📌 Changelog:
- Добавлен Debank L2 Checker (beta), проверяет внутренний L2 баланс Debank (работа по pkeys/mnemonics)
- Добавлен Rabby Gas Account Checker (beta), проверяет баланс Gas Account в Rabby Wallet (работа по pkeys/mnemonics)
📟 Прилетело из @n4z4v0d
- Добавлен Debank L2 Checker (beta), проверяет внутренний L2 баланс Debank (работа по pkeys/mnemonics)
- Добавлен Rabby Gas Account Checker (beta), проверяет баланс Gas Account в Rabby Wallet (работа по pkeys/mnemonics)
📟 Прилетело из @n4z4v0d
3 часа до клейма Monad 💜
О новости клейма писал тут и говорил встать в очередь на клейм тут. Хз чего ожидать, ведь под дроп попали кошельки совсем не взаимодействующие с самим монадом 😄, никаких новостей о самом листинге я не вижу, что забавляет еще больше. В общем ожиданий нет, просто не пропустите клейм.
Напоминаю, клейм тут - https://claim.monad.xyz/
Чат | Support | Market
Pelican | HiddenCode [EN]
📟 Прилетело из @hidden_coding
О новости клейма писал тут и говорил встать в очередь на клейм тут. Хз чего ожидать, ведь под дроп попали кошельки совсем не взаимодействующие с самим монадом 😄, никаких новостей о самом листинге я не вижу, что забавляет еще больше. В общем ожиданий нет, просто не пропустите клейм.
Напоминаю, клейм тут - https://claim.monad.xyz/
Чат | Support | Market
Pelican | HiddenCode [EN]
📟 Прилетело из @hidden_coding
Недурно!
Если остальные три бокса будут +- такими же, то получится вкусно!
Чат | Support | Market
Pelican | HiddenCode [EN]
📟 Прилетело из @hidden_coding
Если остальные три бокса будут +- такими же, то получится вкусно!
Чат | Support | Market
Pelican | HiddenCode [EN]
📟 Прилетело из @hidden_coding
Тут в боте InFlake запускают скоро турнир в честь Хэлоуина.
Напомню, что это бот, где вы можете собирать карты Telegram каналов, прокачивать их и участвовать в турнирах.
А когда их нет - в PVP.
Запустить.
Предлагаю принять участие в скором турнире (он будет через 2 дня и 20 часов) с шансом получить награды во внутренних ресурсах и, насколько понял, Telegram подарках.
Вот код на 5 активаций на пак с 1 редкой ивентовой картой:
Вводите его на главной по кнопке "Секретный код PVP".
P. S. Прошу не активировать, если не планируете использовать.
Хотелось бы, чтоб ими пользовались по настоящему активные подписчики, кому интересна такая игра.
P. P. S. Сам участвую практически во всём функционале (кроме режима битвы - слишком долгий по времени).
А про токеномику (экономику токена) одного из интересных новых проектов напишу завтра.
😎 Незрячий web3 программист (подписаться)
Чат | бот
📟 Прилетело из @blind_dev
Напомню, что это бот, где вы можете собирать карты Telegram каналов, прокачивать их и участвовать в турнирах.
А когда их нет - в PVP.
Запустить.
Предлагаю принять участие в скором турнире (он будет через 2 дня и 20 часов) с шансом получить награды во внутренних ресурсах и, насколько понял, Telegram подарках.
Вот код на 5 активаций на пак с 1 редкой ивентовой картой:
INFHELKJI6G12JВводите его на главной по кнопке "Секретный код PVP".
P. S. Прошу не активировать, если не планируете использовать.
Хотелось бы, чтоб ими пользовались по настоящему активные подписчики, кому интересна такая игра.
P. P. S. Сам участвую практически во всём функционале (кроме режима битвы - слишком долгий по времени).
А про токеномику (экономику токена) одного из интересных новых проектов напишу завтра.
😎 Незрячий web3 программист (подписаться)
Чат | бот
📟 Прилетело из @blind_dev
Развитие языка Solidity в скором будущем
Разработка Solidity входит в новую фазу. Долгое время команда сознательно ограничивала добавление новых функций в Classic Solidity, стремясь не усложнять его реализацию и не создавать архитектурных решений, которые могли бы помешать развитию Core Solidity — нового концепта языка. Язык находился в состоянии мягкой заморозки, поскольку основное внимание уделялось ускоренному созданию Core Solidity, где многие функции могли бы быть реализованы эффективнее — либо через стандартную библиотеку, либо как "синтаксический сахар" (буквальная цитата из статьи).
Однако по мере того как Core Solidity оформился в отдельный подпроект со своей собственной дорожной картой, подход к Classic Solidity был пересмотрен. Теперь планируется внедрение ограниченного набора новых языковых возможностей, которые не противоречат долгосрочной архитектуре Core Solidity. В ближайшее время будет опубликован список таких функций с оценкой их сложности, полезности и совместимости с будущим языком. Хотя не все из них успеют попасть в Classic Solidity до перехода на Core, многие из них считаются необходимыми для экосистемы в целом.
Ближайший релиз — версия 0.9 — не принесёт крупных новых возможностей. Его основная цель — упрощение и очистка кодовой базы. В частности, будет завершён переход на IR-конвейер, оптимизатор станет включённым по умолчанию, а поддержка устаревших функций, таких как .send(), .transfer() и виртуальные модификаторы, будет удалена. Также SMTChecker потеряет поддержку BMC и будет переименован в SolCMC. Эти шаги направлены на снижение технического долга и подготовку основы для будущих изменений.
В последующих версиях, начиная с 0.10, изменения будут ориентированы на сближение Classic Solidity с Core Solidity. Это включает постепенное внедрение нового синтаксиса: постфиксную запись типов, переработанный тернарный оператор, упрощённую нотацию функциональных типов, а также замену «магических» свойств обычными функциями. Параллельно будет заложена заглушка стандартной библиотеки, реализующая часть встроенных возможностей на уровне языка, с поддержкой пользовательских замен.
Особое внимание уделяется взаимодействию между Classic и Core Solidity. Планируется создать единый интерфейс компиляции, позволяющий использовать оба языка в одном проекте. На первом этапе контракты останутся независимыми, но их артефакты будут объединяться в общий выход компилятора. На втором этапе станет возможным импортировать и вызывать свободные функции, события, ошибки и типы между языками, что обеспечит плавный переход и гибкость при разработке.
Core Solidity представляет собой фундаментальное обновление системы типов Solidity с заимствованиями из функциональных и системных языков, таких как Haskell, Rust и Zig. Большинство высокоуровневых конструкций Classic Solidity станут частью стандартной библиотеки, а сам язык будет десахаризироваться в минималистичный внутренний язык SAIL. Он поддерживает параметрический полиморфизм, траиты, вывод типов, алгебраические типы и сопоставление с образцом — всё это создаёт основу для строгой формальной верификации и надёжной разработки.
Стандартная библиотека Core Solidity изначально будет минимальной, чтобы снизить нагрузку на компилятор и упростить его поддержку. Однако её дальнейшее развитие планируется осуществлять через открытый, управляемый сообществом процесс, аналогичный EIP. Это позволит расширять язык не через изменения компилятора, а через библиотечные решения, что делает экосистему более гибкой и адаптивной.
Наконец, Core Solidity создаётся с прицелом на формальную спецификацию. В отличие от Classic Solidity, который страдает от отсутствия чёткой семантики, новый язык достаточно компактен для полной формализации. Планируется предоставить исполняемую спецификацию, которая послужит эталонной реализацией и инструментом для верификации. Это также поможет избежать фрагментации: все компиляторы смогут следовать единой спецификации, конкурируя по качеству оптимизаций и реализации библиотек, а не по интерпретации языка.
