Пацаны, я микро подключаю просто

Не паникуйте, чай пока сделайте или солидити поучите

Вы очень ждали, вы очень просили

Но альфа такая штука, что иногда её нужно подождать

Велком слушать запись и кодить

ЗАПИИИИИСЬ

Этот пост ты будешь перечитывать

Возможно этот пост интро к большой статье с ништяками и трюками для рядового криптана

Не секрет, что я в процессе изучения солидити. Спасибо GuideDAO. В этом посте будут некоторые полезности для тебя.

Итак, что мы имеем

[5] криптан обыкновенный = [

Знает всю крипто-базу;
Различает чейны;
Перечитал все гайды;
В абуз темках как рыба в воде;
Летом научился запускать софты;

]

Окей, этого достаточно для усвоение следующей информации.

Хочешь упростить себе жизнь - начни с усвоения etherscan’а.

Начнем с того, чем там можно заниматься и куда смотреть.

function важно(crypto _криптан, allert _функции) {

криптан обыкновенный = _криптан;
_функции += криптан обыкновенный;

}

Да, самое главное, что ты должен усвоить это вызов функций!

Помнишь как ты клеймил токены арбитрум? Напомню

Ты заходил на контракт во вкладку «write contract», коннектил кошелек, и жмякал на кнопку write во окне claim тысячу раз

Тем самым ты вызывал функцию, которая не работала через сайт

*Если в контракте есть вкладка “proxy write”, то используем её

Кстати, что делать если во время клейма лег scan? Юзай openZeppelin или Remix

Зачастую, мы можем эти функции вызывать. Чем это полезно?

• Клейм токенов
• Доставать токены из ликвы
• Зарабатывать миллионы что? Да, вспомним Nomad, который опустошили на $150 млн через простую работу с функцией. Обязательно прочитай у Ortomich

И много еще для чего…

Итог:

• В основном нужно уметь взаимодействовать с функциями во вкладке write contract/proxy

• Как правило, название функций говорит само за себя. Например, функция клейма будет называться claim. Интуитивно все станет ясно

• В окна этих функций иногда нужно вводить значения и там прописан тип этих значений. С некоторыми все понятно, например: address, string

Но что такое uint? Положительное число

Что такое int? (почти не встретишь) Число со знаком

Можешь посмотреть примеры этих функций у любимого Arkham - тык

Дайте много реакций и выкачу объемную статью с полезными ништяками без знания кода👾

Каждый мог, но не каждый смог

Дополнение к прошлому посту, вот что я нашел

Некий токен RAM чуть меньше месяца назад развернул контракт с одной интересной функцией

Она была external значит её мог вызвать любой из вне. А еще она могла отправлять токены из контракта

Обойти require легко. Подставляем под pool свой адрес - вуаля, ты богат

Любой мог вызвать функцию и получить “лайфчейндж-дроп”, хех

Через несколько часов всё пофиксили

За прошедший месяц было «взломано» больше 10 протоколов на миллионы долларов. И часто из за глупых ошибок в контрактах

Мой деанон на ютубе пока отменяется, ну вы поняли

От нуля (ну почти) до $2.1 млн за несколько минут

Давайте на забывать, что на этом рынке возможностей гораздо больше

Сегодня случился эксплойт проекта Onyx. Разберёмся без сложных слов, мои хакеры

• Onyx 5 дней назад задеплоил контракт Pepe без ликвы

• Через несколько минут после голосования произошел эксплойт

Все дело в том, что этот эксплойт стар, как само дефи. Еще Uniswap V1 на своем старте обнаружили «ошибку округления» (лучше погугли). Именно она позволяет сделать что?

• Сначала задонатить на контракт oPEPE ~ 2 Wei

• Заюзать этот донат для залога в целях кредитов на других протоколах

• Выкупить заем используя ту самую ошибку неточности

Это, если вкратце. Немного математики, немного кода и скорости ~ вуаля

Одна и та же ошибка неточности из форка Compound V2 уже около миллиарда раз становилась причиной экслойтов, но протоколы продолжают наступать на одни и те же грабли. А взломщики (хотя я бы их так не обзывал) этим пользовались, пользуются и будут пользоваться

*на картинке сам флешлоун

Полтора месяца изучения солидити.Промежуточные выводы.

