GM!建造者

在最新一期的 HashingBits 中,我們將深入探討以太坊的核心開發者會議,涵蓋以太坊生態系統的所有重大更新。但這還不是全部——我們將探索 Polygon、Starknet 和 Avalanche 生態系統的最新動態,以及 AI 和 Web3 領域的進步。對於開發人員,我們將重點介紹旨在協助智能合約開發人員和審計人員的新工具。當然,我們將深入研究有關 2.35 億美元 WazirX Multisig 錢包黑客攻擊和 LiFi 協議因智能合約漏洞而損失 970 萬美元的頭條新聞。

EtherScope:核心發展

  • 所有核心開發人員 - 執行 (ACDE) 電話會議#192回顧

  • RIP-7212 簡史和現狀:審查異步並決定是否納入(即將推出)

  • Verkle 實施者電話會議 #21:提議減少見證大小、更新 EIP6800 和 EIP2935 以及降低代碼分塊成本

  • 更好的地理多樣性是最佳的,特別是在北美和歐洲以外

  • Blocknative:自建區塊的數據可視化,無意中增加了基礎費用的波動性

  • EIP7732 ePBS 突破 #5:簡短調用,提議者 IP 泄漏,請求構建者提供標頭,共識規範測試修復正在進行中

  • Nethermind EVMYulLean:EVM + Yul 規範,可執行,採用 Lean 方式

第 1 層和第 2 層

  • DefiLlama:敘事追蹤器具有更長的回顧功能

  • 基於預配置現已在測試網 Helder 上線

  • 關閉的 Gnosis Chain 已上線

  • Chromia MVP 主網上線

  • 宣佈推出 Nexus 2.0 zkVM

  • 簡單的 DVT 更新:SSV 進入主網

  • TPRO 鏈,一條新的虛擬鏈在 Aurora 上線

  • Viction DA 測試網上線

  • Apechain 測試網 Curtic 上線

  • 宣佈發佈 Ceramic-One

  • 共價原生代幣遷移成功

  • Blockscan 多鏈瀏覽器(測試版)現已上線

  • Tangem 推出全新冷錢包戒指

  • 介紹 Gwyneth — 一個可與以太坊同步組合的基於 Rollup 的項目

  • 多項式鏈簡介

  • Henez 簡介 - OmniDeFi 流動性層

  • NEAR 權益之家治理提案

  • Shape 測試網現已上線

  • LYNC 正在打造 L2 運動

  • LI.FI 補償計劃

  • 第二季 ETH.FI 聲明已上線

  • Curve PegKeeper 資產監管簡報

  • 關於安全尋找最小平均週期的註記

  • 返還代表團代金券

  • 胖貝拉論

  • Chainalysis Operation Spincaster

  • Scroll 推遲完成調查潛在生態系統事件,確認 Rho Markets 是特定於應用程序的

  • L2BEAT 徽章:L2 功能的視覺展示

  • 宣佈成立 Avail 基金會

應急響應委員會

  • ERC7743:多所有者非同質化代幣(MO-NFT)

  • ERC7744:代碼索引(索引合約字節碼)

  • ERC7746:可組合的安全中間件鉤子

彈性改進計劃

  • EIP7745:二維日誌過濾器數據結構

  • EIP.tools 添加 RIP(彙總改進提案)

EcoExpansions:超越以太坊🚀

多邊形

  • 聚合峯會已到來

  • 深入探究 Polygon Plonky3

  • 如果我們將 Polygon PoS 交易剝離爲應用程序操作交易,它們會是什麼樣子?

  • 每週遊戲綜述:多邊形

  • Polygon 將遷移至 POL 的日期定爲 9 月 4 日

星網

  • 查看 Starknet 的路線圖

  • 您應該在 Starknet 上構建的所有理由

  • Starknet Wallet<>Dapp API 正在通過 Starknet-js V6 進行重大更新!

