Актуальні теми
#
Bonk Eco continues to show strength amid $USELESS rally
#
Pump.fun to raise $1B token sale, traders speculating on airdrop
#
Boop.Fun leading the way with a new launchpad on Solana.
wavey
Це найцікавіша знахідка безпеки IMO 2025 року:
«Нульовий день», на який хакери тихо розраховували, роблячи ставку на те, що він залишиться прихованим, поки майбутній виграш зростатиме.
На щастя, його вчасно спіймали хороші хлопці.
Видатні роботи @deeberiroz @pcaversaccio @dedaub
10 лип., 22:13
Це стає ще більш вигадливим: спосіб, яким Etherscan був обдурений, показавши неправильний контракт на впровадження, заснований на налаштуванні 2 різних проксі-слотів в одному передньому TX. Таким чином, Etherscan використовує певну евристику, яка включає різні слоти для зберігання для отримання контракту на реалізацію.
Існує старий проксі від OpenZeppelin, який використовував наступний слот: 'keccak256("org.zeppelinos.proxy.implementation")' = '0x7050c9e0f4ca769c69bd3a8ef740bc37934f8e2c036e5a723fd8ee048ed3f8c3'
Тепер ми також маємо стандартний слот EIP-1967 'bytes32(uint256(keccak256('eip1967.proxy.implementation')) - 1)' = '0x360894a13ba1a3210667c828492db98dca3e2076cc3735a920a3ca505d382bbc'
Отже, сталося те, що старий проксі-слот OpenZeppelin був записаний з доброякісною адресою реалізації _і_ стандартний слот EIP-1967 також був записаний з адресою шкідливої реалізації. Оскільки Etherscan спочатку запитує старий проксі-слот, він спочатку витягує той, що виглядає доброякісно, і таким чином відображає його.
2,6K
Це найцікавіша знахідка безпеки IMO 2025 року:
«Нульовий день», на який хакери тихо розраховували, роблячи ставку на те, що він залишиться прихованим, поки майбутній виграш зростатиме.
На щастя, його вчасно спіймали хороші хлопці.
Видатні роботи @deeberiroz @pcaversaccio @deeberiroz
10 лип., 22:13
Це стає ще більш вигадливим: спосіб, яким Etherscan був обдурений, показавши неправильний контракт на впровадження, заснований на налаштуванні 2 різних проксі-слотів в одному передньому TX. Таким чином, Etherscan використовує певну евристику, яка включає різні слоти для зберігання для отримання контракту на реалізацію.
Існує старий проксі від OpenZeppelin, який використовував наступний слот: 'keccak256("org.zeppelinos.proxy.implementation")' = '0x7050c9e0f4ca769c69bd3a8ef740bc37934f8e2c036e5a723fd8ee048ed3f8c3'
Тепер ми також маємо стандартний слот EIP-1967 'bytes32(uint256(keccak256('eip1967.proxy.implementation')) - 1)' = '0x360894a13ba1a3210667c828492db98dca3e2076cc3735a920a3ca505d382bbc'
Отже, сталося те, що старий проксі-слот OpenZeppelin був записаний з доброякісною адресою реалізації _і_ стандартний слот EIP-1967 також був записаний з адресою шкідливої реалізації. Оскільки Etherscan спочатку запитує старий проксі-слот, він спочатку витягує той, що виглядає доброякісно, і таким чином відображає його.
15
Користувач wavey поділився
Дві нові пропозиції щодо поповнення запасів
1. Заощадження в доларах США ($sreUSD) – новий будівельний блок DEFI
Представляйте заощадження reUSD, нове сховище для стейкінгу ERC-4626, яке спрямоване на зростання $reUSD попиту, винагороду довгострокових власників і підвищення стабільності прив'язки за допомогою динамічного механізму комісій, заснованого на прив'язці reUSD.
Посилання:
1/2
7,8K
Досить акуратний щотижневий звіт + інсайти від @CurveFinance
4 лип., 02:38
Хороші врожаї?
5,41K
Найкращі
Рейтинг
Вибране