#solidity
📟 Прилетело из @solidityset
Разработка Solidity входит в новую фазу. Долгое время команда сознательно ограничивала добавление новых функций в Classic Solidity, стремясь не усложнять его реализацию и не создавать архитектурных решений, которые могли бы помешать развитию Core Solidity — нового концепта языка. Язык находился в состоянии мягкой заморозки, поскольку основное внимание уделялось ускоренному созданию Core Solidity, где многие функции могли бы быть реализованы эффективнее — либо через стандартную библиотеку, либо как "синтаксический сахар" (буквальная цитата из статьи).
Однако по мере того как Core Solidity оформился в отдельный подпроект со своей собственной дорожной картой, подход к Classic Solidity был пересмотрен. Теперь планируется внедрение ограниченного набора новых языковых возможностей, которые не противоречат долгосрочной архитектуре Core Solidity. В ближайшее время будет опубликован список таких функций с оценкой их сложности, полезности и совместимости с будущим языком. Хотя не все из них успеют попасть в Classic Solidity до перехода на Core, многие из них считаются необходимыми для экосистемы в целом.
Ближайший релиз — версия 0.9 — не принесёт крупных новых возможностей. Его основная цель — упрощение и очистка кодовой базы. В частности, будет завершён переход на IR-конвейер, оптимизатор станет включённым по умолчанию, а поддержка устаревших функций, таких как .send(), .transfer() и виртуальные модификаторы, будет удалена. Также SMTChecker потеряет поддержку BMC и будет переименован в SolCMC. Эти шаги направлены на снижение технического долга и подготовку основы для будущих изменений.
В последующих версиях, начиная с 0.10, изменения будут ориентированы на сближение Classic Solidity с Core Solidity. Это включает постепенное внедрение нового синтаксиса: постфиксную запись типов, переработанный тернарный оператор, упрощённую нотацию функциональных типов, а также замену «магических» свойств обычными функциями. Параллельно будет заложена заглушка стандартной библиотеки, реализующая часть встроенных возможностей на уровне языка, с поддержкой пользовательских замен.
Особое внимание уделяется взаимодействию между Classic и Core Solidity. Планируется создать единый интерфейс компиляции, позволяющий использовать оба языка в одном проекте. На первом этапе контракты останутся независимыми, но их артефакты будут объединяться в общий выход компилятора. На втором этапе станет возможным импортировать и вызывать свободные функции, события, ошибки и типы между языками, что обеспечит плавный переход и гибкость при разработке.
Core Solidity представляет собой фундаментальное обновление системы типов Solidity с заимствованиями из функциональных и системных языков, таких как Haskell, Rust и Zig. Большинство высокоуровневых конструкций Classic Solidity станут частью стандартной библиотеки, а сам язык будет десахаризироваться в минималистичный внутренний язык SAIL. Он поддерживает параметрический полиморфизм, траиты, вывод типов, алгебраические типы и сопоставление с образцом — всё это создаёт основу для строгой формальной верификации и надёжной разработки.
Стандартная библиотека Core Solidity изначально будет минимальной, чтобы снизить нагрузку на компилятор и упростить его поддержку. Однако её дальнейшее развитие планируется осуществлять через открытый, управляемый сообществом процесс, аналогичный EIP. Это позволит расширять язык не через изменения компилятора, а через библиотечные решения, что делает экосистему более гибкой и адаптивной.
Наконец, Core Solidity создаётся с прицелом на формальную спецификацию. В отличие от Classic Solidity, который страдает от отсутствия чёткой семантики, новый язык достаточно компактен для полной формализации. Планируется предоставить исполняемую спецификацию, которая послужит эталонной реализацией и инструментом для верификации. Это также поможет избежать фрагментации: все компиляторы смогут следовать единой спецификации, конкурируя по качеству оптимизаций и реализации библиотек, а не по интерпретации языка.
#solidity
📟 Прилетело из @solidityset
Перспективы токена Vultisig $VULT через призму токеномики.
Vultisig - кошелёк, который позволяет создать более безопасный приватный ключ, который подписывается с двух устройств (своеобразный 2Fa).
Источник по токеномике: документация и X проекта.
Аллокации
Общий объём: 100 000 000 $VULT.
1. Launch Liquidity - 35% (35 млн)
Это токены, выделенные на ликвидность.
Внутри этих 35%:
- 24% участвуют в создании пула ликвидности (LP позиция). Эта LP-позиция связана с инвесторами и залочена на 1 год. Это не их «свободные токены», а токены, помещённые в LP, которые нельзя просто продать.
- До 11% добавляется в пул из казны (Treasury). Эти токены также остаются внутри LP.
Сам Treasury используется на партнёрства, стимулирование роста и маркетинг. Он не выделен в Allocations как отдельная категория, так как используется именно для создания ликвидности.
2. Investors - 30% (30 млн)
Это много. Нормально, когда инвесторы получают до 10%.
Здесь 30%, и эти токены разблокированы сразу.
Инвесторы заходили по оценке проекта ~70 млн FDV.
Во время whitelist цена на Uniswap была разогнана выше 1$ (FDV > 100 млн).
То есть инвесторы получили окно для фиксации прибыли уже в первые сутки.
3. Team - 17.3% (17.3 млн)
Тоже выше нормы (обычно до 10%), но распределено на несколько лет.
У команды линейный разлок на 4 года — примерно 0.36% в месяц.
4. WEWE → VULT Merge (IOU / Claim) - 10% (10 млн)
Конвертация старого токена в новый. Всё доступно на TGE.
5. Airdrop - 6% (6 млн)
Пользователям кошелька за холд (по поинтам). Выдаётся сезонами (4+1).
6. CoinMarketCap Accelerator - 1.7% (1.7 млн)
Партнёрство.
Разлок через 1 год.
Эмиссия фиксированная, токен можно сжигать. Новых токенов не будет.
Разлоки
После TGE оставшиеся категории разблокируются плавно.
Примерная скорость разлока после TGE: около 0.4 - 0.6% в месяц (команда + airdrop + оставшийся treasury).
Что произошло после TGE
На Uniswap был создан пул ликвидности с FDV ~3 млн.
Первые сутки покупка была доступна только whitelist-пользователям.
Пока доступ для всех был закрыт, цена выросла примерно до 1.2$ (FDV > 100 млн).
То есть:
- инвесторы получили 30% токенов сразу
- цена выросла с ~0.7$ (их цена покупки) до ~1.2$
- это дало им возможность фиксировать прибыль сразу после открытия рынка
Результат — падение цены примерно на -79.7% от пика.
Ютилити токена $VULT
1. Стейкинг
Холдеры получают часть дохода от экосистемы:
- свапы: 50 bps
- кроссчейн/IBC-бриджи: 10 bps
- marketplace (плагины и AI агенты): 30% выручки
2. Скидки на комиссии
Если держать токены внутри Vultisig Vault:
Bronze — 1 000 токенов — скидка 10 bps
Silver — 2 500 токенов — скидка 20 bps
Gold — 5 000 токенов — скидка 30 bps
Platinum — 10 000 токенов — скидка 35 bps
3. Доступ к премиум функциям
Marketplace плагинов, AI-агенты, расширенные возможности приложения.
4. Использование в росте экосистемы
Airdrop, стимулирование разработчиков, привлечение TVL.
Итог
Токеномика плохая, так как на TGE инвесторы смогли зафиксировать сразу прибыль, обрушив цену.
