GM! Bauherren

In dieser neuesten Ausgabe von HashingBits tauchen wir tief in die Core Developers Meetings von Ethereum ein und behandeln alle wichtigen Updates im Ethereum-Ökosystem. Aber das ist noch nicht alles – wir werden die neuesten Ereignisse in den Ökosystemen Polygon, Arbitrum und Optimism sowie die jüngsten Ereignisse bei ETHCC und Fortschritte im Bereich KI und Web3 untersuchen. Für Entwickler stellen wir neue Tools vor, die Entwickler und Prüfer von Smart Contracts unterstützen sollen. Und natürlich werden wir uns mit den Schlagzeilen über den Hack des Bittensor-Wallets im Wert von 8 Millionen US-Dollar und den 1,94 Millionen US-Dollar schweren Verlust von Dough Finance durch Flash-Loan-Angriffe befassen.

EtherScope: Kernentwicklungen 👨‍💻

  • Zusammenfassung aller Kernentwickler – Konsens (ACDC) Nr. 137

  • Warum ist Marius Van Der Wijden gegen EOF in Pectra?​

  • Ein Blick auf PeerDAS Breakout Nr. 3

  • Detailliertes Eintauchen in das Censorship Resistance Model​

  • Constantine v0.1: Implementierungen von BLS-Signaturen, BN254 & BLS12–381 vorkompiliert

  • ​Lido hat das Simple DVT Module powered by SSV implementiert

  • ​Vitalik Buterin drängt darauf, dass Ethereum auf 51%-Angriffe automatisierter reagiert​

  • ​Deep Dive into Attestations – Eine quantitative Analyse​

Schicht1 und Schicht2

  • Péter Szilágyi: SSZ-Bibliothek in Go implementiert

  • ​RollCall (L2-Standards) Nr. 6: Diskussion und Präsentationen zum L1-Blob-Basefee-Spike zu RIP7728 L1SLOAD-Precompile und RIP7740-Preinstall-Deterministic-Deployment-Factories

  • Titan Builder eth_sendBlobs: Senden Sie Permutationen von Blob-Transaktionen von einem einzelnen Absender

  • ​Kernel Protocol ist live

  • Vesu ist live auf Starknet​

  • Worldcoin Foundation startet World Chain-Entwicklervorschau​

  • Einführung von Puffer UniFi – Puffers basiertes Rollup​

  • Penumbra ist live

  • Skale stellt das Pacifica V3-Upgrade vor​

  • LayerZero und Initia entwickeln einen Interoperabilitätsstandard für Cosmos​

  • Einführung von Termina: der Endzustand der SVM-Skalierung​

  • Reduzierung der Evmos-Inflation​

  • Ankündigung des üblichen öffentlichen Mainnet-Starts​

  • ​OEV-Netzwerk ist live

  • Omni Network startet Streams​

  • Starknet wird Staking bis Ende dieses Jahres eröffnen​

  • Wir stellen vor: das Halliday Commerce Automation Network​

  • Exodus führt Passkeys Wallet ein​

  • Justin Sun: Gasloser Stablecoin kommt im vierten Quartal auf Tron, gefolgt von Ethereum und allen EVM-Ketten

  • TAC arbeitet mit Polygon zusammen, um EVM-Kompatibilität in das TON-Ökosystem zu bringen

  • Notcoin, 1inch und Sign starten Accelerator für Telegram- und TON-Ökosysteme

  • Einführung des Fuel Points-Programms​

  • Sie können jetzt Erzählungen auf DefiLlama verfolgen​

  • ​dDocs: Onchain Google Docs ist da

  • ​Wir stellen Story Network vor, die IP-Blockchain der Welt​​

Europäische Forschungskommissionen

  • ​ERC7737: Benutzerdefiniertes Datenzugriffsmodell

  • ​ERC7738: Berechtigungsfreies Skript-Register

  • ​ERC7739: Lesbare getippte Signaturen für Smart Accounts

  • ​ERC7741: Operator autorisieren (über EIP712 secp256k1-Signaturen)

EIPs

  • ​EIP7742: Blob-Zählung zwischen CL und EL entkoppeln

  • ​EIP.tools fügt EIP-GPT hinzu, eine KI-generierte Zusammenfassung eines EIP/ERC

RIPs

• RIP7740: Deterministische Bereitstellungsfabriken vorinstallieren

EcoExpansions: Über Ethereum hinaus 🚀

Vieleck

  • ​Polygon Miden Alpha Testnet v3 ist live

  • ​Wöchentlicher Überblick zum Thema Gaming auf Polygon

  • Schauen Sie sich die wöchentlichen Updates auf Polygon an

  • TON erstellt einen zk-betriebenen L2 mit Polygon CDK, der eine Verbindung zum AggLayer herstellt

  • Die Anzahl der aktiven Adressen auf @0xPolygon PoS ist seit Jahresbeginn um 227 % gestiegen

Optimismus

  • Das OP Stack Fjord-Upgrade ist da, günstigere Smart Wallet-Passkey-Verifizierung per RIP7212 secp256r1-Vorkompilierung und 5 – 15 % niedrigere Datenverfügbarkeitskosten durch Brotli-Kanalkomprimierung.

