Ну что? Погнали? JS/TS

Урок 1

TypeScript с нуля до блокчейна | Настройка окружения (NodeJS, npm, npx) и основные команды

Ссылка на видео
Методичка в notion: Окружение

Это первый урок по JS/TS. В этом уроке мы настроим окружение для работы. Также мы рассмотрим основные команды NodeJS, научимся управлять пакетами пакетами (npm - Node Package Manager) и рассмотрим npx (Node Package Execute)

00:00 - что будем делать?
01:44 - полезные материалы по JS/TS
03:01 - с чего начать изучение JS/TS?
04:13 - редакторы кода JS/TS
05:19 - консоль разработчика
06:21 - установка окружения для работы с JS/TS
06:43 - что такое NodeJS?
07:38 - основные команды NodeJS
09:29 - создание файла package.json
13:11 - установка сторонних пакетов через npm
16:07 - основные команды для работы с пакетами
18:37 - запуск скриптов из package.json
20:30 - утилита npx
22:08 - установка пакетов глобально
22:59 - итоги

📟 Прилетело из @semolina_code_python

Wallet checker

git pull

v2.4.3

Добавил 8 новых баджей в Story:

* Solo
* Impossible
* Combo
* Color
* Unleash
* PiperX
* Spotlight
* Singular

Напомню, что дедлайн по баджам 8 декабря

📟 Прилетело из @by_munris

Изменил дизайн сайта по антидрейну
https://antidrain.me

Ну и не забываем что если у вас украли кошелек, но на нем остались средства - их можно вывести

📟 Прилетело из @n4z4v0d

Роудмап: Как стать аудитором смарт контрактов. Часть 1. Минимальный объем знаний

Пробовал записать видео по этой теме, но понял, что постом будет лучше, так как все равно нужно будет отдельно добавлять ссылки и гайды к нему. Поэтому распишу на свой взгляд, как лучше подготовиться к становлению аудитором.

В начале хотел бы сказать, что не рекомендовал бы покупать отдельные курсы по безопасности смарт контрактов. Дело не в том, что информация там может быть плохой, не структурированном или с некачественной подачей, а, скорее, в том, что практически во всех уроках, что я встречал, были описаны самые простые и базовые темы. Такие уязвимости исправляются уже самими разработчиками на этапе создания и тестирования протокола, и вы вряд ли найдете их в таком чистом виде в реальных проектах.

Я уже неоднократно писал, что с каждым годом баги становятся все сложнее, и то, что год назад можно было найти просто взглянув на код, сейчас требует его понимания на достаточно хорошем уровне.

Так с чего же начать свой путь?

1. Изучение и понимание Solidity.

Как бы просто это не звучало, но вам потребуется хорошее понимание самого языка и работы EVM. Можно знать как работает delagatecall, а можно и ясно понимать, как идет вызов на базовом уровне, и чем грозит его незащищенность.

Это не то, что можно выучить по гайдам и документации. Тут поможет только самостоятельная практика и работа с кодом. Чаще задавайтесь вопросом: "А как это работает? А что будет, если сделать так...?" и другие. Невозможно понять язык, просто читая его документацию.

2. Изучение и понимание популярных EIP и Open Zeppelin контрактов.

Каждый хороший разработчик и, тем более, аудитор должен хорошо знать часто используемые EIP:

1. https://eips.ethereum.org/EIPS/eip-20
2. https://eips.ethereum.org/EIPS/eip-721
3. https://eips.ethereum.org/EIPS/eip-712
4. https://eips.ethereum.org/EIPS/eip-1155
5. https://eips.ethereum.org/EIPS/eip-4626
6. https://eips.ethereum.org/EIPS/eip-165
7. https://eips.ethereum.org/EIPS/eip-1967

При чтении этих Предложений необходимо уделять пристальное внимание всем "warning", "must", "should" и нюансам использования. Так, например, возникает очень много проблем с реализацией стандарта подписей (712): правильным хешированием данных, domain separator и составлению подписи.