У $VULT есть утилита (скидки, доход от комиссий, marketplace), но стартовая структура распределения создала сильное давление на цену.
Как вам $VULT? Владеете ли? И пользовались / пользуетесь ли Vultisig?
Напишите в комментариях.
P. S. Пояснения для тех, кто недавно пришёл, и не понимает:
1. Токеномика - экономика токена.
2. Токен - цифровая монета в блокчейне.
3. Блокчейн - цепочка блоков с транзакциями (переводы и прочим).
4. Аллокация - выделение определённой категории участников проекта.
Если остались ещё непонятные термины / вопросы, также можете их писать в комменты - подскажу.
😎 Незрячий web3 программист (подписаться)
Чат | бот
📟 Прилетело из @blind_dev
Vultisig - кошелёк, который позволяет создать более безопасный приватный ключ, который подписывается с двух устройств (своеобразный 2Fa).
Источник по токеномике: документация и X проекта.
Аллокации
Общий объём: 100 000 000 $VULT.
1. Launch Liquidity - 35% (35 млн)
Это токены, выделенные на ликвидность.
Внутри этих 35%:
- 24% участвуют в создании пула ликвидности (LP позиция). Эта LP-позиция связана с инвесторами и залочена на 1 год. Это не их «свободные токены», а токены, помещённые в LP, которые нельзя просто продать.
- До 11% добавляется в пул из казны (Treasury). Эти токены также остаются внутри LP.
Сам Treasury используется на партнёрства, стимулирование роста и маркетинг. Он не выделен в Allocations как отдельная категория, так как используется именно для создания ликвидности.
2. Investors - 30% (30 млн)
Это много. Нормально, когда инвесторы получают до 10%.
Здесь 30%, и эти токены разблокированы сразу.
Инвесторы заходили по оценке проекта ~70 млн FDV.
Во время whitelist цена на Uniswap была разогнана выше 1$ (FDV > 100 млн).
То есть инвесторы получили окно для фиксации прибыли уже в первые сутки.
3. Team - 17.3% (17.3 млн)
Тоже выше нормы (обычно до 10%), но распределено на несколько лет.
У команды линейный разлок на 4 года — примерно 0.36% в месяц.
4. WEWE → VULT Merge (IOU / Claim) - 10% (10 млн)
Конвертация старого токена в новый. Всё доступно на TGE.
5. Airdrop - 6% (6 млн)
Пользователям кошелька за холд (по поинтам). Выдаётся сезонами (4+1).
6. CoinMarketCap Accelerator - 1.7% (1.7 млн)
Партнёрство.
Разлок через 1 год.
Эмиссия фиксированная, токен можно сжигать. Новых токенов не будет.
Разлоки
После TGE оставшиеся категории разблокируются плавно.
Примерная скорость разлока после TGE: около 0.4 - 0.6% в месяц (команда + airdrop + оставшийся treasury).
Что произошло после TGE
На Uniswap был создан пул ликвидности с FDV ~3 млн.
Первые сутки покупка была доступна только whitelist-пользователям.
Пока доступ для всех был закрыт, цена выросла примерно до 1.2$ (FDV > 100 млн).
То есть:
- инвесторы получили 30% токенов сразу
- цена выросла с ~0.7$ (их цена покупки) до ~1.2$
- это дало им возможность фиксировать прибыль сразу после открытия рынка
Результат — падение цены примерно на -79.7% от пика.
Ютилити токена $VULT
1. Стейкинг
Холдеры получают часть дохода от экосистемы:
- свапы: 50 bps
- кроссчейн/IBC-бриджи: 10 bps
- marketplace (плагины и AI агенты): 30% выручки
2. Скидки на комиссии
Если держать токены внутри Vultisig Vault:
Bronze — 1 000 токенов — скидка 10 bps
Silver — 2 500 токенов — скидка 20 bps
Gold — 5 000 токенов — скидка 30 bps
Platinum — 10 000 токенов — скидка 35 bps
3. Доступ к премиум функциям
Marketplace плагинов, AI-агенты, расширенные возможности приложения.
4. Использование в росте экосистемы
Airdrop, стимулирование разработчиков, привлечение TVL.
Итог
Токеномика плохая, так как на TGE инвесторы смогли зафиксировать сразу прибыль, обрушив цену.
У $VULT есть утилита (скидки, доход от комиссий, marketplace), но стартовая структура распределения создала сильное давление на цену.
Как вам $VULT? Владеете ли? И пользовались / пользуетесь ли Vultisig?
Напишите в комментариях.
P. S. Пояснения для тех, кто недавно пришёл, и не понимает:
1. Токеномика - экономика токена.
2. Токен - цифровая монета в блокчейне.
3. Блокчейн - цепочка блоков с транзакциями (переводы и прочим).
4. Аллокация - выделение определённой категории участников проекта.
Если остались ещё непонятные термины / вопросы, также можете их писать в комменты - подскажу.
😎 Незрячий web3 программист (подписаться)
Чат | бот
📟 Прилетело из @blind_dev
Насколько доступен для незрячих интерфейс Open Academy (Telegram Mini App)? Разбираю в статье. Также даю рекомендации по улучшению удобства использования - как для незрячих, так и для обычных пользователей.
Я давно слежу за Open Academy и считаю, что идея классная: обучение финансам прямо в Telegram.
Они сделали мини-приложение с курсами, квестами и заданиями, а также игру Royale.
Поэтому решил сделать обзор доступности интерфейса, чтобы команда могла улучшить продукт.
Если кратко:
Большинство разделов доступны, но есть UX-моменты, где незрячий пользователь "теряется".
Приведу несколько примеров:
1. У кнопок с иконками часто нет названий (скринридер озвучивает "кнопка"): закрытие модалок, кнопки листания историй, кнопка поиска, кнопки уроков.
2. При открытии модалок курсор не переводится внутрь окна. Приходится вручную искать, что они появились.
3. В процессе обучения слишком много вложенных модальных окон:
окно со списком уроков, окно с информацией после клика по кнопке урока, окно со слайдами, окно с завершением после их прохождения.
4. Контент уроков (изображения с текстом) недоступен - скринридер видит что-то типа "графика info block 1008".
Из предложений по улучшению:
- Добавить aria-label на кнопки и alt на изображения.
- Делать структуру заголовков (h2 → h3), чтобы можно было удобно перемещаться.
- tabIndex и .focus() - переводить курсор в модалку при открытии.
- Упростить процесс обучения - убрать лишние модальные окна.
- Добавить распознавание текста изображений (AI OCR) для слайдов уроков.
Порадовало:
✔ Квизы — доступны и озвучиваются корректно.
✔ Royale-игра доступна примерно на 90%.
📄 Читать статью на Teletype.
Буду рад распространению статьи: это важно для увеличения моей популярности.
P. S. В OA запустили курс по Bitget wallet.
До 3 ноября вы можете принять участие и получить сертификат + призы (500 USD, 500 OA и ончейн сертификат).
Открыть курс и изучать..
Хорошего дня!
😎 Незрячий web3 программист (подписаться)
Чат | бот
📟 Прилетело из @blind_dev
Я давно слежу за Open Academy и считаю, что идея классная: обучение финансам прямо в Telegram.
Они сделали мини-приложение с курсами, квестами и заданиями, а также игру Royale.
Поэтому решил сделать обзор доступности интерфейса, чтобы команда могла улучшить продукт.
Если кратко:
Большинство разделов доступны, но есть UX-моменты, где незрячий пользователь "теряется".
Приведу несколько примеров:
1. У кнопок с иконками часто нет названий (скринридер озвучивает "кнопка"): закрытие модалок, кнопки листания историй, кнопка поиска, кнопки уроков.
