Вредоносные плагины в VScode

Недавно в Твиттере один из аудиторов выложил список вредоносных плагинов, которые нацелены именно на разработчиков web3. Будьте аккуратны и удалите, если установили их ранее.

#vscode

📟 Прилетело из @solidityset

👧 На суши и девочек

Сегодня наш постоянный зритель задал правильный вопрос - а зачем (с точки зрения школьника 10-12 лет) вообще учить всякие нудные математики, химии и иностранные языки, если под рукой ИИ, а через 5-10 лет он будет вообще в каждом утюге? Это правильный и непростой вопрос, друзья. Периодически я задумываюсь и сам о вопросе мотивации, о том, зачем вообще делать нечто, если, в общем-то, этого можно и не делать. Ну, из последнего (в рамках перевода книги) - подсчёт костей в оторванной ноге и перевод всех протоколов вскрытия посередь ночи. Случай, конечно, редкий, но всё же. Можно же и не заниматься этим? Можно

В общем, всё-таки хочется поговорить об этом как-нибудь. Может, устроим беседу по тему на неделе, если буду себя более-менее нормально чувствовать https://www.youtube.com/watch?v=TlETg5LrAec&list=PLEpfc0uyT8lDDUfjSLRjpQKFScNzEW1PD&index=7

📟 Прилетело из @dev_in_ruby_colors

☕️ На кофе

Итоги Q4 & 2024 года

[+] Отобрал и понял для себя небольшой набор идей, которые отрабатываю/хочу отработать.

[+] Зафармлен YoBit дропчик. Результат порадовал, особенно учитывая отсутствие крупных профитов с момента листинга EIGEN. Не лайфчендж, конечно, но было приятно получить стейблов под нг. Я как их биржу увидел, сразу понял, что гем.

[+] Вторую часть декабря провел на метеоре. Набрал статистику и опыт, получил уверенность и понимание. Теперь залетаю в рисковые пулы, подбираю стратегию под ситуацию. Спасибо приватке LEX'a, там собрались самые лютые и прошаренные дегены.

[•] После неудачного сейла Fuel (раунд, к которому я готовился, отменили + не дали залететь скриптом) в очередной раз убедился, что надо избегать любой активности, где есть снг толпа.


[-] Из-за лени и прокрастинации упустил проект, который хотел отработать. Пока рано делать выводы, но потенциально не заработано довольно много.




Этот год могу назвать одним из лучших в своей жизни. Наконец начали достигаться цели, есть ощущение, что я на правильном пути. Подводя итоги для себя осознал (и убедился на деле), что ~70% дохода — мои собственные (или не собственные, но андер радар) идеи: Altlayer, Eigenlayer, Yobit. Ещё ~30% составляют флипы и написание софтов (зп или процент). А идеи, которые я пытался повторять за всеми, в лучшем случае вышли в 0 (посчитать точно невозможно, думаю даже в минус).


Советую и вам расписать какие-то итоги, если таким ещё не занимаетесь. Проанализировать произошедшее за год, понять, чего вы хотите и как конкретно этого добьетесь. Достигнете ли желаемого через 5-10 лет, если будете делать всё так, как сейчас. Полезное занятие, помогающее не свернуть с пути.

Для себя понял, что действуя как сейчас, поставленной цели достичь будет трудно. Сделал вывод, что каждый проект надо отрабатывать как последний и каждый может принести лайфчендж. Если не делать по максимуму и не искать лазейки, шансы на достижение моих целей минимальны.

Всем лайфченджа в новом году, а тем, у кого он есть, стабильных +15% до пятницы.

📟 Прилетело из @findmeonchain

👧 На суши и девочек

Чекаем дроп от Jupiter

Проверить свои кошельки можно ТУТ

Сайт вроде пока лежит, у меня везде по нулям

📟 Прилетело из @hidden_coding

📟 На серваки

МЯУ ПИДОР НО ТРИ ЮАНЯ НАСЫПАЛ, ЧЕКАЕМ ㅤ

Марсель печатает...