Вам также необходимо знать часто используемые контракты от Open Zeppelin:

1. ECDSA,
2. MerkleProof,
3. Math,
4. SafeCast,
5. Address,
6. Context,
7. Create2,
8. ReentrancyGuard,
9. AccessControl,
10. Ownable,
11. Ownable2Step

Более того, обязательно знать реализации OZ контрактов из обозначенных выше EIP. Все их можно постепенно изучать в этом репо:

https://github.com/OpenZeppelin/openzeppelin-contracts

Также будет здорово, если вы будете понимать работу обновляемых контрактов от OZ:

https://github.com/OpenZeppelin/openzeppelin-contracts-upgradeable

И две другие библиотеки:

1. Solady - https://github.com/Vectorized/solady
2. Solmate - https://github.com/transmissions11/solmate

Эти две библиотеки реализуют популярные стандарты токенов и некоторых других контрактов, которые могут попадаться в аудитах. Они немного отличаются от обще используемых контрактов OZ.

Это та база, на которую опираются 90% протоколов в своей разработке.

При изучении каждого контракта желательно обращать внимание на его версию и поискать, какие проблемы были обнаружены в предыдущей реализации. Например, почему нельзя использовать ECDSA от OZ ниже 4.8.2 версии. И не просто знать рекомендуемую версию, а именно "что было не так в предыдущей".

3. Изучение и понимание DeFi

Большинство сегодняшних протоколов - это DeFi проекты. Многие из них берут свои идеи от других финансовых протоколов или просто копируют его код. На начальном этапе вам не нужно знать как работают деривативы и фьючерсы, но иметь представление о нескольких наиболее копируемых протоколов все же надо.

На мой взгляд, обязательными к пониманию и изучению являются следующие DeFi:

📟 Прилетело из @solidityset

1. Uniswap V2/V3 - чаще всего проекты интегрируются с ним;
2. Balancer - многие взяли идею мультипула;
3. Aave - кредитование;
4. Lido - первый, кто сделал рестейкинг ETH;

В случае с изучением Uniswap лучше всего будет, если будете также сразу искать популярные уязвимости при интеграции с ним: slippage, slot0, currentSqrtPriceX96 и другие. Важно понимать не только, в чем тут был баг, но и как должно быть исправлено в самом контракте.

С остальными протоколами, в целом, хорошо быть знакомыми с их архитектурой и главной идеей: как происходят депозиты в пул, как рассчитывается обеспеченный займ, какие условия для ликвидаций, как работает рестейкинг и, желательно, немного погрузиться в математику DeFi.

Уже после этого вы можете рассмотреть и другие финансовые протоколы, типа dydx, Compound, MakerDAO, Curve...

Нужно добавить, что по Uniswap и Compound есть прекрасные разборы:

1. https://www.rareskills.io/uniswap-v2-book
2. https://uniswapv3book.com/
3. https://www.rareskills.io/compound-v3-book

По остальным популярным протоколам, таких "книг" нет, но достаточно разборов кода, в том числе и на Ютуб. Например, о том, как работает DAI стейблкоин:

https://www.youtube.com/watch?v=lsTouzJUsUk&list=PLO5VPQH6OWdW9b6GKJR4Dt9XZxQlJuVp_&ab_channel=SmartContractProgrammer

Я считаю, что это тот необходимый базовый минимум знаний, который нужен для старта пути в аудиторы. И это связано не с тем, что без этого нельзя начать принимать участие в конкурсных аудитах, а, скорее, что так вам будет гораздо легче разбираться в коде и понимать "откуда растут ноги" в очередном контракте.

В следующем посте мы поговорим, о первых шагах в проверке контрактов.

#audit #start

📟 Прилетело из @solidityset

Phoniex: вы ждали - мы сделали! 🫡

Недавно мы писали про Phoniex и софт под него. С сегодняшнего дня софт доступен на нашем маркете.

✍️ Что умеет софт?

🟢Создает отдельные профиля анти-детект браузера.
🟢Использует прокси.
🟢Использует формат кошельков как в Kozel.
🟢Устанавливает Phantom кошелек и импортирует приватник/сид фразу.
🟢Делает объем в заданных парах.
🟢Рандомизация суммы, выбор торговли(маркет/лимитка).
🟢Вы задаете сценарий по которому будет проходить прокрут и вывод средств.

Купить софт можно ТУТ 👈 Количество продаж ограничено!

🐐 Также:
С помощью Kozel вы сможете создать Solana кошельки(в нашем формате) и без проблем раскинуть на них SOL или USDC с биржи (OKX), что ускорит и упростит подготовку кошельков к прокруту.

Подробнее о работе софта можете прочесть здесь.