2. При открытии модалок курсор не переводится внутрь окна. Приходится вручную искать, что они появились.
3. В процессе обучения слишком много вложенных модальных окон:
окно со списком уроков, окно с информацией после клика по кнопке урока, окно со слайдами, окно с завершением после их прохождения.
4. Контент уроков (изображения с текстом) недоступен - скринридер видит что-то типа "графика info block 1008".
Из предложений по улучшению:
- Добавить aria-label на кнопки и alt на изображения.
- Делать структуру заголовков (h2 → h3), чтобы можно было удобно перемещаться.
- tabIndex и .focus() - переводить курсор в модалку при открытии.
- Упростить процесс обучения - убрать лишние модальные окна.
- Добавить распознавание текста изображений (AI OCR) для слайдов уроков.
Порадовало:
✔ Квизы — доступны и озвучиваются корректно.
✔ Royale-игра доступна примерно на 90%.
📄 Читать статью на Teletype.
Буду рад распространению статьи: это важно для увеличения моей популярности.
P. S. В OA запустили курс по Bitget wallet.
До 3 ноября вы можете принять участие и получить сертификат + призы (500 USD, 500 OA и ончейн сертификат).
Открыть курс и изучать..
Хорошего дня!
😎 Незрячий web3 программист (подписаться)
Чат | бот
📟 Прилетело из @blind_dev
OpenAI анонсировала Aardvark
Вчера OpenAI анонсировала Aardvark — автономного агентного исследователя безопасности, основанного на GPT‑5. Эта система призвана изменить подход к обнаружению и устранению уязвимостей в программном обеспечении, смещая баланс в пользу защитников. В условиях, когда ежегодно выявляется десятки тысяч новых уязвимостей, своевременное обнаружение и исправление критических ошибок становится вопросом не только качества кода, но и общей кибербезопасности инфраструктуры.
Aardvark представляет собой прорыв на стыке искусственного интеллекта и информационной безопасности. В отличие от традиционных методов анализа, таких как фаззинг или анализ состава программного обеспечения, Aardvark использует рассуждения на основе крупной языковой модели и взаимодействие с инструментами. Агент имитирует работу человека-исследователя: читает код, анализирует его поведение, пишет и запускает тесты, а также использует внешние утилиты для подтверждения своих выводов.
Процесс работы Aardvark построен на многоэтапном конвейере. На первом этапе система строит модель угроз для репозитория, отражая понимание его архитектуры и целей безопасности. Затем она отслеживает коммиты в реальном времени, сопоставляя изменения с общей моделью и выявляя потенциальные уязвимости. При первом подключении репозитория Aardvark также анализирует всю историю коммитов, чтобы обнаружить уже существующие проблемы.
Каждая найденная уязвимость сопровождается пошаговым объяснением и аннотациями к коду для последующего ручного анализа. Чтобы минимизировать ложные срабатывания, Aardvark пытается воспроизвести уязвимость в изолированной среде. Это позволяет подтвердить её эксплуатируемость и повысить достоверность выводов. Такой подход обеспечивает высокое качество отчётов и снижает нагрузку на команды безопасности.
После подтверждения уязвимости Aardvark автоматически генерирует патч с помощью интеграции с OpenAI Codex. Этот патч проходит дополнительную проверку самим агентом и прикрепляется к отчёту для быстрого применения разработчиками. Весь процесс встроен в существующие рабочие процессы — в частности, через GitHub — и не замедляет цикл разработки, предоставляя при этом конкретные и выполнимые рекомендации.
Помимо классических уязвимостей, Aardvark способен выявлять логические ошибки, неполные исправления и проблемы с конфиденциальностью. За несколько месяцев внутреннего использования в OpenAI и у внешних партнёров система уже обнаружила значимые уязвимости, включая сложные случаи, возникающие только при определённых условиях. В тестах на эталонных репозиториях Aardvark показал 92% полноты обнаружения как реальных, так и искусственно внесённых уязвимостей.
Особое внимание уделяется открытому программному обеспечению. Aardvark уже помог выявить и ответственно раскрыть десятки уязвимостей в open-source проектах, десять из которых получили идентификаторы CVE. OpenAI планирует предоставлять бесплатное сканирование для некоммерческих open-source репозиториев, внося вклад в безопасность всей экосистемы. При этом компания обновила политику раскрытия уязвимостей, сделав её более гибкой и ориентированной на сотрудничество с разработчиками.
Программное обеспечение стало основой современной инфраструктуры, а каждая уязвимость — потенциальной угрозой для бизнеса и общества. Согласно данным OpenAI, около 1,2% коммитов вносят ошибки, которые могут иметь серьёзные последствия. Aardvark предлагает новый, ориентированный на защиту подход: непрерывный, масштабируемый и интегрированный в процесс разработки. Сейчас система доступна в частной бете, и OpenAI приглашает организации и open-source проекты к участию для дальнейшего улучшения её возможностей.
#ai
📟 Прилетело из @solidityset
Вчера OpenAI анонсировала Aardvark — автономного агентного исследователя безопасности, основанного на GPT‑5. Эта система призвана изменить подход к обнаружению и устранению уязвимостей в программном обеспечении, смещая баланс в пользу защитников. В условиях, когда ежегодно выявляется десятки тысяч новых уязвимостей, своевременное обнаружение и исправление критических ошибок становится вопросом не только качества кода, но и общей кибербезопасности инфраструктуры.
Aardvark представляет собой прорыв на стыке искусственного интеллекта и информационной безопасности. В отличие от традиционных методов анализа, таких как фаззинг или анализ состава программного обеспечения, Aardvark использует рассуждения на основе крупной языковой модели и взаимодействие с инструментами. Агент имитирует работу человека-исследователя: читает код, анализирует его поведение, пишет и запускает тесты, а также использует внешние утилиты для подтверждения своих выводов.
Процесс работы Aardvark построен на многоэтапном конвейере. На первом этапе система строит модель угроз для репозитория, отражая понимание его архитектуры и целей безопасности. Затем она отслеживает коммиты в реальном времени, сопоставляя изменения с общей моделью и выявляя потенциальные уязвимости. При первом подключении репозитория Aardvark также анализирует всю историю коммитов, чтобы обнаружить уже существующие проблемы.
Каждая найденная уязвимость сопровождается пошаговым объяснением и аннотациями к коду для последующего ручного анализа. Чтобы минимизировать ложные срабатывания, Aardvark пытается воспроизвести уязвимость в изолированной среде. Это позволяет подтвердить её эксплуатируемость и повысить достоверность выводов. Такой подход обеспечивает высокое качество отчётов и снижает нагрузку на команды безопасности.
После подтверждения уязвимости Aardvark автоматически генерирует патч с помощью интеграции с OpenAI Codex. Этот патч проходит дополнительную проверку самим агентом и прикрепляется к отчёту для быстрого применения разработчиками. Весь процесс встроен в существующие рабочие процессы — в частности, через GitHub — и не замедляет цикл разработки, предоставляя при этом конкретные и выполнимые рекомендации.
Помимо классических уязвимостей, Aardvark способен выявлять логические ошибки, неполные исправления и проблемы с конфиденциальностью. За несколько месяцев внутреннего использования в OpenAI и у внешних партнёров система уже обнаружила значимые уязвимости, включая сложные случаи, возникающие только при определённых условиях. В тестах на эталонных репозиториях Aardvark показал 92% полноты обнаружения как реальных, так и искусственно внесённых уязвимостей.
