin на сумму до 250 тыс. долларов на разработчика

  • Победители конкурса Scroll Bounty ETHGlobal Hackathon

  • Победители ETHGlobal Hackathon Uniswap Bounty

  • Победители конкурса Hyperlane ETHGlobal Brussels

  • Superhack на хакатоне Superchain

Исследуйте глубины знаний: научные статьи, блоги и твиты🔖

Твиттер

  • Nexus 2.0 zkVM уже здесь

  • Программа Nic's Stablecoin

  • Риски и выгоды (пере)ставок

  • Сколько реальных пользователей Web3?

  • Не создавайте игру Onchain

  • ЭЛИ5 - L3s

  • IoTeX выпустил свой технический документ 2.0

  • Горизонтальное масштабирование с помощью ZKThreads

  • Тема технической документации Sink L2

  • Переоценены или недооценены Rollup? Анализ структуры доходов и затрат Rollup

  • Крупное обновление FRI-Binius обеспечивает лучшую пакетную обработку, более быструю рекурсию и меньшие доказательства

  • Экономика L3

  • ERC-7739: читаемые печатные подписи для смарт-аккаунтов

  • Кризис масштабируемости Ethereum: уровень исполнения

  • Глубокое погружение в протокол DeAI

  • Глубокое погружение в Move Smart Contracts

  • Простое объяснение EigenDa

Статьи

  • Объяснение конвейера компиляции Solidity via-IR: переводит Solidity в Yul (промежуточное представление) для оптимизации, а не напрямую в байт-код, планирую сделать значение по умолчанию с EOF

  • Скрытое переполнение Solidity: типы математических выражений приводятся к наивысшему типу, используемому переменными

  • Solady (фрагменты Solidity): добавляет минимальные прокси-серверы ERC1967 с неизменяемыми аргументами, автоматически проверяемыми на Etherscan

  • Z0r0z sstore3, чтение/запись хранилища контрактов с использованием баланса и адреса, лицензия: AGPL v3

  • Примеры расширения выполнения Reth (ExEx)

  • OpenAI Scale оценивает прогресс в решении проблем «человеческого уровня»

Научные работы

  • Андерс Эловссон: закрытый аукцион по исполнению, аукцион слотов Викри по правам предложения по исполнению, заверители контролируют схему фиксации/раскрытия, организованную создателями и предлагающим маяк

  • Многораундовый MEV-Boost: смягчить негативные стороны базовых предварительных конфигураций и сохранить преимущества базовых роллапов

  • Повторное рассмотрение частного гетерогенного федеративного обучения без доверенного сервера: оптимальные по ошибкам и эффективные по коммуникациям алгоритмы для выпуклых потерь

  • FBChain: модель федеративного обучения на основе блокчейна с эффективностью и безопасной коммуникацией

  • Атаки на манипуляцию мнениями методом черного ящика для генерации больших языковых моделей с расширенным поиском



    Смотреть 🎥

Web3 Security Watch 🛡️

Статьи

  • Одна и та же ошибка дважды? Расшифровка эксплойта протокола LiFi на $9,7 млн: отчет о вскрытии

  • Еще одна атака Lazarus Group? Расшифровка эксплойта Wazirx Multisig Wallet на сумму 235 млн долларов: отчет о вскрытии

  • Эксплуатация Minterest на сумму 1,4 млн долларов США на Mantle L2 через повторный вход

  • Security Alliance (SEAL): ответ на инцидент, связанный с компрометацией домена Squarespace

  • Кража криптовалюты на сумму 230 миллионов долларов в Wazirx стала тревожным сигналом для индийских регуляторов и правительства

  • WazirX подает жалобу в полицию после взлома на 230 миллионов долларов и взаимодействует с индийским подразделением по борьбе с киберпреступлениями

Научные работы

  • Выявление проблем безопасности смарт-контрактов в фрагментах кода из Stack Overflow

  • Detect Llama — поиск уязвимостей в смарт-контрактах с использованием больших языковых моделей

  • Повышение точности обнаружения финансовых пирамид на основе транзакций в Ethereum

  • Возможность реализации смарт-контракта «Kill Switch»

Твиттер

  • Комплексный анализ того, как произошел эксплойт Wazirx

  • WazirX: взлом социальной рекламы

  • Анализ цепочки взлома WazirX на сумму более 230 млн долларов, вероятно, связан с Lazarus - ZachXBT

  • Кровавая баня на бирже WazirX из-за того, что в настоящее время нет ликвидности Buy Side

  • Анализ Мудита Гупты по Wazirx Exploit

  • Анализ Zachxbt и отслеживание средств после взлома Wazirx

Взломы и мошенничество 🚨

WazirX

Убыток ~ 235 млн долларов

  • Мультиподписной кошелек WazirX, управляемый с помощью Liminal, был взломан, в результате чего было потеряно 235 млн долларов из 451 млн долларов активов в цепочке.

  • У мультиподписного кошелька было 6 подписантов: 5 из WazirX и 1 из Liminal.

  • Злоумышленники скомпрометировали 3 подписчика WazirX и 1 подписчика Liminal с помощью фишинга.

  • Они напрямую скомпрометировали двух подписчиков WazirX и использовали поддельный пользовательский интерфейс Liminal, чтобы обманом заставить остальных подписать вредоносные транзакции.

  • Злоумышленники модернизировали мультиподписной кошелек до вредоносного контракта, непрерывно переводя средства.

  • ZachXBT отследил транзакции в Tornado Cash, обнаружил тестовые транзакции и связал депозиты в биткоинах со взломом.

  • WazirX обвинил систему Liminal, заподозрив подмену полезной нагрузки во время проверки транзакции.

  • Liminal заявила, что взлом был связан с кошельком, созданным за пределами их платформы.

Прочитайте отчет о вскрытии, чтобы узнать больше подробностей обо всей этой истории.

Протокол Li.Fi

Убыток - 9,7 млн ​​долларов

  • Команда LiFi запустила контракт GasZipFacet за пять дней до атаки, чтобы обеспечить заправку газом для промежуточных транзакций.

  • Злоумышленник использовал уязвимость произвольного вызова через depositToGasZipERC20() в контракте GasZipFacet, что позволило проводить несанкционированные транзакции.

  • Целью атаки были пользователи с неограниченным количеством одобрений для определенных адресов контрактов LiFi, что позволило злоумышленнику выполнять несанкционированные операции transferFrom.

  • Атакующий создал произвольные вызовы транзакций для выполнения несанкционированных переводов вместо законных обменов активами. Это слило значительные суммы USDT, USDC и DAI от пользователей, которые дали бесконечное одобрение контракту LiFi Diamond.

  • Украденные средства были конвертированы примерно в 2857 ETH с использованием таких платформ, как Uniswap и Hop Protocol, а затем распределены по нескольким кошелькам.

  • Tornado Cash использовался для сокрытия происхождения украденных средств, что затрудняло отслеживание их конечного пункта назначения.

  • Использованные токены: Основные токены, которые сошли с рук злоумышленнику, включают:

    • 6 335 889 долларов США

    • 3 191 914 долларов США

    • 169 533 ДАИ

Прочитайте отчет Post Mortem, чтобы узнать больше об этой уязвимости.

В центре внимания сообщества

https://x.com/quillaudits_ai/status/1812741356387016828

https://x.com/quillaudits_ai/status/1813845595788120405

https://x.com/quillaudits_ai/status/1813944615613219277

https://x.com/icphub_VN/status/1813873185127031109

https://x.com/quillaudits_ai/status/1814607085612483046

#MATIC #AI #USDT #AVAX #ETH #USDC