JUPITER CHECKER
— Выписывает eligible и not eligible кошельки
— Считает суммарное количество токенов
— Работает через адреса

GOGOGOGO:
@jupiter_checker_bot
@jupiter_checker_bot
@jupiter_checker_bot

📟 Прилетело из @marcelkow_crypto

👧 На суши и девочек

Как генерация приватных ключей стала болью

Абсолютно каждый, кто хотя бы раз пользовался crypto - первым делом сталкивался с сид-фразой или приватным ключом при создании кошелька

Тебе дают этот ключ, и ты спокойно считаешь, что этот кусочек кода надежно защитит твои средства. Но системы, на которых все строится, далеко не всегда идеальны

Milk Sad Disclosure
Учитывая степень развития разработки по сравнению с 14-15 годом и ранее, удивляешься, как такая оплошность, как в Libbitcoin Explorer могла вообще всплыть аж в 22 году

Консольная команда bx seed, в Libbitcoin Explorer версиями 3.x использует генератор псевдослучайных чисел - Mersenne Twister (PRNG), инициализированный 32 битами системного времени.

// Что забавно, популярная документация “Mastering Bitcoin” тоже предлагает использование bx seed для генерации кошельков

Вы вообще понимаете что это значит? о_0

Безопасная криптография предполагает использование огромных, не поддающихся угадыванию, чисел. Если генератор приватного ключа слаб - почти во всех случаях результаты генерации будут скомпрометированы.

А в случае с Milk Sad, приватный ключ базировался на 32-битном временном сиде
Т.е в момент генерации брался timestamp (буквально - какое сейчас время на компе) и переводился в 32-й битный приватный ключ
Git с кодом

В этом случае практическая безопасность кошелька снижается с 256 бит до всего лишь 32 бит неизвестной ключевой информации.

32-битное ключевое пространство - это 2^32, или 4,294,967,296 различных уникальных комбинаций.
Для понимания - неплохим игровым пк такое значение перебирается всего лишь за сутки

А почему уязвимость назвали "Milk Sad"?
Запуск bx seed на версиях 3.x с системным временем 0.0 всегда генерирует следующую сид фразу: "milk sad wage cup reward umbrella...."

Основная кража произошла в 2023 году, хотя первоначальная эксплуатация, вероятно, началась еще раньше. Но все же, не так много денег было украдено, предположительно +-1M$

Но это только начало безумия

📟 Прилетело из @lang_crypto

☕️ На кофе

Brain Wallet и кража миллионов $

В эпоху зарождения крипто-мира, были и свои кошельки, решающие проблему "доступности" пользования новыми технологий для неопытных пользователей.
Одним из них, и был - Brain Wallet

Юзер экспириенс в ранее время crypto вызывал действительно восторг: нет никаких файлов, никаких папок - все удобно, классно

Как же он работал?
1. Пользователь придумывает текстовую фразу (например, "I love lang.eth")
2. Фраза проходит через хэш-функцию (обычно SHA-256), которая преобразует её в 256-битный хэш
3. Полученный хэш использовался как приватный ключ

Негативная сторона такой простоты

Хотя алгоритм SHA-256 надежен для криптографии, но он не был разработан для защиты паролей. Его высокая скорость и публичность методов генерации в кошельке Brain Wallet делает этот конкретный сценарий невероятно уязвимым к брутфорс атакам

brut force атака проста как мир. Вы, как злоумышленник знаете:
- Алгоритм генерации приватного ключа
- О том, что у кошелька огромная база пользователей
- Люди склонны выбирать легко запоминающиеся и предсказуемые пароли, которые можно подобрать

На конкретном примере смоделируем этот случай

Для "брутфорс" атаки в ручном режиме нам потребуется этот сайт - это реализация механизма в точности, как в BrainWallet.
Вводишь пароль - выдает адрес кошелька

И вот как вы думаете, какая вероятность руками найти любой кошелек с транзакциями?

100% - это шок

Первым делом проверяем пароль: "password" и находим этот кошелек. На нем 45к транзакций, на него было получено и выведено 0,35BTC

Или другие пароли:
- "bitcoin", получено 0,17BTC - Кошелек
- "123", получено 0,08BTC - Кошелек
- "1", получено 0,21BTC - Кошелек

Буквально первое что пришло в голову и везде была какая-то история транзакций..

