Друзья, всем привет !

Хотел бы провести опрос о ведении данного канала, а также узнать у вас, чего вам не хватает в тон или в телеграмм, возможно вы бы хотели сделать какого-то бота или создать свою площадку, если у вас есть идея пишите её в коментах или в лс @namewasntdrown 👍

Как работают Telegram-боты

Как вы можете знать, одним из наших топовых проектов является бот @IceTopbot
Помимо этого люди ежедневно пользуются десятками, а может и сотнями тысяч различных ботов
Поэтому давайте разберемся а что это такое и как оно работает

Боты - это отдельная программа на сервере, а Telegram - всего лишь посредник между вами и этим сервером

💬 Когда вы пишете боту:

1. Сообщение уходит в Telegram
2. Telegram пересылает его на сервер разработчика
3. Сервер обрабатывает сообщение
4. Ответ возвращается в Telegram
5. Telegram показывает его вам

То есть это обычное backend-приложение, просто с интерфейсом в виде чата.

После создания бота вы получаете уникальный токен — ключ доступа к API. Он нужен для подтверждения личности, даёт право отправлять сообщения, а также позволяет управлять чатами и кнопками. Если токен украсть — можно полностью управлять ботом.

Также стоит понимать, что Telegram не хранит логику диалога. Он не знает на каком этапе регистрации вы находитесь, что вы положили в корзину, какой вопрос вам задали ранее. Всё это хранится на сервере бота и он сам запоминает контекст общения.

После того как вы нажимаете кнопку внутри бота, Тг отправляет событие серверу, где он получает сигнал о нажатии.

📁 А что же еще происходит там внутри🧐

Типичная схема такая:

1. Приходит сообщение
2. Определяется его тип (текст, фото, команда)
3. Проверяется, кто это (обычный пользователь или админ)
4. Смотрится текущее состояние пользователя
5. Выполняется бизнес-логика
6. Формируется ответ

Всё как в обычном веб-приложении:
• есть логика
• есть база данных
• есть внешние сервисы
• есть обработка ошибок

🔨 Конечно же боты делятся по степени сложности на 3 уровня:

Простой:
• отвечает по ключевым словам
• отправляет шаблонные сообщения

Средний уровень:
• регистрация
• анкеты
• квизы
• личный кабинет
• админ-панель

Сложный бот:
• интеграция с CRM
• работа с платежами
• автоматизация продаж
• очереди задач
• масштабирование на несколько серверов

По сути, крупный Telegram-бот — это полноценная IT-система.

🚫 Ну и наконец, вам нужно срочно что то сделать в боте, а он внезапно падает. Вы начинаете винить ТГ, обзывать Дурова самыми последними словами, а по сути все происходит из-за этих причин:
• сервер выключился
• закончилась память
• перегрузка из-за рассылки
• ошибка в коде
• проблемы с базой данных
• истёк SSL-сертификат

Ведь Telegram почти всегда работает стабильно.
Чаще всего проблема именно на стороне сервера бота.

В завершении хотелось бы сказать, что мы всегда готовы сделать бота любой сложности исходя из ваших надобностей и предпочтений, ждем вас в лс, контакты в описании канала

👥 Devsprout - Подписаться

🍪Cookies — удобство или цифровая слежка?

Каждый раз, когда вы заходите на сайт, он может сохранять на вашем устройстве маленький файл - cookie (куки).
Несмотря на милое название, это не сладости, а инструмент, который помогает сайту «запоминать» вас.

Cookies — это небольшие текстовые файлы, которые браузер сохраняет на вашем компьютере или телефоне.
В них хранится информация о вашем взаимодействии с сайтом.

🔎 Какие бывают cookies?

1️⃣Сессионные
Работают только пока открыт сайт. Закрыли вкладку — они исчезли.
Нужны, например, чтобы товары не пропадали из корзины.

2️⃣Постоянные
Сохраняются на устройстве на определённый срок.
Благодаря им сайт «узнаёт» вас при следующем визите.

3️⃣Аналитические
Помогают владельцам сайта понять:
• сколько людей зашли,
• какие страницы смотрели,
• где пользователи «застревают».

4️⃣Рекламные
Используются для показа персонализированной рекламы.
Именно поэтому после поиска кроссовок вы видите их «повсюду».

📥 Что они могут хранить:
• язык сайта
• регион
• логин (в зашифрованном виде)
• содержимое корзины
• историю просмотров

Это просто данные, которые сайт записывает и потом считывает.

📷 Задачи которые они решают:

Аутентификация
Позволяют сохранять сессию пользователя после входа в аккаунт.

Управление сессией
Корзина интернет-магазина, прогресс в онлайн-сервисах, формы — всё это работает через cookie-сессию.

