🚨 OPPDATERING: Full obduksjon av markørsikkerhetshendelse I gårsdagens tråd forklarte jeg hvordan jeg ble tappet etter å ha installert en ondsinnet utvidelse i @cursor_ai. Dette er det dypere dykket inn i hva jeg fant, hva jeg gjorde og hvordan du kan unngå det. 🧵 👇

Vi kastet 20 store Ethereum-prosjekter – Aave, Uniswap, OpenZeppelin, Solady ... – på solc og solx 0.1.1. Resultatet? 8–13× raskere enn tidligere versjoner på tunge bygg, slår SOLC med 5–10× i kompileringstid med via-ir – og reduserer gassforbruket. La oss grave i referansene 🧵

Det kan skje hvem som helst. Det er en grunn til at jeg banker budskapet om "aldri lagre nøklene dine i ren tekst" inn i hodene dine. Du er til enhver tid i fare for å gjøre en dum feil som koster deg alt.

1/ En ikke navngitt kilde kompromitterte nylig en DPRK IT-arbeiderenhet som ga innsikt i hvordan et lite team på fem ITW-er opererte 30+ falske identiteter med offentlige ID-er og kjøpte Upwork/LinkedIn-kontoer for å få utviklerjobber på prosjekter.

Følg med torsdag med @GMX_IO og @CyfrinUpdraft! Vi skal snakke om hvor enkelt det er å bygge på toppen av GMX på Arbitrum med Updrafts byggerkurs

I november slutter Cyfrin CEO @PatrickAlphaC seg til ledere fra verdens største institusjoner og banker på @Chainlink's SmartCon. Temaet: Blokkjedesikkerhet og bygging av kjedeøkonomi med en sikkerhets-først-tankegang. 👇

Monero ser ut til å være midt i et vellykket 51%-angrep. Den personvernfokuserte blokkjeden, lansert i 2014 og lenge målrettet av myndigheter og 3-bokstavsbyråer, er allerede utestengt fra de fleste store sentraliserte børser. Qubic-gruvepoolen har samlet hashrate i flere måneder og kontrollerer nå et flertall av nettverket. En større omorganisering av kjeden ble oppdaget i morges. Med sin nåværende dominans kan Qubic omskrive blokkjeden, muliggjøre dobbeltforbruk og sensurere enhver transaksjon. Å opprettholde dette angrepet anslås å koste 75 millioner dollar per dag. Selv om det potensielt er lukrativt, truer det med å ødelegge tilliten til nettverket nesten over natten. Andre gruvearbeidere har ikke noe insentiv til å fortsette, ettersom Qubic ganske enkelt kan foreldreløse alle konkurrerende blokker, og i praksis bli den eneste gruvearbeideren. Faktisk tar en markedsverdikjede på 300 millioner dollar over en kjede på 6 milliarder dollar. Moneros muligheter for gjenoppretting er begrenset, og en full overtakelse er nå mulig og til og med sannsynlig. Så langt har XMR bare falt 13 %.

Fremtiden til onchain er finans

Cyfrin Audits casestudie: @SuzakuNetwork Suzaku er tillatelsesfri, multi-asset validator infra designet for å tjene som ryggraden for Avalanche L1-nettverk. Det muliggjør effektive validatoroperasjoner, sømløs delegering og automatisert belønningsdistribusjon på tvers av flere hvelvtyper. 👇

Som en sikkerhetsinnstilt Solidity-utvikler er dette ditt tegn på å være veldig forsiktig når du bruker ukontrollerte blokker og innebygd montering. Fra og med 0.8.0 og senere vil kompilatoren automatisk håndtere under/overløp. Men hva skjer hvis en variabel som får renne over deretter brukes i yul? EVM har faktisk ikke noe konsept med smale typer, så yul-kode på lavt nivå opererer på hele 256-bits ordstørrelsen. Kan du se hvor dette går ennå? I dette sterkt forenklede scenariet jeg kom over i mitt nåværende @CyfrinAudits-engasjement, flyter lengdevariabelen stille over uint8 innenfor den ukontrollerte blokken og vikler seg rundt til 254 som forventet. Men når de brukes til å endre størrelsen på arrayet i den påfølgende inline-monteringsblokken, vedvarer de skitne øvre bitene som om overløpet aldri oppstod! Dette resulterer i at lengden på matrisen er betydelig større enn forventet, selv om vi kan forvente at den er avgrenset modulo, den maksimale verdien som kan representeres av lengdevariabelen. Ved å bruke støperifeilsøkeren og cast --to-base <0xfe|0x01fe> des, kan vi bekrefte at antagelsene våre var feil, og at de øvre bitene faktisk forblir skitne når vi skriver lengden til minnet. Selv om dette eksemplet kan forenkles ytterligere, er nøkkelen å alltid være veldig mistenksom overfor ukontrollerte/monteringsblokker og vurdere hvordan de øvre bitene av smale typer kan bli skitne, selv for noe så enkelt i yul som en oppgave. Dette kan noen ganger føles som en esoterisk feil som er umulig å oppdage uten dyp kunnskap om EVM- og Solidity-kompilatorens interne deler, så når jeg først skjønte hva som var på gang, fant jeg dette konkrete eksemplet ganske nyttig. Send meg en kommentar nedenfor hvis du har spørsmål, men forhåpentligvis syntes du det også var nyttig!