1/8
ARB空投怒战黑客复盘
起因：很多被盗钱包有 $ARB 空投资格，如果不采取任何措施，会被黑客领走。
过程：粉丝提的钱包能领 40,000 $ARB ，我写了批量领取合约和 ethers.js 脚本，WTF贡献者帮忙优化，使用了私有节点。
结果：成功抢救 30,000 $ARB 。
核心代码已开源。 @WTFAcademy_ @arbitrum 2/8
起因
这次有上千个被黑客盗取私钥的钱包有资格领 $ARB ，正好兜兜在 WTF 社群里发了一张泄露私钥的图引起了我的兴趣，想试试做白帽和黑客抢钱，顺便赚取赏金。
图里的私钥是哪找的？其实是 remix, hardhat, foundry 等工具中的默认测试钱包。里面大概能领 4000 $ARB 。

https://twitter.com/0xAA_Science/status/1638116339687784448?s=20

1/5
这个月在见到了以太坊扩容方案 danksharding 的作者 Dankrad @dankrad ，对扩容有了新的理解。
这里简单科普下，内容包括:
1. 为什么要扩容
2. roll-up为中心的路线图
3. L2与链上存储
4. EIP4844
希望读完之后大家能明白 L2 的重要性！
A Thread 🧵
#Ethereum #Layer2 @WTFAcademy_ 2/5
为什么以太坊需要扩容？
为了要让更多人用上以太坊，就需要扩容，其中包括
i. 提速（确定交易时间）
ii. 提高每秒交易量（TPS）
iii. 降费

1/8
你的链上交易是否被夹子夹过？
你是否想像科学家一样进行链上套利？
我将介绍 Flashbots 提供的免费产品，大纲：
- 什么是 Flashbots?
- 普通用户如何连接 Flashbots 节点发送交易避免被夹。
- 开发者如何使用 Flashbots Bundle 打包多笔交易。
#mev #flashbots #web3 ⚡️🤖
A Thread🧵 2/8
Flashbots 是致力于减轻 MEV（最大可提取价值）对区块链造成危害的研究组织。目前有以下几款产品:
1. Flashbots RPC: 保护以太坊用户受到有害 MEV（例如三明治攻击）的侵害。
2. Flashbots Bundle: 帮助 MEV 搜索者在以太坊上提取 MEV。
3. mev-boost: 帮助以太坊 POS 节点获取更多的 ETH 奖励。

🚨零转账钓鱼🚨
"我日，转错地址了！"

今天有群友向我求助，它的朋友因为零转账钓鱼，损失了40w u。
在这里介绍一下这个骗局，避免更多人上当。
预防办法也很简单：大额转账时，直接从钱包或交易所复制地址，并检查每一位，不要偷懒从区块浏览器复制。
A Thread🧵 1/
攻击手法
首先，攻击者会构造一批钓鱼地址（靓号生成器），和你的钱包/交易所地址的前3/后5位一致。
然后，他们会构造代币转账：从你的正常地址，转账到钓鱼地址，数量为0，目的是让你误把伪造地址当成真实地址。
最后，你转账的时候偷懒，从区块链浏览器的历史交易里复制地址，会误转账给骗子。

Alameda Research的投资明细最近被曝光，我在这里整理下：

目录
1. 投资摘要
2. 主要投资赛道和明星项目
3. 暴雷原因分析

#ftx #ALAMEDARESEARCH
转载需标明出处 1/
Alameda Research投资摘要
总投资额: $53亿
主要的4个壳子（数字为投资额）:
i. Alameda Reserach LLC：$13亿
ii. Alameda Research Ventures LLC: $12.9亿
iii. Alameda Ventures Ltd: $9.5亿
iv. FTX Ventures Ltd: $2.8亿

日本 1:0 克罗地亚 机会抓得真的好！ 克罗地亚头球直奔死角 1:1平！

Cairo 避坑帖，不断更新。
A Thread 1/
StarkNet钱包有 Braavos @myBraavos （小头盔）和 ArgentX @argentHQ （人字拖）两个，我用的Braavos，跟小狐狸钱包差不多。
StarkNet没有EOA概念，都是合约钱包。创建钱包大概要2分钟。
官网
Braavos: braavos.app
ArgentX: argent.xyz

⚠️貔貅盘入门⚠️
“翻倍了，兄弟们冲！”
“艹，貔貅了！”

刚进入Web3的开发者/韭菜难免忍不住诱惑去链上冲土狗，如何识别貔貅盘很关键。我将在这个帖子介绍貔貅代币原理和预防方法。
#web3 #solidity
A Thread 🧵 1/
WTF is 貔貅？
貔貅是中国的一个神兽，因为在天庭犯了戒，被玉帝揍的肛门封闭了，只能吃不能拉。中国人认为它可以聚财。
但在Web3中，貔貅变为了不详之兽，韭菜的天敌。
貔貅盘的特点：投资人只能买不能卖，仅有项目方指定地址能卖出。
国外管它叫Honeypot。
en.wikipedia.org/wiki/Pixiu

币圈不缺奇迹，更不缺爆雷，笑到最后才是英雄。
分享几条让我在 luna，3ac，ftx 爆雷时几乎不受影响的5条原则，希望能让你在 #web3 走的更远。
A thread🧵
👇👇👇 1. 不玩杠杆/合约。

