А, да забыл сказать. Для тех, кто всё ещё почему-то использует angular_rails_csrf - буду продолжать его поддерживать, раз уж люди просят (хотя было большое желание пометить его как deprecated). Но что ж, продолжим хардкор с XSRF token для будущих версий Rails https://github.com/bodrovis/angular_rails_csrf/pull/56

📟 Прилетело из @dev_in_ruby_colors

Solodit запускает свое API

Самый популярный сайт для поиска уязвимостей по отчетам запускает свое API для тех, кто создает ботов и ИИ агентов по анализу смарт контрактов. Довольно горячая тема на сегодняшний день, поэтому команда прекрасно попадает в тренды запросов. По словам разработчика из команды, за первый день они собрали уже более 400 заявок на закрытое бета тестирование!

Я сам долгое время собирал, сортировал и анализировал подобные отчеты, и теперь очень интересно как они решат несколько следующих проблем.

Во-первых, качество отчетов. На текущий момент на Solodit я нашел всего 43 486 результатов:

1. High - 6859 results
2. Medium - 12263 results
3. Low - 21032 results
4. Gas - 3332 results

Заметьте, что Low составляет большую часть. С уверенностью могу сказать, что половина Medium - будет либо повторами, либо мусором (вспомните хотя бы Medium уязвимости, которые были таковыми в 2023 году и сейчас уже в статусе QA), а также около четверти от High - (повторы и "натянутые" Medium, от аудиторов, которые хотели доказать свою значимость). В итого остается около 10 000 адекватных отчетов. Можно также смело убрать из них половину тех, где будет не качественное описание уязвимостей, без примеров кода и POC.

Я уже делал небольшой обзор на эту проблему в этом посте: https://news.1rj.ru/str/solidityset/1482

Во-вторых, проблема поиска. Как они решили проблему поиска и ранжирования уязвимостей? Да, понятно можно поискать по ключевым словам: reentrancy, replay, defi. В результате будет определенное количество уязвимостей. И да, мы можем проранжировать их через опцию High/Medium/Low, отсеяв, например, последние два. Но тогда вероятные релевантные баги из Medium будут отброшены! А это все может стать хорошей подсказкой к поиску других багов в протоколе, который вы аудируете сейчас.

В-третьих, доступы по API. С большой долей уверенности скажу, что будут немного бесплатных запросов в месяц для всех пользователей, и увеличенные лимиты - для платных подписчиков. Делать все открытым и бесплатным - значит обречь себя не нескончаемый поток запросов, каких может быть тысячи в секунду! А это большая нагрузка и на сервер и на ожидание других пользователей. Остается вопрос цены. Не думаю, что будет большой, но все же.

В общем, идея очень здравая и будет интересно наблюдать как Cyfrin сможет развить ее, учитывая количество всех остальных проектов, которые они ведут.

А вы будете пользоваться новым сервисом API для поиска багов? Как бы вы решили эти проблемы?

#api #bugs

📟 Прилетело из @solidityset

и это, кстати, реально хороший тейк.
почему-то современные перпы, созданные маркетмейкерами,
которые сами же торгуют исключительно через API, не парятся над удобством этих самых API вообще.

несколько примеров из личной практики, чтобы было понятно:

названия эндпоинтов

хочешь получить параметры рынка — maxOi, decimals, minAmount?
логично назвать это getMarketConfiguration или getMarkets, верно?
но Lighter делает это через Order API и называет endpoint orderBooks.
всё, что тебе нужно — спрятано где-то в ордерах, удачи.

best bid / best ask / last price

вместо отдельного лёгкого эндпоинта — orderbookDetails,
где, кроме нужных трёх чисел, лежит ещё 30 лишних полей.
запрос, конечно, выполняется дольше обычного,
и, возможно, именно поэтому при каждом движении цены >3%
их API стабильно ловит performance issues.

тикеры на Hyperliquid

консистентность? зачем.
в allMids ты получаешь ключи вида:
@40, 2Z, BTC, PURR/USDC, kPEPE в одном ответе.
Tier S exchange, напомню.

