最新

读了两天前 gwern 关于 LLM 白日梦的文章 [0] 后，我只想看看它会如何表现。我从维基百科 [1] 抓取了最重要的文章标题，并制作了一个简单的 next.js 应用，循环尝试这个提示。 看到概念之间建立的联系非常有趣。如果大家觉得有用，我很乐意托管这个应用！ [0] <a href="https:&#x2F;&#x2F;gwern.net&#x2F;ai-daydreaming" rel="nofollow">https:&#x2F;&#x2F;gwern.net&#x2F;ai-daydreaming</a> [1] <a href="https:&#x2F;&#x2F;en.wikipedia.org&#x2F;wiki&#x2F;Wikipedia:Vital_articles" rel="nofollow">https:&#x2F;&#x2F;en.wikipedia.org&#x2F;wiki&#x2F;Wikipedia:Vital_articles</a>

好的，我在 Gmail 上有一个工作帐户。之前有过被 Gmail 锁定的经历（无休止地循环出现“您输入的密码正确，但我们无法确定是您本人，请稍后重试”），所以我通过 Google Authenticator 创建了 2FA，并设置了备用代码，以为这样就能安全地避免他们要求我在另一台设备上登录或输入短信验证码（我没有随身携带那部手机）。 有一天，阳光明媚，我决定将标准的 iOS 邮件应用添加到这个帐户中，结果，连接后一小时，我就收到一条消息，说由于我的帐户有异常活动，需要我输入通过短信发送的验证码。 好吧，我没有带那部手机，所以我尝试使用 Authenticator 登录，但没用：“我们无法确定是您本人，请输入发送到短信的验证码”。好吧，我翻出备用代码，输入它们，仍然收到“我们无法确定是您本人”的消息。 如果 Authenticator 或备用代码毫无用处，那么设置它们有什么意义呢？ 如果 Google 有人看到这篇文章，请不要联系我提供帮助。直接改掉这个愚蠢的系统吧。

我因为向 Immunefi 报告了 LayerZero V2 上的真实重放攻击而被封禁。<p>我发现，由于缺乏 guid 追踪，lzReceive() 允许无限次重放有效的跨链消息。这导致了代币的重复发放——这是一个关键的漏洞。<p>我的 PoC 使用了真实部署的合约，没有伪造数据。该漏洞 100% 可复现。<p>Immunefi 没有进行调查，就拒绝了我的报告，也没有进行技术反驳——并且以“复杂性窃取”为由封禁了我。<p>完整故事：https://medium.com/@tangouvitch/immunefi-banned-me-for-reporting-a-real-replay-attack-in-layerzero-v2-71d5ee0ff102<p>你认为这是一个有效的漏洞吗？这次封禁是合理的吗？Immunefi 应该为此负责吗？<p>很想听听以太坊社区的看法。