Чат | Помощь | Market
dry.com | Aero25x GitHub

📟 Прилетело из @hidden_coding

🔒 KYC и Telegram Stars

Обзор игры престолов

Сегодня все обсуждают новость, что теперь

при покупке и продаже Telegram Stars через маркетплейс Fragment
(единственный возможный способ обмена Stars на данный момент)
необходимо пройти KYC (привязать телефон, почту, паспорт)

Даже при покупке анонимных номеров)))))

Криптаны бьют тревогу: Digital Resistance, анонимность и децентрализация — пустые слова или маркетинговый ход?

При этом позавчерашняя новость:

Президент TON Foundation Стив Юн сообщил, что

TON выходит на американский рынок

Замечали, что Америка строго обращалась с криптой? То банила протоколы, то обязывала децентрализованным(!) сайтам отказывать в услугах американским лицам. Несмотря на это, американцы с Coinbase генерили такой же объем торгов, как и юзеры OKX, которых в 100 раз больше. Эти же юзеры — серьезный кусок объемов на pump.fun.

Что это значит? Значит, что на TON (и в Telegram) намечается приток больших американских денег — и команды сверху тг усердно работают ради этого. И легализация с KYC — важный шаг для людей с белыми деньгами.

Нет лучше времени билдить продукты для тг, чем сейчас. Именно о билдинге расскажем тут https://news.1rj.ru/str/+Qqx5AGQ8IThiZDMy

📟 Прилетело из @danokhlopkov

Задачка на подумать, откуда адреса ниже извлекают профит?

- https://www.bscscan.com/address/0x802b65b5d9016621E66003aeD0b16615093f328b
- https://www.bscscan.com/address/0x0000000055ECa968153aeFfa4e421f9cd2680f01
- https://www.bscscan.com/address/0x493601007Fe0042Eb27Bef5943CAAd8EE594dc8c
- https://www.bscscan.com/address/0x8f3930B7594232805dd780dC3B02F02cBf44016A

- это не sandwitch
- это не backrun
- покупают однобоко, в том числе щитки, что не торгуются на cex
- цикл продажи купленного явно дольше пары блоков

Гипотезы такие:
- арбитраж между блокчейнами
- арбитраж между cex и dex только без деп-вывод опции при каждом арбе
- фронтран оракл цен на основе cex тикеров бинанса

📟 Прилетело из @invmru

На днях прочел об эксперименте с покупкой сотни мемов и мне понравилось. Прочел у Сергея ICO Drops тезис об "американской" крипте - тоже понравилось. Решил адаптировать и объединить.

Изначально я предполагаю, что:
- рынок альтов будет расти и будет альтсезон,
- людям все равно, что покупать, когда рынок растет,
- американским людям удобно покупать на Coinbase,
- цена токена имеет значение, купить один биткоин сложно, а купить один доги легко.

На основании этих предположений определил требования к токенам:
- токен торгуется на Coinbase, плюс на бирже, где я могу купить.
- цена токена не превышает 0,5 USD,
- дневной объем торгов на Coinbase не менее 100000 USD,
- FDV проекта не более 500 млн USD.

Ничего другого, кроме описанного я не учитывал и цель провести эксперимент именно с этими вводными.
В результате получился список из 71 токена. Каждый из них я купил на 200 долларов, всего на 14,2к. Получилось прям индексное инвестирование, надежное, как швейцарские часы. Апсайд бесконечный, рисков нет.
Следить за процессом обогащения можно по ссылке.

📟 Прилетело из @hashvers

⚡️WalletConnect Airdrop Checker
## сумму дропа не парсит, т.к парсить элигибл запросами не выгодно из-за клауда, поэтому я просто спарсил адреса кошельков куда они отправляли дисперсом натив и софт сверяет загружаемые кошельки на наличие в этом спаршенном списке

📌 Information:
• Работает без Proxy - просто сверяет адреса, на которые админы WalletConnect отравляли натив для клейма дропа
• Найденные кошелки записывает в файл eligible.txt
• Поддерживает загрузку аккаунтов в любом формате

❤️ Donate (any EVM chain) - 0xDEADf12DE9A24b47Da0a43E1bA70B8972F5296F2
❤️ Donate (SOL) - 2Fw2wh1pN77ELg6sWnn5cZrTDCK5ibfnKymTuCXL8sPX
❤️ Donate (TRX) - TEAmkvFXJ6N6wzN4aS3HtgiM7XhnwRrtkW

📥 DL | 📢 FAQ | 💬 CHAT | 🔰ANTI-SWEEPER | 🔗 PROXY | 💵 MEXC

📟 Прилетело из @n4z4v0d

Я тут, честно говоря, похолодел 😂 У нас же кошка уже тогда жила, да и везти животное в ЕС из Черногории (которая ни тогда, ни сейчас в ЕС не состоит) - это целое дело. Ну, положим справки есть, но нужен чип, нужно в конце концов специальное место в самолёте, а у нас уже были куплены билеты... Вероятно, я так насупился, что женщина отступила. Да, как-то между прочим она ввернула, что я наверняка айтишник - и как об этом люди догадываются? Впрочем, про это писал уже как-то раньше.

