10 часов аудита, 1 High и $606

Вчера пришли результаты одного из конкурсов, с площадки CodeHawks. Мне засчитали 1 находку из 7, оценив ее в 606 USDC. Не плохо, но могло быть и лучше.

Вот несколько моментов, которые я вынес для себя из результатов конкурса:

1. Подавай все, что считаешь валидным. Я уже писал за этот пункт и сам попался на него. Тогда я читал правила и отчеты с Шерлока, готовясь к конкурсу на их платформе, где проблемы с реорганизацией сети, форками с chainId и временными метками в подписях чаще всего признавались не валидными. И почему-то, решил, что и на CH будет так же. В итоге я просто не отправил два отчета, которые... сюрприз, оказались валидными тут. В общем, не делайте за судей их работу, и подавайте все, что считаете нужным.

2. Читайте описание протокола в конкурсе и его документацию. Меня интересовала практика "быстрее разобраться в коде", поэтому на описание и документация я забил. Один High был найден как раз из понимания документации и как должен работать протокол.

3. Лучше валидируйте свои находки. На один отчет я потратил не так много времени, не корректно описав ход исполнения функции. На это указал судья - кстати, еще один способ обучения (на codehawks и c4 судьи пишут, почему твоя находка не валидна, что помогает учится). Из-за этого в комментариях я указал на другую проблему в коде, но так как это было уже вне конкурса, понятное дело, находку не засчитали.

В итоге, только 1 High про невозможность обновлять прокси.

Единственное, что не понял, почему засчитали эту находку: https://codehawks.cyfrin.io/c/2024-11-one-world/s/885

Я много раз видел в протоколах такую функцию с такими же проверками и реализацией. И формулировка: "Манипулирование msg.value может привести к непреднамеренным изменениям состояния, неудачным внешним вызовам или даже потере средств, если логика контракта зависит от количества Эфира, отправленного с транзакцией." - на мой взгляд слишком размыта и не определенна. Более того, хакеру пришлось бы отсылать свой собственный Эфир для атаки... В общем, тут я бы оставил только Info статус, а не Low баг.

Этим постом я хочу сказать, что вам не нужно ждать, когда вы научитесь всем багам и уязвимостям и начнете находить все 100% проблем в протоколах. Даже за один-два бага вы можете получить некоторую сумму за несколько часов работы.

На с4 будут сразу два небольших конкурса, заходите и пробуйте!

#audit

📟 Прилетело из @solidityset

Сегодня вечером 🤓 (через 2.5 часа) https://youtube.com/live/Tn_3tXP4nAM?feature=share

📟 Прилетело из @dev_in_ruby_colors

https://news.1rj.ru/str/degens_cartel
Тигр 🐅

📟 Прилетело из @NobodySay1

софт от моего друга для смены пароля и контрольного вопроса Рамблер почты

https://news.1rj.ru/str/ploxo_spal/13

📟 Прилетело из @cum_insider

Обнова WheelOfWhales 🔄

Давненько не было постов о обновах, заработались - исправляемся. Наш дев постарался и обновил бота на WheelOfWhales 🥸

Ссылка на бота - ТЫК 👈

🔧 Что нового?

🟢Добавлена автоматическая игра в TokenFlip (раз в пол дня - день).
🟢Автоматическое подключение кошельков переписано на Python.
🟢Новая версия кошельков - v4R2 (были v3R1).

🫡 Рекомендации:

🟢Удалить старый файл connected_wallets.txt (на всякий случай перед этим сделать бэкап).
🟢В .env указать RECONNECT_WALLETS = True.
🟢Запустить скрипт, дождаться пока новые кошельки подключатся.
🟢Выключить скрипт, в .env указать RECONNECT_WALLETS = False.

❗️Также установите новые зависимости:

Windows - pip install -r requirements.txt, Linux - pip3 install -r requirements.txt

Чат | Помощь | Market
Aero25x x.com | Aero25x GitHub

📟 Прилетело из @hidden_coding

Проекты в телеграмме бьют все рекорды.

Дуров пилит огромное количество фич для мини апов.
Недавно появились свои мини апки у крупнейших бирж Binance (5M MAU), Bitget (2,6M MAU)
Mantle (от Bybit) в коллаборации с Catizen уже успели привлечь 1м+ платящих пользователей.

Именно поэтому, мы с командой и приглашенными экспертами создали для вас интенсив по билдингу ТМА с нуля до первых денег.

На текстовом вебинаре было написано 18 страниц, почему этот интенсив — лучшее решение для всех, кто планирует развивать своего тгбота в 2025.

Об этом сказала и конверсия из заявки в оплату 66% (93 оплаты из 140 заявок).
Хотя про интенсив знало меньше 10% нашей аудитории.

Сегодня последний день специальной цены. Все детали тут.