Персонализация
Язык интерфейса, регион, предпочтения пользователя.

Веб-аналитика
Системы аналитики используют cookies для:
• подсчёта уникальных пользователей
• отслеживания поведения
• анализа конверсий

Рекламные технологии (AdTech)
Через сторонние cookies формируются поведенческие профили для таргетированной рекламы.

❓ Также многих мучает вопрос, почему буквально на каждом сайте у нас спрашивают об их использовании, почему это нельзя делать автоматически

Все из-за законодательного регулирования в ЕС, в результате чего пользователь должен знать какие данные собираются, зачем, и кому передаются

👥 Основные риски cookies связаны с незаметным поведенческим профилированием и передачей данных третьим сторонам без полного понимания пользователем масштабов обработки.
При слабой защите или злоупотреблениях это может привести к утечкам данных, манипулятивному таргетингу и потере приватности.

🌐 Cookies - это валюта цифровой эпохи: они позволяют сервисам быть удобными, а бизнесу - точнее работать с аудиторией. Вопрос не в их существовании, а в прозрачности использования и осознанности пользователя. Чем лучше мы понимаем механику данных, тем больше контроля остаётся у нас.

👥 Devsprout - Подписаться

С 18:00 (GMT +3) на несколько часов @IceTopbot будет недоступен в связи с проведением обновлений и технических работ 🦈

Задание для гениев 🧠

Кто предложит супер крутую идею для тг бота, которую мы реализуем (мы можем всё, кто ещё не понял)
получит подарок, а может и два, а может и с нами его делать будет😎
Выберем в комментариях

Многофакторная аутентификация: или почему одного пароля уже мало🔒

Продолжая серию постов о безопасности, нельзя обойти одну из самых важных тем 2026 года.
Фишинг с ИИ, утечки баз данных и deepfake-голоса делают обычный пароль практически бесполезным.
Многофакторная аутентификация (MFA) - это тот самый второй (и третий) замок, который спасает аккаунты даже если пароль уже у мошенников.

MFA — это когда для входа в аккаунт нужно подтвердить свою личность двумя или более независимыми способами

📊 Основные виды факторов:
• Знание - пароль, PIN
• Владение - приложение-аутентификатор, SMS, hardware-ключ
• Наследственность - отпечаток пальца, Face ID, биометрия

➡️ Самые популярные комбинации сейчас:
• Пароль + TOTP-приложение (Google Authenticator, Aegis, Microsoft Authenticator)
• Пароль + passkey (самый современный и удобный вариант)
• Пароль + hardware-ключ (YubiKey, Ledger, Titan Key)
• Биометрия + passkey (почти без пароля)

🛡Почему MFA так важна именно в 2026
По данным исследований, 80 % взломов происходят из-за украденных или угаданных паролей.
MFA блокирует 99,9 % автоматических атак. Даже если мошенник получил твой пароль через фишинг - без второго фактора он не войдёт.

✅ Как настроить MFA для самых важных сервисов:

1. Telegram
Настройки → Конфиденциальность и безопасность → Двухэтапная аутентификация → Включите + придумайте надёжный пароль

2. Google / Gmail
myaccount.google.com → Безопасность → 2-этапная аутентификация → Включите → Выберите приложение-аутентификатор (не SMS!)

3. Tonkeeper / любой крипто-кошелёк
Настройки → Безопасность → Включите 2FA или подключить hardware-ключ через TonConnect

4. Почта, банковские приложения, Notion, GitHub - также не помешает включить

👍 Плюсы многофакторной аутентификации
🔽1. Резко снижает риск взлома
🔽2. Даже при утечке пароля аккаунт остаётся в безопасности
🔼3. Passkeys и hardware-ключи практически не фишатся
🔼4. Многие сервисы дают бонусы за включённую MFA (скидки, повышенные лимиты)

❗️Но есть и ограничения
• При потере телефона — можно потерять доступ (решение: резервные коды и несколько ключей)
• SMS — самый слабый вариант (тк его можно перехватить)
• Нужно немного привыкнуть к лишнему шагу при входе

Золотое правило в современных реалиях:
Пароль + приложение-аутентификатор — минимум.
Passkey или hardware-ключ — для всего важного (крипта, почта, банковские сервисы).

MFA — стало уже базовой системой бепопасности в наше время, и если до этого вас никак не касались мошенники, не думайте что вас и дальше пронесет

👥 Devsprout - Подписаться

RWA или как токенизируют реальный мир 🌐

Мы уже привыкли к тому, что крипта - это в основном спекуляции, DeFi и быстрые переводы. Но в 2026 году главный тренд - это не новые мемкоины, а реальные деньги из традиционного мира, которые тихо мигрируют в блокчейн.