*Сейчас я с головой учу солидити и готовлю две статьи. Первая будет коллаборацией с одной легендой с разборами скамов, вторая сольная про важные ништяки в солидити для рядового криптана, который не хочет учиться кодить, но хочет иметь привилегии

За три года у меня было три неудачных попытки выучить код. И каждый раз я забивал, потому что становилось сложно и неинтересно

Полтора месяца назад я пошел учиться в Guide DAO на web3 разраба и понеслось

Большой респект этой трушной школе за подход к обучению. Я без понятия где может быть еще столько информации и помощи от наставников и коммьюнити

В общем, поэтому моя четвертая попытка оказалась удачной. У меня не просто стало получаться, я стал безмерно кайфовать от процесса

Чему я научился за эти полтора месяца?

Надо пояснить, что учусь я непостоянно и не так уж много часов в неделю, приняли этот факт

• Могу писать контракты на несложные проекты. Пока не разбирался, как все это работает на низком уровне, но условное казино или простой проектик напишу изи. Парочку я уже накатал

• Могу читать чужие контракты. Я понял, что мне очень интересен аудит. Нахождение уязвимостей в контрактах, разбор эксплойтов и прочее. Все же помнят эти легендарные выносы проектов? Вот в таких историях ты должен быть аудитором

Кстати, читать контракты сложнее, чем их писать. Ты должен быть опытнее, ты должен сам ошибиться 1000 раз

Но впереди еще нужно многому научиться и много практиковаться. Главная задача избегать хардкода для оптимизации газа

Этот пост должен остаться здесь просто, как заметка на будущее

Скоро будут готовы статьи, там будет очень вкусно и интересно, просто ждите

Примерно через месяц мы возможно, сделаем войс с Max Wayld и Hodlmod и подведем итоги нашего обучения. Тем более, учимся мы в одной школе по одной программе

Кстати, я же вам кое-что обещал и выполняю свое обещание:

Мне дали промокод на 10% скидона в Guide DAO на любой буткемп

ПРОМОКОД ~ “IZIDAO”

Пацаны, я как только про солидити и скамы напишу так какой-то проект выносят/находят уязвимость

AAVE и Onyx вам большой привет

Пару слов про лучшую web-3 школу GuideDAO

• Спасибо большое ребятам, что я начал уметь в код (с акцентом на солидити). Это лучшая подготовка к бычке. Я уже нащупал несколько пробелов в индустрии, которые я могу закрыть

• У них начались скидки в 25% на любой буткемп. Вы можете использовать мой промокод “IZIDAO” и получить еще 10% скидки сверху.

От себя посоветую пару буткемпов:

• Web3 разработка. Самый объемный

• Аудит смарт-контрактов. Научит писать код и к тому же аудировать контракты, что сейчас мега важно и дорого

Ilya Krukowski aka легенда Solidity & Web3 | VOICE
FRIDAY | 24 now | 19:00 МСК

«Все говорят про AA, но никто не говорит о том, какие новые уязвимости он имеет»

Автор невероятного обучающего ютуб канала и легендарного плейлиста, который знает каждый кто хотя бы раз искал видео о Солидити

Илья имеет огромный опыт в разработке и Web3. И вот какой формат вас ждет:

• Первая часть войса. Будем обсуждать web3-кодинг. От поиска работы до сферы аудиторства смарт-контрактов

• Вторая часть войса. Мини-лекция от Ильи с моими наводящими вопросами о проблемах AA (account abstraction). Я уже писал, что эта технология имеет много проблемных мест в виде уязвимостей. Будем разбираться

Приходи в пятницу, это будет крайне полезно для тебя

Подпишись на каналы нашего гостя с большим велью для тебя:

ТГ-канал

ЮТ-канал

Отдельное спасибо GuideDAO за знакомства с такими замечательными людьми. Не забывай мой промокод на 10% «IZIDAO»

Как хакер НЕМНОЖКО обманул Kyberswap?

