Há um novo padrão interessante dos golpistas para fazer com que as carteiras comprometidas quebrem completamente, para que você não possa enviar fundos para nenhum resgate. TL; DR: Se você EIP-7702 _self-delegate_ o endereço da sua carteira, você completamente bloqueia sua carteira. Então, como isso funciona? Se você definir sua própria carteira EOA como endereço de delegação, o código definido em sua carteira será '0xef0100 || your_address'. Agora, de acordo com o EIP-7702, o indicador de delegação usa o opcode _banned_ '0xef' para indicar que o código deve ser tratado de forma diferente do código normal. Então, tudo bem? Você pode até pensar que isso criará uma potencial cadeia/loop infinito de delegações, mas não, de acordo com as especificações: "os clientes devem recuperar apenas o primeiro código e depois parar de seguir a cadeia de delegação". Então, o que acontece é que, quando você se autodelega ao seu próprio endereço, você invoca efetivamente o opcode inválido '0xef' para cada tx que passa pela sua carteira e a transação será revertida.

Este é o achado de segurança mais fascinante de 2025 IMO: um "dia zero" sobre o qual os hackers estavam se posicionando silenciosamente, apostando que permaneceria oculto enquanto a recompensa futura crescia. felizmente pego bem a tempo pelos mocinhos. excelente trabalho de @deeberiroz @pcaversaccio @dedaub

RT @dobsec: "Nenhuma pessoa comum usa uma VPN" mostra que ele claramente não viu os criadores de zilhões de VPNs vendendo VPNs em todos os vídeos.

BlockThreat - Semana 28, 2025 💙 Patrocinado por @SecurityOak 🔥 Exploração em massa de contratos de procuração descobertos por @deeberiroz e whitehat por @pcaversaccio @dedaub e @_SEAL_Org 💸 @GMX_IO hack de reentrância: US$ 42 milhões (US$ 37 milhões recuperados) 💸 @KintoXYZ proxy não inicializado. $1,55 Milhões

Lições para especialistas em segurança: Audite o proxy com rigor. Monitore cadeias de chamadas delegadas (fácil de fazer em nosso aplicativo) e garanta a integridade do armazenamento com padrões complexos de proxy. Os adereços vão para @deeberiroz @VennBuild @pcaversaccio @_SEAL_Org Fique vigilante.

então descobri que é ainda mais sofisticado. Observei que o frontrunning tx (pelos atacantes) chama 'initialize' e os protocolos também chamam _successfully_ 'initialize' depois (assim eles acham que tudo está normal). Mas espere, como isso é possível? Tive que olhar muito fundo nas mudanças no slot de armazenamento e adivinhar o que encontrei: eles _resetaram_ o valor do slot de armazenamento '_initialized' no final do frontrunning tx (depois de trocarem para o contrato de implementação malicioso). Isso significa que o armazenamento proxy agora parece que nunca foi inicializado. O slot de armazenamento relevante a ser observado é 'keccak256(abi.encode(uint256(keccak256(" - 1)) & ~bytes32(uint256(0xff))' = '0xf0c57e16840df040f15088dc2f81fe391c3923bec73e23a9662efc9c229c6a00' Este é o mal de próximo nível.

No início desta semana, foi identificada uma vulnerabilidade potencial no contrato de gerenciamento de cadeia cruzada da Orderly na cadeia BNB. Em resposta, nosso cofre de BNB para depósitos e saques foi imediatamente pausado, os contratos foram migrados e os depósitos/saques foram retomados em 2 horas. ✅ Nenhum fundo de usuário está em risco ou foi perdido. Agradecimentos especiais a @deeberiroz, @VennBuild, @seal_911, @pcaversaccio e ao resto da equipe que ajudaram a sinalizar isso! Mais seguros juntos 🤝

[5/5] Chamada de gratidão • @SlowMist_Team para triagem e correção ininterruptas • @dedaub, @pcaversaccio e a sala de guerra @seal_911 para uma varredura de código de 36 horas • @etherscan para limpeza rápida da interface do usuário • E, novamente, obrigado @deeberiroz, @VennBuild, @davidberiro - seu heads-up salvou o dia 💙

Fica ainda mais sofisticado: a maneira como o Etherscan foi enganado mostrando o contrato de implementação errado é baseada na configuração de 2 slots de proxy diferentes no mesmo frontrunning tx. Portanto, o Etherscan usa uma certa heurística que incorpora diferentes slots de armazenamento para recuperar o contrato de implementação. Há um proxy antigo do OpenZeppelin que usou o seguinte slot: 'keccak256("org.zeppelinos.proxy.implementation")' = '0x7050c9e0f4ca769c69bd3a8ef740bc37934f8e2c036e5a723fd8ee048ed3f8c3' Agora também temos o slot padrão EIP-1967 'bytes32(uint256(keccak256('eip1967.proxy.implementation')) - 1)' = '0x360894a13ba1a3210667c828492db98dca3e2076cc3735a920a3ca505d382bbc' Então, o que aconteceu é que o antigo slot de proxy OpenZeppelin foi gravado com o endereço de implementação benigno _e_ o slot padrão EIP-1967 também foi gravado com o endereço de implementação malicioso. Como o Etherscan consulta primeiro o slot de proxy antigo, ele recuperou o de aparência benigna primeiro e, portanto, o exibiu.

RT @devops199fan: .@seal_911 basicamente serve como centro de operações de segurança global voluntário (GSOC) da criptomoeda Temos sorte de ter pessoas como ...