bs
663 posts
这么多人吹上海,但观察下来,我最喜欢的中国内陆城市是广州。早上穿着裤衩、人字拖喝早茶,人间美味,但价格在内陆比都实惠到不可思议。中午打一辆车直接到香港中环了,全世界财富最集中、金融最发达的地方之一,有着全世界最丰富的金融产品,最重要的是,拥有全世界最便宜的美金(融资成本最低,没有之一),所以这是投资最能积累财富的地方。晚上坐飞艇回到广州吃宵夜,现宰的走地鸡、鲜甜的煲汤,浑身舒坦。这是财富和实惠、烟火气和高大上的终极结合。真是美哉。上海是更加洋气,但是卡在中间,要开放,也不全面开放,没有什么意思。广州唯一的劣势就是中央还是有所忌惮。我去年给广州市政府提了一些意见,大概意思是还要再开放和国际化一点,我说这是上海早就在做的事情。他们说他们不是不知道,但是中央允许上海做的,不允许广州做。广州的公务员队伍是本土化最强的,虽然有很多空降兵,但基层办事还是本地多,办事还是首选粤语。这是很好的,我去商场里发现已经不主动讲粤语里,但是去政府部门办事,公务员们会主动讲粤语。唯一我不喜欢的地方,就是怪力乱神的民间奇怪信仰太多。不像温州、河南,我惊讶基督徒比例如此之高。
中文
bs retweetledi
$170k in Bypasses: The Vercel React2Shell Challenge by @S1r1u5_
hacktron.ai/blog/react2she…
English
bs retweetledi
One function, two math rules, most forks get this wrong.
Inside Uniswap V2's _update() function, two pieces of math need exactly opposite handling.
The reserve writes to uint112 must revert on overflow.
If a token with massive supply silently truncates the reserves, the constant-product invariant runs on wrong numbers and the pool is drainable.
The price accumulator math must allow overflow.
The TWAP only ever reads differences between two cumulative values.
Modular subtraction handles wraparound naturally.
Reverting would brick the oracle.
Solidity 0.8 made every arithmetic op revert by default.
If you fork Uniswap V2 to a modern compiler without understanding this, you have to wrap the accumulators in unchecked blocks while keeping the reserve writes checked.
One function, two arithmetic regimes, one easy mistake.
When you rebuild Uniswap V2 in Zealynx Academy,
the test suite distinguishes these two cases.
academy.zealynx.io
English
bs retweetledi
GitHub repos with reports/writeups for bug bounty hunters:
1. HackerOne Reports github.com/reddelexc/hack…
2. Google VRP Writeups github.com/xdavidhu/aweso…
3. Facebook Bug Bounty Writeups github.com/jaiswalakshans…
4. Awesome Bugbounty Writeups github.com/devanshbatham/…
5. Daily Bugbounty Writeups github.com/securitycipher…
#BugBounty #BugBountyTips #Infosec #EthicalHacking #CyberSecurity
English
要小心!!!
目前 #uPEG 还维持在21m市值,但是好像是出BUG了。
单色稀有本来只有12只,过去一个小时激增了30多只。
我看了一下合约,好像是他们进行了类似闪电贷的操作,攻击者部署了合约,合约进行批量购买,一次购买100个,然后筛选出最稀有的,剩下的退还。
这种方式用很低的gas,每次都能买到最稀有的。
不用多久,整个NFT都会被洗成最稀有的。
可以关注下面这两个地址:
0xb8d5ac8a1b603670294ba2325b93843876705b9d
0xcc76bafa5f14377d0a9606530de87d2c2516f2df
挺好的一个项目,有点可惜。目前情况就是由于NFT的稀有度能够被不停的洗来攻击,看看后续项目方怎么处理吧。
中文
bs retweetledi
Hacking Google Support: Leaking millions of customer records ($14k bounty) michaeldalton.au/posts/hacking-…
English
bs retweetledi
Solidity AST visualizer
txgraph.vercel.app/?tab=ast
Current state - visualize inheritance (pic 1)
TODO
- Graph functions and state variables (pic 2)
- AST grapher for live contracts (pic 3)
Consider donating to any project on ETH security QF
My project
qf.giveth.io/project/transa…
English
警方抓获卖淫女后,为何不用交易记录寻嫖客?
如果有警察打电话因为嫖娼让你去派出所
你千万不要骗警察说你去外地了并且六个月之内回不来,因为为了一个治安案件基本没有派出所愿意出差去找你的,因为治安案件的追究期只有六个月,你这么做是在增加警察的工作负担
你千万不要买机票去国外玩,尤其是不能去曼谷、胡志明、芭提雅这些地方,因为你是治安案件,派出所无法边控你,出了国警察更难掌握你的行踪,你简直就是在给警察捣乱,而且上述几个城市色情产业过于发达,不利于你改正嫖娼的坏毛病
如果你幸运的被派出所找到了,千万不要咬死自己没干,因为卖淫女拘留已经执行完了,这些女的都是打一枪换一个地方的,警察再想喊她们回来辨认很难,你要是咬死不承认,警察的办案难度会大大增加,法律也很难对你起到约束作用,所以千万不能这么干
千万不要用现金交易,这将大大增加警察的破案难度,不利于法治社会的建设
中文
折腾了一天新MacBook, 终于搞明白了为啥 @ai_xiaomu 可以搞AI 3 天就在深圳买房,这几个软件我建议直接装:
1. Obsidian --这才叫笔记系统
2. Claude Code + Codex --体验直接翻倍
3. 闪电说 — 语音转文字丝滑到怀疑人生
4. Ghostty — 终端能快成这样,CMD 和 PowerShell 可以退休了
5. Clash Verge — 你懂的
中文