В общем, она оставила нам номер телефона и сказала написать, если мы вдруг надумаем. Двинулись дальше - к счастью, прямо перед оживлённой частью города собачка вдруг понеслась назад, вероятно, поняв, что тут уже делать нечего. Думаю, что она действительно жила в той мини-деревне и просто соскучилась по хозяевам, которые были где-нибудь на работе.

Казалось бы, маленький эпизод, деталь из далёкого прошлого, а почему-то вспомнилось. Забавно. https://www.youtube.com/watch?v=SBOVkptjJhE

📟 Прилетело из @dev_in_ruby_colors

Роудмап: Как стать аудитором смарт контрактов. Часть 2. Первичное знакомство с аудитом

Далее, после того, как мы изучили базовые контракты и стандарты, лучше всего будет продолжить свой путь с задач Capture The Flag - CTF.

4. Прохождение CTF

Открою вам маленький секрет: вовсе не обязательно самому решать эти задачи, можно просто сразу смотреть ответы на них.

В самом начале пути мы может не представлять себе, что такое "баг" или уязвимость вообще. Другими словами, решение таких задач будет как "ищу то, не знаю что, не знаю где и как". И с помощью разбора CTF задач нам важно получить два скилла:

1. Умение читать и понимать контракты;
2. Понимание базовых проблем в протоколах;

И в последнее время я все больше убеждаюсь, что понимание контрактов и протокола в целом, куда важнее для поиска багов, чем знание каких-либо паттернов.

Тут необходимо научиться изучать код контракта буквально на детали:

1. Отслеживать движение токенов;
2. Отслеживать, кто является msg.sender при вызовах функций;
3. Отслеживать несоответствия стандартам EIP;
4. Отслеживать изменения в памяти контракта, его переменных состояния;

Как понять для себя, что вы разобрались в контракте? Попробуйте на листке бумаги или в отдельном файле просто накидать его архитектуру и функции: что за что отвечает, что сохраняет и зачем это вообще надо. Справились? Супер, значит вы поняли суть контракта.

Подсматривая ответы и разбирая их, вы учитесь осознавать, что в любом контракте есть проблемы. И с каждой новой задачей вы будете учиться либо новому багу, либо их комбинации.

Правда, не старайтесь решать такие задачи с нулевыми знаниями. Смотрите ответы и учитесь. Так будет гораздо быстрее. А искать проблемы лучше уже на боевых конкурсных аудитах. Но об этом позже.

Буквально за один месяц, разбирая по одной-две задачи в день, можно научиться поиску многих базовых проблем. На данный момент я бы рекомендовал следующие CTF задачи:

1. https://capturetheether.com/
2. https://ethernaut.openzeppelin.com/
3. https://www.damnvulnerabledefi.xyz/
4. https://cryptozombies.io/
5. https://speedrunethereum.com/
6. https://ciphershastra.com/
7. https://mrstealyocrypto.xyz/
8. https://cryptohack.org/challenges/
9. https://www.defihack.xyz/
10. https://etherhack.positive.com/#/
11. https://www.ctfprotocol.com/
12. https://github.com/minaminao/ctf-blockchain/

В обязательно порядке я бы порекомендовал пройти первые три. Остальные - на ваше усмотрение и свободное время.

5. Решение задач из сниппетов кода

После того как мы научились базовым уязвимостям в смарт контрактах, можно переходить к упрощенным задачам, в которых показан только участок кода, а не весь контракт. Преимущества таких задач в том, что многие из них были взяты с реальных контрактов, которые проходили конкурсные или соло аудиты. Другими словами, это ваше первое столкновение с профессиональным кодом и подготовка к своему первому аудиту.

