Tendencias del momento
#
Bonk Eco continues to show strength amid $USELESS rally
#
Pump.fun to raise $1B token sale, traders speculating on airdrop
#
Boop.Fun leading the way with a new launchpad on Solana.
wavey
esta es la descubrimiento de seguridad más fascinante de 2025, en mi opinión:
un "zero‑day" que los hackers estaban posicionando en silencio, apostando a que permanecería oculto mientras el pago futuro creciera.
afortunadamente, fue atrapado justo a tiempo por los buenos.
trabajo excepcional de @deeberiroz @pcaversaccio @dedaub
10 jul, 22:13
Se vuelve aún más sofisticado: la forma en que Etherscan fue engañado para mostrar el contrato de implementación incorrecto se basa en establecer 2 slots de proxy diferentes en la misma transacción de frontrunning. Así que Etherscan utiliza una cierta heurística que incorpora diferentes slots de almacenamiento para recuperar el contrato de implementación.
Hay un antiguo proxy de OpenZeppelin que utilizó el siguiente slot: `keccak256("org.zeppelinos.proxy.implementation")` = `0x7050c9e0f4ca769c69bd3a8ef740bc37934f8e2c036e5a723fd8ee048ed3f8c3`
Ahora también tenemos el slot estándar EIP-1967 `bytes32(uint256(keccak256('eip1967.proxy.implementation')) - 1)` = `0x360894a13ba1a3210667c828492db98dca3e2076cc3735a920a3ca505d382bbc`
Entonces, lo que sucedió es que el antiguo slot de proxy de OpenZeppelin se escribió con la dirección de implementación benigna _y_ el slot estándar EIP-1967 también se escribió con la dirección de implementación maliciosa. Dado que Etherscan consulta primero el antiguo slot de proxy, recuperó primero el que parecía benigno y, por lo tanto, lo mostró.
5,53K
este es el hallazgo de seguridad más fascinante de 2025, en mi opinión:
un "zero‑day" que los hackers estaban posicionando en silencio, apostando a que permanecería oculto mientras el pago futuro creciera.
gracías a Dios fue atrapado justo a tiempo por los buenos.
trabajo excepcional de @deeberiroz @pcaversaccio @deeberiroz
10 jul, 22:13
Se vuelve aún más sofisticado: la forma en que Etherscan fue engañado para mostrar el contrato de implementación incorrecto se basa en establecer 2 slots de proxy diferentes en la misma transacción de frontrunning. Así que Etherscan utiliza una cierta heurística que incorpora diferentes slots de almacenamiento para recuperar el contrato de implementación.
Hay un antiguo proxy de OpenZeppelin que utilizó el siguiente slot: `keccak256("org.zeppelinos.proxy.implementation")` = `0x7050c9e0f4ca769c69bd3a8ef740bc37934f8e2c036e5a723fd8ee048ed3f8c3`
Ahora también tenemos el slot estándar EIP-1967 `bytes32(uint256(keccak256('eip1967.proxy.implementation')) - 1)` = `0x360894a13ba1a3210667c828492db98dca3e2076cc3735a920a3ca505d382bbc`
Entonces, lo que sucedió es que el antiguo slot de proxy de OpenZeppelin se escribió con la dirección de implementación benigna _y_ el slot estándar EIP-1967 también se escribió con la dirección de implementación maliciosa. Dado que Etherscan consulta primero el antiguo slot de proxy, recuperó primero el que parecía benigno y, por lo tanto, lo mostró.
42
algo que me gusta de las auditorías de @electisec:
los hallazgos se rastrean como problemas en github. dando a los desarrolladores y auditores un hilo de discusión y un historial para cada elemento.
esto es mucho más conveniente y colaborativo que otros compromisos que he tenido, que implican gestionar PDFs o documentos de Word.
1,65K
wavey republicó
Dos nuevas propuestas de reabastecimiento
1. Savings reUSD ($sreUSD) un nuevo bloque de construcción DEFI
Introducir savings reUSD, un nuevo vault de staking ERC-4626 que tiene como objetivo aumentar la demanda de $reUSD, recompensar a los titulares a largo plazo y mejorar la estabilidad del peg a través de un mecanismo de tarifas dinámico basado en el peg de reUSD.
Enlace:
1/2
7,8K
informe semanal bastante interesante + perspectivas de @CurveFinance
4 jul, 02:38
¿Buenos rendimientos?
5,44K
Parte superior
Clasificación
Favoritos