Особое внимание уделяется открытому программному обеспечению. Aardvark уже помог выявить и ответственно раскрыть десятки уязвимостей в open-source проектах, десять из которых получили идентификаторы CVE. OpenAI планирует предоставлять бесплатное сканирование для некоммерческих open-source репозиториев, внося вклад в безопасность всей экосистемы. При этом компания обновила политику раскрытия уязвимостей, сделав её более гибкой и ориентированной на сотрудничество с разработчиками.
Программное обеспечение стало основой современной инфраструктуры, а каждая уязвимость — потенциальной угрозой для бизнеса и общества. Согласно данным OpenAI, около 1,2% коммитов вносят ошибки, которые могут иметь серьёзные последствия. Aardvark предлагает новый, ориентированный на защиту подход: непрерывный, масштабируемый и интегрированный в процесс разработки. Сейчас система доступна в частной бете, и OpenAI приглашает организации и open-source проекты к участию для дальнейшего улучшения её возможностей.
#ai
📟 Прилетело из @solidityset
Подведем итоги октября
Публикации:
Наконец-то разберем самые важные инструменты для старта в web3-разработке
то, что ты искал
С нуля до Solana Разработчика - запущен закрытый канал по Solana
Самый лучший блокчейн для старта в web3 разработке
С нуля до Ethereum к 2026
Guide Dao x Олимп
С нуля до Ethereum | Старт
Как Разобраться с базой крипты? Альфа Сайт
Видео
ХОЧЕШЬ ПИСАТЬ КРИПТО-СОФТ? НАЧНИ С ЭТОГО
Все о крипто-софтах за 30 секунд
ВСЕ О КРИПТО НОДАХ ЗА 5 МИНУТ!
Сегодня также разберем успехи на Олимпе!
📟 Прилетело из @code_vartcall
Публикации:
Наконец-то разберем самые важные инструменты для старта в web3-разработке
то, что ты искал
С нуля до Solana Разработчика - запущен закрытый канал по Solana
Самый лучший блокчейн для старта в web3 разработке
С нуля до Ethereum к 2026
Guide Dao x Олимп
С нуля до Ethereum | Старт
Как Разобраться с базой крипты? Альфа Сайт
Видео
ХОЧЕШЬ ПИСАТЬ КРИПТО-СОФТ? НАЧНИ С ЭТОГО
Все о крипто-софтах за 30 секунд
ВСЕ О КРИПТО НОДАХ ЗА 5 МИНУТ!
Сегодня также разберем успехи на Олимпе!
📟 Прилетело из @code_vartcall
Разберем, что произошло за эти 30 дней
История появления олимпа
Наш Старт в WEB3 | Python Edition
JAVASCRIPT С НУЛЯ | БАЗА
С нуля до Ethereum до 2026
С нуля до EVM: Неделя 1
- КАК НАЧАТЬ В ЯЗЫКИ ПРОГРАММИРОВАНИЯ
Самые важные компоненты языков программирования
С нуля до WEB3 - Неделя 2
- Разбираем Транзакции в Ethereum с Нуля
Ethereum Транзакции и их виды
Благодарю всех, кто присоединился!
Продолжаем познавать web3!!
📟 Прилетело из @code_vartcall
Please open Telegram to view this post
VIEW IN TELEGRAM
Создам Telegram бота, будучи незрячим.
Привет. Меня зовут Денис. Я - незрячий программист: создаю Telegram ботов и анализирую проекты в криптосфере.
Ниже напишу, чем вам могу быть полезен.
Создам Telegram ботов для решения ваших задач.
Что можно сделать при помощи бота?
1. Систему лояльности. Пользователь общается в чате и получает баллы. Покупает товар или услугу, сканирует QR-код или отправляет ссылку, получает скидочные баллы.
2. Упрощение общения с клиентами. Использование для этого искусственного интеллекта, который будет отвечать на вопросы пользователей за вас. В случае отсутствия ответа будет переводить на живого оператора.
3. Каталог. Товары или услуги в боте с возможностью связи с вами для заказа.
Этапы работы:
- Изучаю заполненный вами бриф - он позволит определить ваши пожелания по функционалу бота и структуре меню. Без брифа чаще всего возникают недопонимания между заказчиком и исполнителем. Он будет состоять из десяти вопросов о вашем бизнесе, функционале и целях создания Telegram бота.
- Реализую. Срок: от двух недель. Во время работы сверяюсь с брифом для максимальной точности.
- Тестируем. Если соответствует брифу недочёт, исправляю. Это позволит избежать неточностей в работе или ошибок. Благодаря этому после сдачи заказа вам не придётся тратить время на правки или исправления ошибок у меня или кого-то ещё.
- Запускаем у вас. Это позволит не зависеть от меня. То есть вы становитесь полноправным владельцем. Нет зависимости от того, буду ли я заниматься ботами и будет ли работать сервер с ними.
Стоимость: 20 000 руб.
Интеграция с внешним сервисом: + 10 000 руб.:
Если в вашем боте нужна интеграция с внешним сервисом, например, GetCourse или платёжной системой, я могу реализовать её за доп. плату.
Результат: вы получите более функциональный продукт, который понравится вашим клиентам.
Для заказа пишите в @blind_dev_contact_bot
😎 Незрячий web3 программист (подписаться)
Чат | бот
📟 Прилетело из @blind_dev
Привет. Меня зовут Денис. Я - незрячий программист: создаю Telegram ботов и анализирую проекты в криптосфере.
Ниже напишу, чем вам могу быть полезен.
Создам Telegram ботов для решения ваших задач.
Что можно сделать при помощи бота?
1. Систему лояльности. Пользователь общается в чате и получает баллы. Покупает товар или услугу, сканирует QR-код или отправляет ссылку, получает скидочные баллы.
2. Упрощение общения с клиентами. Использование для этого искусственного интеллекта, который будет отвечать на вопросы пользователей за вас. В случае отсутствия ответа будет переводить на живого оператора.
3. Каталог. Товары или услуги в боте с возможностью связи с вами для заказа.
Этапы работы:
- Изучаю заполненный вами бриф - он позволит определить ваши пожелания по функционалу бота и структуре меню. Без брифа чаще всего возникают недопонимания между заказчиком и исполнителем. Он будет состоять из десяти вопросов о вашем бизнесе, функционале и целях создания Telegram бота.
- Реализую. Срок: от двух недель. Во время работы сверяюсь с брифом для максимальной точности.
- Тестируем. Если соответствует брифу недочёт, исправляю. Это позволит избежать неточностей в работе или ошибок. Благодаря этому после сдачи заказа вам не придётся тратить время на правки или исправления ошибок у меня или кого-то ещё.
- Запускаем у вас. Это позволит не зависеть от меня. То есть вы становитесь полноправным владельцем. Нет зависимости от того, буду ли я заниматься ботами и будет ли работать сервер с ними.
Стоимость: 20 000 руб.
Интеграция с внешним сервисом: + 10 000 руб.:
Если в вашем боте нужна интеграция с внешним сервисом, например, GetCourse или платёжной системой, я могу реализовать её за доп. плату.
Результат: вы получите более функциональный продукт, который понравится вашим клиентам.