Разбираемся

Все было просчитано до мелочей, красота

Смотри, все дело в тиках и в функциях. А что такое тики и прочее веселье в DeFi. Здесь мне помог этот DeFi гений - подпишись


Тик - это атомарный диапазон ликвидности, самая маленькая "корзинка", куда можно положить ликвидность в протокол. Когда вы кладете ликвидность, вы ее можете класть только по границам тиков. Например, в пуле ETH/USDT есть тик с $2000 по $2010, с 2010 по 2020, с 2020 по 2030. Это значит, вы не можете положить ликвидность с $2005 по $2023, придется выбрать или рендж 2000-2010, или 2000-2020, или еще какой-нибудь круглый вариант.

Я про функции писал


Идем дальше, с тиками и фунциями разобрались

Хакер использовал флэшлоун займ на 10к wstETH, чтобы все это провернуть. Это надо учитывать. И если бы не баг протокола, то это была бы обычная торговля. Но он заставил пул считать, что в нем больше ликвидности, чем есть на самом деле. Что за баг такой?

Когда цена пересекает границу тика, то должна вызываться функция updateLiquidityAndCrossTick, которая деактивирует ликвидность (короче, не поторговать). Если граница тика пересекается обратно, то эта же функция активирует ликву (дает торговать)

В первом свапе эксплойта эта функция не вызвалась, хотя цена и слегка пересекла границу, прям очень на тоненького.
При втором свапе активировалась снова, таким образом пул решил, что у него денежек стало фактически бесконечно (HESOYAM)

Следовательно, логичный вопрос: а почему эта функция не вызвалась?

Это пул V3 и свапы в нем проходят пошагово. Грубо говоря, на каждом этапе идет проверка не вышел ли свап за границу тика.
Но эта проверка является неравенством, а не сравнением. Простым языком - чуть выйти за границу тика можно.

Здесь включается вторая важная функция computeSwapStep, которая устанавливает сайз тика на каждом шаге.

Равен он 22080000, а хакер установил размер свапа 220799999. Это было спроектировано точно, и проверка не сработала из-за разницы в <0.00000000001%.

Вывод:

• Хакер сначала взялся за пул wstETH/ETH и практически обнулили прайс на wstETH

• Это пул V3 и ликвы при этой цене почти не было

• И тут происходит главное. Хакер заливает ликву и делает те самые два свапа играя с тиками. Вы это читали выше.

• В опасности находятся только форки Kyberswap

Не каждый мог. Это совсем нетипично и гениально, надеюсь они договорятся

Да, статья про уязвимости на днях

SOLIDITY HACKER: level 0

Наконец-то она случилась

Используй эту статью, чтобы положить свой путь в мир уязвимостей смарт-контрактов

Что внутри?

• Уязвимости контрактов, которые встречаются на сегодняшний день. С примерами и объяснением

• Объясняю и показываю, как хакать эти уязвимости

• Как защитить себя от взломов

• Просто много примеров, разъяснения и кода

Важно пояснить: это первая статья из большой серии статей

С каждым новым левелом мы будем усложнять вид уязвимостей

А пока без лишних слов приступай к level 0

Кстати! Для того, чтобы тебе было интереснее все это изучать вот тебе интерес - я скоро дропну контракты с уязвимостями из этой статьи и реальным балансом

Самые внимательные читатели заработают

P.S настоятельно рекомендую читать эту статью с ноута или компьютера. Так будет гораздо понятней

СТАТЬЯ
СТАТЬЯ
СТАТЬЯ

Промокод на 10% обучения web3 кодинга в GuideDAO ~ “IZIDAO” (суммируется со всеми имеющимися скидками на сайте)

Наш майский щиток Изи пампанулся на 50 икс

А все начиналось так по фану

Я продам вам идею учить Солидити

Solo Voice 11 Dec/Monday

• Завтра. Только я и вы

• 17:00 мск

*вопросы можете задавать в комменты к этому посту

Запись войса:

Здеееесь

SOLIDITY HACKER: level 1

Чуть меньше месяца и вторая часть случилась

Эту статью я написал совместно с солидити мэном Danoneo. Опыта у парня ой как много, обязательно подпишись на него!

