GMX, uno dei principali protocolli DeFi per il trading con leva, è stato recentemente colpito da un attacco che ha portato alla sottrazione di circa 42 milioni di dollari. L’exploit ha sfruttato i meccanismi interni del protocollo legati allo slippage e alla gestione dei prezzi. Gli aggressori, invece di scomparire, hanno scelto di avviare una trattativa diretta con il team di GMX, accettando di restituire il 90% dei fondi in cambio del riconoscimento come white-hat e di una ricompensa pari al 10% dell’importo.

GMX è noto per offrire trading con leva, ovvero la possibilità per gli utenti di moltiplicare la propria esposizione di mercato rispetto al capitale effettivamente investito. L’accordo con gli hacker ha avuto un impatto immediato sul mercato. Il token GMX, crollato dopo l’incidente, ha recuperato rapidamente circa il 15% in seguito alla notizia del rimborso.

Il team di GMX ha trasmesso agli hacker un messaggio on-chain, offrendo una bounty del 10% in cambio della restituzione del resto. In cambio, nessuna azione legale sarebbe stata intrapresa. Gli autori dell’attacco hanno accettato, restituendo la stragrande maggioranza degli asset in poco tempo. Il denaro è rimasto on-chain, e non è stato convertito in fiat.

Nonostante l’esito apparentemente positivo, la dinamica dell’attacco resta ancora poco chiara. GMX non ha ancora fornito una spiegazione dettagliata sull’origine esatta dell’errore di logica sfruttato, lasciando aperti diversi interrogativi sullo stato della sicurezza del protocollo. L’incertezza potrebbe influenzare la fiducia degli utenti e degli investitori fino a quando non verranno rese pubbliche ulteriori informazioni tecniche e non sarà chiaro se le vulnerabilità sono state effettivamente risolte.

Questo episodio rappresenta un caso esemplare di come nella DeFi gli exploit non derivano sempre da bug del codice, ma da debolezze nei modelli economici e nella logica operativa. Il fatto che gli aggressori abbiano accettato il dialogo e si siano mossi come white-hat non li esonera dal fatto di aver comunque sfruttato un sistema per generare profitto. Ma, allo stesso tempo, dimostra come i meccanismi di bounty e comunicazione on-chain possano diventare strumenti concreti per limitare i danni e gestire incidenti critici con pragmatismo.

Nel contesto attuale, dove gli attacchi alla DeFi sono sempre più frequenti, la trasparenza post-incident è fondamentale. GMX dovrà ora dimostrare di aver appreso la lezione, rafforzando non solo la propria sicurezza, ma anche la fiducia di chi sceglie ogni giorno di utilizzare i suoi servizi.

L'articolo GMX Hacked: restituiti il 90% dei fondi rubati dopo trattativa on-chain proviene da il blog della sicurezza informatica.

Cloudflare ha segnalato problemi temporanei con il suo risolutore DNS pubblico 1.1.1.1 , segnalati da utenti in tutto il mondo. L’incidente sarebbe iniziato la sera del 14 luglio 2025, intorno alle 22:13 UTC. L’azienda ha confermato di star indagando e risolvendo il problema.

Durante l’interruzione, gli utenti dei forum e di Reddit hanno osservato che numerosi siti web non si aprivano o presentavano errori di caricamento. Un aumento significativo delle segnalazioni relative a problemi con il servizio DNS di Cloudflare è stato rilevato dai servizi di monitoraggio, tra cui DownDetector.

StatusGator ha indicato che l’incidente è durato circa un’ora e poco più di sessanta minuti, a partire dalle 22:15 UTC circa del 14 luglio. Anche il sito web ufficiale di Cloudflare mostra lo stato “In fase di analisi” con la relativa marca temporale.

Questa non è la prima interruzione di alto profilo per Cloudflare quest’anno. Nel giugno 2025, si è verificato un grave incidente che ha avuto un impatto su diversi prodotti dell’azienda, tra cui WARP, Workers e il sistema di imaging. Ciononostante, interruzioni di questo tipo rimangono relativamente rare per un’azienda che offre infrastrutture mission-critical.