Для заказа пишите в @blind_dev_contact_bot
😎 Незрячий web3 программист (подписаться)
Чат | бот
📟 Прилетело из @blind_dev
Solana с нуля
2025 год подходит к концу, 61 день остался до прекрасного момента как мы вместе с вами соберемся в этом канале, для подведения итогов 2025 года
И чтобы эти 61 день прошли еще красочнее, я делаю последний донабор в наш второй поток обучения Solana
Участие абсолютно бесплатное, главное - ваша заинтересованность и готовность работать
Заполняй форму, если готов:
forms.gle/iKWBefVESm5wZo1k8
forms.gle/iKWBefVESm5wZo1k8
forms.gle/iKWBefVESm5wZo1k8
Дедлайн: Понедельник 11:11 по Киеву
📟 Прилетело из @code_vartcall
2025 год подходит к концу, 61 день остался до прекрасного момента как мы вместе с вами соберемся в этом канале, для подведения итогов 2025 года
И чтобы эти 61 день прошли еще красочнее, я делаю последний донабор в наш второй поток обучения Solana
Участие абсолютно бесплатное, главное - ваша заинтересованность и готовность работать
Заполняй форму, если готов:
forms.gle/iKWBefVESm5wZo1k8
forms.gle/iKWBefVESm5wZo1k8
forms.gle/iKWBefVESm5wZo1k8
Дедлайн: Понедельник 11:11 по Киеву
📟 Прилетело из @code_vartcall
первое правило дата сайнца:
нельзя отойти от компа, пока не запустил что-то обучаться или хотя бы большой SQL считаться.
📟 Прилетело из @danokhlopkov
нельзя отойти от компа, пока не запустил что-то обучаться или хотя бы большой SQL считаться.
📟 Прилетело из @danokhlopkov
Всю прошлую неделю по вечерам я участвовал в 31-FLIP в дискорде битмейкеров от Скриптонита:
▪ выбирается бесплатный трек для семплирования
▪ у тебя есть 31 минута! написать минус с этим семплом (обычно длится 1-2 минуты)
▪ при этом ты стримишь экран и звук через дискорд, жюри иногда заходят и чекают процесс
▪ после все слушают работы, опытные жюри оценивают 1-10 баллами по критериям
▪ в итоге вся катка длится ~60 минут, repeat
У каждого музыканта есть сотни недоделанных треков, которые никто никогда не услышит. Из-за сильного ограничения по времени ты не упарываешься в мелочи, а большими мазками собираешь результат + получаешь фидбек. Чувствую как сильно вырос, хотя формально пишу музыку с 2011.
Типа собирается пати
▪ выбирается рандомно библа с гитхаба с 10к+ звездами и MIT лицензией (можно 3 скипа)
▪ дается 32 минуты придумать и завайбкодить продукт
▪ присылается питч + демо 1 минута макс
▪ все отсматривают питчи, жюри оценивают
Пару раз катнул за вечер — есть два прототипа продукта. Как после хакатона, только не ценою целых выходных.
Я не видел, чтобы кто-то использовал AI инструменты в конкурсе (кроме стем-сплиттера), но в айтишке это уже база, которая даст сильный прирост скорости.
Как вам такой формат? Как бы вы улучшили его? Катнём?)
📟 Прилетело из @danokhlopkov
Please open Telegram to view this post
VIEW IN TELEGRAM
Rug Pull
Буквально «rug pull» означает действие, при котором кто-то внезапно выдергивает коврик из-под ног другого человека, в результате чего тот неожиданно падает.
В сфере децентрализованных финансов (DeFi) rug pull означает мошенничество, при котором разработчики продвигают новый токен или платформу, а затем внезапно выводят ликвидность (LP) или продают свои активы в больших количествах, что приводит к резкому падению стоимости токена.
Это одна из форм «риска централизации». Риск централизации охватывает широкий спектр уязвимостей, таких как контроль одной организацией над обновлениями, функциями приостановки или критическими параметрами. В этой статье мы сосредоточимся конкретно на rug pull с целью вывода средств, когда администраторы используют свои привилегии для вывода средств, внесенных пользователями или хранящихся в протоколе.
Административные роли необходимы для поддержания и обновления протоколов, но предоставление неограниченного доступа к активам создает значительную уязвимость. Если злоумышленник получит контроль над ключом администратора, он сможет вывести средства, фактически осуществив «rug pull», истощив резервы протокола. Даже без злого умысла, скомпрометированный ключ из-за нарушения безопасности может привести к серьезным последствиям, подорвав репутацию протокола и доверие пользователей.
Для того, чтобы снизить этот риск, смарт контракты должны быть разработаны таким образом, чтобы минимизировать влияние скомпрометированной или злонамеренной учетной записи администратора. Это включает в себя ограничение административных привилегий, строгий контроль всех действий администратора и внедрение мер безопасности для предотвращения односторонних или немедленных переводов активов. Административные функции должны рассматриваться как точная хирургическая процедура, необходимая, но тщательно ограниченная безопасным, заранее определенным объемом.
Недавним примером этой уязвимости является инцидент с протоколом Zunami в мае 2025 года, в результате которого было потеряно 500 000 долларов в виде залога zunUSD и zunETH. Согласно rekt.news, это не было сложным взломом с использованием флэш-кредитов или манипуляций с ценами. Скорее, это было простое злоупотребление чрезмерно мощной функцией администратора. Лицо с «доступом в режиме бога» вызвало функцию withdrawStuckToken(), опустошив содержимое хранилища.
Этот инцидент подчеркивает, что некоторые из наиболее разрушительных «взломов» являются результатом злонамеренного или неправомерного использования законных функций контракта авторизованными администраторами. Случай Zunami напоминает нам, что незащищенные аварийные функции могут стать инструментами для злоумышленников, если они не защищены должным образом.
Вот пример того, как злонамеренный или скомпрометированный администратор может опустошить хранилище и осуществить rug pull:
📟 Прилетело из @solidityset
Буквально «rug pull» означает действие, при котором кто-то внезапно выдергивает коврик из-под ног другого человека, в результате чего тот неожиданно падает.
В сфере децентрализованных финансов (DeFi) rug pull означает мошенничество, при котором разработчики продвигают новый токен или платформу, а затем внезапно выводят ликвидность (LP) или продают свои активы в больших количествах, что приводит к резкому падению стоимости токена.
Это одна из форм «риска централизации». Риск централизации охватывает широкий спектр уязвимостей, таких как контроль одной организацией над обновлениями, функциями приостановки или критическими параметрами. В этой статье мы сосредоточимся конкретно на rug pull с целью вывода средств, когда администраторы используют свои привилегии для вывода средств, внесенных пользователями или хранящихся в протоколе.
Административные роли необходимы для поддержания и обновления протоколов, но предоставление неограниченного доступа к активам создает значительную уязвимость. Если злоумышленник получит контроль над ключом администратора, он сможет вывести средства, фактически осуществив «rug pull», истощив резервы протокола. Даже без злого умысла, скомпрометированный ключ из-за нарушения безопасности может привести к серьезным последствиям, подорвав репутацию протокола и доверие пользователей.
Для того, чтобы снизить этот риск, смарт контракты должны быть разработаны таким образом, чтобы минимизировать влияние скомпрометированной или злонамеренной учетной записи администратора. Это включает в себя ограничение административных привилегий, строгий контроль всех действий администратора и внедрение мер безопасности для предотвращения односторонних или немедленных переводов активов. Административные функции должны рассматриваться как точная хирургическая процедура, необходимая, но тщательно ограниченная безопасным, заранее определенным объемом.
Недавним примером этой уязвимости является инцидент с протоколом Zunami в мае 2025 года, в результате которого было потеряно 500 000 долларов в виде залога zunUSD и zunETH. Согласно rekt.news, это не было сложным взломом с использованием флэш-кредитов или манипуляций с ценами. Скорее, это было простое злоупотребление чрезмерно мощной функцией администратора. Лицо с «доступом в режиме бога» вызвало функцию withdrawStuckToken(), опустошив содержимое хранилища.
