Forwarded from dev.insuline.eth
gm! JS инфраструктура в очередной раз поддается атакам на криптанов.
В этот раз задели несколько старых системных JS пакетов – debug (357M установок в неделю) и chalk (299М установок в неделю) и пачку остальных, с помощью взлома Git одного из предыдуших мейнтейнеров. Можно прочитать полный репорт здесь от владельца взломанного аккаунта. Вкратце – взлом 2FA доступов к NPM через email.
Как это может задеть вас?
При обыкновенном подключении кошелька ничего без вашего ведома не произойдет.
Скрипт внедряется в любую страницу, содержащую JS код и проверяет наличие Ethereum кошельков (с помощью проверки `window.ethereum`), затем при попытке отправки любой транзакции через кошелек просто подменяет адрес получателя.
Уязвимым может оказаться буквально любой веб-сайт, который в течение последних пары часов обновлял свои зависимости и установил взломанную версию. На текущий момент с NPM уже удалили версию с багом
Кажется, что ближайшие пару дней лучше избегать подписи транзакций, либо быть максимально внимательным к адресу получения. Адрес злоумышленника –
Что сделать разработчикам?
Проверьте lock файлы, ведь взломанные пакеты по большей части служебные и могут не использоваться напрямую в проекте.
Учитывая то, что пакетов – много, лучше пройти grep c фильтром на строку кода:
Обфусцированный скрипт оставили здесь, а тут немного больше деталей, как он работает под капотом.
Issues с предупреждениями и больше технических деталей:
https://github.com/chalk/chalk/issues/656
https://github.com/debug-js/debug/issues/1005
но tbh пока выглядит как самая грустная атака, кошелек абсолютно пустой🥰
В этот раз задели несколько старых системных JS пакетов – debug (357M установок в неделю) и chalk (299М установок в неделю) и пачку остальных, с помощью взлома Git одного из предыдуших мейнтейнеров. Можно прочитать полный репорт здесь от владельца взломанного аккаунта. Вкратце – взлом 2FA доступов к NPM через email.
Как это может задеть вас?
При обыкновенном подключении кошелька ничего без вашего ведома не произойдет.
Скрипт внедряется в любую страницу, содержащую JS код и проверяет наличие Ethereum кошельков (с помощью проверки `window.ethereum`), затем при попытке отправки любой транзакции через кошелек просто подменяет адрес получателя.
Уязвимым может оказаться буквально любой веб-сайт, который в течение последних пары часов обновлял свои зависимости и установил взломанную версию. На текущий момент с NPM уже удалили версию с багом
Кажется, что ближайшие пару дней лучше избегать подписи транзакций, либо быть максимально внимательным к адресу получения. Адрес злоумышленника –
0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976Что сделать разработчикам?
Проверьте lock файлы, ведь взломанные пакеты по большей части служебные и могут не использоваться напрямую в проекте.
Учитывая то, что пакетов – много, лучше пройти grep c фильтром на строку кода:
grep -r "const _0x112" node_modules/
Обфусцированный скрипт оставили здесь, а тут немного больше деталей, как он работает под капотом.
Issues с предупреждениями и больше технических деталей:
https://github.com/chalk/chalk/issues/656
https://github.com/debug-js/debug/issues/1005
но tbh пока выглядит как самая грустная атака, кошелек абсолютно пустой
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Splin | Lock In
kaize.eth
https://x.com/0x_kaize/status/1965117994482499949
10к вивсов, всем спасибо кто поддержал на ранних стадиях
upd: много подписалось именно кодеров и крупных инфлов, крупный монад дев лайкнул пост
upd: много подписалось именно кодеров и крупных инфлов, крупный монад дев лайкнул пост
Как пример могу привезти John Wang который заработал просто ОГРОМНОЕ число япсов, когда анонсил что присоединился к kalshi (бтв, за пост что выше мне прилетело 3 япса)
https://x.com/0x_kaize/status/1965377656826044887
https://x.com/0x_kaize/status/1965377656826044887
kaize.eth
https://x.com/0x_kaize/status/1965117994482499949
По итогу пост набрал 16к вивсов...
Когда твиттер начал об этом говорить, мне спонтанно пришла идея написать пост, он занял всего 1 минуту. видимо нужно ловить такие темы, и на основе ключевых слов делать пост, скорее всего люди ищут их в поиске +алго твиттера работают таким образом, что если ты трендовые ключ.слова используешь в посте, то он тоже в реки летит.
По стате: ~100 пдп, 2 смарта
wallchain: 24 -> 26
kaito: +3 yaps
Думаю пора начать реплаить больше, а то в самые лучшие дни у меня их 40+...
В целом неплохом, бтв, на wallchain новая компания запустилась: https://app.wallchain.xyz/heyelsa
Когда твиттер начал об этом говорить, мне спонтанно пришла идея написать пост, он занял всего 1 минуту. видимо нужно ловить такие темы, и на основе ключевых слов делать пост, скорее всего люди ищут их в поиске +алго твиттера работают таким образом, что если ты трендовые ключ.слова используешь в посте, то он тоже в реки летит.
