GM! Будівельники
У цьому останньому випуску HashingBits ми детально занурюємося в основні зустрічі розробників Ethereum, охоплюючи всі основні оновлення в екосистемі Ethereum. Але це ще не все — ми досліджуємо останні події в екосистемах Polygon, Arbitrum і Optimism, а також нещодавні події в ETHCC і досягнення в просторі AI і Web3. Для розробників ми пропонуємо нові інструменти, призначені для допомоги розробникам смарт-контрактів і аудиторам. І, звісно, ми заглибимося в заголовки про злом гаманця Bittensor на 8 мільйонів доларів США та втрати Dough Finance у розмірі 1,94 мільйона доларів США через атаки на швидкі кредити.
EtherScope: основні розробки 👨💻
Підсумок усіх основних розробників — Консенсус (ACDC) №137
Чому Маріус Ван Дер Віден проти EOF у Pectra?
Погляд на прорив PeerDAS №3
Глибоке занурення в модель опору цензурі
Constantine v0.1: реалізації сигнатур BLS, прекомпіляції BN254 і BLS12–381
Lido реалізувала простий модуль DVT на базі SSV
Віталік Бутерін наполягає на тому, щоб Ethereum відповідав на атаки 51% більш автоматизованим способом
Глибоке занурення в атестації — кількісний аналіз
Шар 1 і Шар 2
Péter Szilágyi: Бібліотека SSZ реалізована в Go
RollCall (стандарти L2) №6: Обговорення та презентації щодо підвищення базової комісії blob L1 щодо попередньої компіляції RIP7728 L1SLOAD та фабрик детермінованого розгортання попередньої інсталяції RIP7740
Titan Builder eth_sendBlobs: надсилайте перестановки транзакцій blob від одного відправника
Протокол ядра працює
Весу в прямому ефірі на Starknet
Worldcoin Foundation запускає попередню версію для розробників World Chain
Представляємо Puffer UniFi — Puffer’s Based Rollup
Penumbra живе
Skale представляє оновлення Pacifica V3
LayerZero та Initia розробляють стандарт сумісності для Cosmos
Представляємо Termina: кінцевий стан масштабування SVM
Зменшення інфляції Evmos
Оголошення про запуск звичайної загальнодоступної мережі
OEV Network працює
Omni Network запускає Streams
Starknet відкриє стейкинг до кінця цього року
Представляємо мережу автоматизації торгівлі Halliday
Exodus запускає Passkeys Wallet
Джастін Сан: безгазовий стейблкойн з’явиться в 4 кварталі на Tron, а потім Ethereum і всі мережі EVM
TAC об’єднується з Polygon, щоб забезпечити сумісність EVM в екосистемі TON
Прискорювач запуску Notcoin, 1inch і Sign для екосистем Telegram і TON
Представляємо програму паливних балів
Тепер ви можете відстежувати наративи на DefiLlama
dDocs: Документи Google Onchain тут
Представляємо Story Network, світовий IP-блокчейн
ERC
ERC7737: спеціальна модель доступу до даних
ERC7738: реєстр сценаріїв без дозволу
ERC7739: читабельні друковані підписи для розумних облікових записів
ERC7741: авторизація оператора (через підписи EIP712 secp256k1)
ЄІБ
EIP7742: роз’єднайте кількість крапель між CL та EL
EIP.tools додає EIP-GPT, згенерований ШІ підсумок EIP/ERC
RIPs
• RIP7740: попередньо інсталюйте фабрики детермінованого розгортання
EcoExpansions: за межами Ethereum 🚀
Багатокутник
Polygon Miden Alpha Testnet v3 працює
Щотижневий огляд ігор на Polygon
Подивіться на щотижневі оновлення на Polygon
TON створює L2 на основі zk за допомогою Polygon CDK, який підключатиметься до AggLayer
Кількість активних адрес на @0xPolygon PoS зросла на 227% з початку року
Оптимізм
Оновлення OP Stack Fjord тут, дешевша перевірка ключа доступу до смарт-гаманця через попередню компіляцію RIP7212 secp256r1 і на 5–15% нижчі витрати на доступність даних завдяки стисненню каналу Brotli.
SuperFest, фестиваль Superchain DeFi, офіційно стартував.
Просте пояснення суперланцюга
RIP-7212 тепер доступний на Superchain.
Тестова мережа Celo L2 Dango тепер у стеку OP
Рішення
Додаток No-Code Deployer for Rollups працює у співпраці з Arbitrum
Karak представляє функцію повторного ставлення для Arbitrum
Arbitrum інтегрував OKX Wallet на своєму мосту
Три важливі пропозиції ArbitrumDAO
DevToolkit: Основи та інновації 🛠️
Lodestar v1.20.0: пакет lodestar/api змінює експортовані типи, прапор для використання API SSZ з клієнтом перевірки та оновленими ENR завантажувального вузла тестової мережі.