Этот инцидент подчеркивает, что некоторые из наиболее разрушительных «взломов» являются результатом злонамеренного или неправомерного использования законных функций контракта авторизованными администраторами. Случай Zunami напоминает нам, что незащищенные аварийные функции могут стать инструментами для злоумышленников, если они не защищены должным образом.
Вот пример того, как злонамеренный или скомпрометированный администратор может опустошить хранилище и осуществить rug pull:
📟 Прилетело из @solidityset
// SPDX-License-Identifier: MIT
pragma solidity ^0.8.0;
contract VulnerableVault {
address public admin;
// Maps user addresses to their deposited balances
mapping(address => uint256) public userBalances;
constructor() {
// The deployer of the contract becomes the admin
admin = msg.sender;
}
/// @notice Allows users to deposit Ether into the vault.
/// A 1% fee is applied to the deposit and sent to a fee pool.
function deposit() public payable {
require(msg.value > 0, "Deposit must be greater than zero");
// Calculate 1% fee. This fee theoretically belongs to the protocol.
uint256 fee = msg.value / 100; // 1% of deposited amount
uint256 amountToDeposit = msg.value - fee;
// User's balance is updated with their net deposit.
userBalances[msg.sender] += amountToDeposit;
// The 'fee' part of msg.value remains in the contract's total balance.
// It is not explicitly tracked in a separate variable, which is a design flaw
// if only fees should be withdrawable by admin.
}
/// @notice Allows users to withdraw their deposited funds.
/// @param amount The amount to withdraw.
function withdraw(uint256 amount) public {
require(userBalances[msg.sender] >= amount, "Insufficient balance");
// Decrement user's balance and transfer funds.
userBalances[msg.sender] -= amount;
payable(msg.sender).transfer(amount);
}
/// @notice Admin can withdraw *any* amount from the contract's balance.
/// This is the rug pull vulnerability! This simulates a `withdrawStuckToken()`-like function.
/// @param amount The amount to withdraw from the contract.
function adminRugPullWithdraw(uint256 amount) public {
require(msg.sender == admin, "Admin control required"); // Only admin can call.
// NO checks to ensure 'amount' is only from accrued fees.
// The admin can withdraw any amount up to the contract's total Ether balance (address(this).balance),
// effectively stealing user deposits, as user deposits also contribute to address(this).balance.
// This function treats all funds in the contract as if they are available for the admin to take.
require(address(this).balance >= amount, "Insufficient contract balance for withdrawal");
payable(admin).transfer(amount); // Transfer chosen amount to admin.
}
}
В этом контракте VulnerableVault функция adminRugPullWithdraw позволяет администратору снимать любую сумму эфира с общего баланса контракта. Это критическая уязвимость. Если ключ администратора скомпрометирован или если лицо, контролирующее ключ, решает действовать злонамеренно (как это было поставлено под сомнение в деле Zunami в отношении «внутренней работы»), оно может использовать эту функцию для снятия всего эфира, депонированного в хранилище, включая средства пользователей.
Оператор require только проверяет, что вызывающий является администратором, полностью игнорируя проверку суммы на соответствие тому, что должно быть законно снято (например, только комиссии протокола, а не основная сумма пользователя).
И для того, чтобы снизить эту уязвимость и предотвратить мошенничество, рассмотрите следующие надежные стратегии:
- Ограничьте доступ администратора к определенным средствам: ограничьте любую функцию вывода администратора только средствами, принадлежащими протоколу (например, собранными комиссиями, средствами казны), и никогда не допускайте вывода депозитов пользователей. Депозиты пользователей должны быть доступны для вывода только самим пользователям.
📟 Прилетело из @solidityset
- Внедрение временных блокировок: для любых конфиденциальных административных действий, особенно тех, которые связаны с перемещением средств или изменением критических параметров, требуется временная блокировка. Эта задержка дает пользователям и системам мониторинга важную возможность обнаружить потенциально вредоносные транзакции и отреагировать (например, вывести свои средства или поднять тревогу) до того, как действие будет завершено. Это могло бы стать важным смягчающим фактором в случае Zunami, обеспечив защиту от немедленного опустошения счетов.
Вот пересмотренная версия контракта, в которой уязвимость устранена за счет введения внутреннего отслеживания комиссий и ограничения вывода средств администратором только на сумму начисленных комиссий:
В этой улучшенной версии SecuredVault функция adminWithdrawFees больше не взаимодействует напрямую с балансами пользователей. Средства пользователей защищены, поскольку они хранятся отдельно от переменной totalAccruedFees. Это снижает риск злоупотребления правами администратора в отношении пользователя, устраняя основную проблему, наблюдавшуюся при атаке Zunami.
#rugpull
📟 Прилетело из @solidityset
Вот пересмотренная версия контракта, в которой уязвимость устранена за счет введения внутреннего отслеживания комиссий и ограничения вывода средств администратором только на сумму начисленных комиссий:
// SPDX-License-Identifier: MIT
pragma solidity ^0.8.0;
contract SecuredVault {
address public admin;
// Maps user addresses to their deposited balances
mapping(address => uint256) public userBalances;
// This variable *only* accounts for fees that the admin can withdraw.
// It's explicitly separated from user balances.
uint256 public totalAccruedFees;
constructor() {
// The deployer of the contract becomes the admin
admin = msg.sender;
}
/// @notice Allows users to deposit Ether into the vault.
/// A 1% fee is applied to the deposit and sent to a fee pool.
function deposit() public payable {
require(msg.value > 0, "Deposit must be greater than zero");
// Calculate 1% fee
uint256 fee = msg.value / 100; // 1% of deposited amount
uint256 amountToDeposit = msg.value - fee;
userBalances[msg.sender] += amountToDeposit; // User's principal
totalAccruedFees += fee; // Accrue the fee for the protocol
}
/// @notice Allows users to withdraw their deposited funds.
/// @param amount The amount to withdraw.
function withdraw(uint256 amount) public {
require(userBalances[msg.sender] >= amount, "Insufficient balance");
userBalances[msg.sender] -= amount;
payable(msg.sender).transfer(amount);
}
/// @notice Admin can only withdraw the total accrued fees.
/// This prevents the rug pull as admin cannot touch user principal.
/// @param amount The amount of fees the admin wishes to withdraw.
function adminWithdrawFees(uint256 amount) public {
require(msg.sender == admin, "Admin control required");
// Crucial check: Ensure admin only withdraws what's available in fees,
// as tracked separately from user principal.
require(totalAccruedFees >= amount, "Insufficient accrued fees for withdrawal");
totalAccruedFees -= amount; // Deduct the withdrawn amount from available fees
payable(admin).transfer(amount); // Transfer only the requested fee amount to admin
}
}
В этой улучшенной версии SecuredVault функция adminWithdrawFees больше не взаимодействует напрямую с балансами пользователей. Средства пользователей защищены, поскольку они хранятся отдельно от переменной totalAccruedFees. Это снижает риск злоупотребления правами администратора в отношении пользователя, устраняя основную проблему, наблюдавшуюся при атаке Zunami.
#rugpull
📟 Прилетело из @solidityset
gm. long time no see
давно не было персональных постов в канале — пора наверстывать.
два с половиной года назад у меня уже был похожий пост после ухода из компании, полный рефлексии и планов на будущее. теперь дежавю: ушел из snx, и хочется просто поговорить.
в крипте пропал шарм
раньше казалось, что мы строим будущее. сейчас — будто просто делаем очередной финтех. если задуматься о действительно «инновационных» продуктах в 2025 — сложно вспомнить хоть что-то кроме yieldbasis. самые актуальные продукты нынче — форки hyperliquid, стейблкоинов, и волты вокруг них.
