🔒 KYC и Telegram Stars

Обзор игры престолов

Сегодня все обсуждают новость, что теперь

при покупке и продаже Telegram Stars через маркетплейс Fragment
(единственный возможный способ обмена Stars на данный момент)
необходимо пройти KYC (привязать телефон, почту, паспорт)

Даже при покупке анонимных номеров)))))

Криптаны бьют тревогу: Digital Resistance, анонимность и децентрализация — пустые слова или маркетинговый ход?

При этом позавчерашняя новость:

Президент TON Foundation Стив Юн сообщил, что

TON выходит на американский рынок

Замечали, что Америка строго обращалась с криптой? То банила протоколы, то обязывала децентрализованным(!) сайтам отказывать в услугах американским лицам. Несмотря на это, американцы с Coinbase генерили такой же объем торгов, как и юзеры OKX, которых в 100 раз больше. Эти же юзеры — серьезный кусок объемов на pump.fun.

Что это значит? Значит, что на TON (и в Telegram) намечается приток больших американских денег — и команды сверху тг усердно работают ради этого. И легализация с KYC — важный шаг для людей с белыми деньгами.

Нет лучше времени билдить продукты для тг, чем сейчас. Именно о билдинге расскажем тут https://news.1rj.ru/str/+Qqx5AGQ8IThiZDMy

📟 Прилетело из @danokhlopkov

Задачка на подумать, откуда адреса ниже извлекают профит?

- https://www.bscscan.com/address/0x802b65b5d9016621E66003aeD0b16615093f328b
- https://www.bscscan.com/address/0x0000000055ECa968153aeFfa4e421f9cd2680f01
- https://www.bscscan.com/address/0x493601007Fe0042Eb27Bef5943CAAd8EE594dc8c
- https://www.bscscan.com/address/0x8f3930B7594232805dd780dC3B02F02cBf44016A

- это не sandwitch
- это не backrun
- покупают однобоко, в том числе щитки, что не торгуются на cex
- цикл продажи купленного явно дольше пары блоков

Гипотезы такие:
- арбитраж между блокчейнами
- арбитраж между cex и dex только без деп-вывод опции при каждом арбе
- фронтран оракл цен на основе cex тикеров бинанса

📟 Прилетело из @invmru

На днях прочел об эксперименте с покупкой сотни мемов и мне понравилось. Прочел у Сергея ICO Drops тезис об "американской" крипте - тоже понравилось. Решил адаптировать и объединить.

Изначально я предполагаю, что:
- рынок альтов будет расти и будет альтсезон,
- людям все равно, что покупать, когда рынок растет,
- американским людям удобно покупать на Coinbase,
- цена токена имеет значение, купить один биткоин сложно, а купить один доги легко.

На основании этих предположений определил требования к токенам:
- токен торгуется на Coinbase, плюс на бирже, где я могу купить.
- цена токена не превышает 0,5 USD,
- дневной объем торгов на Coinbase не менее 100000 USD,
- FDV проекта не более 500 млн USD.

Ничего другого, кроме описанного я не учитывал и цель провести эксперимент именно с этими вводными.
В результате получился список из 71 токена. Каждый из них я купил на 200 долларов, всего на 14,2к. Получилось прям индексное инвестирование, надежное, как швейцарские часы. Апсайд бесконечный, рисков нет.
Следить за процессом обогащения можно по ссылке.

📟 Прилетело из @hashvers

⚡️WalletConnect Airdrop Checker
## сумму дропа не парсит, т.к парсить элигибл запросами не выгодно из-за клауда, поэтому я просто спарсил адреса кошельков куда они отправляли дисперсом натив и софт сверяет загружаемые кошельки на наличие в этом спаршенном списке

📌 Information:
• Работает без Proxy - просто сверяет адреса, на которые админы WalletConnect отравляли натив для клейма дропа
• Найденные кошелки записывает в файл eligible.txt
• Поддерживает загрузку аккаунтов в любом формате

❤️ Donate (any EVM chain) - 0xDEADf12DE9A24b47Da0a43E1bA70B8972F5296F2
❤️ Donate (SOL) - 2Fw2wh1pN77ELg6sWnn5cZrTDCK5ibfnKymTuCXL8sPX
❤️ Donate (TRX) - TEAmkvFXJ6N6wzN4aS3HtgiM7XhnwRrtkW

