Что по аудиту? Sablier

На прошлой неделе, в пятницу, закончился мини конкурс протокола Sablier - всего 699 nsloc.

У меня получилось выделить на него всего около 5-6 часов, т.е. в среднем по часу в день.

На скринах я выложил заметки, что я делал по нему и редактор кода, где разбирал основной контракт.

Я понял, что совсем не умею работать с заметками: не понимаю, что нужно отмечать, как возвращаться к ним и как строить архитектуру.

До этого момента, я использовал теги в редакторах, по типу:

@audit, @audit-issue, @note, @audit-ok

и другие, чтобы акцентировать свое внимание на каких-либо деталях. Это хорошо помогает, когда у тебя достаточно времени, чтобы вникнуть в код. Но когда его мало, я могу отвлекаться на них и терять другую мысль, над которой размышляю в данный момент.

Что для меня хорошо сработало в данный аудит?

1. Залить описательную инфу протокола в переводчик.

Я очень хорошо знаю английский язык и свободно говорю, пишу и читаю на нем. Понять смысл протокола, по докам от разработчиков не составит труда, если сконцентрироваться на тексте. Но родной язык, все таки, родной.

Закинув тот же текст в переводчик и пробежав глазами по тексту, вы тоже сможете зацепиться за какие-то основное идеи документации и быстрее понять суть. Годы тренировок на сторис в инстаграм дают о себе знать...

2. Редактор кода, где можно разложить контракт на сниппеты кода также очень помогает.

Мне не нужно было бегать по контракту туда-сюда, чтобы вспомнить, что делать служебная функция. Достаточно было открыть ее рядом с основным контрактом и подглядывать раз через раз.

Да и отслеживать function flow так гораздо легче.

3. Рисунок if/else.

В низу одного из скринов, я делал разбивку условия и заметки по основным моментам, на которые оно влияет. Это сильно помогло запомнить как изменяется память контракта в зависимости от тех или иных опций. Мне зашел этот способ, буду использовать его и дальше.

4. Движение токенов.

Я старался понять движение токенов в контракте: в функциях и до пользователя. Это также помогло отсеять несколько вопросов, которые возникали у меня в процессе аудита.

В целом, я понял протокол, вероятно, на 90% и отправил два репорта.

Не смотря на какие-либо последующие результаты, я понял для себя комфортный способ работы с заметками и некоторые вещи, которые были бесполезными. Думаю на следующем конкурсе попробовать пару новых идеи.

Если у вас есть предложения или свои способы ведения заметок, буду рад почитать о них в комментариях!

Всем легкой и приятной недели!

#audit

📟 Прилетело из @solidityset

Небольшая история о путешествии в мире аудита

Этот пост был написан прекрасным аудитором Charles Wang день или два назад. Он делится своим опытом в старте аудита смарт контрактов, и что сработало для него больше всего. Думаю, этот пост будет полезен всем, кто собирается стать аудитором и участвовать в конкурсах.

Первый шаг: Построчный аудит

Когда я только начинал заниматься аудитом, мой подход был чрезвычайно стандартным. Я проверял каждый контракт строка за строкой, понимая бизнес-логику, функцию за функцией.

На этом этапе я сосредоточился на том, чтобы понять, что делает каждая функция и как она вписывается в общую функциональность. Однако такой построчный подход, хотя и был тщательным, имел свои ограничения:

1. Пропущенные уязвимости: Некоторые ошибки, особенно сложные, связанные с кросс-функциональной логикой или логикой, основанной на состояниях, просто невозможно найти, используя только этот подход.

2. Трудности с восприятием общей картины: Сосредоточенность на отдельных строчках кода мешала понять более широкий дизайн контракта или то, как взаимодействуют различные части.

На этом этапе я развивал базовые навыки: понимая синтаксис, структуру и логику, лежащую в основе различных функций, но еще не разработал метод, позволяющий выявить некоторые более сложные или тонкие уязвимости.