Используй эту статью, чтобы положить свой путь в мир уязвимостей смарт-контрактов

Что внутри?

• Низкоуровневые вызовы и для чего они нужны?

• Как именно сейчас выносятся большинство проектов?

• Почему approve самая опасная функция?

• Зачем нужны флэшботы?

• Пример рабочего флэшбота, чтобы спасти свои средства на кошельке где стоит свипер

Напоминаю, что с каждым новым левелом мы будем усложнять вид уязвимостей

А пока без лишних слов приступай к level 1

СТАТЬЯ
СТАТЬЯ
СТАТЬЯ


Первая часть

Ну что, давайте поговорим?

Мы билдим свой проект на Tap Protocol…

KISKISKISKIS

Проект в долгую, проект поможет каждому желающему разобраться = дегенить в BRC20 и Tap

Сейчас все объясню:

Мы в Izi с самого начала залетели в Ординалы, Битмапы, BRC20 и в Tap. Другие стандарты по типу CBRC упоминать и смысла нет, мы уже внутри

Вот краткая сводка иксов для примера, которая была получена:

$TRAC ~ до 100 икс (экосистема Tap)
$GIB ~ до 200 икс (экосистема Tap)
$SATS ~ 80 икс
$BITMAP ~ 50 икс

Наш токен от Izi ~ 50 икс

Купить или продать (дегенить) «токены» в BRC20 или Tap пока не очень просто, но если разобраться, то может каждый. Но разбираться сложно, мало гайдов, мало инфы

Так что же мы делаем?

Проект для онбординга пользователей в Tap Protocol. Кроме базовых вещей по типу отслеживания всей экосистемы и гайдов у нас будут:

• Квесты - не те от которых все устали, а реально обучающие. Чтобы все пощупать и понять

• Лаунчпад - да, чтобы проекты на Tap выходили красиво благодаря нам

• Агрегатор по Tap. То есть, чтобы узнать что там в экосистеме Tap происходит и куда бежать, что покупать/продавать наша платформа мастхэв

Но более детально позже

Чего мы уже достигли?

• Поддержка от первых людей в Tap Protocol

• Упоминания в альфа подборках и у топ-инфлов

• Запланированный созвон с Benny. Это фаундер Tap = первое лицо

Сегодня мы идем на главный подкаст в Tap презентовать свой проект

Токен токен токен?

Токен будет - да! Будет дроп точно и не только для вас.
Мы проект в долгую, но токен все равно ту зе мун должен отправиться

Наша задача сейчас активно качать твиттер и коммьюнити - это получается

ВАЖНО!

KISKISKISKIS

Просьба подписываться на этот аккаунт, НО только со своих мейнов. Накрутки и мультов нам не надо. Мы и без того все сделаем красиво

Это были сильные 365 дней

Ахуительный год, спасибо каждому

Небольшие итоги:

• Солидити перевернуло мою жизнь. Хотя думал, что я валенок в коде и не осилю даже начало. Спасибо GuideDAO

• Очень много путешествий и я даже не сосчитаю перелеты. Много новых знакомств, несколько новых друзей и ноль новых врагов

• Этот год оказался иксовым. Дропы это верхушка айсберга и просто одно из направлений, мне куда больше запомнились наши мувы в BRC20 и Орди

• Изи стало одним из самых сильнейших коммьюнити. Кто знает - тот знает, но скоро узнают все

• Я бросил курить, да и вообще любой вид никотина. Это засоряет мозг, работается и отдыхается точно лучше без этой дряни

• Билд. Запустили свой щиток, который дал 50 иксов и сейчас строим полноценный проект Kis на Tap Protocol. Это будет пушечка, коммьюнити уже просит наши токены. Чувствую себя Брайаном

• Очень много крутых подкастов было записано. Лучший по моему мнению является этот с Даней Охлопковым

Канал вырос в 4 раза за год. Спасибо каждому из вас! Отдохните как следует, потому что скоро нужно снова сеять и пожинать, сеять и пожинать

Это хороший день и он достоин короткого поста здесь!