RWA (Real World Assets) - это токенизация реальных активов: недвижимости, облигаций, золота, даже счетов-фактур и частных кредитов. Один токен теперь может представлять долю в настоящем здании или казначейской облигации США.

📊 Что уже токенизируют сейчас:

• Казначейские облигации США (лидер рынка, больше $8,7 млрд)
• Недвижимость (fractional ownership — доли от $50)
• Золото и серебро (токены XAUT, SILVER)
• Private credit и корпоративные облигации
• Акции технологических гигантов (токенизированные NVIDIA, Apple и др.)
• Искусство, музыка, счета-фактуры

Общая стоимость токенизированных реальных активов (без учёта стейблкоинов) уже превысила $24–26 млрд.
Только за 2025 год рост составил более 200–300 %, а в начале 2026-го продолжается ускорение.
Самый большой сегмент - токенизированные казначейские облигации США (около $9–10 млрд), за ними идут золото, частный кредит и недвижимость.
Институционалы вроде BlackRock (с фондом BUIDL), Ondo, Centrifuge и другие также активно участвуют

➕Плюсы RWA
Традиционные финансы полны неэффективностей, когда блокчейн решает это одним махом:

Дробная собственность - купить 0,1 % офисного здания за $100 вместо миллионов.
Мгновенные расчёты и торговля круглосуточно.
Полная прозрачность - вся история владения видна в блокчейне.
Возможность использовать токены в DeFi: стейкать, кредитовать, получать дополнительную доходность.

🛒 Чтобы купить RWA не нужно ничего сверхъестественного, вы можете выбрать приобретение на DEX через свап, также как и обычный токен или же вообще на любой удобной для вас бирже

Для особых профессионалов-трейдеров существуют даже фьючерсы на эти активы, которые хорошо пользуются спросом и являются инструментом быстрого заработка, даже когда допустим фондовая биржа закрыта

🚫 Тем не менее, сущетсвуют свои риски:
• Регуляторные (зависит от страны)
• Контрагентный риск (нужно доверять эмитенту токена)
• Волатильность цены токена даже при стабильном базовом активе
• Пока ещё не все проекты прошли полный аудит и юридическую очистку

RWA — это очень хороший и нужный инструмент, а также мост между традиционными финансами и криптовалютами. Но как и всегда нужно трезво оценивать возможности, чтобы не потерять свои средства

👥 Devsprout - Подписаться

Tokenized US Treasuries и ETF на блокчейне — как это работает 💰

Мы уже разбирали RWA в целом, но один из самых больших и стабильных сегментов - это именно токенизированные казначейские облигации США(Tokenized US Treasuries), про которые хотелось бы поговорить отдельно

Начнем с того, что это цифровые токены на блокчейне, которые представляют реальную долю в американских казначейских обязательствах (T-bills, notes, bonds).
Один токен = пропорциональная часть реальных облигаций, которые хранятся у лицензированного кастодиана (банка вроде BNY Mellon).
По сути - это как если бы обычный фонд купил Treasuries, а потом выпустил на них токены, которые можно держать в кошельке, переводить мгновенно и использовать в DeFi.

⚙️ Как именно это работает

1. Покупка базового актива
Лицензированная компания (BlackRock, Ondo, Franklin Templeton, Superstate и др.) покупает реальные US Treasuries на традиционном рынке.

2. Хранение в резерве
Облигации кладутся в segregated custody account у регулируемого кастодиана. Всё 1:1 backed — токенов выпущено ровно столько, сколько долларов в Treasuries + начисленный доход.

3. Выпуск токенов
На блокчейне (чаще Ethereum, но уже и Solana, Polygon, Avalanche, TON и др.) создаётся смарт-контракт. Токен (например BUIDL, USYC, OUSG) выдаётся инвестору в обмен на USDC/USDT или фиат.

4. Начисление доходности
Treasuries приносят yield (сейчас ~4–5% годовых).
Есть два основных механизма:
- Accruing - цена токена растёт со временем.
- Distributing - доход периодически распределяется на кошельки (как в BUIDL от BlackRock — уже выплатили >$100 млн).

5. Торговля и использование
Токены торгуются 24/7 на DEX (Uniswap, теперь даже BUIDL там есть), используются как collateral в lending-протоколах, стейкаются или просто лежат с yield'ом.

🎛 Ключевые отличия

- Доступность - купить можно от $1–100 через крипто-кошелёк, без брокера и банковских часов.
- Ликвидность - мгновенный трансфер токенов или торговля 24/7.
- Программируемость - токены можно использовать в DeFi (залог, yield farming, автоматизированные стратегии).
- Прозрачность — всё видно в блокчейне + регулярные аудиты резервов.

