💫 Аудит Контрактов | Старт

Аудит - проверка, анализ и тестирования кода смарт-контракта для выявления ошибок, уязвимостей и недостатков в его функциональности, логике и безопасности.

Цель - смарт-контракт выполняет свои задачи корректно и безопасно, защищая средства и данные пользователей.

Виды Аудита 🔽

Предварительный (Pre-Deployment Audit) - перед развертыванием смарт-контракта в основной сети.

Консультационный (Consultative Audit) - на этапах проектирования и разработки, для избежания типичных ошибок и уязвимостей например анализ архитектуры и проектной документации

Постразвертывательный (Post-Deployment Audit) - после развертывания контракта в основной сети чтобы убедиться что контракт работает корректно и безопасно в реальной сети.

Непрерывный (Continuous Audit) - на протяжении всего жизненного цикла проекта для проверки безопасности и аномальной активности

Аудит обновлений (Upgrade Audit) - перед или после обновления смарт-контракта (обновления безопасны и не нарушают работу контракта)

Аудит для сертификации (Compliance Audit) - когда проект должен соответствовать стандартам или регулятивным требованиям 🔽

(проверка соответствия стандартам ERC-20, ERC-721, ERC-1155, подготовка отчета для публикации (для инвесторов, пользователей), предоставление гарантий безопасности третьим сторонам)

Экстренный аудит (Emergency Audit) после обнаружения уязвимости или инцидента для быстрого устранения угроз

В нашем случае - делаем следующее

Консультационый аудит - изучаем архитектуру и логики контракта.

Аналитический аудит - выявить проблемы безопасности, функциональности и оптимизации.

Технический анализ экосистемы - взаимодействие токена с другими контрактами (например, стейкинг или пулы ликвидности)

💰 пока мы работаем с Python план следующий

- Анализ Байткода через Ethescan API

- Тестирование через web3py & brownie

- Интеграция с HardHat & Truffle

🔥 ❤️ 💫 отличный старт, продолжаем публикации по аудиту, далее затронем и JS/TS

Пишем безопасный софт | Python & JavaScript

1. Приватные Ключи

Среди всех вариантов лучшим будет хранение в Doppler

2. Проверка стороннего кода

Snyk & Trivy - сканеры безопасности для проверки кода в завимостях

3. Защита API

OAth 2.0 & JWT для контроля доступа к API

Тулзы

Cloudflare - защита от ddos для API

AWS WAF - управление трафиком и защита API на AWS

Traefic - прокси сервер с поддержкой лимитов запросов

Далее разбираем тестирование, управление и логироуание 🔫

🐙 СОФТ БЕЗОПАСНОСТЬ

Изоляция

Благодаря Docker создаем контейнер для модуля, отвечающего за подписания транзакций, и он будет изолирован от других частей приложения.

(в docker приложение работает изолированно, ограничивая влияние уязвимостей на другие части системы.)

Асинхронность 🔽

выполняют задачи, не блокируя выполнение других процессов

важно при работе с внешними API, которые могут отвечать медленно из-за задержек сети или нагрузки на сервер.

Для Node.js асинхронность реализуется через “Promise” (возвращает результат (или ошибку) в будущем)

+ async/await синтаксис для работы с Promise делает код более читаемым.

Библиотека asyncio в Python предоставляет async/await функции также для работы с асинхронностью

Такие функции позволяют продолжать выполнение других задач, пока приложение ожидает ответа от API.

Логирование

запись важной информации о работе приложения (действия пользователя, состояние системы и ошибки)

Winston (Node.js) поддеритвает различные уровни логов (info, error, debug и т.д.).

npm install winston

Logging (Python) - поддерживает уровни логирования (DEBUG, INFO, WARNING, ERROR, CRITICAL).

Стандартная библиотека Python

Для более красивого вывода логов в консоль -> Loguru библиотека

pip install loguru

Набираем активность - я выпускаю подробный материал на эту тему 😎

🖥 Мониторинг Транзакций | Python

WebSocket - Протокол связи, обеспечивающий постоянное двусторонней соединение

например между клиентом и сервером

главная фишка обмен данными в реальном времени без необходимости повторных запросов

Обработка Транзакций

-> Получаем данные транзакций с RPC блокчейна

-> Отправляем в Telegram по Api

Инструменты

Блокчейн - Python + Web3py

Взаимодействие с Telegram - Telegram Bot Api

Получаем автоматизацию отслеживания транзакций, далее можно это расширять до NFT транзакций, отслеживания Defi процессов и т.д

😠 хочу написать такой софт, набираем максимум активности -> дропаю быстрее

☕️ Telegram Checker | Python

настройка проекта

1. Зависимости

Библиотеки web3 & pytelegrambotapi

WebSocket провадер для получения событий Alchemy / Infura.