  • ​SuperFest, das Superchain DeFi Festival, ist offiziell da.

  • Eine einfache Erklärung der Superchain​

  • ​RIP-7212 ist jetzt auf der Superchain verfügbar.

  • ​Celo L2 Dango-Testnetz ist jetzt auf OP Stack

Entscheidung

  • ​No-Code Deployer App für Rollups ist in Zusammenarbeit mit Arbitrum live

  • Karak führt Restaking-Funktionalität für Arbitrum ein​

  • Arbitrum hat OKX Wallet auf seiner Bridge integriert​

  • ​Drei wichtige Vorschläge von ArbitrumDAO​

DevToolkit: Grundlagen und Innovationen 🛠️

  • Lodestar v1.20.0: Lodestar/API-Paket ändert exportierte Typen, Flag zur Verwendung von SSZ-APIs mit Validator-Client und Testnet-Bootnode-ENRs aktualisiert.

  • Besu v24.7.0: fügt eth_maxPriorityFeePerGas-Unterstützung und Verbesserungen bei Synchronisierung, Peering und Startleistung hinzu

  • Erigon v2.60.3: fügt dem Tracing das optionale „Include Precompiles“-Flag hinzu

  • Geth v1.14.7: Hotfix für den Fehler beim gleichzeitigen Lesen/Schreiben von Karten in v1.14.6

  • Reth v1.0.1: Leistungsverbesserungen für alle Knoten, ExEx-Backfill und RPC-Fixes

  • Stereum v2.2: Multi-Setup-Unterstützung und Verbindungsprüfung zum Testen der Netzwerkstabilität und -konnektivität

  • gevm – EVM-Implementierung von Grund auf, geschrieben in Go​

Hackathons, Workshops & Events

  • Updates zu Devcon 2024: Bewerbungen für Redner und Freiwillige sind möglich

  • ​Das Solana Summer Fellowship ist da

  • Superteam Talent Olympics beginnt: Frontend- und Rust-Track

Entdecken Sie die Tiefen des Wissens: Forschungsarbeiten, Blogs und Tweets🔖

Þjórsárdalur

  • Mysticeti: ​​Mit nicht zertifizierten DAGs an die Latenzgrenzen gelangen​

  • RFC 9591: Das Flexible Round-Optimized Schnorr Threshold (FROST)-Protokoll für Zwei-Runden-Schnorr-Signaturen​

  • ​Alice’s Ring Protocol Whitepaper V1.0 ist erschienen

  • ​Slot-to-Ping und eine weitere beschreibende Maßnahme für Blockchains

  • ​Deep Diving Attestations – Eine quantitative Analyse

  • ​Maximum Viable Security (MVS): ein neues Framework für die Ethereum-Ausgabe

  • Bericht über Krypto- und Blockchain-Risikokapital – Q2 2024​

  • Einführung von Gasrückerstattungen von Flashbots​

  • EVIntent – ​​Dunkle Materie in MEV​

  • ​MEV-resistente dynamische Preisauktion von Ausführungsangebotsrechten

  • Werfen Sie einen Blick auf den Flashbots Protect Explorer​

  • ​Das Sicherheitsmodell von BTC ist kaputt?​

  • Einige Mythen über die Bera-Kette entlarven

Artikel

  • Anders Elowsson: Dynamische Preisauktion von Ausführungsangebotsrechten führt zu weniger neuem MEV und verursacht einen hohen MEV-Gesamtverbrauch

  • Schauen Sie sich den Leitfaden zu OpenZeppelin Contracts Initializable an.

  • Nethermind Clear: formales Verifizierungsframework für Yul-Code

  • ​Byteracing: Labyrinthlöser in Solidity. Versuchen Sie, ihn gaseffizienter zu machen.