в разработке и продуктовой части всё стало серьёзным, упорядоченным, с дедлайнами и дейликами. и это даже нормально, рынок взрослеет. но где-то по дороге потерялся тот дух людей, которые хотели менять правила игры.
ai головного мозга
все бросились «учиться кодить с ai», писать промпты и строить стартапы по автоматизации и замене всего, а я всё чаще думаю — кому и в каких задачах не стоит использовать ai.
иногда он не улучшает, а размывает продукт. менеджеры, которые решили что с использованием ai им больше не нужны разрабы пишут плохой код и заставляют его мейнтейнить. разработчики, которые решают что вместо небольшого синка с обсуждением правил кода между девами проще написать 20 сгенерированных ai slop документаций под каждый модуль — все это усложняет разработку и ухудшает ее качество. на реддите все больше тредов о том, что люди полностью отказываются от использования ai в рабочих процессах, у них пропадает удовольствие от решенных задач и появляется ощущение «деградации»
и даже сегодняшний хакер балансера настолько увлекся вайб-кодом, что забыл удалить дебаг console. log’s из продакшн кода лол https://x.com/AdiFlips/status/1985311134308573467
рынок всё ещё живой
да, сантимент вокруг максимально негативный
но всё равно получается находить неплохие возможности, просто глубже копая и анализа «стола, с кем мы играем и как можем эксплуатировать оппонентов»
из личных саксессов (или нет) в октябре, например:
yieldbasis — писал мониторинг пулов и автодепозит btc в свободные слоты (попал во все 3 волны расширений капок), legion ico благодаря 930 degen score за красивый github, застейкал всё на несколько лет
ton nft — рандомный колл от @danokhlopkov и теперь мой профиль украшает голый торс Дурова
арбитраж meteora tge + flash crash 10-го — ручной арбитраж, без автоматизации. думаю, что самые находчивые арбитражники 10 числа смогли получить оч хорошее roi
что дальше
последние 2 месяца работы были сопряжены с постоянными переработками и большим количеством давления от предстоящего запуска, поэтому все интересные топики просто складировались в сохраненках телеграма и избранного твиттера. в октябре разрешил себе небольшой рефреш и несколько недель просто гулял, играл в доту и занимался irl хобби, чтобы восстановить моральное состояние.
решил взять паузу от найма. в ближайшие полгода все так же в крипте, но уже не из позиции «сотрудника стартапа», а просто как человек, которому всё ещё интересно. грезил этой идеей еще во время пика мем сезона, обсуждал со своими друзьями и «старшими» криптанами, но было страшно.
теперь, несмотря на усталость индустрии — вера осталась и хочется доказать себе, что этот путь должен быть более интересным и обеспечивать лучший возврат на вложения своих ресурсов, чем найм.
из крипто нарративов вижу по прежнему интерес к перп мете, с которой понемногу начал работать как внутри 0y, так и на персональных проектах. помимо этого, с августа весь мой твиттер фид в prediction markets, думаю тоже не буду пропускать мимо себя. кстати, у Родиона Chaotic Good сегодня вышел крутой материал — классное интро для входа в направление! https://rodionlonga.medium.com/4da19615a4ed
degen.insuline.eth fw25 season coming
ps: открыл комменты
📟 Прилетело из @insuline_eth
давно не было персональных постов в канале — пора наверстывать.
два с половиной года назад у меня уже был похожий пост после ухода из компании, полный рефлексии и планов на будущее. теперь дежавю: ушел из snx, и хочется просто поговорить.
в крипте пропал шарм
раньше казалось, что мы строим будущее. сейчас — будто просто делаем очередной финтех. если задуматься о действительно «инновационных» продуктах в 2025 — сложно вспомнить хоть что-то кроме yieldbasis. самые актуальные продукты нынче — форки hyperliquid, стейблкоинов, и волты вокруг них.
в разработке и продуктовой части всё стало серьёзным, упорядоченным, с дедлайнами и дейликами. и это даже нормально, рынок взрослеет. но где-то по дороге потерялся тот дух людей, которые хотели менять правила игры.
ai головного мозга
все бросились «учиться кодить с ai», писать промпты и строить стартапы по автоматизации и замене всего, а я всё чаще думаю — кому и в каких задачах не стоит использовать ai.
иногда он не улучшает, а размывает продукт. менеджеры, которые решили что с использованием ai им больше не нужны разрабы пишут плохой код и заставляют его мейнтейнить. разработчики, которые решают что вместо небольшого синка с обсуждением правил кода между девами проще написать 20 сгенерированных ai slop документаций под каждый модуль — все это усложняет разработку и ухудшает ее качество. на реддите все больше тредов о том, что люди полностью отказываются от использования ai в рабочих процессах, у них пропадает удовольствие от решенных задач и появляется ощущение «деградации»
и даже сегодняшний хакер балансера настолько увлекся вайб-кодом, что забыл удалить дебаг console. log’s из продакшн кода лол https://x.com/AdiFlips/status/1985311134308573467
рынок всё ещё живой
да, сантимент вокруг максимально негативный
но всё равно получается находить неплохие возможности, просто глубже копая и анализа «стола, с кем мы играем и как можем эксплуатировать оппонентов»
из личных саксессов (или нет) в октябре, например:
yieldbasis — писал мониторинг пулов и автодепозит btc в свободные слоты (попал во все 3 волны расширений капок), legion ico благодаря 930 degen score за красивый github, застейкал всё на несколько лет
ton nft — рандомный колл от @danokhlopkov и теперь мой профиль украшает голый торс Дурова
арбитраж meteora tge + flash crash 10-го — ручной арбитраж, без автоматизации. думаю, что самые находчивые арбитражники 10 числа смогли получить оч хорошее roi
что дальше
последние 2 месяца работы были сопряжены с постоянными переработками и большим количеством давления от предстоящего запуска, поэтому все интересные топики просто складировались в сохраненках телеграма и избранного твиттера. в октябре разрешил себе небольшой рефреш и несколько недель просто гулял, играл в доту и занимался irl хобби, чтобы восстановить моральное состояние.
решил взять паузу от найма. в ближайшие полгода все так же в крипте, но уже не из позиции «сотрудника стартапа», а просто как человек, которому всё ещё интересно. грезил этой идеей еще во время пика мем сезона, обсуждал со своими друзьями и «старшими» криптанами, но было страшно.
теперь, несмотря на усталость индустрии — вера осталась и хочется доказать себе, что этот путь должен быть более интересным и обеспечивать лучший возврат на вложения своих ресурсов, чем найм.
из крипто нарративов вижу по прежнему интерес к перп мете, с которой понемногу начал работать как внутри 0y, так и на персональных проектах. помимо этого, с августа весь мой твиттер фид в prediction markets, думаю тоже не буду пропускать мимо себя. кстати, у Родиона Chaotic Good сегодня вышел крутой материал — классное интро для входа в направление! https://rodionlonga.medium.com/4da19615a4ed
degen.insuline.eth fw25 season coming
ps: открыл комменты
📟 Прилетело из @insuline_eth
Telegram
dev.insuline.eth
GM! С 1 мая я не работаю в Via Protocol (Leto.xyz) 🗒️
Символично, что увольнение произошло ровно 1 мая – в день труда 🫡
Кажется, что это отличный период, чтобы резюмировать свои выводы спустя полтора года в Web 3.0.
Long story short: Самый эмоциональный…
Символично, что увольнение произошло ровно 1 мая – в день труда 🫡
Кажется, что это отличный период, чтобы резюмировать свои выводы спустя полтора года в Web 3.0.
Long story short: Самый эмоциональный…