Продолжай инвестить, дегенить, абузить, билдить и нетворкать, рынок на твоей стороне

*ну и пикча в честь нашего проекта

FROM ABUSE TO BUIDL

Откровенно говоря карьера абузера меня заколебала еще после дропа оптимизма, поэтому дальше мой путь выглядел примерно так:

• Андеррадар-дегенство
• Активный нетворкинг в своем же IZI DAO
• Тесты крипто-гипотез
• Солидити

Magic...So in that moment, the stars aligned for me

Все что было важным и приоритетным долгое время сложилось в одно целое. Мы просто не могли не запустить свой проект на битке, просто без вариантов

Я всегда был и есть ETH + EVM ecosystem maxi, но нельзя было игнорировать развитие BTC, по причинам того, что там очень стронг комьюнити. Поэтому, мы активно гикали и иксовали внутри биточка

KIS for U

Пока все шиллят ноткоин, я продолжу шиллить новую звездочку на пиксельном небе биткоина

KIS это все еще андеррадар, но среди андеррадаров он явно тир-1. Точно советую тебе обратить на него внимание

• За последние пару недель они еще плотнее укрепили свои связи с мейн проектами/инфлами в TAP, траст к ним уверенный. Твиттер сильный

Самое главное, что проджект реально поможет привлечь тысячи новых юзеров в TAP/BRC20 по средствам онбординга через обучающие квесты, поэтому мы увидим еще больший суппорт от всей экосистемы. А это важно для будущих холдеров и спекулянтов (тебя))

• Ну и очевидно, что KIS в будущем использует одно из преимуществ TAP и дропнет свои токены на n-кол-во кошельков. Здесь главное в этот список попасть

Пока стоит подписаться на KIS и первым узнать про запуск сайта или еще чего интересного. А если повезет, то поймаешь инвайт в дискорд

BTC коммьюнити это даймонд хэндс, которым холдить не привыкать, но хочется движа. Оттуда новые стандарты, развитие DeFi, P2E и прочего. Плюс приходят криптаны из эфира, соланы... Рынок с очень приятным климатом для иксовых активов, 2023 год нам это показал. 2024 это закрепит

Виталик, у нас отмена

(Часть 2/2; часть 1 здесь)

Отсутствие установки комиссии за работу FVM. Главный тезис Facet про плохие L2 с централизованными секвенсорами играет с ними злую шутку. Именно отсутствие этого секвенсора не позволяет устанавливать комиссии за работу всего этого маховика
Вспоминаем уроки хакинга по солидити, нам нужна пятая глава под названием DoS атака.

Допустим, проблема со свободой творения «тупых-контрактов» решена и теперь каждый волен разворачивать, что душа пожелает. Добавляем к этому невозможность установки комиссии и получаем бесконечные DoS-атаки.

Значит нужно дать возможность девам билдить тупые-контракты свободно от цензуры и придумать, как прикрутить fee.

Рубидити. Цирк с конями, зачем и почему все это нужно для меня вопрос. Пахнет протестом ради протеста, но выглядит крайне забавно.

ВЫВОД ЧТО ЛИ?

Вот ты гик, конечно, если дочитал до сюда

Подмена понятий. Все это чудо сделано лишь в противовес собранной системе и пляшет она от одного единственного тейка: вы централизованные уебки со своими секвенсорами. Когда в ответ идут намеки, что в общем-то Facet тоже имеет нотку централизации, да еще и работает по принципу «тетрадь против ОС», то тейк становится таким: да, мы централизованны, но вы централизованны хуже, чем мы.

