GM! Người xây dựng

Trong số mới nhất của HashingBits, chúng tôi sẽ đi sâu vào các cuộc họp của các Nhà phát triển cốt lõi của Ethereum, bao gồm tất cả các bản cập nhật chính trong hệ sinh thái Ethereum. Nhưng không chỉ có vậy—chúng tôi sẽ khám phá những diễn biến mới nhất trong hệ sinh thái Polygon, Starknet & Avalanche, cùng với những tiến bộ trong không gian AI & Web3. Đối với các nhà phát triển, chúng tôi sẽ nêu bật các công cụ mới được thiết kế để hỗ trợ các nhà phát triển và kiểm toán viên hợp đồng thông minh. Và tất nhiên, chúng tôi sẽ đi sâu vào các tiêu đề về vụ hack ví WazirX Multisig trị giá 235 triệu đô la và khoản lỗ 9,7 triệu đô la của LiFi Protocol do lỗ hổng hợp đồng thông minh.

EtherScope: Các phát triển cốt lõi 👨‍💻

  • Tất cả các nhà phát triển cốt lõi - Thực hiện (ACDE) cuộc gọi#192Tóm tắt

  • Tóm tắt lịch sử và tình hình hiện tại của RIP-7212: xem xét async và quyết định đưa vào (sớm)

  • Người triển khai Verkle gọi #21: đề xuất giảm kích thước chứng kiến, cập nhật EIP6800 & EIP2935 và chi phí phân đoạn mã

  • Sự đa dạng về mặt địa lý tốt hơn là tối ưu, đặc biệt là bên ngoài Bắc Mỹ và Châu Âu

  • Blocknative: dữ liệu trực quan của các khối tự xây dựng, vô tình làm tăng tính biến động của phí cơ sở

  • EIP7732 ePBS đột phá #5: cuộc gọi ngắn, rò rỉ IP của người đề xuất yêu cầu tiêu đề từ trình xây dựng và các bản sửa lỗi thử nghiệm thông số kỹ thuật đồng thuận đang được tiến hành

  • Nethermind EVMYulLean: Đặc tả EVM + Yul, có thể thực thi, trong Lean

Lớp 1 và Lớp 2

  • DefiLlama: trình theo dõi tường thuật có tính năng xem lại dài hơn

  • Preconfs dựa trên hiện đang hoạt động trên mạng thử nghiệm Helder

  • Shutterized Gnosis Chain đang hoạt động

  • Chromia MVP Mainnet đang hoạt động

  • Công bố Nexus 2.0 zkVM

  • Bản cập nhật DVT đơn giản: SSV chuyển sang Mainnet

  • TPRO Chain, một Virtual Chain mới ra mắt trên Aurora

  • Mạng thử nghiệm Viction DA đang hoạt động

  • Apechain Testnet Curtic ra mắt

  • Thông báo phát hành Ceramic-One

  • Di chuyển mã thông báo gốc Covalent thành công

  • Blockscan Multichain Explorer (Beta) đã có mặt

  • Tangem ra mắt nhẫn ví lạnh mới

  • Giới thiệu Gwyneth — một rollup dựa trên khả năng đồng bộ hóa với Ethereum

  • Giới thiệu về chuỗi đa thức

  • Giới thiệu Henez - Lớp thanh khoản OmniDeFi

  • Đề xuất quản lý Nhà thờ NEAR

  • Mạng thử nghiệm Shape đang hoạt động

  • LYNC đang xây dựng một Phong trào L2

  • Chương trình bồi thường LI.FI

  • Các tuyên bố của ETH.FI mùa 2 đã có hiệu lực

  • Tóm tắt quy định về tài sản Curve PegKeeper

  • Một lưu ý về việc tìm chu kỳ trung bình tối thiểu một cách an toàn

  • Trả lại Phiếu ủy quyền

  • Luận án Fat Bera

  • Hoạt động Chainalysis Spincaster

  • Cuộn chậm trễ hoàn thiện để điều tra sự cố hệ sinh thái tiềm ẩn, xác nhận Rho Markets là ứng dụng cụ thể

