推特评论家
313 posts
受害者联系我们的时候,主钱包已经被盗了,钱包受到黑客控制,但是还有大约 5wu 的资产正在质押,并且正在等待分批解锁,一旦解锁就会被黑客抢走,受害者找到我们进行救援
虽然金额不多,但是我们绝不允许黑客行为在我们眼皮下发生,并且我和 @MegaKecc 博士决定,公开本次救援的技术细节
1. 构造调用数据
EXIT_SELECTOR = keccak(b"exit(uint256)")[:4]
EXIT_CALLDATA = EXIT_SELECTOR + (TIMESTAMP).to_bytes(32, "big")
编码 exit(TIMESTAMP) 作为 calldata,函数签名与参数必须完全匹配,否则后续交易即使进入区块也会直接 revert,整个流程失效。
2. 构造交易
tx = {
"from": SENDER_ADDR,
"to": LOCKING_REWARD,
"data": EXIT_CALLDATA,
"value": 0,
}
将合约调用封装为交易体,并提前模拟获取交易所需的基本gas。
3. 设置 gas 参数
block = w3.eth.get_block("latest")
base_fee = block.baseFeePerGas
priority = w3.to_wei(1, "gwei")
max_fee = base_fee * 2 + priority
tx.update({
"type": 2,
"chainId": 1,
"nonce": w3.eth.get_transaction_count(SENDER_ADDR),
"maxFeePerGas": max_fee,
"maxPriorityFeePerGas": priority,
})
EIP-1559 定价机制中,priority fee 决定排序权,max fee 决定可接受区块范围,nonce 决定交易有效性。该步骤本质是为交易购买执行优先级,定价不足将直接失去排序位置。
4. 签名并发送
signed = w3.eth.account.sign_transaction(tx, SENDER_PK)
w3.eth.send_raw_transaction(signed.raw_transaction)
交易进入 public mempool 后即具备可见性,calldata 可被复制并通过提高 gas 进行覆盖式竞争,导致原交易失去排序权。该阶段的核心约束不在“发送成功”,而在“是否被观察与替换”,因此通常通过提高 priority、并发 RPC 发送或使用 private relay / 自有节点 方式提高成功率。
我们用这项技术累计救援超过 100万美金资产,第一次披露,希望可以对行业的安全有帮助,建议收藏,以备不时之需
中文
@jackli727 人家伊朗人都用的是托曼,只有国内傻憨憨的被忽悠的去换里亚尔,还踏马是黑市汇率😅😅到时候直接货币改革,就变成卫生纸了
中文
首先说我嘴硬的就是没脑子,前几天这个比赛我直接断档存在,他们盈利2.3万u,我十万u,他们根本追不上我,因为我来玩这个比赛就是证明实力的,所以我没必要再开单了,我上个推特说的很清楚了,我是被戏耍了两次因为规则,外加我不想让其他人分我的钱,所以我故意输掉了比赛,因为我不在意这三万u奖金,我手续费这几天都五万u以上了,
所以我只是通过这种方式抗议,让所有的人明白我对这个市场最强的,我随时可以赚钱,我也不在意这点小钱,日了赵长鹏的妈了😄,所以我是砸场子,明白了吗?对我来说就是玩具,你们累死累活的当韭菜,我随时可以屠杀交易所,我的盘感是最顶尖的
凉兮将军(与邪恶对抗)@liangxizjdq
aster比赛为啥第一亏没了,我是故意亏没得,以表达我对这个比赛的不满,第一次这个比赛没有叫我,第二次参赛前告诉我盈利可以提现,然后开始后告诉我不能提现,一开始告诉我我还可以分奖金,人类赢了奖池十万u,人类输了奖池两万u,后面我才知道冠军无法分奖金,然后我相当于拿了冠军提高了人类队伍整体的水平,我还无法分奖金? 所以如果我不故意亏,这些kol他们可以多分8万美元的奖池,我可不想让他们分我钱,所以我就故意亏了,而且我的目的本来就是拿第一,我都断层领先,随时翻十倍,已经证明了,我全多空双吃,所以我也可以直接故意亏完表达不满
中文
今天五角大楼披萨指数又爆了,目前有三种说法占主流:
1. 情报局领导看到舆情,为了迷惑我们
2. 披萨店上新品,类似疯狂星期四
3. 真有大事发生
中文
🧯 @yearnfi 大约240万美元被盗资产已被救援
价值 $2.4M 的 857.489 $pxETH 已被救援,救援成功原因是 $pxETH 合约可以通过多签账户设置MINTER_ROLE 和 BURNER_ROLE 角色,并针对攻击者地址进行 $pxETH 的销毁(burn),之后找回相同数量的$pxETH(mint):etherscan.io/tx/0x0e83bb95b…
GoPlus中文社区@GoPlusZH
1/⚠️漏洞分析:@yearnfi 被攻击原理详解 攻击者通过调用update_rates函数操纵rate,然后通过添加和移除流动性盗取约600万美元的第一部分资产;再利用此时supply为0,造成 unsafe_sub 计算时发生整数下溢出,又盗取约1100 ETH,价值约300万美元的第二部分资产;总计盗取@yearnfi 价值约900万美元资产。 攻击者未及时兑换和转移资产,目前约240万美元的资产已被成功救援。
中文