подписи EIP-712

Hyperliquid честно пишет в доке:
«вы, вероятно, не разберётесь, просто используйте SDK».
ну а зачем улучшать UX подписей — пусть страдают разработчики.

📟 Прилетело из @insuline_eth

Перспективы токена Orochi Network $ON через призму токеномики.

Orochi - инфраструктурный проект для верифицируемых данных (Verifiable Data Infrastructure).
Они строят слой проверки данных с использованием zk, валидаторов и распределенного хранилища.

Источники токеномики: документация + тред Orochi Foundation в X.

Аллокации

Общий объем: 1 000 000 000 $ON.

1. Network Incentives - 30% (300 млн).
Вознаграждение валидаторам и ZK-sequencers за стейкинг и обработку zk-вычислений.

2. Ecosystem Reserve - 21.55% (215.5 млн).
Гранты, партнерства, хакатоны, стимулирование разработчиков.

3. Foundation - 15% (150 млн).
Фонд для аудитов, резервов ликвидности, R&D.

4. Marketing / Liquidity - 11.65% (116.5 млн).
Маркетинг, амбассадоры, события, продвижение.

5. Team - 10% (100 млн).
Токены команде за развитие продукта.
Это норма, так как я много раз писал, что команде стоит выделять максимум 10%.
Но стоит учитывать, что ранее были foundation и маркетинг - это тоже значимые доли распределения, которые расходоваться будут командой. Так что нельзя сказать, что под контролем основателей будет нормальное количество токенов.

6. Investors - 8% (80 млн).
Норма - < 10%.

7. Airdrop - 3.8% (38 млн).
Вознаграждение ранним пользователям, пруверам и сообществу.
Маловато, так как не позволяет построить децентрализованное сообщество холдеров с существенной общей долей.


Разлоки (вестинг)

В треде указано:
"расписание разблокировки обеспечивает баланс между немедленной полезностью и долгосрочной стабильностью сети".
Но детального графика разлока нет.

Это риск.
Без конкретики невозможно оценить ежемесячное давление на цену и пики разлока.


Ютилити:

1. Стейкинг валидаторами.
Токен используется как залог для участия в консенсусе. Награды - в $ON.

2. Вознаграждение ZK-sequencers.
Оплата вычислений zk-proof $ON.

3. Distributed Storage.
Оплата за хранение данных в распределенной системе Orochi.

4. Transaction fees.
Комиссии внутри сети оплачиваются также токеном проекта.

Вряд ли такие утилиты смогут обеспечить спрос на $ON.


Что в итоге важно

- Инвесторам выделено всего 8%. Это нормально.
- На стимулы и экосистему вместе выделено 51.55%. Это много, так как может вызвать давление на курс.
- Утилиты реальные: токен нужен для оплаты zk, стейкинга и хранения данных. Но спрос непонятен (сомневаюсь, что он будет).

Итог

Я получил очень небольшой дроп. Через месяц (уже раньше) будет claim, но вряд ли что буду делать, так как стоимость получаемого будет около 5-20 $ (скорее ближе к пяти).
Перспектив из-за отсутствия графика разлоков, больших стимулов и просадки на -70.93%) особо не вижу.


А как вам Orochi network и их токен? Следите за этим проектом?
Напишите в комментах.

P. S. Понравилось, что можно прямо в браузере запустить вычисления ZK-доказательств, зарабатывая $ON. Но проект разочаровал, хотя в этом обзоре получил 19 из 25 баллов.

P. P. S. Если кто не понимает, о чём написал, вот список терминов с пояснениями:
1) ZKP - доказательства с нулевым разглашением. То есть вы их можете создавать, не предоставляя данные.

2) прувинг - создание / верификация доказательств.

Если что ещё непонятно, спрашивайте в комментариях - отвечу.