  • Layerswap x Starkent $STRK 獎勵計劃現已推出

決定

  • Avalanche 的 ACP-77 重新覺醒?您需要了解的有關 ACP-77 的一切

  • Avalanche 鏈間代幣轉移說明

  • 開始使用 Avalanche ICTT 入門套件

DevToolkit:基本功能與創新

  • rindexer - Rust 中的開源、快速 EVM 索引工具

  • spice - 用於從 Dune Analytics API 中提取數據的 Python 客戶端

  • Lodestar v1.20.2:使用 Lodestar 信標節點和帶有 MEV-Boost 的 Lighthouse/Nimbus 驗證器客戶端發佈盲塊的補丁

  • Reth v1.0.3:修復基本主網和異步回填流

  • Rindexer,Rust 中的 EVM 索引工具,測試版

  • Echidna v2.2.4:提高模糊測試速度和用戶體驗,增加對瞬態操作碼的支持

  • 審計嚮導添加了 Cyfrin Aderyn(Solidity 靜態分析器)

  • Damn Vulnerable DeFi v4:遷移至 Foundry,新挑戰:曲線木偶、分片、提款和獎勵者

黑客馬拉松、研討會和活動

  • Arthur Hayes 的 Maelstrom 宣佈爲每位開發者提供高達 25 萬美元的比特幣資助計劃

  • Scroll 賞金得主 ETHGlobal Hackathon

  • ETHGlobal Hackathon Uniswap 賞金得主

  • Hyperlane 賞金獲勝者 ETHGlobal 布魯塞爾

  • 超級鏈黑客馬拉松上的超級黑客

探索知識的深度:研究論文、博客和推文🔖

嘰嘰喳喳

  • Nexus 2.0 zkVM 現已發佈

  • Nic 的穩定幣教學大綱

  • (重新)質押的風險與回報

  • 有多少 Web3 用戶是真實的

  • 不要開發鏈上游戲

  • ELI5 - L3s

  • IoTeX 發佈 2.0 白皮書

  • 使用 ZKThreads 進行水平擴展

  • Sink L2 白皮書主題

  • Rollup 被高估還是低估?Rollup 收入和成本結構分析

  • FRI-Binius 的重大更新帶來了更好的批處理、更快的遞歸和更小的證明

  • L3 的經濟學

  • ERC-7739:智能賬戶的可讀類型簽名

  • 以太坊的可擴展性危機:執行層

  • 深入探究 DeAI 協議

  • 深入探究 Move 智能合約

  • EigenDa 簡單解釋

文章

  • Solidity via-IR 編譯管道解釋器:將 Solidity 轉換爲 Yul(中間表示)以進行優化,而不是直接轉換爲字節碼,計劃使用 EOF 作爲默認值

