RT @dobsec: "Geen enkele gewone persoon gebruikt een VPN" laat zien dat hij duidelijk de miljard creators die VPN's in elke video aanprijzen, niet heeft gezien.

BlockThreat - Week 28, 2025 💙 Gesponsord door @SecurityOak 🔥 Massale uitbuiting van proxycontracten ontdekt door @deeberiroz en whitehatted door @pcaversaccio @dedaub en @_SEAL_Org 💸 @GMX_IO reentrancy hack $42M ($37M hersteld) 💸 @KintoXYZ niet-geïnitialiseerde proxy. $1,55M

Lessen voor beveiligingsexperts: Audit proxy-initialisaties grondig. Monitor delegatecall-ketens (gemakkelijk te doen in onze app) & zorg voor opslagintegriteit met complexe proxy-patronen. Props gaan naar @deeberiroz @VennBuild @pcaversaccio @_SEAL_Org Blijf waakzaam.

dus ik ontdekte dat het nog fancier is. Ik observeerde dat de frontrunning tx (door de aanvallers) `initialize` aanroept en protocollen ook _succesvol_ `initialize` aanroepen daarna (dus denken ze dat alles normaal is). Maar wacht, hoe is dit zelfs mogelijk? Ik moest heel diep kijken naar de veranderingen in de opslagslot en raad eens wat ik vond: ze _resetten_ de waarde van de `_initialized` opslagslot aan het einde van de frontrunning tx (nadat ze naar het kwaadaardige implementatiecontract waren overgestapt). Dit betekent dat de proxy-opslag er nu uitziet alsof het nooit was geïnitialiseerd. Het relevante opslagslot om naar te kijken is `keccak256(abi.encode(uint256(keccak256(" - 1)) & ~bytes32(uint256(0xff))` = `0xf0c57e16840df040f15088dc2f81fe391c3923bec73e23a9662efc9c229c6a00` Dit is next-level kwaad.

Eerder deze week werd een potentiële kwetsbaarheid in het cross-chain manager contract van Orderly op de BNB-keten geïdentificeerd. Als reactie hierop werd onze BNB-kluis voor stortingen en opnames onmiddellijk gepauzeerd, contracten werden gemigreerd en stortingen/opnames werden binnen 2 uur hervat. ✅ Geen gebruikersfondsen zijn in gevaar of zijn verloren gegaan. Speciale dank aan @deeberiroz, @VennBuild, @seal_911, @pcaversaccio, en de rest van het team die hebben geholpen om dit te signaleren! Veiliger samen 🤝

[5/5] Dankbaarheid oproep • @SlowMist_Team voor non-stop triage en patchen • @dedaub, @pcaversaccio, en de @seal_911 oorlogskamer voor een 36-uurs code-sweep • @etherscan voor razendsnelle UI-opruiming • En nogmaals, bedankt @deeberiroz, @VennBuild, @davidberiro—jullie waarschuwing heeft de dag gered 💙

Het wordt nog fancier: de manier waarop Etherscan werd misleid om het verkeerde implementatiecontract te tonen, is gebaseerd op het instellen van 2 verschillende proxy slots in dezelfde frontrunning tx. Etherscan gebruikt een bepaalde heuristiek die verschillende opslagslots incorporeert om het implementatiecontract op te halen. Er is een oude proxy van OpenZeppelin die de volgende slot gebruikte: `keccak256("org.zeppelinos.proxy.implementation")` = `0x7050c9e0f4ca769c69bd3a8ef740bc37934f8e2c036e5a723fd8ee048ed3f8c3` We hebben nu ook de standaard EIP-1967 slot `bytes32(uint256(keccak256('eip1967.proxy.implementation')) - 1)` = `0x360894a13ba1a3210667c828492db98dca3e2076cc3735a920a3ca505d382bbc` Wat er gebeurde, is dat de oude OpenZeppelin proxy slot werd geschreven met het onschuldige implementatieadres _en_ de standaard EIP-1967 slot ook werd geschreven met het kwaadaardige implementatieadres. Aangezien Etherscan eerst de oude proxy slot opvraagt, haalde het eerst het onschuldige uitziende adres op en toonde het dus.

RT @devops199fan: .@seal_911 fungeert in wezen als de vrijwillige wereldwijde beveiligingsoperatiecentrum (GSOC) van crypto we hebben geluk dat we mensen hebben die...

Ik weet het niet, man, maar de echte bedreiging voor Ethereum is niet de staat, eigenlijk (tenzij vandaag). Het zijn de durfkapitalisten en protocolcarrièremakers die het willen neutraal maken tot een glanzende fintech-speeltuin voor "veilige", conforme DeFi. Luister naar me: Ze willen geen onstopbare code. Ze willen geen verzet. Ze willen verdomde _controle_. Want diep van binnen weten ze wat Ethereum zou kunnen worden als het niet aan ketens gebonden is: een censuurbestendige, privacy-eerste wereldwijde uitvoeringslaag die geen staat, geen bedrijf, geen kartel van pakken ooit zou kunnen stoppen. Laten we dit werkelijkheid maken.

Dus iemand neemt contact met je op via LinkedIn met een veelbelovende baan. Klinkt leuk, toch? Ze lijken legitiem (na ze 1 minuut te hebben gecontroleerd) en na een kort gesprek sturen ze je een GitHub-repo met een eenvoudige Next.js "wervingsopdracht". Je kloont het, draait het... en 10 minuten later is je apparaat volledig gecompromitteerd omdat je ontdekt dat je hot wallets zijn leeggehaald. Oké, wat is er gebeurd? Gezien het feit dat wij (= SEAL 911) deze aanval keer op keer hebben gezien, laat me enkele van de belangrijkste details onthullen: - ten eerste, de belangrijkste waarschuwing: voer GEEN willekeurige code uit die een willekeurige kerel je heeft gestuurd. Eerlijk gezegd, doe het gewoon niet. - controleer altijd de _uitvoerbare_ configuratiebestanden van de repos grondig. In dit specifieke geval had het `next.config.js`-bestand een grote padding die de kwaadaardige payload ver naar rechts verstopte. - scroll altijd horizontaal - alleen omdat je niets kwaadaardigs ziet als je naar de inhoud kijkt, betekent niet dat het schoon is. Belangrijk: Kwaadaardige code kan verborgen zijn binnen bestanden die je vertrouwt, gewoon niet waar je het verwacht. Ik hoop echt dat deze tweet genoeg mensen bereikt om tenminste een paar toekomstige slachtoffers te voorkomen van dit soort aanvallen.