На этом этапе было очень тяжело, потому что ресурсы для изучения solidity (не говоря уже об аудите) были крайне ограничены.

Второй шаг: Внедрение перехода между функциями и дифференциации состояний

На втором этапе я адаптировал свой процесс, чтобы устранить ограничения чисто построчного аудита. Я начал переходить от одной функции к другой, отслеживая, как различные функции связаны и взаимодействуют друг с другом. Этот переход помог мне лучше понять управление состоянием контрактов:

1. Лучшее понимание контекста: Понимая взаимосвязи между функциями, я смог выявить уязвимости при переходе от одного состояния контракта к другому.

2. Аудит на основе функциональности: Вместо того чтобы сосредоточиться на отдельных строках, я начал рассматривать функции как часть более широкого контекста. Это позволило мне обнаружить логические проблемы, возникающие при использовании функций вместе или в определенной последовательности.

Такой подход помог мне выявить больше ошибок и улучшил мою способность анализировать сложные взаимодействия функций. К этому моменту у меня сформировался более целостный взгляд на код, но способность эффективно выявлять теоретико-игровые проблемы или уязвимости в состояниях контракта все еще не была совершенной.

Третий шаг: Первоначальная оценка через разделение state

На третьем этапе я начал аудит с первоначальной оценки на основе состояний контракта. С приобретением опыта я обнаружил, что могу выявить потенциальные слабые места, просто составив карту различных состояний и взаимодействий:

1. Предварительная идентификация ошибок: Во время этой первоначальной оценки я уже мог находить ошибки, просто классифицируя и понимая состояния контракта. Процесс разделения и анализа этих состояний прояснил многие уязвимости с самого начала.

2. Распознавание паттернов и чувствительность: Опыт научил меня распознавать закономерности и определять области, которые могут содержать уязвимости. Определенные шаблоны кодирования или переходы состояний становились «красными флажками», и я интуитивно понимал, где искать. Не следует путать это с подбором шаблонов, чем в наши дни занимается большинство аудиторов.

Такое смещение фокуса позволило мне глубже понять динамику контракта, что облегчило обнаружение уязвимостей в более широкой логике, а не только в отдельных функциях. На этом этапе я начал выявлять более сложные ошибки и крайние случаи, особенно связанные с переходами состояний и чувствительностью переменных.

Четвертый шаг: Свободный аудит и лиды, основанные на интуиции

📟 Прилетело из @solidityset

#NotPixel софт

• Вся информация про free софт

В нотпикселе добавили раздел для ввода секретных слов и сейчас есть это слово (фраза): happy halloween за которое дают 666 PX

Решил добавить в софте пункт для отправки секретных слов на всех акках

гит (позже)

ApeCryptoSoft | ApeCrypto

📟 Прилетело из @ApeCryptorSoft

Я зашел, посмотрим что будет )
Торгую тут 👉🏽 AlphaDex

📟 Прилетело из @NobodySay1

Wallet checker

git pull
npm i

v2.4.1
Добавил новый чекер, Story Protocol. Показывает баланс, кол-во транз, баджей, статус по каждому баджу, активность в сети. Сейчас доступны следующие баджи:
* Main (который сегодня закончился)
* Wand
* Nightly
* D3X
* Satori
* MahojinIP
* ArtStory
* PunkgaMe
* StandartProtocol
* Rightsfually

Если находите новый бадж, который не поддерживает софт, то пишите в лс с адресом, где есть такой бадж

v2.4.0
Добавил авторизацию для веб версии. Это может пригодится, если загружаете чекер на сервер, и к нему можно получить доступ извне. Настраивается в конфиге, защищен как фронтенд, так и бекенд.

📟 Прилетело из @by_munris

Повышаем доходность через владение активами или сохраняем её на фиксированном уровне в Tranchess.