  • ​L2-Asset-Interoperabilität über bidirektionale kanonische Brücken​

  • ​Alle Probleme im Bereich IP​

  • ​Solana ist der Grund, warum das L2-Rollup-Chaos auf Ethereum begann​

  • ​Verbesserung der Vorhersagbarkeit im Betrieb von Arbitrum DAO​

  • Wird AGI Blockchains überflüssig machen?

  • ​Über die Orchestrierung paralleler Übertragungen für verteilte Systeme​

  • ​Pointenomics 101: Die neue Sprache der Krypto-Anreize meistern​

  • ​Mehrere gleichzeitige Leiter​

  • ​Ein Blogbeitrag zum Aufbau von Family Wallet​

Forschungsberichte

  • ​eyeballvul: ein zukunftssicherer Benchmark für die Erkennung von Schwachstellen in der Praxis

  • ​SpiralShard: Hochgradig paralleles und sicheres Blockchain-Sharding durch Linked Cross-Shard Endorsement

  • ​BriDe Arbitrager: Verbesserung der Arbitrage in Ethereum 2.0 durch Bestechungs-gestützte verzögerte Blockproduktion

  • Taktiken, Techniken und Verfahren (TTPs) in interpretierter Malware: Eine Zero-Shot-Generation mit großen Sprachmodellen​

  • Verbesserung der Privatsphäre beim räumlich-zeitlichen föderierten Lernen gegen Gradienteninversionsangriffe​

Github

  • ​Web-solc: Adapter zum Abrufen/Ausführen einer bestimmten Version des Solidity-Compilers im Browser

  • ​ERC3770 (Rust): Hilfsmethode für ERC3770-kettenspezifische Adressen

  • RicMoos Firefly Pixie: Open-Source-Hardware-Wallet

Ansehen🎥

Web3-Sicherheitsüberwachung 🛡️

Artikel

  • Dough Finance 2 Mio. USD-Exploit über nicht validierte Anrufdaten

  • Die Achillesferse der Kryptowährungen?

  • Halbjahresbericht von Scam Sniffer zum Phishing​

  • ​Wir stellen Safe Harbor vor: Ihre letzte Verteidigungslinie gegen aktive Exploits​

  • ​CryptoISAC wurde als Community für CeFi-, DeFi-, Audit-, Infrastruktur- und andere Kryptowährungsprojekte gestartet.

  • ​Twilio: Hacker haben Handynummern von Nutzern der Zwei-Faktor-App Authy ermittelt​

  • ​Neue OpenSSH-Sicherheitslücke könnte zu RCE als Root auf Linux-Systemen führen.

  • ​Nach 10 Jahren Wartezeit wird Mt. Gox Bitcoin endlich zurückgegeben.

  • ​Karma erfüllt: Pink Drainer wird Opfer eines Adressvergiftungsbetrugs.

  • ​Inferno Drainer ist wieder aktiv bei SlowMist. Die Drainer-Gruppe hat Berichten zufolge im November letzten Jahres ihren Betrieb eingestellt.

  • ​Betrüger, die sich als Coinbase ausgeben, stehlen im Rahmen einer Reihe von Angriffen einem Benutzer 1,7 Millionen US-Dollar.

Forschungsberichte

  • Missbrauch der Ethereum Smart Contract-Verifizierungsdienste zum Spaß und Profit

  • ​Echtzeit-Erkennung von Cyberangriffen mit kollaborativem Lernen für Blockchain-Netzwerke.

  • Leistungsbewertung von Hashing-Algorithmen auf Standardhardware

  • Schwachstellenerkennung in Smart Contracts: Eine umfassende Untersuchung

Þjórsárdalur

  • Tayvano: Beispiel für einen Lazarus-Angriff, Kontakt über soziale Netzwerke und dann Kompromittierung über GitHub-Repo

  • ​Die Domänen mehrerer Kryptoprojekte wurden nach einem DNS-Angriff auf den Webhosting-Dienstanbieter Squarespace gekapert.

  • Gefälschte X-Konten führten zu rekordverdächtigen Krypto-Phishing-Angriffen im Wert von 341 Millionen US-Dollar.

  • Sind Ihre Fonds SAFU?

Hacks und Betrügereien 🚨

Bittensor

Verlust ~ 8 Mio. $

  • 2. Juli, 19:06 Uhr UTC: Der Angreifer beginnt, Geld aus kompromittierten Wallets auf sein eigenes Wallet zu überweisen.

  • 2. Juli, 19:25 Uhr UTC: Die Opentensor Foundation stellt einen abnormalen Anstieg des Übertragungsvolumens fest und richtet einen Kriegsraum ein.