Cloudflare sta attualmente continuando a risolvere il problema. Secondo le ultime informazioni, il servizio sta gradualmente ripristinando la funzionalità del resolver DNS e i reclami degli utenti stanno diminuendo. Stiamo monitorando gli aggiornamenti dell’azienda e vi informeremo quando la situazione sarà completamente tornata alla normalità.

Il recente problema tecnico verificatosi con il servizio DNS pubblico 1.1.1.1 di Cloudflare evidenzia l’importanza della resilienza e della ridondanza nelle infrastrutture tecnologiche critiche. Sebbene interruzioni di questo tipo siano relativamente rare per un’azienda come Cloudflare, che fornisce servizi essenziali per il funzionamento di numerosi siti web e applicazioni online, è fondamentale che le aziende che offrono servizi mission-critical abbiano piani di emergenza efficaci e sistemi di backup adeguati per minimizzare l’impatto sugli utenti.

La velocità con cui Cloudflare ha rilevato il problema e ha iniziato a indagare e risolverlo è degna di nota. L’azienda ha dimostrato un impegno nella trasparenza, aggiornando lo stato del servizio e informando gli utenti sull’evolversi della situazione. Questo approccio trasparente e reattivo è essenziale per mantenere la fiducia degli utenti, soprattutto quando si tratta di servizi che sono fondamentali per l’accesso a una vasta gamma di contenuti e applicazioni online.

L'articolo Down per Cloudflare: il DNS 1.1.1.1 è andato giù e ha generato una interruzione globale diffusa proviene da il blog della sicurezza informatica.

Il popolare plugin di WordPress Gravity Forms ha subito un attacco alla supply chain, che ha infettato il sito ufficiale con una backdoor. Gravity Forms è un plugin premium per la creazione di moduli di contatto, di pagamento e altri moduli online. Secondo le statistiche ufficiali, è installato su circa un milione di siti web, alcuni dei quali appartengono a organizzazioni note come Airbnb, Nike, ESPN, Unicef e Google.

Gli specialisti di PatchStack avvisano di aver ricevuto segnalazioni di richieste sospette generate da plugin scaricati dal sito web ufficiale di Gravity Forms. Dopo aver esaminato il plugin, i ricercatori hanno confermato che un file dannoso (gravityforms/common.php) era stato effettivamente scaricato dal sito web del produttore. A un’analisi più approfondita, è emerso che questo file avviava una richiesta POST a un dominio sospetto, gravityapi[.]org/sites.

Come hanno dimostrato ulteriori analisi, il plugin raccoglie molti metadati dai siti, tra cui URL, percorso del pannello di amministrazione, dati su temi, plugin e versioni di PHP/WordPress. Trasmette poi tutti i dati raccolti agli aggressori. Il server degli hacker risponde con codice PHP dannoso in codifica base64, che viene salvato come wp-includes/bookmark-canonical.php. Questo malware si maschera da strumenti di gestione dei contenuti di WordPress e consente l’esecuzione di codice remoto senza necessità di autenticazione, utilizzando funzioni come handle_posts(), handle_media() e handle_widgets().

RocketGenius, l’azienda che sviluppa Gravity Forms, è stata informata del problema, dopodiché un suo rappresentante ha riferito ai ricercatori che il malware era riuscito a penetrare solo nelle versioni manuale e Composer del plugin. Gli esperti raccomandano a chiunque abbia scaricato Gravity Forms tra il 10 e l’11 luglio 2025 di reinstallare il plugin scaricando una versione pulita. Inoltre, gli amministratori dovrebbero controllare i propri siti per individuare eventuali segni di infezione.

I rappresentanti di RocketGenius hanno già pubblicato un’analisi dell’incidente, confermando che solo le versioni 2.9.11.1 e 2.9.12 di Gravity Forms, disponibili per il download manuale tra il 10 e l’11 luglio 2025, erano infette. Si segnala inoltre che gli utenti che hanno eseguito l’installazione della versione 2.9.11 tramite Composer in una qualsiasi delle date menzionate, hanno ricevuto anche una copia infetta del plugin.

“Il servizio API di Gravity, che gestisce le licenze, gli aggiornamenti automatici e l’installazione dei componenti aggiuntivi avviati da Gravity Forms, non è stato compromesso. Gli aggiornamenti dei pacchetti gestiti da questo servizio non sono stati interessati dall’attacco”, hanno affermato gli sviluppatori.