Продолжаем рубрику #обзоры старым проектом, который стал популярен во времена фарминга дропа Scroll.
Вот я и решил его рассмотреть с позиции 4К++ аудита.
Если кто не знает, я так называю свою модифицированную методику 4К "Команда, концепт, коин и код". У меня это "Команда, концепт, коин и код +документация +практика по функционалу".

Проект позволяет кому-то держать актив, дающий стабильную доходность, желающим большего риска - второй актив с плечом, желающим и получать всё ☺ - оба актива.
Есть также LP и прочее...
В случае с поинтами turpASSET получает поинты, а staYASSET (stable) - нет.

Читать в Teletype, читать в Mirror.

Общий итог
Оценка 22 из 30 или 3 из 5.
• Команда (оценка 3 из 5) не вся на LinkedIn и второй сотрудник не впечатляет. Соцсети не очень активные, но на вопросы в Дискорде и Telegram отвечают.
• Концепт (оценка 4 из 5): Малое количество активов по сравнению с Pandle делает проект плохим с точки зрения конкурентоспособности, хотя сама концепция фиксированной и большей доходности востребована, но есть и интересные моменты (стейкинг BTC и ETH в своих операторов нод).
• Коин (3 из 5): много выделено команде и на будущие инвестиции, куда распределяются и как 50% неизвестно... Ещё не разблокировано 36%, и падение очень сильное.
Вряд ли восстановится до прежних значений.
• Код (3 из 5): инструкции подробные по развёртыванию, но обновлялась версия давно, хотя и разработка ведётся (последний коммит неделю назад). За версию ставить минус не вижу смысла, т. к. не стоит каждый месяц обновлять проекты...
Не хватает кода фронтенда - за это минус балл...
Ещё минус балл за небольшую награду баг-баунти (200К $), что может теоретически привести к взломам вместо отправки информации об уязвимостях...
• Документация (5 из 5): всё подробно и понятно. Есть, конечно повторы, но не критично. Даже описали работу операторов нод и смарт-контракты (сохранена и старая версия).
Но не хватает обзора конкурентов, хотя последнее время этого раздела ни у кого нет, поэтому не будем учитывать как минус...
• Практика (4 из 5): есть актуальные активы, понятны все функции, но вот выбора токенов при обменах нет, что неудобно. Допустим, я хотел обменять все имеющиеся staYSBBBN на turPSBBBN, но нет такой возможности... Пришлось 2 раза выполнять операцию по сплиту через обмен staYSBBBN на solvBTC.BBN.
Также неудобное портфолио, где отображаются все активы, а не только мои.
Не 3 из 5, потому что ошибок нет.

Статья с оглавлением для удобной навигации.

Читать в Teletype, читать в Mirror.



Изучайте и распространяйте - это важно для меня.
Также буду рад донатам в поддержку написания обзоров (последняя ссылка в списке ниже).

Благодарю за внимание. Хорошего дня!

Канал (подписаться), Чат | бот | Поддержать донатом

📟 Прилетело из @blind_dev

Мы продолжаем

Уже прошла неделя с начала нашего обучения. И за это время мы успели пройти многое.

Напоминаем, что наше обучение построено таким образом, чтобы комфортно было каждому. Мы даём возможность человеку выбрать группы для обучения, их две:
1) Python с нуля. Сюда могут придти люди даже с абсолютно нулевым знанием программирования, и всего за месяц они выучивают базу, и потом переходят к Web3.
2) Web3 Only. А эта группа уже для тех, кто шарит в Python.

Так вот, в первой группе ребята прошли следующие темы: типы данных, ветвления, обьединение условий, циклы while, for, списки, словари и кортежи. Не будем юлить - у кого-то мозг всё ещё сопротивляется новой информации. Возникают куча вопросов по синтаксису языка, по логике, по математике и многому другому. И в обычной жизни люди побоялись бы писать их, так как подумают, что они выглядят глупо) Но мы в команде считаем, что самый глупый вопрос - незаданный. Поэтому ввели негласное правило для каждого ученика - задавать минимум 3 вопроса.