  • Huy hiệu L2BEAT: hiển thị trực quan các tính năng L2

  • Công bố Quỹ Avail

ERC

  • ERC7743: Mã thông báo không thể thay thế của nhiều chủ sở hữu (MO-NFT)

  • ERC7744: Chỉ mục mã (chỉ mục hợp đồng bytecode)

  • ERC7746: Các móc nối trung gian bảo mật có thể cấu hình

EIP

  • EIP7745: Cấu trúc dữ liệu bộ lọc nhật ký hai chiều

  • EIP.tools thêm RIP (đề xuất cải tiến tổng hợp)

EcoExpansions: Vượt ra ngoài Ethereum 🚀

Đa giác

  • Hội nghị thượng đỉnh về tổng hợp đã diễn ra

  • Khám phá sâu hơn về Polygon Plonky3

  • Các giao dịch Polygon PoS trông như thế nào nếu chúng ta tách chúng thành các giao dịch hành động trên ứng dụng?

  • Tổng hợp trò chơi hàng tuần trên polygon

  • Polygon đặt ngày 4 tháng 9 để di chuyển sang POL

Mạng lưới Stark

  • Hãy xem Lộ trình của Starknet

  • Tất cả lý do tại sao bạn nên xây dựng trên Starknet

  • Starknet Wallet<>Dapp API đang có bản cập nhật lớn với Starknet-js V6!

  • Chương trình phần thưởng Layerswap x Starkent $STRK đã có mặt

Phán quyết

  • Sự hồi sinh của ACP-77 của Avalanche? Mọi thứ bạn cần biết về ACP-77

  • Giải thích về việc chuyển giao token liên chuỗi Avalanche

  • Bắt đầu với Avalanche ICTT Starter Kit

DevToolkit: Những điều cần thiết và đổi mới 🛠️

  • rindexer - công cụ nindexing EVM mã nguồn mở, nhanh chóng trong Rust

  • spice - trình khách python để trích xuất dữ liệu từ Dune Analytics API

  • Lodestar v1.20.2: bản vá để xuất bản các khối bị che khuất bằng cách sử dụng nút đèn hiệu Lodestar & máy khách xác thực Lighthouse/Nimbus với MEV-Boost

  • Reth v1.0.3: bản sửa lỗi cho mainnet cơ sở và luồng Backfill không đồng bộ

  • Rindexer, công cụ lập chỉ mục EVM trong Rust, bản beta

  • Echidna v2.2.4: cải thiện tốc độ làm mờ và trải nghiệm người dùng, thêm hỗ trợ cho các mã lệnh tạm thời

  • Trình hướng dẫn kiểm toán bổ sung Cyfrin Aderyn (trình phân tích tĩnh Solidity)

  • Damn Vulnerable DeFi v4: đã di chuyển đến Foundry, những thách thức mới: con rối cong, mảnh vỡ, rút ​​tiền và phần thưởng

Hackathon, Hội thảo & Sự kiện

  • Maelstrom của Arthur Hayes công bố chương trình tài trợ Bitcoin lên tới 250.000 đô la cho mỗi nhà phát triển

  • Người chiến thắng cuộc thi Scroll Bounty ETHGlobal Hackathon

  • Người chiến thắng cuộc thi Hackathon ETHGlobal Uniswap Bounty

  • Người chiến thắng tiền thưởng Hyperlane ETHGlobal Brussels

  • Superhack trên hackathon Superchain

Khám phá chiều sâu của kiến ​​thức: Các bài nghiên cứu, blog và tweet🔖

Twitter

  • Nexus 2.0 zkVM đã có mặt

  • Giáo trình Stablecoin của Nic

  • Rủi ro và phần thưởng của việc (tái) đặt cược

  • Có bao nhiêu người dùng Web3 là thật

  • Đừng xây dựng một trò chơi Onchain

  • ELI5 - L3s

  • IoTeX đã phát hành sách trắng 2.0

  • Mở rộng theo chiều ngang với ZKThreads

  • Chuỗi bài báo cáo của Sink L2

  • Rollup được định giá quá cao hay quá thấp? Phân tích về cấu trúc doanh thu và chi phí của Rollup