Secondo il produttore, il codice dannoso ha bloccato i tentativi di aggiornamento, ha contattato un server esterno per ricevere ulteriore payload e ha aggiunto un account amministratore al sito, il che ha dato agli aggressori il pieno controllo sulla risorsa interessata.

L'articolo Gravity Forms sotto attacco: plugin WordPress infettato con una backdoor proviene da il blog della sicurezza informatica.

As part of his multi-year project to build a quantum computer, hacakday.io poster [skywo1f] has shared with us his most recent accomplishment — a Nuclear Magnetic Resonance Spectrometer, which he built for less than $100.

The NMR spectrometer is designed to disturb protons, which naturally line up according to the Earth’s magnetic field, using an electric coil. Once disturbed, the protons nutate (a fancy physics word for wobble), and flip quantum spin states. [skywo1f]’s NMR device can detect these spin state changes, as he demonstrates with a series of control experiments designed to eliminate sources of false positives (which can be annoyingly prevalent in experimental physics). His newest experimental device includes a number of improvements over previous iterations, including proper shielding, quieter power topology, and better coil winding in the core of the device. Everything was assembled with cost in mind, while remaining sensitive enough to conduct experiments — the whole thing is even driven by a Raspberry Pi Pico.

Here at Hackaday, we love to see experiments that should be happening in million-dollar laboratories chugging along on kitchen tables, like this magnetohydrodynamic drive system or some good old-fashioned PCB etching. [skywo1f] doesn’t seem to be running any quantum calculations yet, but the NMR device is an important building block in one flavor of quantum computer, so we’re excited to see where he takes his work next.

hackaday.com/2025/07/14/quasi-…

Gli esperti di sicurezza di 0din hanno individuato una falla critica in Google Gemini for Workspace, la quale permette ai malintenzionati di inserire direttive malevole all’interno delle email. L’attacco sfrutta la funzionalità “Riepiloga questa email” dell’assistente AI per visualizzare avvisi di sicurezza inventati che sembrano provenire da Google stessa, portando potenzialmente al furto di credenziali e ad attacchi di ingegneria sociale .

Gli aggressori incorporano istruzioni nei tag utilizzando stili CSS come il testo bianco su bianco o la dimensione del carattere zero per rendere il contenuto invisibile ai destinatari. A differenza dei tradizionali tentativi di phishing, questo attacco non richiede link, allegati o script esterni, ma solo testo appositamente formattato nascosto nel corpo dell’e-mail.

La vulnerabilità scoperta dai ricercatori rappresenta una forma di iniezione indiretta di prompt (IPI), in cui il contenuto esterno fornito al modello di intelligenza artificiale contiene istruzioni nascoste che diventano parte del prompt effettivo. Gli esperti di sicurezza classificano questo attacco nella tassonomia “Stratagemmi → Meta-Prompting → Formattazione ingannevole” con un punteggio di impatto sociale moderato.

Quando le vittime cliccano sulla funzione “Riepiloga questa e-mail” di Gemini, l’assistente AI elabora la direttiva nascosta come un comando di sistema legittimo e riproduce fedelmente l’avviso di sicurezza inventato dall’aggressore nel suo output di riepilogo. Un esempio proof-of-concept dimostra come gli aggressori possano inserire intervalli invisibili contenenti istruzioni di tipo amministrativo che indirizzano Gemini ad aggiungere avvisi di sicurezza urgenti ai riepiloghi delle email.

Questi avvisi in genere invitano i destinatari a chiamare numeri di telefono specifici o a visitare siti web, consentendo così la raccolta di credenziali o truffe di phishing vocale. La vulnerabilità si estende oltre Gmail e può potenzialmente compromettere l’integrazione di Gemini con Google Workspace, incluse le funzionalità di ricerca di Documenti, Presentazioni e Drive. Ciò crea una significativa superficie di attacco multiprodotto, in cui qualsiasi flusso di lavoro che coinvolga contenuti di terze parti elaborati da Gemini potrebbe diventare un potenziale vettore di iniezione.