А вот во второй группе мы прошли темы основы web3 и отправка первых транзакций в evm сетях. Здесь же некоторые ребята впервые притрагиваются в web3 и пытаются как-то взаимодействовать с ним (считывать данные со смарт контрактов, работать с ABI, отправлять свои первые транзакции через Python и делать небольшую ончейн аналитику) и появляются вопросы по подключению к блокчейну, по конвертации чисел в разные системы счисления и т.д. И очень приятно, что людям нравится вся эта авантюра несмотря на её первичную сложность, это мы видим в подобных сообщениях:

такс, пройдя урок и все задания
прошу делайте задание с 4 звездочками еще))
возможно на код подлиннее, с логикой

И обратите пожалуйста внимание на скрин выше. Также напоминаем, что в ближайшее время мы хотим сделать для вас кое-что по обучению кодингу. Пока от вас нужно лишь подать заявку вот сюда - https://news.1rj.ru/str/+oogZ-x5Azdc4YjI6

📟 Прилетело из @how_to_code_web3

300 ИКСОВ КОЛЛ БЫЛ ДАН

https://dexscreener.com/solana/gppmngdpzat9xpiswma2ejwwnz2stekvwbevgpsmmlgc

КАЖДЫЙ МОГ

ПРИВАТНЫЙ ПАРСЕР ТОЛЬКО 5 ВСТУПЛЕНИЙ В СЛЕДУЮЩЕМ ПОСТЕ

📟 Прилетело из @vpoiskahgema

SOL TRACKER

Трекаем топ щитки которые пампят сейчас

https://news.1rj.ru/str/+HOD3iovL3Jc1Mzg8

Делаю для себя, но делюсь, мб кому поможет.
Рекомендую комбинировать с парсером ребят из @shit101

Фичи:
- Алерт о пампах с триггером из описания в группе
- Навигация на скриннеры
- Навигация на Twitter news
- Основные показатели

Идеи/пожелания приветствуются

📟 Прилетело из @vpoiskahgema

‼️ Памп +22.095% за 5.0 мин

[0.000004114 -> 0.000005023]

💎 Токен: meme/coin [i now identify as a memecoin]

🔗 Ссылки: Dexscreener | Radium | GeckoTerminal

💰 Цена: 0.000005023 SOL / 0.001071 USD

📅 Дата создания: 1 дн. 3 ч. назад

🔑 Адрес токена: EPD9qjtFaFrR3GvTPmPt8spmu4hfwUN6Dc5tHtDmpump

🏦 FDV (Mcap): 1071.0k$
💵 Liquidity: 183.45k$ 🟢
🌬 Supply: 1000M

📢 Search twitter news

🛒 Покупок | Продаж 💸
5m: 37 buys | 20 sells
h1: 265 buys | 251 sells
h24: 32146 buys | 28844 sells

📊 Объем торгов:
5m: 9.52k$
h1: 94.29k$
h24: 18250.38k$

💲 купить через TrojanBot

📟 Прилетело из @vpoiskahgema

Реально ли освоить кодинг в крипте за 1 месяц?

После истории с дезинфектором, где мы написали с ним код по фарму метеору с нуля, у нас возникла идея попробовать обучить уже большее количество людей. Мы знаем, что просто уроки на ютубе не работают, потому решили запустить бесплатный челендж для 1000 человек, которые успели подать заявки на участие по ссылке.

Что это вообще такое? В течение одного месяца мы будем проходить 9 уроков по Python с нуля, а в конце вы уже сможете писать скрипты разной сложности для себя.

Зачем оно вам? Это полностью бесплатно. Да, без абсолютно какой-либо платы. Этот движ подойдёт для тех, кто уже давно хотел подготовиться к бычке, но почему-то вечно откладывал это.

Что внутри? Мы будем проходить следующие уроки:

1. Типы данных, ветвления, объединение условий. Так как всё, что умеет делать компьютер, - работать с данными, мы должны узнать, какие бывают типы данных и как их обрабатывать. После этого урока вы будете способны написать текстовую игру.