Социальная активность дева построенная на негативе и обвинении понятна. С такой идеей нужно проявлять дерзость и играть all-in.

Инскрипции могут жить отдельно, либо идея найдет применение в привычном нам EVM. Но про убийства всех layer 2 и смарт-контрактов ~ смешно.

Degen game?

Именно. Пока все это дело развивается и поддерживается фан-базой (она, кстати, активно растет, как и TVL их official swap-project форкнутого с Юника) музыка будет играть. По классике, факт того, что еще недавно можно было наминтить себе фантиков, которые сегодня стоят в 100+ иксов, тот же eths (мейн токен ethnoscriptipns) порождает фомо и new hands на этом рынке.

Я выбираю лудоманить и дальше печатать смарт-контракты, тем самым хеджируя эмоциональные риски. В любом случае, останусь доволен.

About ORDINALS | VOICE
TOMORROW | 18 JAN | 19:00

Приватное Izi DAO точно одно из самых сильных деген-коммьюнити и тема Ординалс не прошла мимо нас. Многие знают, что мы там очень сильно повеселились, поректовались и поиксовали. Сегодня мы параллельно дегенству билдим и нам есть что рассказать!

Завтра мы будем со смартами из закрытого Izi с кем все начиналось

Поговорим про:

• Ordinals от и до
• Разница стандартов: BRC20, CBRC20, TAP и прочее. Поговорим о них подробнее
• Немного фомо историй, где каждый мог
• Не поздно ли сейчас и с чего начать?
• Что мы билдим и как на нас заработать?


Приходи завтра в 19:00👾

ЗАПИСЬ ВОЙСА БУДЕТ - ЗДЕСЬ

Как централизованные секвенсоры хайп наводят

Пока Blast в контракте меняет лицензию MIT на свою придуманную мы все таки посмотрим на формулу успеха нью леер ту

Как привлечь пользователей?

• Рефералки - однозначно, да
• Поинты - однозначно, да

Blast и новенький Mode (впервые рефка на канале) отлично справляются с байтом юзеров. Взяли за основу нишу multi-abuse, установили свои правила, сделали официальный анонс и вперед

И немного про секвенсоры

Секвенсоры это фактически посредники между L1 и L2. Они берут транзакции из мемпула L2, обрабатывают их и отправляют в L1. Газ, который ты заплатил за транзакцию секвенсоры тратят на отправку в L1, а остатки оставляют себе на покушать

Централизованные секвенсоры сейчас самые быстрые, самые дешевые и… самые централизованные, очевидно. Если появляются проблемы, то ложится весь чейн. Кстати, именно из-за инскрипций недавно умер секвенсор Арбитрума на 78 минут. Что стало с Арбитрумом? Он не работал 78 минут, правильно.
Тем не менее, все топ-L2 используют централизованный секвенсор, просто потому что быстро и удобно

Фактически централизованный секвенсор является бизнес-моделью для L2 чейнов

Как привлечь билдеров?

• Взять чистый выхлоп от своих секвенсоров и поделиться им с билдерами dapps

Здесь Blast всех опередил, кстати. Они ввели это как обязательную систему мотивации. Mode успешно повторили практически тоже самое

Все побежали туда строиться, ибо логика проста. Чем больше газа ест твой контракт, тем больше «кэшбека» ты получишь

А теперь ПрОбЛеМа

Есть такая догадка, что билдеры даппок на этих замечательных L2 забьют на оптимизацию газа, чтобы больше зарабатывать. Контракты теперь будут писаться так, чтобы газ побольше сжечь

Поэтому, может получиться так, что обе эти сетки забьются дорогими протоколами, а может быть и нет

Централизованный мир победил?

Пока да, но

Есть децентрализованные секвенсоры, например, Metis

Но есть кое-что получше и это Shared Секвенсоры (хз, как на русском). И к ним относится супер-смарт-мненравится Espresso

В целом, я делаю вывод, что Blast и Mode сделали интересно на сегодняшний день. Осталось посмотреть на то, как в них приживется оптимизация газа, а то останутся одни билдеры