Brain Wallet пользовался высоким спросом в 2010-2014 году так как:
- Один из первых инструментов для генерации приватных ключей
- Пользователи могли просто помнить фразу, вместо хранения файлов или сложных записей

Действия атакующих в далеком 2015 так же просты

- В любом захолустье интернета находили базы слитых паролей или вовсе генерировали их вручную
- Выкачивали историю блокчейна
- Прогоняли каждый возможный пароль через софт и проверяли наличие адреса в скачанной БД
- Как находились кошельки с балансом - моментально все выводили
- Ставили автовывод на все будущие переводы от владельца

Сложно представить и точно оценить ущерб данной уязвимости так как невозможно найти все кошельки, созданные через этот кошелек

Но для понимания, есть интересный факт - группа исследователей в 2015 году нашли и изучили 18к уязвимых адресов. И было установлено, что потери составили более 100M$ в эквиваленте на тот момент

По некоторым оценкам, общая сумма украденных средств из-за уязвимости может превышать 300M$. Но я бы спокойно умножал ее как минимум на 2

У меня все.

📟 Прилетело из @lang_crypto

☕️ На кофе

Wallet checker

git pull

v2.5.0

* Перенос airdrop-checker в wallet-checker. Теперь все следующие чекеры дропов будут выходить в wallet-checker, отдельный репозиторий уходит в архив, теперь все в одном месте. Доступен в консоли и веб версии.
Первый чекер в новом формате Jupiter;
* Points - новый раздел, где будут чекеры поинтов в разных проектах, пока добавил Zerion XP, можете предлагать свои;
* Eclipse - добавил подсчет объема, поправил парсинг транзакций, теперь не ограничены 40;
* Различные улучшения и фиксы интерфейса веб версии;
* Быстрый запуск веб версии - в корне чекера есть файл start.bat (только для windows), он обновит чекер до последней версии, запустит веб версию и откроет браузер;

📟 Прилетело из @by_munris

📟 На серваки

Jupiter antydrain

Думаю всё понятно, буду сражаться за ваши кровные на солане. Пишите в личку @PngLoverrr

📟 Прилетело из @python_web3

☕️ На кофе

Wallet checker

Самая простая установка софта, которую вы когда либо видели. Собрал в скрипт все, что нужно для работы чекера - проверит наличие NodeJS, git и установит, если их нет. Скачает софт, если его нет, обновит на последнюю версию, установит нужные зависимости, вам остается только добавить прокси, адреса в нужные файлы и настроить конфиг под себя. Внимательно читайте, что пишет скрипт, он попросит заполнить прокси/адреса и после нажатия Enter запустит веб версию.
Скрипт можно так же использовать для обновления софта.

Windows

powershell -Command "Invoke-WebRequest -Uri 'https://munris.tech/install-windows.ps1' -OutFile 'install-windows.ps1'"
Set-ExecutionPolicy Bypass -Scope Process -Force
.\install-windows.ps1

MacOS/Linux

curl -O https://munris.tech/install.sh && chmod +x install.sh && bash install.sh

📟 Прилетело из @by_munris

☕️ На кофе

⚡️Jup Checker

📌 Information:
• Поддержка Mnemonic/PKey/Address
• Проверка на доступную аллокацию
• Проверка на то, сдрейнили-ли безвозвратно ваш кошелек, или нет (смена авторити)

Для запуска чекера в формате .exe - по ссылке выше справа есть вкладка Releases, в ней скачиваете release.zip, и в нем лежит готовый .exe файл

❤️ Donate (any EVM chain) - 0xDEADf12DE9A24b47Da0a43E1bA70B8972F5296F2
❤️ Donate (SOL) - 2Fw2wh1pN77ELg6sWnn5cZrTDCK5ibfnKymTuCXL8sPX
❤️ Donate (TRX) - TEAmkvFXJ6N6wzN4aS3HtgiM7XhnwRrtkW