📥 DL | 📢 FAQ | 💬 CHAT | 🔰ANTI-SWEEPER | 🔗 PROXY | 💵 MEXC

📟 Прилетело из @n4z4v0d

Я тут, честно говоря, похолодел 😂 У нас же кошка уже тогда жила, да и везти животное в ЕС из Черногории (которая ни тогда, ни сейчас в ЕС не состоит) - это целое дело. Ну, положим справки есть, но нужен чип, нужно в конце концов специальное место в самолёте, а у нас уже были куплены билеты... Вероятно, я так насупился, что женщина отступила. Да, как-то между прочим она ввернула, что я наверняка айтишник - и как об этом люди догадываются? Впрочем, про это писал уже как-то раньше.

В общем, она оставила нам номер телефона и сказала написать, если мы вдруг надумаем. Двинулись дальше - к счастью, прямо перед оживлённой частью города собачка вдруг понеслась назад, вероятно, поняв, что тут уже делать нечего. Думаю, что она действительно жила в той мини-деревне и просто соскучилась по хозяевам, которые были где-нибудь на работе.

Казалось бы, маленький эпизод, деталь из далёкого прошлого, а почему-то вспомнилось. Забавно. https://www.youtube.com/watch?v=SBOVkptjJhE

📟 Прилетело из @dev_in_ruby_colors

Роудмап: Как стать аудитором смарт контрактов. Часть 2. Первичное знакомство с аудитом

Далее, после того, как мы изучили базовые контракты и стандарты, лучше всего будет продолжить свой путь с задач Capture The Flag - CTF.

4. Прохождение CTF

Открою вам маленький секрет: вовсе не обязательно самому решать эти задачи, можно просто сразу смотреть ответы на них.

В самом начале пути мы может не представлять себе, что такое "баг" или уязвимость вообще. Другими словами, решение таких задач будет как "ищу то, не знаю что, не знаю где и как". И с помощью разбора CTF задач нам важно получить два скилла:

1. Умение читать и понимать контракты;
2. Понимание базовых проблем в протоколах;

И в последнее время я все больше убеждаюсь, что понимание контрактов и протокола в целом, куда важнее для поиска багов, чем знание каких-либо паттернов.

Тут необходимо научиться изучать код контракта буквально на детали:

1. Отслеживать движение токенов;
2. Отслеживать, кто является msg.sender при вызовах функций;
3. Отслеживать несоответствия стандартам EIP;
4. Отслеживать изменения в памяти контракта, его переменных состояния;

Как понять для себя, что вы разобрались в контракте? Попробуйте на листке бумаги или в отдельном файле просто накидать его архитектуру и функции: что за что отвечает, что сохраняет и зачем это вообще надо. Справились? Супер, значит вы поняли суть контракта.

Подсматривая ответы и разбирая их, вы учитесь осознавать, что в любом контракте есть проблемы. И с каждой новой задачей вы будете учиться либо новому багу, либо их комбинации.

Правда, не старайтесь решать такие задачи с нулевыми знаниями. Смотрите ответы и учитесь. Так будет гораздо быстрее. А искать проблемы лучше уже на боевых конкурсных аудитах. Но об этом позже.

Буквально за один месяц, разбирая по одной-две задачи в день, можно научиться поиску многих базовых проблем. На данный момент я бы рекомендовал следующие CTF задачи:

1. https://capturetheether.com/
2. https://ethernaut.openzeppelin.com/
3. https://www.damnvulnerabledefi.xyz/
4. https://cryptozombies.io/
5. https://speedrunethereum.com/
6. https://ciphershastra.com/
7. https://mrstealyocrypto.xyz/
8. https://cryptohack.org/challenges/
9. https://www.defihack.xyz/
10. https://etherhack.positive.com/#/
11. https://www.ctfprotocol.com/
12. https://github.com/minaminao/ctf-blockchain/

В обязательно порядке я бы порекомендовал пройти первые три. Остальные - на ваше усмотрение и свободное время.