📟 Прилетело из @danokhlopkov

А вот мой плейлист отборной вокалоидщины:

https://open.spotify.com/playlist/1pNQ7b4KWjI1PGG3UVzznL?si=GfLhLv3MS7-gSG3lUxbBTg&pi=e-GckjptEeTnWX

📟 Прилетело из @cum_insider

#комментарии - дайджест:

1. Анонс токеномики $GLS.
Это токен Glacier network, которой пользовался.
В начале это была децентрализованная база данных, а недавно начали разрабатывать функционал для нейронных сетей. В частности, появился Glacier chat banch, где можно давать запросы, получать ответы от двух моделей и выбирать лучшую.
Есть и верификационные ноды, но моя по крайней мере что-то не одной верификации не сделала ещё...
Частью проекта являются GlacierAI (нейронная сеть), GlacierDB и GlacierDA (уровень данных).
Всего 1 МЛРД токенов будет, а на TGE - 78,5 МЛН.
Распределение:
- Angel Round: 70,000,000 (7%) - 5% на TGE с разблокировкой в течение 18 месяцев
- Pre-Seed Round: 90,000,000 (9%) - 10% на TGE с разблокировкой в течение 15 месяцев,
- Seed Round: 30,000,000 (3%) - 20% на TGE с разлоком в течение 15 месяцев,
- Public Sale: 60,000,000 (6%) - 100% на TGE
- Node Rewards: 200,000,000 (20%) - 0% на TGE с разблокировкой в течение 48 месяцев,
- Founding Team & Advisors: 240,000,000 (24%) - 0% на TGE с разлоком в течение 60 месяцев,
- Ecosystem & Treasury: 300,000,000 (30%) - 0% на TGE с разлоком в течение 48 месяцев.
- Community Rewards: 10,000,000 (1%) - 0% на TGE с разлоком в течение 15 месяцев.
Команде и инвесторам как-то многовато... Инвесторы получают 25% суммарно, команда - 24%.
Ютилити: стейкинг и управление, доступ к сервисам, комиссии за транзакции, рост экосистемы и вознаграждения, доступ к будущим инновациям.

2. CrossCurve: глубокое погружение в кроссчейн ликвидность.
В этой статье рассказывается, как это приложение от Eywa решает проблему фрагментации ликвидности со сравнением с другими проектами.
В частности, рассмотрены нативные и сторонние мосты (они не решают проблему фрагментированности, т. к. токены блокируются в соответствующих сетях, и не связаны друг с другом при обменах), Omnichain tokens (создаются в мостах и несут риски их взлома, не приняты сообществом Ethereum и используют пулы ликвидности в дорогой Ethereum L-1), сети намерений (Решатели из-за неэффективности существующей инфраструктуры перекладывают издержки на пользователей, да и в случае перемещения токенов все равно им нужна ликвидность в пулах выбранной сети).
Eywa же создали единый хабчейн, где активы всех блокчейнов будут торговаться в одном мегапуле ликвидности. Это позволяет объединить ликвидность разных сетей, устраняя фрагментацию и повышая доступность активов.
Есть Thorchain, но там используются AMM-пулы, которые менее эффективны по сравнению с концентрированной ликвидностью, подобной Curve finance.
Но недостатком является то, что они есть лишь в EVM сетях.
Для безопасности же будет использоваться Consensus bridge, объединяющий несколько кроссчейн протоколов передачи данных для валидации переводов.
Ve(3,3) позволяет направлять награды провайдерам ликвидности пулов, которым нужна ликвидность.
Всё же Eywa не до конца решает проблему фрагментации: её отсутствие ограничено ликвидностью в проекте...

3. Мнение про $AI16Z (не моё).
Это ДАО-венчурный фонд под управлением ИИ. Флагманским продуктом проекта является фреймворк с открытым кодом ELIZA, а токен $ai16z - инструмент для инвестирования и владения долями в фонде.
Важно, что проекты с ИИ-моделями отдают часть при запуске токенов $AI16Z.
Из статьи узнал, что их создано уже 200.
Очевидные риски: Высокий риск возможен из-за появления новых конкурентов, форков, риска блокировки платформы или значительной зависимости от текущей команды.
Также ДАО может оказаться неэффективным, т. к. сейчас капитализация в 40 раз больше обслуживаемой суммы токенов (6 МЛН $ против 240 МЛН $ капы).

4. Мнение про будущее Starknet (не моё).
L-2 стейкинг (уже запущен) для децентрализации сети, высокий уровень TPs и блоки раз в две секунды, запуск Kakarot mainnet на Starknet (возможность использования EVM в Старкнете), снижение комиссий и меньшая зависимость от Blob Ethereum, масштабирование Bitcoin вместе с Эфиром.

Всё. Благодарю за внимание. Хорошего дня!

Канал (подписаться), Чат | бот | Поддержать донатом

📟 Прилетело из @blind_dev

SOPHON начал процесс KYC для держателей нод. Особо инфы об этом не видел, поэтому не пропустите. Украина и Россия не в бане.

Проходить тут: https://guardian.sophon.xyz/

___________________________________________

Также завтра в 13:00 по МСК будет проходить сейл нод от ICN (Impossible Cloud Network). Ближе к делу (за час-два) выложу скрипт. В этот раз есть изменения в структуре сейла, но надеюсь всё пройдет гладко.
Очень много нод первого тира, шансы забрать их довольно велики. Если правильно понимаю, FDV первого тира около 60M при курсе эфира в $3800.

Сам пока не знаю буду ли брать, хоть и выглядит дешево для рабочего проекта. Всё же покупка нод — история потенциально долгая, подходит скорее хайбанкам.

📟 Прилетело из @findmeonchain