币圈价格波动很高，杠杆=赌博。不要被微博，推特上晒盈利的人影响。晒的狠的都归零了。
赌狗什么下场大家都知道。
我从来不碰杠杆，1.1倍都不开。

为什么我认为 Amber Group 已接近爆雷，附带信息来源。

Amber Group是知名加密做市商，今年2月刚刚以30亿美元估值融资2亿。但在目前动荡的市场中，以下几点表明 Amber Group 缺乏流动资金

A Thread🧵 1/
最新消息，Amber Group 已经被链上无抵押借贷项目ClearPool打上预警标签。
Source: Coindesk
coindesk.com/markets/2022/1…

而2021年11月，Amber Group在该平台借款约 $50M，目前仍有 $27M 贷款未偿还。
Source: 链闻

https://twitter.com/ChainNewscom/status/1461311001266032647?s=20&t=v9zWxewmKhYRLxmAKm3Z_g

⚠️安全警告⚠️

为什么你用了github开源的 智能合约抢开盘/NFT mint 脚本，但是钱包却被盗了？

这个中文黑客（Fomo4056）开源了多个科学家工具，还做了一个RichMan DAO，其实都是骗取用户私钥的钓鱼脚本，非常隐蔽！

感谢WTF Academy成员 berwin 分享。
A Thread 🧵 1/
起因：
一个群友找到了一个开源repo，觉得很不错，都是科学家工具，包括抢开盘，mint NFT，定时触发，三角套利，分享到了WTF Solidity技术交流群。
敏锐的群友一下就觉得像是钓鱼的。

🤖零知识证明扫盲帖🤖
A Thread 🧵
如果你分不清 zk proof, succinct proof, validity proof之间的区别，这个帖子会帮助到你
思考题：如何用零知识证明的方法证明孙割割韭菜。
感谢 @GuthL from Starkware, @ChrisYicheng from scroll, @0xdarlington 提供帮助
#Ethereum #ZKP #Layer2 1/
zk proof （zero-knowledge proof，零知识证明）是一种方法，证明者向验证者证明一个论断是真实的，但不附加除真实性以外的关于该论断信息。
这个证明需要满足三要素：
1. 完备性（completeness）：如果论断为真，证明者一定能说服验证者。

如果孙割真的割韭菜，则你一定能说服我相信。

🪂空投机会🪂
1/
Scroll是由以太坊基金会支持的以太坊原生zkevm layer2解决方案，最近一轮融资$3000万。目前在pre-alpha内测阶段，预计年底开放公测。

目前内测资格需要申请，收到确认邮件可以开始交互。

测试网交互5分钟内搞定，简单总结下，公测估计也用得上。
@Scroll_ZKP #Airdrop #Ethereum 2/
测试内容主要包含水龙头，L1-L2跨链桥，DEX。

第1步：连接网络rpc
网址：prealpha.scroll.io
依次点击前5个按钮，在Metamask钱包中添加网络和代币。

1/5
我更新了WTF Solidity安全篇S03：中心化风险。

这一讲，我们介绍了中心化和伪去中心化的风险。

区块链审计公司Certik在2021年DeFi安全报告将中心化风险列为排名第一的风险，有 44 次 DeFi 黑客攻击与它相关，造成用户资金损失超过 13 亿美元。
github.com/AmazingAng/WTF…

#solidity #web3 #hack 2/5
中心化风险指智能合约的所有权是中心化的，例如合约的owner由一个地址控制，存在单点风险，容易被黑客和内鬼利用。

伪去中心化风险是指合约所有权由多签钱包管理，但几个多签人是一致行动人，背后由一个人控制。这类项目由于包装的很去中心化，容易得到投资者信任，所以被盗金额也往往更大。

1/

A Bug that has cost FTX hundreds of $ETH, and is not fixed yet.

Let's learn how devs turn free withdrawals in FTX to free money.

A thread 👇
@FTX_Official @SBF_FTX @FTX_Benson 2/

Typically, users need to pay a fee for $ETH or ERC20 tokens withdrawal from CEX to Ethereum, since the gas is expensive.

But in FTX, if you stake $FTT, the native token of FTX, you will get free $ETH and ERC20 withdrawals, 3~1000 times a day depending on the staked amounts.

1/2
看了下 @joshua_j_lim 对Mango Market被黑的分析。

1. 这不是简单的合约漏洞，而是经济模型漏洞，有点像去年BSC上的借贷平台Venus被黑。 @VenusProtocol

2. 黑客动用了1000w USDC来发动攻击，获利约1亿u，也是下了血本的。 2/2
3. 黑客短时间买入了大量Mango，将币价从 $0.038 拉到 $0.91，然后通过借贷，将协议内的其他代币借走。

4. 黑客哪来的这么多钱？

原分析帖：

https://twitter.com/joshua_j_lim/status/1579987648546246658?t=pU7_lcEa4fMbXxIFQRIoyQ&s=19

1/11
GitHub Solidity仓库 Top 10🔥

Solidity是编写以太坊智能合约的语言，由于Web3的开源文化，在GitHub搜Solidity能搜到4.5万个仓库。

这个帖子带大家了解下排名前10的Solidity开源项目。
#solidity #web3 #opensource #github #Ethereum
a thread 👇 2/11
第1名：Solidity官方代码库

由 @solidity_lang 官方维护。

Solidity是一种由C++编写的静态类型、面向合约的高级语言，用于在以太坊平台上实现智能合约。

这个repo中包含了solidity源码、文档、例子等资源。

repo在活跃维护中。

github.com/ethereum/solid…