Создаем Telegram бот и получаем его API токен - BotFather

2. Процесс работы софта

- Подключение к блокчейну через WebSocket

- Фильтр событий, связанных с нужным адресом

- Настройка отправки сообщений через API Telegram + встраивание уведомлений в обработку событий

- Деплой бота через DigitalOcean или AWS

При добавлении поддержки других блокчейнов, используем сооответвующие настройки WebSocket

3. Настройка Docker (что это)

деплоить будем через него, так единый docker образ проекта

- Создаем DockerFile - базовый образ с зависимостями

- Создать .dockerignore - Исключаем из сборки ненужные файлы

- Сетевые настройки - порты для доступа к WebSoket открыты и доступны

- Управление секретами - писал тут

- Собираем Образ через Docker build и запускаем через docker run

+ Настроить автоматический перезапуск контейнера в случае падения бота

Вот такой план, далее пошагово будем тут реализовывать 💫 ❤️ 🔥

🖥 Telegram Checker Release

Функционал

> Подключаемся к Ethereum через WebSocket Infura.

> Мониторим новые блоки и фильтрует транзакции по заданному адресу.

> Обрабатываем события, отправляя уведомления при обнаружении транзакций.

> Добавлена задержка между проверками для предотвращения превышения лимитов API.

> Настроен Telegram-бот для отправки уведомлений.

> Логируем успешные и ошибочные попытки отправки сообщений.

активничаем и дропаю быстрее

👮‍♂️ Проект упакован в Docker + на днях выложу на GitHub с полной инструцией

web3.js конец?? 😮

активная поддержка библиотеки будет прекращена 4 марта 2025 года

библиотека web3.js уходит по ряду причин

> Отсутствие активной разработки - основные разработчики перестали активно обновлять библиотеку.

Библиотека не обновлялась с марта 2022 сделав минимальный апдейт лишь в декабре 2024 добавив обновления зависимостей и исправления ошибок

> Архитектура не соответствует современным требованиям к разработке в Web3.

С 2015 года библиотека активно помогала во взаимодействии с Ethereum, но к данному времени такое качество кода устарело

> Переход коммьюнити на ethers.js благодаря

- простоте работы с API
- лучшему управлению газом
- совместимости с TypeScript
- быстрой поддержке новых функций Ethereum

Команда web3.js - ChainSafe теперь центрирует свои усилия на Lodestar и другие разработки в экосистеме Ethereum

Результат

Разработчикам рекомендуется перейти другие библиотеки для взаимодействия с Ethereum.

+ Если вы используете web3.js в своих проектах, лучше начать миграцию, т.к библиотека может стать уязвимой для новых проблем безопасности или несовместимой с будущими версиями Ethereum.

Для такой миграции команда ChainSafe предоставила пошаговую инструкцию

web3.js -> ethers.js
web3.js -> viem

Скоро возвращаемся к JS и снова пишем Visual-Soft 💫

⚔️ Telegram Checker Update

Добавлен следующий функционал

> Отслеживание входящих и исходящих транзакций

Сканируем события Transfer в блокчейне (используем topics для определения отправителя и получателя).

> Мониторинг ERC-20 токенов

Используем сигнатуру события Transfer(address,address,uint256) для фильтрации ERC-20 переводов.

> Проверка баланса

Используем get_balance() для получения баланса в ETH.

> Интеграция с API цен

Подключаем API CoinGecko / CoinMarketCap для получения текущей цены токена

> Поддержка нескольких адресов

Храним список адресов в .env (разделяем запятой).

> Поддержка нескольких сетей

Считываем RPC URL для разных сетей из .env (например, Ethereum Mainnet, Polygon, BSC).

> Логгирование в облако

Используем API Firebase, AWS, или Google Sheets для записи данных о транзакциях.