Gli esperti di sicurezza avvertono che gli account SaaS compromessi potrebbero trasformarsi in “migliaia di beacon di phishing” tramite newsletter automatizzate, sistemi CRM ed e-mail di ticketing. La tecnica solleva anche preoccupazioni circa i futuri “worm AI” che potrebbero autoreplicarsi nei sistemi di posta elettronica, passando da singoli tentativi di phishing alla propagazione autonoma.

Si consiglia ai team di sicurezza di implementare diverse misure difensive, tra cui il linting HTML in entrata per rimuovere lo stile invisibile, configurazioni del firewall LLM e filtri di post-elaborazione che analizzano l’output di Gemini alla ricerca di contenuti sospetti. Le organizzazioni dovrebbero inoltre migliorare la formazione degli utenti in materia di sensibilizzazione, per sottolineare che i riepiloghi dell’IA sono puramente informativi e non avvisi di sicurezza autorevoli.

L'articolo Vulnerabilità in Google Gemini: Attacchi di Phishing tramite messaggi nascosti all’interno delle Email proviene da il blog della sicurezza informatica.

Jack Dorsey, co-fondatore di Twitter e a capo di Block, ha recentemente presentato il suo nuovo progetto: Bitchat, il messenger concepito come un mezzo di comunicazione completamente decentralizzato e indipendente da Internet. Invece delle reti tradizionali, l’applicazione utilizza Bluetooth e crittografia end-to-end. L’attenzione principale è rivolta alla privacy e alla resistenza alla sorveglianza.

Secondo Dorsey, Bitchat intende rappresentare un’alternativa affidabile ai servizi di messaggistica tradizionali, soprattutto in situazioni in cui l’accesso online è limitato o controllato dall’alto. L’annuncio pubblicato descrive l’architettura, la crittografia e i meccanismi di sicurezza proposti. Il messaggio principale del testo è che il sistema non si basa su server centralizzati e “dà priorità alla sicurezza”.

Tuttavia, subito dopo il rilascio, è apparso un chiarimento nella descrizione del progetto su GitHub: il codice non era ancora stato sottoposto a un audit indipendente. Pochi giorni dopo, gli sviluppatori hanno aggiunto un avviso: “Questo software non è stato sottoposto a revisione esterna e potrebbe contenere vulnerabilità. Non utilizzarlo in scenari di produzione”. In seguito, hanno aggiunto: “Lavori in corso”.

Le critiche non si sono fatte attendere. Il ricercatore Alex Radozea, ad esempio, ha scoperto una grave vulnerabilità nel sistema di identificazione. L’app memorizza una coppia digitale – una chiave univoca e un ID dispositivo – che dovrebbe confermare che l’utente ha già verificato e si fida di un contatto specifico. Questi interlocutori appaiono nell’elenco come “preferiti” e sono contrassegnati da un’icona a forma di stella.

Tuttavia, a quanto pare, un aggressore può intercettare la coppia e usarla per impersonare un altro partecipante alla chat. Di conseguenza, il destinatario avrà la certezza di comunicare con una persona verificata, anche se in realtà al suo posto c’è uno sconosciuto. Radocea ha cercato di capire come segnalare correttamente la vulnerabilità e ha creato un ticket su GitHub. Dorsey inizialmente lo ha chiuso senza fornire spiegazioni, ma due giorni dopo lo ha riaperto, scrivendo che i problemi di sicurezza possono essere segnalati direttamente tramite quella piattaforma.

Alcuni sviluppatori hanno messo in dubbio la pretesa di supportare la forward secrecy, una tecnologia che rende impossibile decifrare vecchi messaggi anche in caso di fuga di informazioni. Secondo loro, l’attuale implementazione in Bitchat probabilmente non rispetta questo principio: le chiavi di sessione potrebbero non essere aggiornate come previsto, il che riduce la resistenza della corrispondenza agli attacchi informatici.

Alcuni sottolineano anche una potenziale vulnerabilità chiamata buffer overflow, un bug che potrebbe causare il sovraccarico della memoria e interferire con il funzionamento del dispositivo. Secondo Radocea,”la sicurezza è una buona strategia di marketing, ma almeno bisogna verificare che le chiavi funzionino come pubblicizzato”. Ha anche criticato la posizione di Dorsey: se si afferma che l’applicazione non è stata sottoposta a verifica, allora le prime vulnerabilità trovate hanno già avviato il processo. E i risultati, a suo parere, “sembrano allarmanti”.

