These days just about any battery storage solution connected to PV solar or similar uses LiFePO4 (LFP) batteries. The reason for this is obvious: they got a very practical charge and discharge curve that chargers and inverters love, along with a great round trip efficiency. Meanwhile some are claiming that sodium-ion (Na+) batteries would be even better, but this is not borne out by the evidence, with [Will Prowse] testing and tearing down an Na+ battery to prove the point.
The OCV curve for LFP vs Na+ batteries.
The Hysincere brand battery that [Will] has on the test bench claims a nominal voltage of 12 V and a 100 Ah capacity, which all appears to be in place based on the cells found inside. The lower nominal voltage compared to LFP’s 12.8 V is only part of the picture, as can be seen in the OCV curve. Virtually all of LFP’s useful capacity is found in a very narrow voltage band, with only significant excursions when reaching around >98% or <10% of state of charge.

What this means is that with existing chargers and inverters, there is a whole chunk of the Na+ discharge curve that’s impossible to use, and chargers will refuse to charge Na+ batteries that are technically still healthy due to the low cell voltage. In numbers, this means that [Will] got a capacity of 82 Ah out of this particular 100 Ah battery, despite the battery costing twice that of a comparable LFP one.

Yet even after correcting for that, the internal resistance of these Na+ batteries appears to be significantly higher, giving a round trip efficiency of 60 – 92%, which is a far cry from the 95% to 99% of LFP. Until things change here, [Will] doesn’t see much of a future for Na+ beyond perhaps grid-level storage and as a starter battery for very cold climates.

youtube.com/embed/zSPSCC3_hHw?…

hackaday.com/2025/10/30/why-so…

Peter Williams, ex dipendente dell’azienda appaltatrice della difesa, si è dichiarato colpevole presso un tribunale federale degli Stati Uniti di due capi d’accusa per furto di segreti commerciali, ammettendo di aver venduto otto vulnerabilità zero-day a un intermediario russo per milioni di dollari in criptovaluta.

Secondo il fascicolo, Williams, 39 anni, che lavorava per una filiale di una società chiamata Trenchant, ha copiato illegalmente componenti software interni creati esclusivamente per il governo degli Stati Uniti e i suoi alleati nel corso di tre anni. Ha rivenduto questi strumenti, progettati per operazioni informatiche, a un broker che si spaccia apertamente per fornitore di exploit per vari clienti.

L’indagine ha stabilito che le transazioni sono avvenute tramite canali di comunicazione crittografati dal 2022 a quest’anno. Williams ha stipulato contratti con l’intermediario, indicato nei documenti del tribunale come “Società n. 3”, e ha ricevuto pagamenti in criptovaluta , parte dei quali ha poi speso in beni di lusso.

Durante l’udienza, i pubblici ministeri hanno chiarito che questa designazione si riferisce a Operation Zero, una piattaforma che si autodefinisce “l’unico mercato ufficiale per l’acquisto di vulnerabilità zero-day”.

I procuratori hanno citato un post sui social media di Operation Zero, in cui l’azienda offriva milioni di dollari per exploit iOS e Android, sottolineando che il cliente finale era un “Paese non NATO”. Questa formulazione, secondo l’accusa, corrisponde al testo di un annuncio pubblicato nel 2023.

L’agenzia ha riferito che Williams aveva precedentemente prestato servizio presso l’Australian Signals Directorate e poi era stato trasferito a Trenchant, dove aveva avuto accesso a software sviluppati per operazioni informatiche di sicurezza nazionale. Fu durante questo periodo che rubò il codice sorgente e gli sviluppi interni.

Il Dipartimento di Giustizia ha stimato il danno subito dall’appaltatore della difesa in 35 milioni di dollari, affermando che il trasferimento di strumenti così sofisticati avrebbe potuto fornire ad attori stranieri i mezzi per condurre attacchi informatici contro “numerose vittime ignare”.

Ogni accusa prevede una pena massima di 10 anni di carcere e una multa fino a 250.000 dollari o il doppio dell’importo dei profitti illeciti. Secondo le linee guida federali, il giudice Lauren Alikhan determinerà una pena compresa tra sette anni e tre mesi e nove anni. Williams sarà inoltre condannato a pagare una multa fino a 300.000 dollari e a un risarcimento di 1,3 milioni di dollari. Williams è stato posto agli arresti domiciliari in attesa della sentenza, prevista per gennaio.

Il Dipartimento di Giustizia ha definito le azioni di Williams “un tradimento degli interessi degli Stati Uniti e del suo stesso datore di lavoro”, sottolineando la natura deliberata del crimine. La Procura ha osservato che i trafficanti di exploit internazionali stanno diventando “una nuova generazione di trafficanti d’armi” e ha sottolineato che indagare su casi simili contro insider e intermediari rimane una priorità per le agenzie di intelligence.

L'articolo 0day come armi: ha venduto 8 exploit 0day della difesa USA a Mosca proviene da Red Hot Cyber.

Il ricercatore José Pino ha presentato unavulnerabilità proof-of-concept nel motore di rendering Blink utilizzato nei browser basati su Chromium , dimostrando come una singola pagina web possa bloccare molti browser popolari e rendere il dispositivo inutilizzabile in pochi secondi.

Pino ha pubblicato il codice per Brash, che ha dimostrato un massiccio degrado dell’interfaccia utente e il blocco completo delle schede sulla maggior parte delle build di Chromium testate.

La vulnerabilità è correlata a una caratteristica architetturale dell’elaborazione di document.title: Blink non ha limiti di frequenza per gli aggiornamenti dei titoli dei documenti, consentendo allo script di apportare milioni di modifiche al DOM e sovraccaricare il thread principale in pochi millisecondi.

Il metodo di Pino prevede il caricamento in memoria di un set di centinaia di stringhe esadecimali univoche da 512 caratteri, seguito da brevi raffiche di aggiornamenti dei titoli in modalità ad alta frequenza (configurazione di esempio: “raffica: 8000, intervallo: 1 ms”), con il risultato di circa decine di milioni di tentativi di modifica al secondo.

Di conseguenza, le schede non rispondono più dopo 5-10 secondi e il browser si blocca o richiede la chiusura forzata del processo entro 15-60 secondi. In alcuni test su Windows, una singola scheda ha consumato fino a 18 GB di RAM e ha causato il blocco del sistema.

Pino ha testato la proof-of-concept su 11 browser su Android, macOS, Windows e Linux. Nove sono risultati vulnerabili, tra cui Chrome, Edge, Vivaldi, Arc, Dia, Opera, Perplexity Comet, ChatGPT Atlas e Brave.

Due browser con altri motori, Firefox (Gecko) e Safari (WebKit), non hanno dimostrato riproducibilità, così come tutte le build iOS, che richiedono WebKit. Il ricercatore ha informato il team di Chromium il 28 agosto e ha ripetuto il messaggio il 30 agosto, ma non ha ricevuto risposta immediata. Ha quindi pubblicato la proof-of-concept per attirare l’attenzione sul problema, nonostante il silenzio del pubblico.

Al momento della pubblicazione, la vulnerabilità non ha un identificatore pubblico; il report e la proof-of-concept sono pubblicati dall’autore su GitHub e i rappresentanti di diversi fornitori non hanno ancora fornito commenti dettagliati.

Sebbene lo sfruttamento non riveli il contenuto delle schede né porti all’esecuzione di codice arbitrario, può causare la perdita di dati non salvati e crash diffusi, rendendo potenzialmente qualsiasi sito web visitato una fonte di errore.

L'articolo Vulnerabilità critica in Blink: un sito web può bloccare tutti i browser basati su Chromium proviene da Red Hot Cyber.