5. Решение задач из сниппетов кода

После того как мы научились базовым уязвимостям в смарт контрактах, можно переходить к упрощенным задачам, в которых показан только участок кода, а не весь контракт. Преимущества таких задач в том, что многие из них были взяты с реальных контрактов, которые проходили конкурсные или соло аудиты. Другими словами, это ваше первое столкновение с профессиональным кодом и подготовка к своему первому аудиту.

Достаточно много задач по уровням вы можете найти тут:

https://auditprofile.xyz/challenges.php

либо на Твиттер аккаунте Шерлока, которые на момент ноября-декабря этого года, практически каждую неделю выставляют новую задачу, например:

https://x.com/sherlockdefi/status/1860668335777775786

С такими задачами вы сможете научиться видеть в коде то, чего нет, а быть должно! Так, к слову, вы начнете понимать, какие проверки могут потребовать в данном случае, какое несоответствие стандарту, где забыли обновить память контракта, и т.д.

6. Понимание чеклистов и weird erc20

Weird ERC20 Tokens - это сборник описаний токенов одного стандарта, но с разными поведениями при вызовах. Одни могут брать комиссию за перевод, другие менять балансы пользователей, третьи не возвращать ответ после трансфера и много чего еще. Всего на данный момент описано около 20 не стандартных поведений. Все их можно и нужно прочитать тут:

https://github.com/d-xo/weird-erc20

Как лучше работать с ними, чтобы понять потенциальную проблему?

📟 Прилетело из @solidityset

Есть такой прекрасный сайт - Solodit.xyz - который собрал многие отчеты с конкурсных платформ и от частных аудиторов. Когда вы откроете его, в левой части экрана будет располагаться фильтр и поиск. С помощью него можно искать проблемы с различными токенами.

Например, вы вбиваете в поиск "fee-on-transfer" и медленно, вникая в проблему, начинаете изучать отчет. Так можно пройтись по всему списку Weird и научиться находить проблемы, связанные с разными токенами.

Вместе с токенами и Solodit можно начать потихоньку разбирать некоторые чеклисты с описанием багов и моментов, на которые стоит обращать внимание при аудите.

Вообще не переживайте, если что-то будет не понятно. Зачастую такие чеклисты пишутся разработчиками для разработчиков, или продвинутыми аудиторами для коллег. Там часто бывают недосказанности в пунктах. И их можно спокойно пропускать.

Для своего обучения можно пройтись по следующим чеклистам:

1. https://solodit.xyz/checklist
2. https://betterprogramming.pub/the-ultimate-100-point-checklist-before-sending-your-smart-contract-for-audit-af9a5b5d95d0
3. https://github.com/0xJuancito/multichain-auditor
4. https://github.com/spearbit/portfolio/blob/master/content/bridges/BridgeSecurityChecklist.md
5. https://x.com/sigp_io/status/1703363387592462633?s=20
6. https://officercia.mirror.xyz/d798TVQyA1ALq3qr1R9vvujdF7x-erXxK2wQWwbgRKY
7. https://github.com/Decurity/audit-checklists/blob/master/lsd.md
8. https://www.beirao.xyz/blog/Security-checklist
9. https://docs.layerzero.network/v1/developers/troubleshooting/integration-checklist
10. https://github.com/aviggiano/security/blob/main/audit-checklists/ERC-4337.md
11. https://github.com/crytic/building-secure-contracts/blob/master/development-guidelines/guidelines.md

Эти три пункта могут занять у вас месяц и более, но точно помогут лучше разобраться в уязвимостях и современных багах.

В следующей части мы поговорим, как продолжить свое обучение и начать принимать участие в конкурсах.

#audit

📟 Прилетело из @solidityset

В это воскресенье 1 декабря мы выложим инфу, как создать с нуля миниаппы и привлекать пользователей бесплатно.

Это все будет в формате текстового вебинара, главная цель которого рассказать об интенсиве, который мы для вас подготовили))))))

Все будет происходить в том самом загадочном канале, который мы закроем ближе к выходным.

В целом, если на интенсив пофиг, все равно подписывайтесь, ибо там будет полезный контент.

