RT @dobsec: "Nenhuma pessoa comum usa uma VPN" mostra que ele claramente não viu os criadores de zilhões de VPNs vendendo VPNs em todos os vídeos.

BlockThreat - Semana 28, 2025 💙 Patrocinado por @SecurityOak 🔥 Exploração em massa de contratos de procuração descobertos por @deeberiroz e whitehat por @pcaversaccio @dedaub e @_SEAL_Org 💸 @GMX_IO hack de reentrância: US$ 42 milhões (US$ 37 milhões recuperados) 💸 @KintoXYZ proxy não inicializado. $1,55 Milhões

Lições para especialistas em segurança: Audite o proxy com rigor. Monitore cadeias de chamadas delegadas (fácil de fazer em nosso aplicativo) e garanta a integridade do armazenamento com padrões complexos de proxy. Os adereços vão para @deeberiroz @VennBuild @pcaversaccio @_SEAL_Org Fique vigilante.

então descobri que é ainda mais sofisticado. Observei que o frontrunning tx (pelos atacantes) chama 'initialize' e os protocolos também chamam _successfully_ 'initialize' depois (assim eles acham que tudo está normal). Mas espere, como isso é possível? Tive que olhar muito fundo nas mudanças no slot de armazenamento e adivinhar o que encontrei: eles _resetaram_ o valor do slot de armazenamento '_initialized' no final do frontrunning tx (depois de trocarem para o contrato de implementação malicioso). Isso significa que o armazenamento proxy agora parece que nunca foi inicializado. O slot de armazenamento relevante a ser observado é 'keccak256(abi.encode(uint256(keccak256(" - 1)) & ~bytes32(uint256(0xff))' = '0xf0c57e16840df040f15088dc2f81fe391c3923bec73e23a9662efc9c229c6a00' Este é o mal de próximo nível.

No início desta semana, foi identificada uma vulnerabilidade potencial no contrato de gerenciamento de cadeia cruzada da Orderly na cadeia BNB. Em resposta, nosso cofre de BNB para depósitos e saques foi imediatamente pausado, os contratos foram migrados e os depósitos/saques foram retomados em 2 horas. ✅ Nenhum fundo de usuário está em risco ou foi perdido. Agradecimentos especiais a @deeberiroz, @VennBuild, @seal_911, @pcaversaccio e ao resto da equipe que ajudaram a sinalizar isso! Mais seguros juntos 🤝

[5/5] Chamada de gratidão • @SlowMist_Team para triagem e correção ininterruptas • @dedaub, @pcaversaccio e a sala de guerra @seal_911 para uma varredura de código de 36 horas • @etherscan para limpeza rápida da interface do usuário • E, novamente, obrigado @deeberiroz, @VennBuild, @davidberiro - seu heads-up salvou o dia 💙

Fica ainda mais sofisticado: a maneira como o Etherscan foi enganado mostrando o contrato de implementação errado é baseada na configuração de 2 slots de proxy diferentes no mesmo frontrunning tx. Portanto, o Etherscan usa uma certa heurística que incorpora diferentes slots de armazenamento para recuperar o contrato de implementação. Há um proxy antigo do OpenZeppelin que usou o seguinte slot: 'keccak256("org.zeppelinos.proxy.implementation")' = '0x7050c9e0f4ca769c69bd3a8ef740bc37934f8e2c036e5a723fd8ee048ed3f8c3' Agora também temos o slot padrão EIP-1967 'bytes32(uint256(keccak256('eip1967.proxy.implementation')) - 1)' = '0x360894a13ba1a3210667c828492db98dca3e2076cc3735a920a3ca505d382bbc' Então, o que aconteceu é que o antigo slot de proxy OpenZeppelin foi gravado com o endereço de implementação benigno _e_ o slot padrão EIP-1967 também foi gravado com o endereço de implementação malicioso. Como o Etherscan consulta primeiro o slot de proxy antigo, ele recuperou o de aparência benigna primeiro e, portanto, o exibiu.

RT @devops199fan: .@seal_911 basicamente serve como centro de operações de segurança global voluntário (GSOC) da criptomoeda Temos sorte de ter pessoas como ...

Idk cara, mas a verdadeira ameaça ao Ethereum não é o estado na verdade (pelo menos não hoje). São os VCs e os carreiristas de protocolo tentando neutralizá-lo em um playground fintech brilhante para DeFi "seguro" e compatível. Ouça-me: eles não querem código imparável. Eles não querem resistência. Eles querem _controle_porra. Porque, no fundo, eles sabem o que o Ethereum pode se tornar se for deixado desacorrentado: uma camada de execução global resistente à censura e que prioriza a privacidade que nenhum estado, nenhuma corporação, nenhum cartel de ternos poderia parar. Vamos tornar isso uma realidade.

Então, alguém entra em contato com você no LinkedIn com uma oportunidade de trabalho promissora. Parece bom, não é? Eles parecem legítimos (depois de verificá-los por 1 minuto) e depois de uma breve conversa, eles enviam um repositório GitHub com uma simples Next.js "tarefa de recrutamento". Você clona, executa ... E 10 minutos depois, seu dispositivo está totalmente comprometido quando você descobre que suas carteiras quentes foram drenadas. Ok, o que aconteceu? Dado o fato de que nós (= SEAL 911) vimos esse ataque repetidamente, deixe-me divulgar alguns dos detalhes mais importantes: - primeiro, a ressalva mais importante: NÃO execute um código aleatório que algum cara aleatório lhe enviou. Honestamente, não. - Verifique sempre os arquivos de configuração _executáveis_ dos repositórios completamente. Nesse caso específico, o arquivo 'next.config.js' tinha um grande preenchimento que escondia a carga maliciosa bem à direita. - Sempre role horizontalmente - só porque você não vê nada malicioso quando olha para o conteúdo, não significa que esteja limpo. Importante: o código malicioso pode estar oculto nos arquivos confiáveis, mas não onde você espera. Eu realmente espero que este tweet alcance pessoas suficientes para evitar que pelo menos algumas vítimas futuras caiam nesse tipo de ataque.