Besu v24.7.0: додано підтримку eth_maxPriorityFeePerGas і покращено продуктивність синхронізації, пірингу та запуску
Erigon v2.60.3: додає необов’язковий прапор попередньої компіляції до трасування
Geth v1.14.7: виправлення помилки одночасного читання/запису карт у v1.14.6
Reth v1.0.1: повне покращення продуктивності вузла, заповнення ExEx і виправлення RPC
Stereum v2.2: підтримка кількох налаштувань і перевірка підключення для перевірки стабільності мережі та підключення
gevm — реалізація EVM з нуля, написана в go
Хакатони, семінари та події
Оновлення Devcon 2024: відкрито заявки на доповідачів і волонтерів
Літня стипендія Solana тут
Починається Олімпіада талантів Superteam: Frontend & Rust track
Досліджуйте глибини знань: наукові статті, блоги та твіти🔖
Mysticeti: досягнення межі затримки з несертифікованими DAG
RFC 9591: Гнучкий раундовий оптимізований протокол Шнорра (FROST) для двораундових підписів Шнорра
Опубліковано технічну документацію про протокол Alice’s Ring Protocol V1.0
Slot-to-Ping та інший описовий показник для блокчейнів
Атестації глибокого занурення — кількісний аналіз
Maximum Viable Security (MVS): нова структура для випуску Ethereum
Звіт венчурного капіталу Crypto & Blockchain — Q2 2024
Представляємо відшкодування газу від Flashbots
EVIntent — Темна матерія в MEV
Стійкий до MEV динамічний аукціон ціноутворення на права пропозиції щодо виконання
Подивіться на Flashbots Protect Explorer
Модель безпеки BTC зламана?
Розвійте деякі міфи про Bera Chain
статті
Андерс Елоуссон: аукціон динамічного ціноутворення прав на виконання пропозицій, викликає менше нових MEV і створює високе сукупне спалювання MEV
Перегляньте посібник із ініціалізації контрактів OpenZeppelin
Nethermind Clear: формальна структура перевірки коду Yul
Byteracing: розгадувач лабіринтів у Solidity, спробуйте зробити його ефективнішим за використання газу
Інтероперабельність активів L2 через двосторонні канонічні мости
Всі проблеми в IP
Солана є причиною того, чому в Ethereum почався хаос зі згортанням L2
Покращення передбачуваності операцій Arbitrum DAO
AGI застаріє блокчейни?
Про організацію паралельних трансляцій для розподілених систем
Pointenomics 101: Освоєння нової мови криптографічних стимулів
Кілька одночасних лідерів
Публікація в блозі про те, як створювався Family Wallet
Наукові праці
eyeballvul: орієнтований на майбутнє тест для виявлення вразливостей у дикій природі
SpiralShard: висококонкурентне та безпечне шардинг блокчейнів через пов’язану крос-шардову підтримку
BriDe Arbitrager: покращення арбітражу в Ethereum 2.0 за допомогою відкладеного виробництва блоків із підтримкою підкупу
Тактика, методи та процедури (TTP) у інтерпретованому зловмисному програмному забезпеченні: нульове покоління з великими мовними моделями
Підвищення конфіденційності просторово-часового федеративного навчання проти атак градієнтної інверсії
Github
Web-solc: адаптер для отримання/запуску певної версії компілятора Solidity у браузері
ERC3770 (Rust): допоміжний метод для специфічних адрес ланцюга ERC3770
Firefly Pixie від RicMoo: апаратний гаманець з відкритим кодом
Дивіться🎥
Web3 Security Watch 🛡️
статті
Експлойт Dough Finance на 2 мільйони доларів через неперевірені дані виклику
Ахіллесові п’яти Crypto?
Звіт про фішинг за середину року Scam Sniffer
Представляємо Safe Harbor: ваша остання лінія захисту від активних експлойтів
CryptoISAC запущено як спільнота CeFi, DeFi, аудиту, інфраструктури та інших проектів, пов’язаних із криптовалютою.
Twilio каже, що хакери ідентифікували номери мобільних телефонів користувачів двофакторного додатку Authy
Нова вразливість OpenSSH може призвести до RCE як root у системах Linux.
Після 10-річного очікування біткойни Mt. Gox нарешті повернули.
Карма виконана: Pink Drainer потрапляє в шахрайство з отруєнням адреси.
Inferno Drainer знову активний SlowMist. Повідомляється, що група зливників припинила роботу в листопаді минулого року.
Шахраї, які представляють Coinbase, викрадають у користувача 1,7 мільйона доларів під час серії атак.