Увидимся
https://news.1rj.ru/str/+Qqx5AGQ8IThiZDMy

📟 Прилетело из @danokhlopkov

Урок 2

TypeScript с нуля до блокчейна | console.log(), точка с запятой, переменные и константы

Ссылка на видео
Методичка в notion: Hello world!!

Добро пожаловать на второй урок по JS/TS. В этом уроке мы узнаем что делает console.log(), когда нужно ставить точку с запятой (а когда можно не ставить), узнаем как писать комментарии к коду, научимся правильно создавать и называть переменные и константы

00:00 - что будем делать
00:56 - console.log()
03:22 - точка с запятой
09:05 - комментарии в JS/TS
13:23 - создание переменных
18:02 - strict mode
19:59 - var VS let
20:50 - константы в JS/TS
25:27 - как называть переменные в JS/TS
28:35 - ссылка на практику
28:59 - итоги

📟 Прилетело из @semolina_code_python

Добавил рагчек в парсер, кстати удобно и пишет по факту

https://news.1rj.ru/str/+HOD3iovL3Jc1Mzg8

Лфг в общем

📟 Прилетело из @vpoiskahgema

Роудмап: Как стать аудитором смарт контрактов. Часть 3. Боевое крещение

Ну, и завершаем наш роудмап для начинающего аудитора парой дополнительных пунктов.

7. Чтение отчетов прошедших конкурсных аудитов

Вообще читать отчеты по прошедшим аудитам я бы рекомендовал не только всем аудиторам, но и разработчикам, создающим уникальный протокол.

С помощью таких отчетов вы научитесь сразу нескольким вещам:

1. Понимать современные уязвимости;
2. Писать отчеты;
3. Разбирать доказательства багов (PoC);

Самый первый вопрос, который мне задавали: а как выбирать отчет для изучения, ведь я не знаю протокол и, скорее всего, не пойму проблему?

В это нет ничего страшного или сложного.

В отчетах бывают как простые примеры уязвимостей, которые вы сможете понять просто взглянув на код, так и уникальные для протокола. Баги из второго вида вы можете спокойно пропускать или же попытаться вникнуть, если планируете поучаствовать в следующем конкурсном аудите этого же проекта.

Будет также здорово, если заведете для себя файл/таблицу, куда будете записывать интересные для себя уязвимости. Вам будет намного проще вспоминать примеры или формулировки для своих бедующих конкурсов с помощью таких файлов.

Также, еще один отличный вариант практики для начинающего аудитора будет поиск похожих уязвимостей на Solodit. Например, вы встретили баг с темой некорректных подписей RC712, и тут же нашли еще 5 примеров, которые записали в свою таблицу.

Я бы назвал следующие темы багов популярными в современных аудитах:

1. Подписи;
2. Прокси и обновляемые контракты;
3. Интеграция с Uniswap v2/v3;
4. Различия l2 сетей, в частности zk synk и base;
5. Математические операции: потеря точности при делении, округление вверх/вниз;
6. Timelock и governance;

В целом, вы можете сразу зайти на Solodit и разобрать для себя по 10 багов каждого пункта. Так вы получите первый опыт чтения репортов и начнете вести файл.

8. Участие в конкурсах и разбор протоколов

А тут самый первый вопрос будет: "Какую платформу выбрать для новичка?".

В Твиттере был прекрасный пост от пользователя Flint, который написал небольшой обзор на современные платформу. И далее пойдет перевод этого поста.

1. Code4rena : «Нежный гигант»

Изначальная конкурсная платформа, которая зажгла искру для всей индустрии web3-аудита, @code4rena приняла на работу тысячи и тысячи новых аудиторов и остается известным всем именем. Под руководством всегда приветливого sockdrawermoney, C4 продолжает внедрять новые продукты и идеи почти ежемесячно.

Преимущества:

- Наиболее зрелая платформа с установленными правилами и процедурами.
- Постоянный поток новых конкурсов.
- Пригласительные аудиты и Про-лига для лучших аудиторов.
- Солидная судейская репутация и единственная платформа, позволяющая вызывать трибунал, чтобы оспорить решение судьи.