  • 2. Juli, 19:41 Uhr UTC: Validatoren in der Opentensor-Kette werden hinter einer Firewall platziert und Subtensor wird in den abgesicherten Modus geschaltet, um alle Transaktionen anzuhalten.

  • 3. Juli: Das Team identifiziert die Angriffsquelle als ein bösartiges Paket im PyPi Package Manager Version 6.12.2, das die Benutzersicherheit gefährdete.

  • Das bösartige Paket tarnte sich als legitimes Bittensor-Paket und fing unverschlüsselte Coldkey-Details ab, als Benutzer ihre Schlüssel entschlüsselten.

  • Betroffen waren diejenigen Benutzer, die zwischen dem 22. Mai, 19:14 Uhr UTC und dem 29. Mai, 18:47 Uhr UTC das Bittensor PyPi-Paket heruntergeladen und Vorgänge zur Schlüsselentschlüsselung durchgeführt haben.

  • Das kompromittierte Paket (6.12.2) wurde aus dem PyPi-Repository entfernt.

  • Der Subtensor- und Bittensor-Code auf GitHub wurde gründlich überprüft. Es wurden keine weiteren Schwachstellen gefunden.

  • OTF kontaktierte mehrere Kryptowährungsbörsen, um den Angreifer aufzuspüren und zu versuchen, die gestohlenen Gelder zurückzuerhalten.

  • Die Bittensor-Gemeinde hat die Untersuchung und Schadensbegrenzungsbemühungen aktiv unterstützt.

  • Nach der Codeüberprüfung wird der normale Betrieb der Bittenensor-Blockchain schrittweise wieder aufgenommen und der Community werden regelmäßige Updates zur Verfügung gestellt.

  • Benutzern wird empfohlen, neue Wallets zu erstellen und ihre Gelder zu überweisen, sobald die Blockchain den Betrieb wieder aufnimmt, und auf die neueste Version von Bittensor zu aktualisieren.

  • Zu den zukünftigen Verbesserungen gehören strengere Zugriffs- und Überprüfungsprozesse für Pakete, eine höhere Häufigkeit von Sicherheitsprüfungen, die Implementierung bewährter Methoden in öffentlichen Sicherheitsrichtlinien und eine verbesserte Überwachung von Paket-Uploads und -Downloads.

Teigfinanzierung

Verlust – 1,94 Mio. USD

  • Am Morgen des 12. Juli 2024 wurde Dough Finance Opfer eines Blitzkreditangriffs, bei dem etwa 1,94 Millionen US-Dollar an Benutzergeldern verloren gingen.

  • Cyvers entdeckte mehrere verdächtige Transaktionen im Zusammenhang mit Dough Finance.

  • Der Hacker stahl 1,8 Millionen US-Dollar in USDC und tauschte die Gelder mithilfe des Zero-Knowledge-Protokolls (ZK) Railgun in Ethereum (ETH) um, wodurch er 608 ETH erhielt.

  • Olympix gab bekannt, dass der Exploit auf nicht validierte Anrufdaten im ConnectorDeleverageParaswap-Vertrag zurückzuführen war, wodurch eine Manipulation der Vertragsdaten und Geldtransfers auf ein Externally Owned Account (EOA) möglich war.

  • Es kam zu einem zweiten Angriff, der zu einem weiteren Verlust von 141.000 USD in USDC führte.

  • Trotz des Angriffs bestätigte Cyvers, dass die Pools von Aave unberührt blieben.

  • Dough Finance forderte die Benutzer auf, ihre verbleibenden Gelder abzuheben, und hat den Exploit identifiziert und geschlossen.

  • Das Team nahm per On-Chain-Nachricht Kontakt mit dem Angreifer auf und bot an, über eine Kopfprämie zu sprechen, falls der Exploit als White- oder Grey-Hat-Exploit durchgeführt wurde, und forderte die Rückzahlung der Gelder bis zum 15. Juli 2024 um 23:00 UTC.

  • Dough Finance versicherte der Community, dass man aktiv daran arbeite, die Gelder zurückzuerhalten und die Anleger zu entschädigen.

  • Diese Woche wurden verschiedene DeFi-Projekte, darunter Compound Finance, bei einem Phishing-Angriff kompromittiert, bei dem eine DNS-Domäne Benutzer auf eine gefälschte Website umleitete, die Gelder abzog. Betroffene Projekte forderten die Kunden auf, bis auf Weiteres nicht mit den Websites zu interagieren.

Community-Spotlight

https://twitter.com/quillaudits_ai/status/1811290907922117015

https://twitter.com/quillaudits_ai/status/1810653169787220135?

https://twitter.com/quillaudits_ai/status/1809508585170178268?