Достаточно много задач по уровням вы можете найти тут:

https://auditprofile.xyz/challenges.php

либо на Твиттер аккаунте Шерлока, которые на момент ноября-декабря этого года, практически каждую неделю выставляют новую задачу, например:

https://x.com/sherlockdefi/status/1860668335777775786

С такими задачами вы сможете научиться видеть в коде то, чего нет, а быть должно! Так, к слову, вы начнете понимать, какие проверки могут потребовать в данном случае, какое несоответствие стандарту, где забыли обновить память контракта, и т.д.

6. Понимание чеклистов и weird erc20

Weird ERC20 Tokens - это сборник описаний токенов одного стандарта, но с разными поведениями при вызовах. Одни могут брать комиссию за перевод, другие менять балансы пользователей, третьи не возвращать ответ после трансфера и много чего еще. Всего на данный момент описано около 20 не стандартных поведений. Все их можно и нужно прочитать тут:

https://github.com/d-xo/weird-erc20

Как лучше работать с ними, чтобы понять потенциальную проблему?

📟 Прилетело из @solidityset

Есть такой прекрасный сайт - Solodit.xyz - который собрал многие отчеты с конкурсных платформ и от частных аудиторов. Когда вы откроете его, в левой части экрана будет располагаться фильтр и поиск. С помощью него можно искать проблемы с различными токенами.

Например, вы вбиваете в поиск "fee-on-transfer" и медленно, вникая в проблему, начинаете изучать отчет. Так можно пройтись по всему списку Weird и научиться находить проблемы, связанные с разными токенами.

Вместе с токенами и Solodit можно начать потихоньку разбирать некоторые чеклисты с описанием багов и моментов, на которые стоит обращать внимание при аудите.

Вообще не переживайте, если что-то будет не понятно. Зачастую такие чеклисты пишутся разработчиками для разработчиков, или продвинутыми аудиторами для коллег. Там часто бывают недосказанности в пунктах. И их можно спокойно пропускать.

Для своего обучения можно пройтись по следующим чеклистам:

1. https://solodit.xyz/checklist
2. https://betterprogramming.pub/the-ultimate-100-point-checklist-before-sending-your-smart-contract-for-audit-af9a5b5d95d0
3. https://github.com/0xJuancito/multichain-auditor
4. https://github.com/spearbit/portfolio/blob/master/content/bridges/BridgeSecurityChecklist.md
5. https://x.com/sigp_io/status/1703363387592462633?s=20
6. https://officercia.mirror.xyz/d798TVQyA1ALq3qr1R9vvujdF7x-erXxK2wQWwbgRKY
7. https://github.com/Decurity/audit-checklists/blob/master/lsd.md
8. https://www.beirao.xyz/blog/Security-checklist
9. https://docs.layerzero.network/v1/developers/troubleshooting/integration-checklist
10. https://github.com/aviggiano/security/blob/main/audit-checklists/ERC-4337.md
11. https://github.com/crytic/building-secure-contracts/blob/master/development-guidelines/guidelines.md

Эти три пункта могут занять у вас месяц и более, но точно помогут лучше разобраться в уязвимостях и современных багах.

В следующей части мы поговорим, как продолжить свое обучение и начать принимать участие в конкурсах.

#audit

📟 Прилетело из @solidityset

В это воскресенье 1 декабря мы выложим инфу, как создать с нуля миниаппы и привлекать пользователей бесплатно.

Это все будет в формате текстового вебинара, главная цель которого рассказать об интенсиве, который мы для вас подготовили))))))

Все будет происходить в том самом загадочном канале, который мы закроем ближе к выходным.

В целом, если на интенсив пофиг, все равно подписывайтесь, ибо там будет полезный контент.

Увидимся
https://news.1rj.ru/str/+Qqx5AGQ8IThiZDMy

📟 Прилетело из @danokhlopkov

Урок 2

TypeScript с нуля до блокчейна | console.log(), точка с запятой, переменные и константы

Ссылка на видео
Методичка в notion: Hello world!!

Добро пожаловать на второй урок по JS/TS. В этом уроке мы узнаем что делает console.log(), когда нужно ставить точку с запятой (а когда можно не ставить), узнаем как писать комментарии к коду, научимся правильно создавать и называть переменные и константы

00:00 - что будем делать
00:56 - console.log()
03:22 - точка с запятой
09:05 - комментарии в JS/TS
13:23 - создание переменных
18:02 - strict mode
19:59 - var VS let
20:50 - константы в JS/TS
25:27 - как называть переменные в JS/TS
28:35 - ссылка на практику
28:59 - итоги

📟 Прилетело из @semolina_code_python