Пока так, осталось все упаковать и git push :))

что ещё добавлять?? 💫💫

❌ NoCode в Блокчейн-Разработке

разбираем инструменты и применения

1⃣ Создание смарт-контрактов и токенов

Thirdweb - настройка смарт-контрактов (NFT, токены, DAO) через визуальный интерфейс.

(Поддержка Ethereum, Base, Polygon etc)

Mintable - создания и деплой NFT-смарт-контрактов.

Manifold - создание NFT поддержка как ERC-721 так и ERC-1155

2⃣ Интеграция и автоматизация

Zapier / Make - соединить блокчейн с более чем 2000 приложениями (например отправка уведомлений в Telegram, если в сети прошла транзакция)

+ Make поддерживает API блокчейнов

Moralis - backend-платформа для блокчейн-приложений, настройка Web3 API, интеграция с MetaMask и управление пользователями.

3⃣ Создание DApps

DappStarter - генерация dApps на основе шаблонов + поддержка ethereum, polygon, avalanche & vulcano

Retool - cоздание пользовательских интерфейсов для работы с данными блокчейна

Bubble - конструктор для веб-приложений, поддерживает блокчейн-интеграцию через плагины

4⃣ Управление

Graph Protocol - Создание запросов к блокчейну через упрощенный интерфейс (например для доступа к децентрализованным данным)

набираем активности и разбираем плюсы и минусы nocode ☕️

😱 NoCode Плюсы & Минусы Blockchain

Плюсы:

1⃣ Доступность

Bubble позволяет интегрировать блокчейн через API и создавать децентрализованные приложения (dApps).

2⃣ Экономия Времени

Moralis - готовые инструменты для создания dApps + аутентификацию через криптокошельки и работу с смарт-контрактами.

3⃣ Снижение затрат на разработку

Webflow (с интеграцией блокчейн-API) позволяет создавать сайты и приложения с минимальными вложениями

4⃣ Интеграция с существующими блокчейнами

Tatum предоставляет API для работы с различными блокчейнами nocode

Минусы

Bubble - поддерживает интеграцию через API, но для сложных блокчейн-операций (например, кастомные смарт-контракты) возможностей может не хватить.

Moralis - предоставляет готовые решения, но если вам нужно что-то уникальное, придётся писать код самостоятельно

Webflow + ThirdWeb

Webflow предназначен для создания интерфейсов, а ThirdWeb — для интеграции блокчейн-функций. Для сложной логики или кастомных смарт-контрактов этого может быть недостаточно.

(+ необходимо синхронизировать работу Webflow и ThirdWeb, что может быть сложно и увеличивает риски.)

Результат

🔽 NoCode отлично подходит для тестирования идей, но для создания полноценного проекта будут свои проблемы:

> Зависимость от платформы

> Меньше контроля

> Проблемы с масштабируемостью

> Децентрализация (Даппки зависят от Централизованных сервисов)

> Сложность отладки (сложно находить и устранять ошибки)

Не время ноукодить 🛏

☕️ Twitter Агрегатор | Python Bot

напишем бота для получения публикаций выбранных каналов в Twitter

Инструменты

Twitter API (регестрируем бесплатный developer аккаунт) получаем API ключи 🔽

Tweepy - библиотека для взаимодействия с Twitter Api

APScheduler / cron для периодичесой проверки новых твитов

pyTelegramBotAPI - для взаимодействия с Telegram Ботом

➕ Доп Функции

/add username
/remove username
/list

для управления списком аккаунтов через Телеграм

В результате все деплою на DigitalOcean / AWS

Учитывая поток инфы, бот будет полезен чтобы ничего не упустить :)

идеи?

😮 Мощнейшие Результаты - Январь 2025

Начали Пайтон Разработку

Написание Транзакции

Смарт-Контракты

Генерация-Кошельков

DApp-Взаимодействие

CEX-Взаимодействие

⚔️ Разбирали Безопасность

Docker в блокчейн-разработке

Пишем Безопасный Софт | Часть №2 | Часть №3

NoCode в web3

Плюсы и Минусы NoCode

🏆 Крипто Новости Января

> Анонс хардфорка Pectra в Ethereum

> Запуск основной сети Dusk Network - платформа выпуска цифровых финансовых активов и ценных бумаг

> Запуск $TRUMP и $MELANIA - $27 млрд капы за 3 дня

> Окончание поддержки web3.js

> Инаугурация Трампа + первые указы внедрения крипты

> Запуск основной сети Abstract - платформа объединяющая Web2 с Web3, предлагая интуитивно понятный и доступный опыт для пользователей.