Наукові праці
Зловживання послугами перевірки смарт-контрактів Ethereum заради розваги та прибутку
Виявлення кібератак у реальному часі за допомогою спільного навчання для блокчейн-мереж.
Оцінка продуктивності алгоритмів хешування на звичайному обладнанні
Виявлення вразливостей у смарт-контрактах: комплексне дослідження
Tayvano: приклад атаки Lazarus, контакт через соціальні мережі, а потім компрометація через GitHub repo
Домени кількох криптопроектів були захоплені після DNS-атаки, націленої на постачальника послуг веб-хостингу Squarespace.
Фальшиві облікові записи X призводять до рекордних крипто-фішингових атак на 341 мільйон доларів.
Ваші кошти SAFU?
Хакі та шахрайство 🚨
Запит сор
Збиток ~ 8 мільйонів доларів
2 липня, 19:06 UTC: зловмисник починає переказувати кошти зі зламаних гаманців на свій власний гаманець.
2 липня, 19:25 UTC: Opentensor Foundation виявляє аномальне збільшення обсягу передачі та збирає бойову кімнату.
2 липня, 19:41 UTC: валідатори в ланцюжку Opentensor розміщені за брандмауером, а Subtensor переведено в безпечний режим, щоб зупинити всі транзакції.
3 липня: команда ідентифікує джерело атаки як шкідливий пакет у PyPi Package Manager версії 6.12.2, який порушує безпеку користувача.
Шкідливий пакет маскувався під законний пакет Bittensor і перехоплював незашифровані деталі холодного ключа, коли користувачі розшифровували свої ключі.
Постраждали користувачі, які завантажили пакет Bittensor PyPi між 22 травня, 19:14 UTC, і 29 травня, 18:47 UTC, і виконували операції, пов’язані з дешифруванням ключа.
Зламаний пакет (6.12.2) видалено зі сховища PyPi.
Код Subtensor і Bittensor на GitHub було ретельно переглянуто; додаткових уразливостей не виявлено.
OTF зв’язався з кількома криптовалютними біржами, щоб відстежити зловмисника та спробувати повернути вкрадені кошти.
Громада Біттензора активно підтримала розслідування та зусилля з пом’якшення наслідків.
Після перевірки коду нормальна робота блокчейну Bittensor буде поступово відновлена з регулярними оновленнями для спільноти.
Користувачам рекомендується створити нові гаманці та перевести свої кошти, коли блокчейн відновить роботу, а також оновити Bittensor до останньої версії.
Майбутні вдосконалення включають суворіші процеси доступу та перевірки пакетів, збільшення частоти перевірок безпеки, впровадження найкращих практик у політиках громадської безпеки та покращений моніторинг завантаження та завантаження пакетів.
Тісто Фінанси
Збиток — $1,94 млн
Вранці 12 липня 2024 року Dough Finance зазнала миттєвої атаки позики, втративши приблизно 1,94 мільйона доларів США коштів користувачів.
Cyvers виявив кілька підозрілих транзакцій за участю Dough Finance.
Хакер викрав 1,8 мільйона доларів США в USDC і обміняв кошти на Ethereum (ETH) за допомогою протоколу нульового знання (ZK) Railgun, отримавши 608 ETH.
Olympix виявила, що експлойт був спричинений неперевіреними даними виклику в контракті ConnectorDeleverageParaswap, що дозволило маніпулювати даними контракту та переказами коштів на зовнішній рахунок (EOA).
Сталася друга атака, яка призвела до додаткових втрат у розмірі 141 000 доларів США.
Незважаючи на атаку, Сайверс підтвердив, що пули Aave залишилися неушкодженими.
Dough Finance закликала користувачів вивести залишки коштів, виявила та закрила експлойт.
Команда зв’язалася зі зловмисником через повідомлення в ланцюжку, запропонувавши обговорити винагороду, якщо експлойт було здійснено як білий або сірий капелюх, і вимагаючи повернення коштів до 15 липня 2024 року о 23:00 UTC.
Dough Finance запевнив спільноту, що вони активно працюють над поверненням коштів і зміцненням інвесторів.
Цього тижня різні проекти DeFi, у тому числі Compound Finance, були скомпрометовані під час фішингової атаки за участю домену DNS, який перенаправляв користувачів на фальшивий веб-сайт, який вичерпував кошти. Постраждалі проекти закликали клієнтів не взаємодіяти з веб-сайтами до подальшого повідомлення.
У центрі уваги спільноти
https://twitter.com/quillaudits_ai/status/1811290907922117015
https://twitter.com/quillaudits_ai/status/1810653169787220135?
https://twitter.com/quillaudits_ai/status/1809508585170178268?