  • Một bản cập nhật lớn cho FRI-Binius mang lại khả năng xử lý hàng loạt tốt hơn, đệ quy nhanh hơn và các bằng chứng nhỏ hơn

  • Kinh tế học của L3

  • ERC-7739: Chữ ký được nhập có thể đọc được cho Tài khoản thông minh

  • Khủng hoảng khả năng mở rộng của Ethereum: Lớp thực thi

  • Đi sâu vào Giao thức DeAI

  • Đi sâu vào hợp đồng thông minh Move

  • Giải thích đơn giản về EigenDa

Bài viết

  • Giải thích về đường ống biên dịch Solidity qua IR: dịch Solidity thành Yul (biểu diễn trung gian) để tối ưu hóa thay vì trực tiếp sang mã byte, có kế hoạch đặt mặc định với EOF

  • Tràn ẩn Solidity: các kiểu biểu thức toán học được ép kiểu cao nhất được các biến sử dụng

  • Solady (Solidity snippets): thêm proxy tối thiểu ERC1967 với các đối số không thay đổi, tự động xác minh trên Etherscan

  • Z0r0z sstore3, lưu trữ hợp đồng đọc/ghi bằng cách sử dụng số dư và địa chỉ, giấy phép: AGPL v3

  • Ví dụ về Reth Execution Extension (ExEx)

  • OpenAI Scale xếp hạng tiến trình hướng tới giải quyết vấn đề ‘cấp độ con người’

Bài nghiên cứu

  • Anders Elowsson: đấu giá thực hiện niêm phong, đấu giá Vickrey slot về quyền đề xuất thực hiện, người chứng thực giám sát chương trình cam kết/tiết lộ do người xây dựng & người đề xuất beacon tạo điều kiện

  • MEV-Boost nhiều vòng: giảm thiểu những điểm tiêu cực của preconf dựa trên & giữ lại những lợi ích của rollup dựa trên

  • Học tập liên bang không đồng nhất riêng tư không có máy chủ đáng tin cậy được xem xét lại: Thuật toán tối ưu lỗi và hiệu quả về giao tiếp cho tổn thất lồi

  • FBChain: Mô hình học tập liên bang dựa trên Blockchain với hiệu quả và truyền thông an toàn

  • Các cuộc tấn công thao túng ý kiến ​​hộp đen vào việc tăng cường khả năng truy xuất để tạo ra các mô hình ngôn ngữ lớn



    Xem 🎥

Theo dõi bảo mật Web3 🛡️

Bài viết

  • Sai lầm tương tự hai lần? Giải mã lỗ hổng trị giá 9,7 triệu đô la của giao thức LiFi: Báo cáo sau khi chết

  • Một cuộc tấn công nhóm Lazarus khác? Giải mã lỗ hổng trị giá 235 triệu đô la của ví Wazirx Multisig: Báo cáo sau khi chết

  • Minterest $1.4M khai thác trên Mantle L2 thông qua reentrancy

  • Security Alliance (SEAL): phản ứng sự cố xâm phạm tên miền Squarespace

  • Vụ trộm tiền điện tử trị giá 230 triệu đô la tại Wazirx là lời cảnh tỉnh cho các cơ quan quản lý và chính phủ Ấn Độ

  • WazirX nộp đơn khiếu nại lên cảnh sát sau vụ hack 230 triệu đô la, hợp tác với đơn vị tội phạm mạng của Ấn Độ

Bài nghiên cứu

  • Xác định các vấn đề bảo mật hợp đồng thông minh trong các đoạn mã từ Stack Overflow

  • Phát hiện Llama -- Tìm lỗ hổng trong hợp đồng thông minh bằng cách sử dụng mô hình ngôn ngữ lớn

  • Cải thiện độ chính xác của phát hiện Ponzi dựa trên giao dịch trên Ethereum

  • Tính khả thi của một hợp đồng thông minh "Kill Switch"