По стате: ~100 пдп, 2 смарта
wallchain: 24 -> 26
kaito: +3 yaps
Думаю пора начать реплаить больше, а то в самые лучшие дни у меня их 40+...
В целом неплохом, бтв, на wallchain новая компания запустилась: https://app.wallchain.xyz/heyelsa
🤯3
ВЗЛОМАЛ АЛГОРИТМЫ ТВИТТЕРА
https://x.com/0x_kaize/status/1965875566181232960
UPD: чтобы вы понимали, за 1 минуту было 1.5к+ вивсов и потом пошел спад
https://x.com/0x_kaize/status/1965875566181232960
UPD: чтобы вы понимали, за 1 минуту было 1.5к+ вивсов и потом пошел спад
❤2
Forwarded from VARTCALL
400 000 строк кода X: что скрывает алгоритм рекомендаций
Я провёл 14 часов подряд, читая код нового алгоритма X, разобрал:
Ссылка на статью
Ссылка на статью
Ссылка на статью
Я провёл 14 часов подряд, читая код нового алгоритма X, разобрал:
всё, что тебе нужно знать о том, как стать виральным - и можно ли всё ещё попасть в теневой бан
Ссылка на статью
Ссылка на статью
Ссылка на статью
Teletype
400 000 строк кода X: что скрывает алгоритм рекомендаций
всё, что тебе нужно знать о том, как стать вирусным и можно ли всё ещё попасть в теневой бан Twitter
🔥5
https://x.com/_trish_xD/status/1966705122937106902
не спрашивайте как я познакомился с англо СИ кодером
не спрашивайте как я познакомился с англо СИ кодером
X (formerly Twitter)
trish (@_trish_xD) on X
I created the DevLogs community on 22 Aug
On the same day, friends @abhip_me, @bpcodedragon, @0x_kaize and many others started joining.
🔥 In just 9 days (31 Aug), we crossed 100 devs.
🔥 Another 9 days (8 Sep), we hit 200 devs.
Now we’re on the road to 300+!…
On the same day, friends @abhip_me, @bpcodedragon, @0x_kaize and many others started joining.
🔥 In just 9 days (31 Aug), we crossed 100 devs.
🔥 Another 9 days (8 Sep), we hit 200 devs.
Now we’re on the road to 300+!…
Приучил себя сидеть за компом почти все время, что нахожусь на квартире, теперь за 3 месяца задача как можно больше этого времени перелить в кэф полезного действия (часто отхожу, поскролить фигню, поесть под аниме и тп), я чувствую что могу много убрать, что даст больше времени
Про выгорание не пишите, я уже нашел очень много способов, которые буквально за час/день полностью избавляют меня от него
Про выгорание не пишите, я уже нашел очень много способов, которые буквально за час/день полностью избавляют меня от него
Выдали модерку в этом комьюнити: https://x.com/i/communities/1957919335739220449
Растем в сети понемногу
Растем в сети понемногу
X (formerly Twitter)
Devlogs
Logs of progress, threads of collaboration. Because building together is way more fun than doing it alone.
❤3
Forwarded from the grinding machine
Twitter Intern Polymarket решил пошалить на щитках.
Intern подписывается на аккаунт, связанный с Polymarket, будь то терминал, бот или нечто в этом роде.
График пампится, токены сливаются, и следует отписка.
По примерным подсчетам, он заработал уже 80K$ с такой авантюры.
Возможно, кто-то останется без работы.
@thegrindingmachine
Intern подписывается на аккаунт, связанный с Polymarket, будь то терминал, бот или нечто в этом роде.
График пампится, токены сливаются, и следует отписка.
По примерным подсчетам, он заработал уже 80K$ с такой авантюры.
Возможно, кто-то останется без работы.
@thegrindingmachine
🔥2
Кажется началось, раньше смарт-фолловеры покупались где-то закрыто
А теперь переходит в некий формат маркетплейса, идея для стартапа: создать биржу, где люди будут продавать свой фоллоу
https://x.com/OxTochi/status/1967310132372705509
А теперь переходит в некий формат маркетплейса, идея для стартапа: создать биржу, где люди будут продавать свой фоллоу
https://x.com/OxTochi/status/1967310132372705509
X (formerly Twitter)
tochi (@oxtochi) on X
bro are smart followers this hungry?
👀2
Короче лучшим решением будет дружить с абсолютно всеми, быть добреньким дяденькой в крипто твиттере :)
https://x.com/bitfalls/status/1967487310062338551
https://x.com/bitfalls/status/1967487310062338551
я дожил до того, что читаю статью с обложкой из 2010 года и звездными войнами
https://medium.com/@martin_hotell/interface-vs-type-alias-in-typenoscript-2-7-2a8f1777af4c
https://medium.com/@martin_hotell/interface-vs-type-alias-in-typenoscript-2-7-2a8f1777af4c
kaize.eth
я дожил до того, что читаю статью с обложкой из 2010 года и звездными войнами https://medium.com/@martin_hotell/interface-vs-type-alias-in-typenoscript-2-7-2a8f1777af4c
Самое приятное в процессе обучения, что когда открываешь старый код видешь много ошибок или вариантов как написать лучше, уже не раз, особенно с читаемостью и чистотой кода