Недостатки:

- Крайне переполненная площадка, 1000+ заявок на один конкурс - очень частое явление.
- Единственная платформа, где вы можете иметь 3 высоких и 2 средних балла и все равно не заработать достаточно, чтобы купить бургер в McDonalds.
- Пока вы не получите доступ за кулисы, вы не сможете присоединиться к PJQA и убедиться, что ваши заявки не были признаны недействительными по ошибке.

2. CodeHawks: "Занятие в школе"

Нельзя говорить о CodeHawks, не обсуждая Cyfrin Audits. Основанная Патриком Коллинсом и Алексом Роаном, компания Cyfrin является одновременно аудиторской, конкурсной и образовательной платформой. Сочетание солидных курсов от Cyfrin Updraft с «Первыми полетами» не вызывает сомнений, что это лучшее место для обучения.

Преимущества:

- «Первые полеты», обучающие аудиты, которые CH предлагает на ежемесячной основе, - отличный способ начать участвовать в конкурсах.
- Более мягкая платформа с меньшей конкуренцией, поскольку у высококвалифицированных аудиторов нет стимула фокусироваться исключительно на CH.

Недостатки:

📟 Прилетело из @solidityset

#комментарии - дайджест.

Сегодня будет короткий, и большая часть статей на Русском.

Но начну с Англоязычных:
1. Генезис HYPE от Hyperliquid!
Завтра в 07:30 UTC начнётся claim их выпущенного токена.
О проекте писал как-то обзор.
Распределение:
• 38,888% на будущие эмиссии и вознаграждения сообщества
• 31,0% к распределению генезиса
• 23,8% нынешним и будущим основным вкладчикам
• 6,0% в бюджет Hyper Foundation
• 0,3% на общественные гранты
• 0,012% к HIP-2
Что команде 6% хорошо, но кто такие основные вкладчики непонятно - им существенная часть суммы тоже.
Но, конечно, сообществу круто распределяют!

2. Keystore Rollup: революционное изменение взаимодействия смарт-аккаунтов.
Статья от Safe о планируемой функции:
L-2 сети Ethereum, единственной задачей которой будет хранение ключей смарт-аккаунтов, чтоб они могли быть едиными для всех Ethereum сетей.

3. Микро-индекс из супер-пыли.
Находите токены в Debank, которые практически ничего не стоят, копируете их адреса, добавляете в Envelop и создаёте WNFT индекс.
Короткая, понятная статья.
Как говорит автор:
"пыль с кошелька исчезла: и глаза не мозолит и полезную функцию выполняет".
А токены некоторые могут ведь всё же сильно вырасти...

4. Человек как часть техно- и ноосферы. И как целое.
Если кратко, Web 3.0, по мнению автора, позволяет человечеству выходить в космос, так как текущие технологии в нём и около него (ИИ, DePin) могут работать где угодно (хоть на Земле, хоть на другой планете в другой звёздной системе).
Много раз мы могли читать пример, что Bitcoin благодаря своей одноранговой сети способен работать и на других планетах, а затем со скоростью света связываться с землёй. Да: это будет оочень медленно, но факт в том, что такая связь возможна...

5. Всё, что нужно знать о ценовых оракулах в DeFi.
Важная статья, так как рынок иногда манипулируем: например, актив ликвидного стейкинга может сильно просесть из-за паники на рынке (допустим, многие выходят в ETH из-за суда над Lido). Это небольшое падение может привести к ликвидации при использовании протоколом кредитования рыночного оракула.
Там, где информация открыта, стоит изучать самостоятельно (примеры в статье), а где инфу об оракуле получить сложно - узнавайте в Дискорде.
Ценовой оракул же надёжнее, т. к. опирается на обеспечение актива.
Хотя тут тоже есть свои недостатки: взломы протоколов, массовые выводы и пр. происшествия, с которыми работает оракул, могут также привести к ликвидации. Рынок же может в таких случаях запоздало реагировать.
Если разбираетесь в эксплорерах, можете ограничиться заключением.

Всё. Благодарю за внимание. Хорошего дня!

А завтра будет пост с обзором одного интересного бота.
Он вряд ли даст вам прибыль в токенах, вряд ли запустит его вообще. Но это отличный помощник во многом, что бы вы не делали в web3!

Канал (подписаться), Чат | бот | Поддержать донатом

📟 Прилетело из @blind_dev