HabrApr 26

Охота на CVE в Cursor IDE: полный технический разбор безопасности AI-редактора

Cursor — AI-powered IDE на базе VS Code, которая обрабатывает миллионы строк кода разработчиков через свои серверы. Когда я задумался о безопасности этого продукта, возник вопрос: насколько надёжна серверная модель авторизации, которая стоит между бесплатным пользователем и Claude 4 Opus?

https://habr.com/ru/articles/1028196/

#cursor_ide #security_research #prototype_pollution #protobuf #grpc #connectrpc #cve #reverse_engineering #ai_security #bug_bounty

Охота на CVE в Cursor IDE: полный технический разбор безопасности AI-редактора

Disclaimer : исследование проводилось исключительно в образовательных целях. Все найденные уязвимости были задокументированы. Никакие данные третьих лиц не были скомпрометированы. Автор не несёт...

Хабр
HabrApr 1

Как минимальная потеря при округлении стоила Balancer более $128 млн

В начале ноября 2025 года децентрализованный протокол Balancer V2 (composable stable pools) подвергся атаке, суммарные потери по разным сетям превысили 128 млн долларов. Причиной стала не ошибка доступа, не реентерабельность и не баг в проверках прав, а потеря точности при расчете инварианта из-за округления. Формально проблема сводилась к округлению при масштабировании значений и выглядела как допустимый технический компромисс. Экономический эффект, однако, оказался значительным. Взлом Balancer, как и многие другие инциденты, уже подробно разобран в формате post-mortem — с реконструкцией того, как именно была проведена атака. В этой статье подход другой: мы посмотрим на тот же код глазами аудитора, который задается вопросом «что здесь может пойти не так?».

https://habr.com/ru/companies/pt/articles/1014954/

#blockchain #smartcontract #audit #security_research #balancer #scaling_factor #bpt

Как минимальная потеря при округлении стоила Balancer более $128 млн

В начале ноября 2025 года децентрализованный протокол Balancer V2 (composable stable pools) подвергся атаке , суммарные потери по разным сетям превысили 128 млн долларов. Причиной стала не ошибка...

Хабр
 Hacker NewsJan 29
Break Me If You Can: Exploiting PKO and Relay Attacks in 3DES/AES NFC
https://www.breakmeifyoucan.com/
#ycombinator #NFC #contactless #MIFARE #3DES #AES #relay_attack #partial_key_overwrite #PKO #keyspace_reduction #Ultralight #NTAG #security_research
BREAKMEIFYOUCAN! - Exploiting Keyspace Reduction and Relay Attacks in 3DES and AES-protected NFC Technologies

Exploiting Keyspace Reduction and Relay Attacks in 3DES and AES-protected NFC Technologies. Reducing 2TDEA keyspace from 2¹¹² to 2²⁸ through partial key overwrites and relay attacks.

BREAKMEIFYOUCAN!
 Hacker NewsJan 19
The Microstructure of Wealth Transfer in Prediction Markets
https://www.jbecker.dev/research/prediction-market-microstructure
#ycombinator #Jonathan_Becker #Software_Engineer #Blockchain #Ethereum #Smart_Contracts #Decompilation #Open_Source #Cryptography #Low_Level_Programming #Compilers #Security_Research
The Microstructure of Wealth Transfer in Prediction Markets

Slot machines on the Las Vegas Strip return about 93 cents on the dollar. This is widely considered some of the worst odds in gambling. Yet on Kalshi, a CFTC-regulated prediction market, traders have wagered vast sums on longshot contracts with historical returns as low as 43 cents on the dollar. Thousands of participants are voluntarily accepting expected values far lower than a casino slot machine to bet on their convictions.

 Hacker NewsSep 6, 2025
We Hacked Burger King: How Auth Bypass Led to Drive-Thru Audio Surveillance
https://bobdahacker.com/blog/rbi-hacked-drive-thrus/
#ycombinator #security_research #authentication_bypass #burger_king #tim_hortons #popeyes #restaurant_brands_international #rbi #graphql_vulnerabilities #aws_cognito #drive_thru_security #privacy_breach #voice_recordings #responsible_disclosure #api_security #privilege_escalation #retail_security #fast_food_tech
We Hacked Burger King: How Authentication Bypass Led to Drive-Thru Audio Surveillance

Critical authentication bypass vulnerabilities in Restaurant Brands International's assistant platform allowed complete control over 30,000+ Burger King, Tim Hortons, and Popeyes locations worldwide - including access to customer drive-thru audio recordings.

 Hacker NewsAug 23, 2025
I hacked Monster Energy
https://bobdahacker.com/blog/monster-energy
#ycombinator #security #monster_energy #data_breach #vulnerability #corporate_secrets #api_security #clickup #employee_data #security_research #responsible_disclosure #corporate_negligence #energy_drinks
I Hacked Monster Energy and You Won't Believe What They Think You Look Like

Monster Energy's corporate infrastructure exposed: employee training, customer stereotypes, Beast Bux rewards, and a file system API that's STILL wide open.

