Добавил большой пул реквест в софт аскаера по берачейну

Очень долго не мог победить мультихоп мультиколл в Кодиак свапе, но уже из принципа ради спорта и культуры добил вопрос) это стоило мне не менее 4 дней изучения документации юнисвап, исходников сайта кодиак и ответа их апи, общения с gpt-preview и познания самострадания.

Теперь модуль корректно свапает все что есть на кодиаке, добавляет ликвидность в их пулы, а так же заливает эту ликву на бгт стейшн.

кто покупал софт - рекомендую глянуть, пока темка не убита, можно серьезно подфармить бгт.

Разбор на практике как использовать Permit2 в Universal Router от Uniswap

https://hackernoon.com/python-how-to-use-permit2-with-the-uniswap-universal-router

Permit2 — это усовершенный смарт-контракт для управления разрешениями на передачу токенов ERC-20, разработанный командой Uniswap. Он расширяет функциональность стандарта EIP-2612 (известного как ERC-20 Permit), предоставляя более гибкие и эффективные способы контроля над разрешениями на использование ваших токенов.

Основные особенности Permit2:

- Единое разрешение для нескольких токенов: Позволяет пользователям давать разрешения на использование сразу нескольких токенов через одну транзакцию, сокращая необходимость в множественных подписаниях.

- Установка лимитов и сроков действия: Пользователи могут устанавливать максимальное количество токенов, доступных для использования, и определять период, в течение которого разрешение действительно.

- Повышенная эффективность и экономия газа: За счет сокращения количества необходимых транзакций снижаются затраты на газ, делая взаимодействие с блокчейном более экономичным.

- Улучшенная безопасность: Предоставляет более точный контроль над тем, кто и как может использовать ваши токены, снижая риски несанкционированного доступа.

Как стать аудитором смарт-контрактов: советы для начинающих

Всем привет! После AMA у How to Code (а как?) несколько человек писали мне в личку с вопросами про аудит смарт-контрактов.

Решил написать небольшой пост о том, с чего бы я начал, если бы был на вашем месте:

1. Основы Solidity
Чтобы стать аудитором, нужно знать основы Solidity. Учить Solidity как первый язык программирования - это немного странно, поэтому важно сначала освоить базовый cинтаксис любого другого полноценного язык программирования, чтобы понимать основные концепции программирования, а затем переходить к Solidity.

2. JavaScript/TypeScript и Python
Желательно иметь хотя бы базовые знания в JavaScript/TypeScript или Python, а лучше освоить базовые библиотеки для работы с EVM блокчейнами (viem, ethers - для js/ts, web3 - для python). Почему это важно? Например, для написания тестов в Hardhat вам понадобится знание JavaScript или TypeScript. В Foundry можно писать тесты только на Solidity, но для полного понимания процесса аудита желательно иметь опыт с другими языками. Хорошему аудитору (и разработчику) также нужно уметь работать с Hardhat/Foundry, так как такие требования могут предъявляться работодателем.

Тем, кто работал с Web3 в Python, будет несложно переключиться на JS/TS.

3. Порядок обучения
Далее встает вопрос: как учиться и что учить? Я разделю обучение на платное и бесплатное, на английском и русском языках. Главное - соблюдать порядок, чтобы быстрее освоить эту тему. Если не умеете обращаться к блокчейну извне, не стоит лезть туда, чтобы работать внутри. Если не умеете работать внутри, то каким аудитором вы хотите быть? Тут есть логическая цепочка. Я не настаиваю на ее соблюдении, каждый человек индивидуален. Но эта цепочка помогла мне, а значит, поможет и вам.

4. Английский язык
Если вы хотите получать качественное обучение, нужно учить английский. Если вы хотите устроиться в компанию с нормальной зарплатой ($50,000 до $80,000 в год получает младший аудитор смарт-контрактов), нужно учить английский и искать вакансии в зарубежных компаниях. Качественного материала на русском языке очень мало. Не ищите отговорок и не оправдывайте себя. Если я смог прокачать английский с нуля, чтобы разговаривать, понимать материал и проходить собеседования - сможете и вы.