Twitter

  • Một phân tích toàn diện về cách khai thác Wazirx xảy ra

  • WazirX: PSA về vụ hack

  • Phân tích chuỗi vụ hack WazirX trị giá hơn 230 triệu đô la, có khả năng liên quan đến Lazarus - ZachXBT

  • Tắm máu trong sàn giao dịch WazirX do hiện tại không có thanh khoản Buy Side

  • Phân tích của Mudit Gupta về Wazirx Exploit

  • Phân tích Zachxbt và theo dõi quỹ sau Wazirx Exploit

Hack và Lừa đảo 🚨

WazirX

Lỗ ~ 235 triệu đô la

  • Ví đa chữ ký của WazirX, được quản lý bằng Liminal, đã bị khai thác, mất 235 triệu đô la trong tổng số 451 triệu đô la tài sản trên chuỗi.

  • Ví đa chữ ký có 6 người ký tên: 5 người từ WazirX và 1 người từ Liminal.

  • Những kẻ tấn công đã xâm phạm 3 WazirX và 1 chữ ký Liminal bằng cách sử dụng lừa đảo.

  • Họ trực tiếp xâm phạm 2 chữ ký WazirX và sử dụng giao diện người dùng Liminal giả để lừa những người khác ký các giao dịch độc hại.

  • Kẻ tấn công đã nâng cấp ví đa chữ ký thành một hợp đồng độc hại, liên tục chuyển tiền.

  • ZachXBT đã theo dõi các giao dịch đến Tornado Cash, tìm thấy các giao dịch thử nghiệm và liên kết các khoản tiền gửi Bitcoin với vụ tấn công.

  • WazirX đổ lỗi cho hệ thống của Liminal, nghi ngờ có sự thay thế tải trọng trong quá trình xác minh giao dịch.

  • Liminal cho biết vụ vi phạm liên quan đến ví được tạo bên ngoài nền tảng của họ.

Đọc báo cáo khám nghiệm tử thi để biết thêm chi tiết về toàn bộ vụ việc.

Giao thức Li.Fi

Lỗ - 9,7 triệu đô la

  • Nhóm LiFi đã triển khai hợp đồng GasZipFacet năm ngày trước cuộc tấn công để cho phép tiếp nhiên liệu khí đốt cho các giao dịch bắc cầu.

  • Kẻ tấn công đã khai thác lỗ hổng gọi tùy ý thông qua depositToGasZipERC20() trong hợp đồng GasZipFacet, cho phép các giao dịch trái phép.

  • Những người dùng có quyền phê duyệt vô hạn đối với các địa chỉ hợp đồng LiFi cụ thể đã bị nhắm mục tiêu, cho phép kẻ tấn công thực hiện các hoạt động chuyển tiền trái phép.

  • Kẻ tấn công đã tạo ra các lệnh gọi giao dịch tùy ý để thực hiện các giao dịch chuyển tiền trái phép thay vì hoán đổi tài sản hợp pháp. Điều này đã rút một lượng lớn USDT, USDC và DAI từ những người dùng đã chấp thuận vô hạn cho hợp đồng LiFi Diamond.

  • Số tiền bị đánh cắp đã được chuyển đổi thành khoảng 2.857 ETH bằng các nền tảng như Uniswap và Hop Protocol, sau đó phân tán vào nhiều ví.

  • Tornado Cash được sử dụng để che giấu nguồn gốc của số tiền bị đánh cắp, gây khó khăn cho việc truy tìm đích đến cuối cùng của chúng.

  • Mã thông báo bị khai thác: Các mã thông báo chính mà kẻ tấn công đã lấy được bao gồm:

    • 6,335,889 USDT

    • 3,191,914 USDC

    • 169.533 ĐẠI

Đọc báo cáo Post Mortem để biết thêm về vụ việc.

Điểm nổi bật của cộng đồng

https://x.com/quillaudits_ai/status/1812741356387016828

https://x.com/quillaudits_ai/status/1813845595788120405

https://x.com/quillaudits_ai/status/1813944615613219277

https://x.com/icphhub_VN/status/1813873185127031109

https://x.com/quillaudits_ai/status/1814607085612483046

#MATIC #AI #USDT #AVAX #ETH #USDC