BlockThreat - Minggu 28, 2025 💙 Disponsori oleh @SecurityOak 🔥 Eksploitasi massal kontrak proxy ditemukan oleh @deeberiroz dan diputihkan oleh @pcaversaccio @dedaub dan @_SEAL_Org 💸 @GMX_IO peretasan reentrancy $ 42 juta ($ 37 juta dipulihkan) 💸 @KintoXYZ proxy yang tidak diinisialisasi. $ 1.55 juta

Pelajaran untuk pakar keamanan: Audit proksi secara ketat. Pantau rantai panggilan delegasi (mudah dilakukan di aplikasi kami) & pastikan integritas penyimpanan dengan pola proxy yang kompleks. Alat peraga pergi ke @deeberiroz @VennBuild @pcaversaccio @_SEAL_Org Tetap waspada.

jadi saya menemukan bahwa itu bahkan lebih mewah. Saya mengamati bahwa tx frontrunning (oleh penyerang) memanggil 'initialize' dan protokol juga memanggil _successfully_ 'initialize' setelah (sehingga mereka berpikir semuanya normal). Tapi tunggu, bagaimana ini mungkin? Saya harus melihat sangat dalam ke dalam perubahan slot penyimpanan dan menebak apa yang saya temukan: mereka _mengatur ulang_ nilai slot penyimpanan '_initialized' di akhir tx yang berjalan di depan (setelah mereka bertukar ke kontrak implementasi berbahaya). Ini berarti bahwa penyimpanan proxy terlihat sekarang karena tidak pernah diinisialisasi. Slot penyimpanan yang relevan untuk dilihat adalah 'keccak256(abi.encode(uint256(keccak256(" - 1)) & ~bytes32(uint256(0xff))' = '0xf0c57e16840df040f15088dc2f81fe391c3923bec73e23a9662efc9c229c6a00' Ini adalah kejahatan tingkat berikutnya.

Awal pekan ini, potensi kerentanan dalam kontrak manajer lintas rantai Orderly di rantai BNB diidentifikasi. Sebagai tanggapan, brankas BNB kami untuk setoran dan penarikan segera dijeda, kontrak dimigrasikan dan setoran/penarikan dilanjutkan dalam waktu 2 jam. ✅ Tidak ada dana pengguna yang berisiko, atau hilang. Terima kasih khusus kepada @deeberiroz, @VennBuild, @seal_911, @pcaversaccio, dan anggota tim lainnya yang membantu menandai ini! Lebih aman bersama 🤝

[5/5] Panggilan terima kasih • @SlowMist_Team untuk triase & penambalan tanpa henti • @dedaub, @pcaversaccio, dan ruang perang @seal_911 untuk sapuan kode 36 jam • @etherscan untuk pembersihan UI secepat kilat • Dan sekali lagi, terima kasih @deeberiroz, @VennBuild, @davidberiro—kesadaran Anda menyelamatkan hari 💙

Itu menjadi lebih mewah: cara Etherscan ditipu menunjukkan kontrak implementasi yang salah didasarkan pada pengaturan 2 slot proxy yang berbeda di tx frontrunning yang sama. Jadi Etherscan menggunakan heuristik tertentu yang menggabungkan slot penyimpanan yang berbeda untuk mengambil kontrak implementasi. Ada proxy lama oleh OpenZeppelin yang menggunakan slot berikut: 'keccak256("org.zeppelinos.proxy.implementation")' = '0x7050c9e0f4ca769c69bd3a8ef740bc37934f8e2c036e5a723fd8ee048ed3f8c3' Kami sekarang juga memiliki slot EIP-1967 standar 'bytes32(uint256(keccak256('eip1967.proxy.implementation')) - 1)' = '0x360894a13ba1a3210667c828492db98dca3e2076cc3735a920a3ca505d382bbc' Jadi apa yang terjadi adalah bahwa slot proxy OpenZeppelin lama ditulis dengan alamat implementasi jinak _dan_ slot EIP-1967 standar juga ditulis dengan alamat implementasi berbahaya. Karena Etherscan terlebih dahulu menanyakan slot proxy lama, ia mengambil yang terlihat jinak terlebih dahulu dan dengan demikian menampilkannya.

RT @devops199fan: .@seal_911 pada dasarnya berfungsi sebagai pusat operasi keamanan global sukarelawan (GSOC) kripto Kami beruntung memiliki orang-orang seperti...

Idk man, tetapi ancaman nyata bagi Ethereum sebenarnya bukanlah negara bagian (setidaknya tidak hari ini). Ini adalah VC & karir protokol yang mencoba mengebirinya menjadi taman bermain fintech yang mengkilap untuk DeFi yang "aman" dan patuh. Dengarkan saya: Mereka tidak menginginkan kode yang tak terhentikan. Mereka tidak menginginkan perlawanan. Mereka menginginkan _kontrol_. Karena jauh di lubuk hati, mereka tahu apa yang bisa menjadi Ethereum jika dibiarkan tidak dirantai: lapisan eksekusi global yang tahan sensor dan mengutamakan privasi yang tidak dapat dihentikan oleh negara, tidak ada korporasi, tidak ada kartel gugatan. Mari kita wujudkan ini.

Jadi seseorang menghubungi Anda di LinkedIn dengan peluang kerja yang menjanjikan. Kedengarannya bagus, innit? Mereka tampak sah (setelah memeriksanya selama 1 menit) dan setelah beberapa konvoi singkat, mereka mengirimi Anda repositori GitHub dengan Next.js sederhana "tugas perekrutan". Anda mengkloningnya, menjalankannya... Dan 10 menit kemudian, perangkat Anda sepenuhnya disusupi saat Anda mengetahui bahwa dompet panas Anda terkuras. Oke, apa yang terjadi? Mengingat fakta bahwa kami (= SEAL 911) telah melihat serangan ini berulang kali, izinkan saya mengungkapkan beberapa detail terpenting: - Pertama, peringatan yang paling penting: JANGAN menjalankan kode acak yang dikirimkan oleh beberapa pria acak kepada Anda. Sejujurnya, sialan tidak. - Periksa selalu file konfigurasi _executable_ dari repositori secara menyeluruh. Dalam kasus khusus ini, file 'next.config.js' memiliki bantalan besar yang menyembunyikan muatan berbahaya jauh ke kanan. - Selalu gulir secara horizontal - hanya karena Anda tidak melihat sesuatu yang berbahaya saat melihat konten tidak berarti konten itu bersih. Penting: Kode berbahaya dapat disembunyikan di dalam file yang Anda percayai, tetapi tidak di tempat yang Anda harapkan. Saya sangat berharap tweet ini menjangkau cukup banyak orang untuk mencegah setidaknya beberapa korban di masa depan jatuh ke dalam serangan semacam ini.

lihat, saya biasanya pendukung berat Proton. Tetapi di dunia yang penuh dengan pencuri info, Anda tidak menyuruh orang untuk menyimpan kunci pribadi dompet kripto mereka di pengelola kata sandi - bahkan jika itu adalah Proton Pass! Dan mari kita perjelas: Anda juga tidak boleh menyimpan hal-hal seperti paspor, SIM, catatan medis, atau nomor jaminan sosial di pengelola kata sandi. Jika Anda disusupi, semua itu dapat digunakan untuk lulus pemeriksaan KYC dan mencuri identitas atau aset Anda. Saya menghormati Proton, tapi serius persetan dengan ini. Itu bukan cara Anda mengamankan data Anda yang paling penting.