2. Списки, цикл for, цикл while. Данный урок позволит сократить ваш код в сотни тысяч раз.

3. Кортежи и словари. Здесь мы познакомимся с особенными типами данных, которые работают намного быстрее, чем те, которые мы уже знаем

4. Функции. Тут мы научимся создавать «помощников» (функции). Этих «помощников» мы сможем в любой момент вызвать и они сделают то, что им сказано. Данный урок позволит кратно сократить ваш код и время на редактирование кода.

5. Строки, методы строк, файл для практики. Это урок про то, что все велосипеды уже придуманы и не нужно изобретать свои. Познакомимся с самыми полезными велосипедами.

6. Файлы, JSON, CSV, файлы для практики. Все знают что такое файлы, и что в них может быть много информации. В этом уроке узнаем, как читать, создавать и редактировать файлы

7. Парсинг. С файлами работать уже умеем, но ведь сайт это ведь тоже по сути файл с html кодом, который лежит файлом, просто на чужом сервере. Тут научимся получать эти файлы и доставать из них нужную для нас информацию, например, цену токена.

8. ООП (объектно-ориентированное программирование). Тут мы познакомимся с самым удобным подходом к оформлению кода. Данный подход позволит вам сократить ваш код и повысить читаемость в разы.

9. Асинхронность и отлов ошибок. Если мы хотим, чтобы наш софт летал как пуля и при этом не ломался из-за всякой ерунды, мы должны обязательно изучить эту тему. Мы узнаем, что такое асинхронный код и как его максимально эффективно применять. А также узнаем, как обрабатывать ошибки, чтобы не приходилось перезагружать софт.

И конечно же всё это будет сопровождаться домашками, заряженным комьюнити и помощью опытных кодеров.

Стартуем 17.11 в 14:00 по мск. Начнем с вводного войса с @ahillary он расскажет подробно обо всём.

Всё пройдёт вот здесь - https://news.1rj.ru/str/+oogZ-x5Azdc4YjI6. В данный момент занято около 40% всех мест.

📟 Прилетело из @how_to_code_web3

🍏 MacOS переодевайся - мы тебя узнали

Копались на гитхабе и нашли крутую тему для юзеров линукса. И мне, как любителю яблочной продукции, понравилась эта тема.

https://github.com/vinceliuice/WhiteSur-gtk-theme

Пожалуй поставлю себе, все равно денег на Mac Studio нет 😥

Чат | Помощь | Market
Aero25x GitHub | dry.com

📟 Прилетело из @hidden_coding

Weekly AI shitposting 😄 Кстати, недавно один парень на реддите сбрасывал ссылка на диалог, где совершенно неожиданно ИИ предложил его брату очистить планету от своего существования 🤪 https://gemini.google.com/share/6d141b742a13

📟 Прилетело из @dev_in_ruby_colors

Конечно же Дуров говорит о memhash.

На момент поста от Дурова, у бота было 250к запусков за 10 дней. Бот заработал $500 000, значит, каждый /start принес $2.

Ботом нельзя пользоваться, если не оплатил. При этом пик онлайна был 8000, а число холдеров 20к. Отсюда очень грубо оцениваем LTV платящего пользователя (за 10 дней): $25-$62.

Это за миниапп, который говорит: держи сайт открытым, за это мы будем выдавать свои токены. Вход платный. Увеличить скорость выдачи - платно.

Оплата исключительно в Старс.

0 затрат на маркетинг.

По планам бот продолжит раздавать токены до конца года, потом листинг, а потом секрет. Значит, пик LTV еще не нащупан, ведь прошло ровно 2 недели с запуска.

Если сравнивать с предыдущими крипто проектами, то стоимость их токена может быть $0.1–$1.

Схема рабочая. Выводы делайте сами.

📟 Прилетело из @danokhlopkov