Перейдем к тому материалов:

Английский язык
Бесплатные ресурсы
1. Cyfrin
- На их платформе можно бесплатно пройти обучение от новичка до продвинутого уровня. Тут все что нужно вам чтобы начать свой путь аудитора!
- У их создателя Patrick'a Collins'a на YouTube есть видео по основам Solidity, аудиту смарт-контрактов и многое другое что необходимо знать!
2. YouTube канал 0xOwenThurm
3. YouTube канал JohnnyTime

Платные курсы
1. Курсы JohnnyTime по аудиту Solidity/Viper и Cairo Starknet

Русский язык
Бесплатные ресурсы
- YouTube канал Ильи Круковского (плейлист)

Платные курсы
- GuideDAO - тут вы покупаете не обучение, а одно из лучших комьюнити где просто огромное кол-во материалов по EVM, его работе, по работе различных протоколов и прочего. Тут есть все что нужно для того чтобы стать полноценным Solidity разработчиком и получить первый оффер. Если надумаете тут покупать обучение, напишите мне я спрошу может сделают какую-то скидку вам.
- OTUS - выбрал этот курс из-за программы, хорошая структура. Обучение идет примерно 6 месяцев. Из минусов что придется все искать самому, многое что учить самому, тут вас просто направят куда смотреть.

По поводу того какой путь выбрать и что учить, решайте сами, я вам скинул то что прошел и хочу пройти сам не зависимо от того что я уже умею! Не стоит недооценивать силу платных курсов, потому что там вы приобретаете единомышленников с которыми можете потом сделать что-то совместное.

После того как вы все пройдете (или хотя-бы что), приглашаю вас на платформы для публичных аудитов смарт контрактов:
1) https://codehawks.cyfrin.io/contests
2) https://code4rena.com/

Тут вы сможете применить знания на практике, набить руку, портфолио, почувствовать себя аудитором и заработать первые деньги!
Набили руку? Идите на собесы!

Как запихнуть несколько транзакций в один блок?

Появилась у меня надобность в игре https://bartio.yeetit.xyz записывать несколько транзакций в один блок

Быстрое решение, которое сразу пришло в голову задачу в целом выполняет:

send_tasks = []
for i in range(times_to_yeet_in_a_row):
    tx_params = (await self.prepare_transaction()) | {
            'value': int(current_minimum_yeet_point*yeet_multiplier),
            'nonce': start_nonce + i,
        }
    transaction = await contract.functions.yeet().build_transaction(tx_params)
    current_minimum_yeet_point = int(current_minimum_yeet_point * yeet_multiplier)
    send_tasks.append(self.send_transaction(transaction))

results = await asyncio.gather(*send_tasks)
return results

±10 транзакций в один блок таким способом пролазит, но RPC это не одобряет и после нескольких итераций начинаются проблемы.

Далее товарищ подсказал, что можно написать свой multicall контракт, задеплоить его, и уже его вызывать. Я попросил gpt o1-preiview написать код. Задеплоил его в сеть Bartio. И это сработало.

// SPDX-License-Identifier: MIT
pragma solidity ^0.8.0;

interface IYeetContract {
    function yeet() external payable;
}

contract MulticallYeet {
    IYeetContract public yeetContract;

    constructor(address _yeetContractAddress) {
        yeetContract = IYeetContract(_yeetContractAddress);
    }

    function multicallYeet(uint256 times, uint256[] memory values) external payable {
        require(times == values.length, "Times and values length mismatch");
        for (uint256 i = 0; i < times; i++) {
            yeetContract.yeet{value: values[i]}();
        }
    }

    // Function to receive Ether
    receive() external payable {}
}

      # Calculate the Ether values for each yeet call
        values = []
        current_value = minimum_yeet_point
        for _ in range(times_to_yeet):
            current_value = int(current_value * yeet_multiplier)
            values.append(current_value)

        total_value = sum(values)
        
        tx_params = (await self.prepare_transaction()) | {
            'value': total_value,
        }
        
        transaction = await my_multicall_contract.functions.multicallYeet(
            times_to_yeet,
            values
        ).build_transaction(tx_params)

Теперь в один блок можно запихивать сколько угодно транзакций (главное чтобы вместимости блока хватило), но к сожалению msg.sender-ом в этом случае выступает смартконтракт. И его нельзя подключить к сайту и совершать иные действия, или для этих действий нужно писать отдельную логику, а там уже нужно быть phd)))

В итоге изысканий добрался до Safe global account abstraction. Они развернули в Bartio свой тестовый контракт https://safe.berachain.com/, который позволяет сделать так называемый кошелек-смартконтракт.