😎 Незрячий web3 программист (подписаться)
Чат | бот

📟 Прилетело из @blind_dev

2 негативных эмодзи от Джеффа и Новаковского 🕊️

📟 Прилетело из @insuline_eth

VARTCALL НАВИГАЦИЯ:

📟 Прилетело из @code_vartcall

Все необходимое для старта в web3

Ethereum Edition

1 пост, который станет нашим проводником в мир web3

1. Кошельки

metamask.io - интерфейс-посредник, позволяющий твоему приложению подписывать транзакции и работать с Ethereum и L2 в браузере, не имея собственного бэкенд-узла. Является EOA (Externally Owned Account) - обычный кошелёк в Ethereum, которым управляет приватный ключ.

app.safe.global - контрактный кошелёк - сам кошелёк существует в виде смарт-контракта в сети. Идея Safe - мультиподпись. Вместо одного приватного ключа (как в обычном кошельке), у Safe может быть несколько владельцев. Можно настроить правило, например: чтобы транзакция выполнилась, её должны подтвердить 2 из 3 владельцев.

ready.co - смарт-кошелёк для обычного пользователя, но тоже на базе контракта. Тут у нас защита от потери доступа, восстановление без seed, лимиты и Guardians. Guardians - адреса, которым ты доверяешь подтвердить, что это действительно ты, если ты потеряешь доступ к кошельку.

EOA (Metamask) - один приватный ключ, просто адрес, нет мультиподписи

Контрактный Кошелек (Safe, Ready) - логика доступа хранится в смарт-контракте:
может быть несколько ключей, мультиподпись, восстановление, лимиты и т.д.

2. Языки Программирования

Python - скриптовый язык программирования. NFT площадку на нем не напишешь, но можно: подключаться к ноде, читать данные из блокчейна, проверять балансы, отслеживать транзакции и события. Можно отправлять транзакции, вызывать функции контрактов и подписывать их приватным ключом. Часто на Python пишут ботов: арбитраж, MEV, эксплореры блокчейна и так далее. Подходит для backend-части web3-приложений

JavaScript / TypeScript - также скриптовые языки программирования, но работающие как на сервере так и в браузере. Благодаря ним подключаются кошельки (MetaMask и т.д), считывают адрес пользователя, показывают баланс, вызывают функции контрактов и отправляют транзакции с сайта или приложения. С помощью JS/TS пишут интерфейсы dApps - обменник, NFT-маркетплейс, DeFi-панель или панель кошелька, которую ты видишь в браузере, работает через web3-библиотеки на JS/TS. На TypeScript часто пишут backend для web3, он хорошо вписывается в экосистему Node.js, даёт типизацию и удобнее для крупных проектов.

Solidity - язык, на котором пишут логику блокчейна. Все правила того, как работает протокол, токен, NFT, DeFi-платформа или DAO - прописаны в смарт-контрактах на Solidity. Смарт-контракт - программа, которая живёт внутри блокчейна и работает по заданным правилам автоматически. Её нельзя изменить после развертывания, и все действия выполняются прозрачно и одинаково для всех.

3. Библиотеки языков программирования

Разумеется большинство задач языков программирования, которые я описал выше, делать на голых языках бессмысленно, поэтому придумали библиотеки. Это набор готового кода, чтобы не писать все компоненты с нуля.

Python + web3.py - библиотека взаимодействия с блокчейном Ethereum: подключение к любой EVM-совместимой сети через RPC, получение информацию о блоках, транзакциях и аккаунтах, чтение данные и состояние смарт-контрактов, вызывов их функции, подписание и отправка транзакций с помощью приватного ключа, отслеживание событий и логов, генерация кошельков и управление адресами, декодирование calldata, работа с ABI, взаимодействие с токенами ERC-20 и NFT, чтение мемпула, автоматиация действия в DeFi и DEX, постройка ботов, арбитраж, мониторинг и backend-логика для web3-приложений.

JavaScript / TypeScript (JS/TS) + ethers.js / viem - ко всему, что есть в python + web3.py, они работают во фронтенде, в браузере. Это позволяет сайту напрямую взаимодействовать с кошельком пользователя, показывать баланс, обновлять данные в интерфейсе в реальном времени, ловить смену сети и аккаунта, и вызывать поп-ап MetaMask или любого другого кошелька для подписи транзакции.

