RT @dobsec: "Ninguna persona normal usa un VPN" muestra que claramente no ha visto a los miles de creadores promocionando VPNs en cada video.

BlockThreat - Semana 28, 2025 💙 Patrocinado por @SecurityOak 🔥 Se descubrió una explotación masiva de contratos proxy por @deeberiroz y fue reportada por @pcaversaccio @dedaub y @_SEAL_Org 💸 Hack de reentrancia de @GMX_IO $42M ($37M recuperados) 💸 @KintoXYZ proxy no inicializado. $1.55M

Lecciones para expertos en seguridad: Auditen rigurosamente las inicializaciones de proxy. Monitoreen las cadenas de delegatecall (fácil de hacer en nuestra aplicación) y aseguren la integridad del almacenamiento con patrones de proxy complejos. Reconocimientos a @deeberiroz @VennBuild @pcaversaccio @_SEAL_Org Manténganse alerta.

Así que descubrí que es aún más elegante. Observé que la transacción de frontrunning (por parte de los atacantes) llama a `initialize` y los protocolos también llaman _exitosamente_ a `initialize` después (por lo que piensan que todo es normal). Pero espera, ¿cómo es esto siquiera posible? Tuve que mirar muy a fondo los cambios en los slots de almacenamiento y adivina qué encontré: _reiniciaron_ el valor del slot de almacenamiento `_initialized` al final de la transacción de frontrunning (después de que intercambiaron al contrato de implementación malicioso). Esto significa que el almacenamiento del proxy ahora parece como si nunca hubiera sido inicializado. El slot de almacenamiento relevante a observar es `keccak256(abi.encode(uint256(keccak256(" - 1)) & ~bytes32(uint256(0xff))` = `0xf0c57e16840df040f15088dc2f81fe391c3923bec73e23a9662efc9c229c6a00` Esto es maldad de otro nivel.

A principios de esta semana, se identificó una posible vulnerabilidad en el contrato del gestor de cadenas cruzadas de Orderly en la cadena BNB. En respuesta, nuestro vault de BNB para depósitos y retiros fue pausado de inmediato, los contratos fueron migrados y los depósitos/retiros se reanudaron en un plazo de 2 horas. ✅ No hay fondos de usuarios en riesgo, ni se han perdido. Un agradecimiento especial a @deeberiroz, @VennBuild, @seal_911, @pcaversaccio y al resto del equipo que ayudó a señalar esto! Más seguros juntos 🤝

[5/5] Llamada de gratitud • @SlowMist_Team por el triage y parcheo ininterrumpidos • @dedaub, @pcaversaccio, y el equipo de guerra @seal_911 por un barrido de código de 36 horas • @etherscan por la limpieza de UI a la velocidad del rayo • Y de nuevo, gracias @deeberiroz, @VennBuild, @davidberiro—su aviso salvó el día 💙

Se vuelve aún más sofisticado: la forma en que Etherscan fue engañado para mostrar el contrato de implementación incorrecto se basa en establecer 2 slots de proxy diferentes en la misma transacción de frontrunning. Así que Etherscan utiliza una cierta heurística que incorpora diferentes slots de almacenamiento para recuperar el contrato de implementación. Hay un antiguo proxy de OpenZeppelin que utilizó el siguiente slot: `keccak256("org.zeppelinos.proxy.implementation")` = `0x7050c9e0f4ca769c69bd3a8ef740bc37934f8e2c036e5a723fd8ee048ed3f8c3` Ahora también tenemos el slot estándar EIP-1967 `bytes32(uint256(keccak256('eip1967.proxy.implementation')) - 1)` = `0x360894a13ba1a3210667c828492db98dca3e2076cc3735a920a3ca505d382bbc` Entonces, lo que sucedió es que el antiguo slot de proxy de OpenZeppelin se escribió con la dirección de implementación benigna _y_ el slot estándar EIP-1967 también se escribió con la dirección de implementación maliciosa. Dado que Etherscan consulta primero el antiguo slot de proxy, recuperó primero el que parecía benigno y, por lo tanto, lo mostró.

RT @devops199fan: .@seal_911 básicamente sirve como el centro de operaciones de seguridad global (GSOC) de los voluntarios de cripto somos afortunados de tener a personas así...

No lo sé, amigo, pero la verdadera amenaza para Ethereum no es el estado, de hecho (al menos no hoy). Son los capitalistas de riesgo y los profesionales de protocolo que intentan convertirlo en un brillante parque de fintech para un DeFi "seguro" y conforme. Escúchame: No quieren código imparable. No quieren resistencia. Quieren jodido _control_. Porque en el fondo, saben lo que Ethereum podría llegar a ser si se le deja sin cadenas: una capa de ejecución global resistente a la censura y prioritaria en privacidad que ningún estado, ninguna corporación, ningún cartel de trajes podría detener jamás. Hagamos de esto una realidad.

Así que alguien te contacta en LinkedIn con una prometedora oportunidad laboral. Suena bien, ¿verdad? Parecen legítimos (después de revisarlos durante 1 minuto) y tras una breve conversación te envían un repositorio de GitHub con una "tarea de reclutamiento" simple en Next.js. Lo clonas, lo ejecutas... y 10 minutos después, tu dispositivo está completamente comprometido al descubrir que tus billeteras calientes han sido drenadas. Bien, ¿qué pasó? Dado el hecho de que nosotros (= SEAL 911) hemos visto este ataque una y otra vez, déjame revelar algunos de los detalles más importantes: - primero, la advertencia más importante: NO ejecutes código aleatorio que te envíe un tipo cualquiera. Honestamente, no lo hagas. - siempre revisa minuciosamente los archivos de configuración _ejecutables_ de los repositorios. En este caso particular, el archivo `next.config.js` tenía un gran relleno ocultando la carga maliciosa muy a la derecha. - siempre desplázate horizontalmente: solo porque no veas nada malicioso al mirar el contenido no significa que esté limpio. Importante: El código malicioso puede estar oculto dentro de archivos en los que confías, solo que no donde lo esperas. Realmente espero que este tweet llegue a suficiente gente para prevenir al menos a algunas futuras víctimas de caer en este tipo de ataque.