Он бладает функцией multisend, где позволяет за один вызов завернуть множество транзакций.

Я из ui построил транзакции и у меня получилось достичь успеха

Но все равно msg.sender - это адрес смартконтракта-кошелька safe global, но я его уже через валлет коннект могу подключать к сервисам и пользоваться как обычным кошельком, где подписантом будет выступать мой основной кошелек (или несколько — мультисиг).

Так же у этого смартконртакта есть abi, с помощью которого, можно добавлять вызовы в multisend, и добиться того же, что и самописным multicall:

```python

execution_tx = safe_contract.functions.execTransaction(
safe_tx['to'],
safe_tx['value'],
safe_tx['data'],
safe_tx['operation'],
safe_tx['safeTxGas'],
safe_tx['baseGas'],
safe_tx['gasPrice'],
safe_tx['gasToken'],
safe_tx['refundReceiver'],
bytes.fromhex(safe_tx['signatures'][2:])
).buildTransaction({
'from': OWNER_ADDRESS

```

Ну и, конечно, стоит добавить, что абстракция акаунта от safe global проверена на уязвимости, обладает проверками подписей и управлением газом и кучей другого функционала.

Как мы въебали 100k+$ из за 8 евро и своей тупости

всем привет, сейчас расскажу как мы с напарником уничтожили приватники от 100 елигбл акков старкнета

хронология событий:

- в сентябре начинаем делать 100 акков, делаем их софтом лео ровно 3 месяца и забиваем хуй
- затраты на акк выходят копеечные (в районе 7-10$)
- на балансах при этом оставляем по 40-50$ в ETH

- в ноябре напарник пытается зайти на дедик где крутился софт - у него не получается, просит меня посмотреть в чем дело
- я тоже пытаюсь зайти - сервер мертв, иду на контабо проверить в чем дело - вижу что сервака нету, его просто удалили

- проверяю почту - вижу вчерашнее письмо "у нас не получается списать 8 евро с вашей карты, пополните счет или мы отключим сервак"
- проверяю виртуалку, с которой оплачивал сервак на протяжение 2 последних лет - на ней баланс 100+ евро, но оплата по какой то причине не прошла

- виртуалка была от Bitfree, оказывается у них периодически умирают карты (надо через саппорт просить замену), это и сыграло с нами злую шутку
- карта умерла за пару дней до того как пришло время платить за сервер

"похуй на сервер, умер и умер - у нас же бекапы есть" - думаю я, и иду проверять табличку с приватниками от нашей ретро фермы

и к великому сожалению обнаруживаю что мы бэкапнули ВСЁ кроме старкнета (ход гения)

пишу в саппорт контабо, прошу снепшоты сервера, предлагаю им *к$ - говорят "сори, ты не заплатил нам 8 евро, бэкапов у нас нет" (справедливо)

пишу кодерам лео в надежде что они юзали псевдо-рандом для генерации кошельков в софте (например по таймстампу, тогда был бы шанс сбрутить свои же кошельки, опираясь на время когда мы их создавали) - увы, нет

через пару недель выходит анонс о снепшоте, затем и сам дроп, всех бреет - а у нас 100 элигблов которые прошли прям на грани

50к STRK оказались погребены под руинами нашего долбоебизма

потенциальные 100-150к$ сожжены в печи.
а еще на кошелях эфира было на 5-6к$.

напарник повесился, а я уложил мотор в тойоте и щас буду ставить новый. всем спасибо за прочтение.

Отличная статья про логику отслеживания транзакций в Monero (XMR)

В статье подробно рассказывается о том, что несмотря на высокий уровень защитных механизмов у Monero, присутствуют проблемы в эффективности кольцевых подписей при определенной беспечности юзера.

https://telegra.ph/Pro-Monero-XMR-TXO-i-treking-11-06

Кстати автор @TorZireael1 очень хорошо пишет на тему безопасности. Давно на него подписан, не реклама.

Задонатил 50к $BERA на ивент pfp Bullas.

Пообщался с админом Bullas, оказалось, что это пет проект разрабов из oBERO.

По фронтенду этого не скажешь, но если присмотреться как написаны контракты для этой игры, то вопросы снимаются)