JS / TS + wagmi - React-хуки для viem. Делает подключение кошельков, работу с контрактами и подписывание в UI простым и быстрыми.

50 реакций - вторая часть!

vartcall

📟 Прилетело из @code_vartcall

Небольшой отпуск

За последние несколько месяцев на меня обрушился настоящий поток новой информации, активной работы над проектами и погружения в ранее незнакомую область. И чтобы не выгореть и немного восстановить баланс, я решил устроить себе короткий перерыв на следующей неделе — в том числе наверстать пару игр, которые давно ждут в библиотеке Steam с летней распродажи. До конца года впереди ещё немало задач, так что эта пауза придётся очень кстати.

Пользуясь моментом, хочу попросить вас поделиться актуальными темами для постов, связанных с Solidity и Web3, которые появились или стали особенно заметны за последние месяцы. Из‑за временного фокуса на обучении я немного отстал от новостей и трендов в этой сфере, и буду благодарен за любые наводки.

В остальном — всё в порядке. Если понадобится, я всегда найду время ответить в чате.

#timeout

📟 Прилетело из @solidityset

Как обещал, пример workflow, который компилирует скрипты Go для нескольких платформ, складывает их в bin (в данном случае было нужно именно так, но их можно грузить в releases), считает контрольные суммы, а затем файл с суммами подписывает и добавляет аттестацию. Это условная "keyless" подпись (реально задействуется токен репо) github.com/bodrovis/pull-sample/blob/master/.github/workflows/build.yml

📟 Прилетело из @dev_in_ruby_colors

Крейзи

📟 Прилетело из @steamner

📟 Прилетело из @steamner

За год люди потеряли > 300 МЛН $ из-за взломов в крипто проектах. Как снизить вероятность этого?

И выше я ещё не сказал про обнуление депозитов из-за вложений в новые сомнительные проекты или мемкоины...

В основном теряют на взломах (отсутствие аудитов или малое их количество), волатильности (используют малоизвестные активы) или скамах (не разбираются в команде и проекте).

Я с 2022 года занимаюсь созданием обзоров на разные DeFi проекты. Их можете изучить в этом блоге.

Работал в том числе с Blockscout и Harmonix finance. Они оценили то, как описал их проект.

Предлагаю услугу "Персональный обзор проекта". Она позволит вам снизить вероятность потерь из-за взломов и скамов.

Внутри:

1. Сделаю полный обзор проекта по методике "Команда, концепт, коин и код + практика". Результат оформлю в статью.
Каждый раздел оценивается по пятибалльной шкале.
Анализ команды важен, потому что от создателей проекта зависит его развитие и взаимодействие с сообществом (любовь к проекту);
Концепт даёт понимание об уникальности и качестве проекта с функциональной + технической точки зрения;
Коин - анализ токена и токеномики. Если плоха токеномика или он сам плох, проект не стоит выбирать;
Код. Если он не открыт, давно не было развития, отсутствуют аудиты и баг-баунти - плохо. В статье будет анализ этого.
Практика - здесь опишу функционал. Важно знать, насколько он хорош, работает ли веб-приложение стабильно. Если нет - плохо.

2. Короткий вывод по баллам с моим мнением о проекте. Это даст вам возможность понятным образом оценить его качество. Что упростит принятие решения о том, стоит ли вкладываться.

3. Мои ответы в переписке на ваши вопросы по обзору в течение двух недель со дня покупки в рабочее время: раскройте то, что вам непонятно или что бы ещё хотели узнать по проекту.

Стоимость: 20 000 рублей или $ 200 в криптовалюте.

Бонусы:
При заказе от трёх обзоров общая стоимость составит 50 000 рублей или $ 500.
Заказав 4 услуги за $ 600 или 60 000 Рублей, получите ещё и созвон с консультацией 1 час по всем заказам.

Для заказа пишите в @blind_dev_contact_bot (отвечаю с 7 по 15 время МСК).

В этом месяце приму только 3 клиента.

😎 Незрячий web3 программист (подписаться)
Чат | бот

📟 Прилетело из @blind_dev