GM февраль 2025 💫

🎹 AI AGENTS С НУЛЯ

собрал все стримы с нашего дао на эту тему

1. Основы Использование LLM (Введение в Разработку AI Агентов)

2. Работа с LLM как с мозгом AI Агентам

3. Введение в Разработку Агентов

4. Основы Работы с LLM + Фреймворки с Агентами

5. Фреймворки Агентов Часть №2

6. Написали Агента на TypeScript

7. Фреймворки Агентов + Crew AI

+10 часов альфы, разбираемся

К слову сейчас в GuideDao 25% скидона на вступление. Также +10% по промокоду VARTCALL

guidedao.xyz

💫💫 Самое время покорить AI Агентов

python НА АРБИТРАЖЕ 😑

в связи с качелями на рынке пора научиться писать арбитраж-ботов па пайтон

спасибо за идею AIO 💋

1. Библиотеки

> ccxt — для работы с API криптобирж

> asyncio — для асинхронных запросов

> python-dotenv — для безопасного хранения API-ключей

> requests (если нужно работать с REST API напрямую)

2. Данные

Регаемся на биржах и создаем новые API-ключи с правами только на чтение (для начала тестов) + сохраняем их в .env файле проекта

3. Логика

> Подключение к API бирж ⬇️

Используем библиотеку ccxt, чтобы подключиться к нескольким биржам (например, Binance и KuCoin)

> Загрузка всех торговых пар (token/market)

Загружаем список всех токенов и торговых пар с каждой биржи.

Это делается с помощью exchange.load_markets().

Определение, где торгуется каждый токен

Создаём словарь вида:

{
"BTC/USDT": ["Binance", "KuCoin"],
"ETH/USDT": ["Binance"],
}

Для каждой биржи вызываем fetch_tickers(), чтобы получить актуальные цены всех токенов за один запрос.

4. Обработка скачков цен

> Сохраняем предыдущие значения цен для каждого токена 😊

> Для каждой новой цены сравниваем с предыдущей:

Если изменение цены превышает установленный порог (например, 5%), выводим уведомление:

> Используем asyncio для параллельной работы с API бирж, чтобы не блокировать выполнение.

> Каждые 30 секунд повторяем процесс мониторинга 🚬

5. Цикл Работы Бота

> Подключение к API бирж 👎

> Загрузка всех токенов и определение, на каких биржах они доступны.

> Мониторинг цен для всех токенов.

> Вычисление изменений и поиск резких скачков.

> Уведомление о скачках в бот

> Пауза (несколько минут) и повторение цикла.

50 🔥 и дропаю такой софт

😈 МУЛЬТИКАЛ ЧТО ЭТО??

разбимаемся с DEX арбитражем часть №1

Multicall (MC) - смарт-контракт, принимающий массив вызовов к другим контрактам и обрабатывает их одновременно.

Он возвращает результаты всех вызовов в одном ответе снижая нагрузку на сеть и делает взаимодействие с блокчейном более эффективным.

Благодяря MC мы можем проверять цен на нескольких биржах DEX одновременно

Как используем:

Библиотеки для Multicall

web3.py - база

eth-brownie - фреймворк для разработки смарт-контрактов, также поддерживает multicall.

multicall.py - библиотека для работы с Multicall.

Структура арбитраж-DEX-бота:

> Используем UNISWAP Factory Contract Address - контракт для управления пулами + его ABI

> Получает адреса всех пар ликвидности на Uniswap V2.

> Для каждой пары выполняем запрос к функции getReserves(), чтобы получить текущие резервы токенов.

> Используем Multicall для объединения множества вызовов в один, что снижает нагрузку на RPC и ускоряет выполнение.

Multicall работает только с DEX биржами, если писать CEX бота - ипользуем

> async/await

> WebSocket для подписки на данные в реальном времени

> threading или multiprocessing для параллельной обработки

через Multicall мы уменьшаем количество запросов к API & повышаем скорость работы софта 💰