上半年1800开始抄底跌到了1350并且1450喊抄底,4500左右清仓逃顶后来涨到了4700,没有人能抄最低的底和逃最高的顶,这次建议现货3000-3300抄底现货,反复劝不要合约,局势并未明朗,这几天日本加息和美国降息变化,以及AI泡沫,美国经济等带动美股下跌,导致ETH一度跌破3000,但是我们保持现货不动,再次说币圈现货的波动足够大,非顶级专业选手不要玩合约。
Benson Sun@BensonTWN
看到有人在陰陽 LD 的 Jack,其實真的沒必要。 人家身家上億美元,還願意公開分享自己的思路,這在圈內本來就很少見。 他 1800 以下敢抄底 ETH、4000 以上敢果斷清倉,鏈上紀錄也都看得到。 就算這次看錯又怎樣? 市場本來就沒有誰能永遠看對,每個人都會有失手的時候。 我覺得願意把邏輯講出來、願意承擔公開觀點風險的人,都值得尊重。 大家都在市場討生活,留點口德會比較好。
中文
@ybspro_official @TycheKong 可是这次攻击不是因为uint256溢出导致的啊 是因为fixpoint里的精度上限使用了18位 黑客构造了一个19位的数字导致的精度损失
另,LLM报溢出更多是幻觉。。。随便跑几个带数学计算的项目就会乱报
再另,中文对合约审计是负优化,无论你的提示词写的有多好,agent设计再精妙,上限都无比的低。。。
中文
被黑的协议 Balancer 的代币走势
和赚钱机会...
$bal 24小时只跌了 11%.
考虑到大盘走势, 体量大的多的Morpho协议代币, 都跌了 5%
那么 bal代币相当于几乎没有跌..
这就很奇怪了. 整个市值才不到6千万, 这一波直接被盗 1亿.
而且黑客是全部换成ETH, 马上要发去 Tornado Cash了.
整个协议八成直接 gg了..
你给我说协议代币没怎么跌?
作为参考, 我看了一下去年10月被攻击的Radiant Cpiatal
当时代币流通市值 100M, FDV 1B. 黑客偷了 50M. 协议gg了.
(对比之下, Balancer 这次被偷的金额 是 市值的两倍.)
可以看到. 一年后的今天,
代币只有20%的价格. tvl 直接砍脚底板了, 趋近归零了.
再回过头来看 Blancer 代币.
我找了半天没看到哪个cex可以合约开空, 连Mexc Gate这种都不行..
不过然后链上找到 Venus 可以借
需要切换到主网
借币只要 1.3% 利息...
你知道怎么做了..
(不过流动性只有3M. 有可能哪个大户进来就借空了)
中文
The next season of our benchmark will have lots of improvements. Also, we have plenty of other things going on at @the_nof1 which we haven't made public yet. Markets are fun to play, and make AI players for.
Jay A@jay_azhang
Qwen's portfolio is up +60% Gemini's is down -60% Of course, too early to tell how much is skill vs. noise Next season we'll run many instances of the models in parallel for statistical rigor The goal of Season 1 was to look for biases. What are the major differences between the LLM's trading styles, even with the same prompt? Can they even follow basic risk management rules? A few early patterns: > Qwen has only made 22 trades. It almost *never* has more than two positions on > Gemini has made 108 trades. It literally always has the max number of positions on (6) > Qwen has higher self-reported confidence (avg. 80% vs 65%) > Qwen's stop loss and take profit levels are *much* tighter than Gemini's, but Gemini breaks its own rules often, and gets out early (others don't do this) Overall, we're excited by the potential of LLMs and trading, but we're still skeptical. Much to test and learn
English
我不明白币安为啥在这个流动性紧缺的时候如此疯狂的上币。
新币除了一波流收割散户,有几个币能够给币友带来财富效应的?
作为一个行业领袖,要考虑整个行业的发展,而不是杀鸡取卵。哪怕是韭菜,也要等长肥了再割,不要连根拔。@heyibinance
@cz_binance
中文
@four_meme_ 起名叫“四迷”吧。
“四”直接对应“four”,“迷”贴近“meme”且含义丰富,整体简洁流畅。
“迷”字暗示粉丝狂热,与迷因币的社区驱动属性高度匹配,易激发创意内容(如“四迷冲冲冲”)。
2字名字在X平台易于传播,便于营销活动。
迷因文化可通过幽默化解“四”与“死”的谐音(如“四迷=好运”梗)
中文