Dorsey stesso non ha commentato la situazione in alcun modo, né sui social media né in risposta alle richieste della stampa. L’applicazione rimane disponibile come progetto open source. Tuttavia, non è ancora chiaro se verrà rielaborata e sottoposta a una revisione completa.

L'articolo Bitchat: anche una guerra nucleare non potrà fermare il messenger di Jack Dorsey che funziona via Bluetooth proviene da il blog della sicurezza informatica.

We’re probably all familiar with adding wood dust, hemp and carbon fibers to PLA filament, but there are so many other fillers one could add. During the completely unrelated recent heatwave in Germany, [Stefan] from CNCKitchen decided to give a new type of biodegradable filler type a shot by scooping some freshly dried cow patties off the very picturesque grazing fields near his place. In the resulting video a number of questions are answered about this ‘PooLA’ that nobody was asking, such as whether it makes for a good filler, and whether it smells bad while printing.

Perhaps unsurprisingly to those who have spent any amount of time around large herbivores like cows, cow dung doesn’t smell bad since it’s mostly composed of the grass fibers that are left over after the cow’s multiple stomachs and repeated chewing have done their thing. As [Stefan] and his colleagues thus found out was that printing with PooLA smells like printing with grass.

As for the practical benefits of PooLA, it adds a nice coloring, but like other ‘reinforced’ PLA filaments seems to trade flexibility for stiffness, so that at ratios of cow dung powder between 5 to 20% added to the PLA powder the test parts would break faster. Creating the filament was also a bit of a chore, for reasons that [Stefan] still has to figure out.

That said, aside from the technically unneeded bacterial corpses and other detritus in cow patties, using grass fibers in FDM filament isn’t a crazy idea, and might fit right in there with other fibers.

youtube.com/embed/GmUPN2Nww6Q?…

hackaday.com/2025/07/14/introd…

There was a time when all the cool kids had a 45 RPM record player. [RF Burns] picked up a 1950s-era player from RCA. However, it needed a lot of work. The good news? We get to see the teardown and the result in a two-part video series, which you can see below. If you are looking for the schematic, you’ll have to wait for the second video.

These were made to be cheap, so there were many parts that needed replacement or, at least TLC. The automation of the record changer was all done with an eccentric wheel, which is satisfyingly low-tech. We were surprised that it still seemed to work after everything was cleaned up.

Inside were two active tubes and a rectifier tube to amplify the signal from the needle. A coat of paint made it look great, and a polarized power cord made it safer.

There was also an unamplified version of the player you can see at the end of the second video. All the same things except for the tube amplifier, of course.

If you are too young to have fond memories of 45s, here’s a primer on how records work. The record player we really want is mobile.

youtube.com/embed/dKFLEtAHhk4?…

youtube.com/embed/PORBDf1STtQ?…

hackaday.com/2025/07/14/record…

If you are looking for the perfect instrument to start a biological horror show in our age of AI, you have come to the right place. Researchers at Johns Hopkins University have successfully used AI-guided robotics to perform surgical procedures. So maybe a bit less dystopian, but the possibilities are endless.

Pig parts are used as surrogate human gallbladders to demonstrate cholecystectomies. The skilled surgeon is replaced with a Da Vinci research kit, similarly used in human controlled surgeries.

Researchers used an architecture that uses live imaging and human corrections to input into a high-level language model, which feeds into the controlling low-level model. While there is the option to intervene with human input, the model is trained to and has demonstrated the ability to self-correct. This appears to work fairly well with nothing but minor errors, as shown in an age-restricted YouTube video. (NOTE: SURGICAL IMAGERY WATCH AT YOUR OWN RISK)

It’s noted that the robot performed slower than a traditional surgeon, trading time for precision. As always, when talking about anything medical, it’s not likely we will be seeing it on our own gallbladders anytime soon, but maybe within the next decade. If you want to read more on the specific advancements, check out the paper here.