  • Solidity 隱藏溢出:數學表達式類型轉換爲變量使用的最高類型

  • Solady(Solidity 代碼片段):添加具有不可變參數的 ERC1967 最小代理,在 Etherscan 上自動驗證

  • Z0r0z sstore3,使用餘額和地址讀取/寫入合約存儲,許可證:AGPL v3

  • Reth 執行擴展(ExEx)示例

  • OpenAI 量表對“人類水平”問題解決能力的進展進行排名

研究論文

  • Anders Elowsson:密封執行拍賣,執行提案權的維克裏槽拍賣,見證人監督由建設者和信標提議者促成的提交/披露方案

  • 多輪 MEV-Boost:減輕基於預置的負面影響並保留基於彙總的優勢

  • 重新審視無可信服務器的私有異構聯邦學習:凸損失的誤差最優和通信高效算法

  • FBChain:基於區塊鏈的高效、安全通信聯邦學習模型

  • 針對大型語言模型的檢索增強生成的黑盒觀點操縱攻擊



    觀看🎥

Web3 安全觀察

文章

  • 兩次犯同樣的錯誤?解密 LiFi 協議的 970 萬美元漏洞:事後分析報告

  • 又一次 Lazarus Group 攻擊?解密 Wazirx Multisig 錢包的 2.35 億美元漏洞:事後分析報告

  • Minterest 通過重入攻擊 Mantle L2 並獲取 140 萬美元漏洞

  • 安全聯盟 (SEAL):對 Squarespace 域名入侵事件的響應

  • Wazirx 2.3 億美元加密貨幣盜竊案給印度監管機構和政府敲響警鐘

  • WazirX 因遭受 2.3 億美元黑客攻擊向警方報案,並與印度網絡犯罪部門交涉

研究論文

  • 從 Stack Overflow 代碼片段中識別智能合約安全問題

  • Detect Llama——使用大型語言模型查找智能合約中的漏洞

  • 提高以太坊上基於交易的龐氏騙局檢測的準確性

  • 智能合約“終止開關”的可行性

嘰嘰喳喳

  • 全面分析 Wazirx 漏洞的發生過程

  • WazirX:關於黑客攻擊的 PSA

  • 對價值超過 2.3 億美元的 WazirX 黑客攻擊進行鏈式分析,可能與 Lazarus 有關 - ZachXBT

  • 由於目前沒有買方流動性,WazirX 交易所陷入血洗

  • Mudit Gupta 對 Wazirx 漏洞的分析

  • Wazirx 漏洞後的 Zachxbt 分析和資金追蹤

黑客和詐騙🚨

瓦齊爾X

虧損約 2.35 億美元

  • WazirX 由 Liminal 管理的多重簽名錢包遭到攻擊,導致 4.51 億美元鏈上資產中的 2.35 億美元損失。

  • 多重簽名錢包有 6 個簽名者:5 個來自 WazirX,1 個來自 Liminal。

  • 攻擊者利用網絡釣魚攻擊了 3 名 WazirX 和 1 名 Liminal 簽名者。

  • 他們直接攻擊了 2 名 WazirX 簽名者,並使用僞造的 Liminal UI 誘騙其他人簽署惡意交易。

  • 攻擊者將多重簽名錢包升級爲惡意合約,不斷轉移資金。

  • ZachXBT 追蹤到 Tornado Cash 的交易,發現測試交易,並將比特幣存款與黑客攻擊聯繫起來。

  • WazirX 將責任歸咎於 Liminal 的系統,懷疑在交易驗證期間有效載荷被替換。

  • Liminal 表示,此次入侵涉及一個在其平臺之外創建的錢包。

閱讀事後報告來了解有關整個漏洞的更多詳細信息。

Li.Fi 協議

虧損 - 970 萬美元

  • LiFi 團隊在攻擊發生前五天部署了 GasZipFacet 合約,以實現橋接交易的天然氣補給。

  • 攻擊者利用 GasZipFacet 合約中 depositToGasZipERC20() 的任意調用漏洞,允許進行未經授權的交易。

  • 攻擊者針對擁有特定 LiFi 合約地址無限批准的用戶實施攻擊,使得攻擊者能夠執行未經授權的 transferFrom 操作。

  • 攻擊者精心設計了任意交易調用來執行未經授權的轉賬,而不是合法的資產交換。這從那些對 LiFi Diamond 合約給予無限批准的用戶手中榨取了大量 USDT、USDC 和 DAI。

  • 被盜資金通過 Uniswap 和 Hop Protocol 等平臺轉換成約 2,857 ETH,然後分散到多個錢包中。

  • Tornado Cash 被用來掩蓋被盜資金的來源,使得追蹤其最終去向變得困難。

  • 被利用的令牌:攻擊者利用的主要令牌包括:

    • 6,335,889 美元

    • 3,191,914 USDC

    • 169,533 戴

閱讀事後分析報告來了解有關該漏洞的更多信息。

社區焦點

https://x.com/quillaudits_ai/status/1812741356387016828

https://x.com/quillaudits_ai/status/1813845595788120405

https://x.com/quillaudits_ai/status/1813944615613219277

https://x.com/icphub_VN/status/1813873185127031109

https://x.com/quillaudits_ai/status/1814607085612483046

#MATIC #AI #USDT #AVAX #ETH #USDC