 Hacker NewsAug 23, 2025
I Hacked Monster Energy and You Won't Believe What They Think You Look Like
https://bobdahacker.com/blog/monster-energy
#ycombinator #security #monster_energy #data_breach #vulnerability #corporate_secrets #api_security #clickup #employee_data #security_research #responsible_disclosure #corporate_negligence #energy_drinks
I Hacked Monster Energy and You Won't Believe What They Think You Look Like

Monster Energy's corporate infrastructure exposed: employee training, customer stereotypes, Beast Bux rewards, and a file system API that's STILL wide open.

Dancho DanchevMay 17, 2025

It's one of those rare moments in time when exposing the Yekaterinburg's based Plastika Recording Studio which is the primary advertising and marketing creative supplier for the Conti #Ransomware Gang is the right thing to do. Is it Никита Жаринов, Евгений Самсонов, Ice Costa or W8D8digital? We have it all named researched and properly sorted out.

So here it goes. This is my EXIF and attribution reproduction analysis based on their originally leaked and publicly accessible internal communication - https://archive.org/download/rewards-for-justice-01/Dancho%20Danchev%20Conti%20Ransomware%20Gang%20Attribution%20Reproduction%20Analysis.pdf [PDF] here's more - https://dn721806.ca.archive.org/0/items/rewards-for-justice-01/Dancho_Danchev_Conti_Ransomware_Gang_Analysis_2024_01.pdf [PDF] here's more - here's more - https://dn721806.ca.archive.org/0/items/rewards-for-justice-01/Dancho_Danchev_Conti_Ransomware_Gang_Analysis_2024_02.pdf [PDF] here's more - https://dn721806.ca.archive.org/0/items/rewards-for-justice-01/Dancho_Danchev_Conti_Ransomware_Gang_Analysis_2024_03.pdf [PDF] here's most - https://dn721806.ca.archive.org/0/items/rewards-for-justice-01/Dancho_Danchev_Conti_Ransomware_Gang_Analysis_2024_04.pdf [PDF] here's more - https://dn721806.ca.archive.org/0/items/rewards-for-justice-01/Rewards_For_Justice_Dancho_Danchev_Conti_Ransomware_Gang_In_Depth_OSINT_Analysis.pdf [PDF] and here's even more - https://dn721806.ca.archive.org/0/items/rewards-for-justice-01/Who%27s%20Behind%20the%20Conti%20Ransomware%20Gang%20-%20Part%20Two.pdf [PDF].

Here's the actual connection.

Conti -> Plastika -> +7 (992) 004-54-45 -> Yekaterinburg, Kirova Street, 9 -> https://yandex.eu/maps/org/plastika/224842683989/?ll=60.566922%2C56.839297&z=17 -> https://vk.com/plastika.space -> http://plastika.space/ -> W8D8digital -> https://vk.com/id452512822 -> [email protected] -> t.me/icecostabeats -> https://www.instagram.com/icecosta/ -> https://vk.com/kidsocial -> https://vk.com/eugene_creative_power -> https://vk.com/icecosta -> https://vk.com/lungo999 -> https://vk.com/icecostabeats

and here's my YouTube video reproduction analysis - https://www.youtube.com/watch?v=ILgaZfcRww4 and here's the full research - https://archive.org/details/rewards-for-justice-01

#security #cybercrime #malware #CyberSecurity #cybersécurité #DataProtection #SecurityOperations #securitySystems #security_compliance #security_research #securitynews #securitybreach #cyberattack #CyberFraud #threatintel #threatintelligence #threathunting

 Hacker NewsMay 13, 2025
ETH Zurich researchers discover new security vulnerability in Intel processors
https://ethz.ch/en/news-and-events/eth-news/news/2025/05/eth-zurich-researchers-discover-new-security-vulnerability-in-intel-processors.html
#ycombinator #D_INFK #News #Security_research #International #Data_science #Microtechnology
ETH Zurich researchers discover new security vulnerability in Intel processors

Computer scientists at ETH Zurich discover new class of vulnerabilities in Intel processors, allowing them to break down barriers between different users of a processor using carefully crafted instruction sequences. Entire processor memory can be read by employing quick, repeated attacks.

ETH Zurich
HabrMar 30, 2025

Как я нашел уязвимость в онлайн казино и получил $20 000 в качестве награды

Сегодня расскажу про то, как мне удалось предотвратить возможную атаку на одно Австралийское онлайн казино, которое потенциально могло бы потерять $2.5 млн за ночь.

https://habr.com/ru/articles/895806/

#bug_bounty #security_research

Как я нашел уязвимость в онлайн казино и получил $20 000 в качестве награды

Всем привет! Сегодня расскажу про то, как мне удалось предотвратить возможную атаку на одно Австралийское онлайн казино, которое потенциально могло бы потерять $2.5 млн за ночь. Немного теории Все...

Хабр