Medical hacking isn’t always the most appealing for anyone with a weak stomach. For those of us with iron guts make sure to check out this precision tendon tester!

hackaday.com/2025/07/14/do-you…

A man named [Jim Valvano] once said “There are 86,400 seconds in a day. It’s up to you to decide what to do with them.” — while we couldn’t tell you who [Jim Valvano] was without a google search*, his math checks out. The quote was sufficiently inspirational to inspire [danjovic] to create a clock count those seconds precisely.

It’s a simple project, both conceptually and electrically. All it does is keep time and count the seconds in the day– a button press switches between counting down, counting up, and HH:MM:SS. In every mode, though, the number displayed will change at one Hertz, which we appreciate as being in the spirit of the challenge. There are only four components: an Arduino Nano, a DS3231 RTC module, a SSD1306 128×64 OLED module, and a momentary pushbutton. At the moment it appears this project is only on breadboard, which is a shame– we think it deserves to have a fancy enclosure and pride of place on the wall. Wouldn’t you be more productive if you could watch those 86,400 seconds ticking away in real time? We think it would be motivating.

Perhaps it will motivate you to create something for our One Hertz Challenge. Plenty of seconds to go until the deadline on August 19th, after all. If you’d rather while away the time reading, you can check out some of [danjovic]’s other projects, like this Cistertian-inspired clock, or this equally-inscruitable timekeeper that uses binary-coded octal.

*Following a google search, he was an American college basketball coach in the mid-20th century.

hackaday.com/2025/07/14/2025-o…

There’s something ominous about robots taking over jobs that humans are suited to do. Maybe you don’t want a job turning a wrench or pushing a broom, but someone does. But then there are the jobs no one wants to do or physically can’t do. Robots fighting fires, disarming bombs, or cleaning up nuclear reactors is something most people will support. But can you climb through a water pipe from the inside? No? There are robots that are available from several commercial companies and others from university researchers from multiple continents.

If you think about it, it makes sense. For years, companies that deal with pipes would shoot large slugs, or “pigs”, through the pipeline to scrape them clean. Eventually, they festooned some pigs with sensors, and thus was born the smart pig. But now that it is possible to make tiny robots, why not send them inside the pipe to inspect and repair?

Why?

It makes sense that anything you can do from inside the pipe is probably going to be cheaper than digging up buried pipe and either repairing or replacing it. For example, 4 cm robots from the University of Sheffield can inspect pipes from inside, cooperate in swarms, and locate leaks that would be nearly impossible to find conventionally.

In fact, robots inside pipes aren’t a totally new idea. But in the past, the pipes had to be very large to fit the robot. This newer class of pipe inspecting and repairing robots can fit inside smaller pipes like you might find in a city’s water supply. For example, the Easy-Sight X5 (see the video below) fits in a 100 mm pipe, and it is big when compared to some of the newer competitors.

youtube.com/embed/2-V6veJiqdI?…

Not Just Inspection

The Carnegie Mellon robot is modular, so it can handle different kinds of jobs. A mobility module has two-inch wheels and can haul up to sixty pounds of payload. One of those payloads is an applicator for a special resin that can repair leaks.

The resin starts out with the consistency of soft-serve ice cream but quickly hardens as it shoots out of a spinning nozzle that creates a spring-like inner coating spiraling around the inside of the pipe.

The robot’s no speed demon. It can inspect about nine miles of pipe in eight hours. However, when repairing, the same time period is sufficient to fix 1.8 miles of pipe. Even big names like GE are working on similar technology that will spray epoxy to form a new pipe inside an old pipe.

youtube.com/embed/_Um9bD3VLLM?…

DIY

Could you do this yourself? There’s no reason you couldn’t make an inspection robot. [Stargate Systems] did using a Raspberry Pi Zero, and you can check it out in the video below. Repair might be a bit more complex, but might be workable with a little ingenuity.

youtube.com/embed/adGp3PADKsk?…

Dirty Jobs

Even if you and your submarine were shrunk down, you probably don’t want this job. There are probably dozens of jobs you can’t or don’t want to do. Will you build a robot to do it? Let us know in the comments or — better — built it and leave us a tip.

We wonder why these robots don’t look more like snakes.

hackaday.com/2025/07/14/robots…