📥 DL | 📢 FAQ | 💬 CHAT | 🔰ANTIDRAIN | 🔗 PROXY | 💵 MEXC

📟 Прилетело из @n4z4v0d

👧 На суши и девочек

Web3.js признали поражение и прекращают поддержку проекта 🫡

https://x.com/web3_js/status/1879544624756269334?s=46

📟 Прилетело из @insuline_eth

👧 На суши и девочек

$JUP AntiDrain
Jupiter анонсировали чекер дропа
Дата клейма еще не анонсирована
Скрипт на чекер - *клик*

Если ваш кошелек был украден и на нем стоит Авто-Вывод, то команда Degen Software готова помощь вам в этом

У нас уже было три успешных кейса на подобных клеймах:
• WormHole — 45000 $W (success ~95%)
• TNSR — 25000 $TNSR (success ~95%)
• GRASS — 23156 $GRASS (success ~95%)

Что требуется от вас:
• Предоставить приватный ключ кошелька, который доступен для клейма дропа, и не имеет уже смененный Authority (скрипт выше проверяет всё это)

Правила (обяз. к прочтению):
• Не отправляйте кошельки, которые не подходят под критерии дропа, я их просто пропущу
• Не отправляйте кошельки, на которых уже сменили Authority (проверяйте чекером выше), я их просто пропущу

Условия работы:
• В случае УСПЕШНОГО клейма дропа команда забирает себе 30% от ваших токенов!
• Отправка ваших токенов на ваши кошельки займет Время! Это будет проходить НЕ МОМЕНТАЛЬНО

Обратите внимание:
• Мы не даем никаких гарантий на успешность клейма этого дропа
• Кто первый отправит приватные ключи, тому в случае УСПЕХА и будут отправлены токены, никаких выяснений о том, кто же на самом деле владелец кошелька ПРОХОДИТЬ НЕ БУДЕТ

Подача заявок на АнтиДрейн - https://forms.gle/L9NifVigLB7MxUmo8
Подача заявок на АнтиДрейн - https://forms.gle/L9NifVigLB7MxUmo8
Подача заявок на АнтиДрейн - https://forms.gle/L9NifVigLB7MxUmo8

📟 Прилетело из @n4z4v0d

👧 На суши и девочек

⚡️Jup Checker | UPD v.0.0.2
AntiDrain этого проекта - https://news.1rj.ru/str/antidrain_me/88

📌 Information:
• Пофиксил кривой парсинг Authority, речекните все свои кошельки еще раз!
• Пофиксил мелкие ошибки

Для запуска чекера в формате .exe - по ссылке выше справа есть вкладка Releases, в ней скачиваете release.zip, и в нем лежит готовый .exe файл

❤️ Donate (any EVM chain) - 0xDEADf12DE9A24b47Da0a43E1bA70B8972F5296F2
❤️ Donate (SOL) - 2Fw2wh1pN77ELg6sWnn5cZrTDCK5ibfnKymTuCXL8sPX
❤️ Donate (TRX) - TEAmkvFXJ6N6wzN4aS3HtgiM7XhnwRrtkW

📥 DL | 📢 FAQ | 💬 CHAT | 🔰ANTIDRAIN | 🔗 PROXY | 💵 MEXC

📟 Прилетело из @n4z4v0d

🍣 На суши

PAWS - наконец-то выпустили чекер, можете понтоваться кто сколько вынес.

Jupiter - также выпустили чекер дропа, под условия попадают те кто пользовался их платформой, стейкал и участвовал в голосованиях. (Если пользовались кошельком Phantom и свапали через него, то скорее всего тоже элигбл)

PudgyPenguins - кто еще не прочекал все свои солана и етх кошельки, то бегом чекать сюда

EtherFi - можно застейкать свои ETH и BTC и фармить поинты в 6 проектах сразу (BERA, Kodiak, Dolomite, Goldilocks, EtherFi, Veda).
Ссылка для eth - тут
Ссылка для btc - тут

PIN AI - упоминал о нем в чате, проект собрал $10kk финансирования. (надеюсь что это новая Vana)

Gradient Network - продолжаем активно фармить поинты проекта.

DappRadar - запустили второй сезон фарма. Нужно выполнять квесты и собирать EXP, а также клеймить дейли ревард. За прошлый сезон народ налутал по 50-100$ на акк.

channel | chat

📟 Прилетело из @petyasofts

📟 На серваки