F/m Investments подали в SEC заявку на токенизацию shares своего ETF TBIL (US Treasury 3-Month Bill ETF, ~$6 млрд AUM).
Идея заключается в том, что те же акции ETF, но ownership записывается на permissioned blockchain (с теми же правами и дивидендами).
Пока это только тест-кейс, но если его одобрят - это откроет дверь для токенизации целых зарегистрированных фондов.

🙋 Плюсы для обычного человека

- Стабильный yield без волатильности крипты (~4–5% сейчас).
- Защита от инфляции + низкий риск (backed US gov).
- Легко комбинировать с DeFi - класть в Aave, Compound как collateral и зарабатывать ещё больше.
- Доступ без KYC в некоторых случаях (но в крупных проектах KYC обязателен для compliance).

❗️ Риски, о которых стоит помнить

- Контрагентный риск - доверяешь эмитенту и кастодиану.
- Регуляторные изменения - SEC и банки пока «technology neutral», но правила могут поменяться.
- Смарт-контракт риски - хотя в институциональных продуктах аудиты топ-уровня.
- Ликвидность не везде одинаковая - на маленьких сетях спреды выше.

Tokenized US Treasuries - это уже реальный мост между TradFi и блокчейном.
Сейчас это один из самых надёжных способов держать «крипто-доллары» с доходностью, а не просто на кошельке.

👥 Devsprout - Подписаться

На несколько часов @IceTopbot будет недоступен в связи с проведением обновлений и технических работ 🦈

Всем привет, недавно мы собрали ваши идеи в комментариях к этому посту. Обсмотрев каждый вариант и обсудив с командой, наш выбор пал на предложенное @Sawnotyou
С чем мы его и поздравляем

В свою же очередь, мы решили не просто взять идею (ведь таких проектов существует огромное множество), а немного доработать во благо как самих стикеров, так и комьюнити

Возможно, из за встроенных механик сжигания, мы когда либо увидим невероятный памп стикеров или же народ уйдет довольный приумножив свои активы

👥 Devsprout - Подписаться

Модульные блокчейны: что это и зачем следить🧐

Мы привыкли, что блокчейн - это одна большая система, которая сразу делает всё: выполняет транзакции, хранит данные, договаривается о порядке и обеспечивает безопасность.
Но сейчас такой монолитный подход уже упирается в потолок.

Модульные блокчейны решают проблему, разделяя задачи на отдельные независимые слои, где каждый отвечает только за свою работу и может масштабироваться сам по себе. И в итоге цепочки получаются быстрее, дешевле и проще в создании

Три главных проекта в этой области - Celestia, EigenLayer и Avail.

⚙️ Принцип работы:
• роллапы или самостоятельные цепочки занимаются выполнением смарт контрактов
• базовый слой отвечает за финализацию транзакций
• специализированные слои - за доступность данных и общую безопасность

В результате затраты падают в 5–20 раз, пропускная способность растёт, запускать свою цепочку становится гораздо проще

🗂 Разберем каждый проект по подробнее

1️⃣ Celestia - первый специализированный слой доступности данных
Это блокчейн, созданный исключительно для хранения и предоставления данных транзакций
Благодаря технологии Data Availability Sampling даже лёгкие узлы могут проверять данные, не скачивая весь блок.

Уже сейчас она:
• хранит более 160 ГБ данных роллапов
• занимает около половины рынка слоёв доступности данных
• после обновления Matcha поддерживает блоки до 128 МБ
• инфляция токена TIA снижена до 2,5 %, возможны дальнейшие улучшения

Celestia стала стандартом для многих роллапов (DeFi, игры, приложения).
Если кто-то запускает L2, L3 или самостоятельный роллап - данные чаще всего идут именно сюда.
$TIA используется для стейкинга и оплаты хранения данных.

2️⃣ EigenLayer - общая безопасность через повторное стейкинг
Это протокол на Ethereum, который позволяет повторно использовать уже застейканный ETH (или производные токены, например stETH).
Валидаторы Ethereum могут «передавать» свою безопасность другим сервисам : мостам, роллапам, слоям данных и даже ИИ-агентам.

Сейчас:
• объём повторно застейканных активов превысил 30 млрд долларов
• EigenLayer контролирует около 70 % рынка restaking
• их слой EigenDA уже выдаёт пропускную способность 100 МБ/с
• миллиарды долларов защищают внешние проекты

Это полностью меняет правила безопасности. Новые проекты получают защиту уровня Ethereum без необходимости запускать собственную сеть валидаторов.
Для DeFi и инфраструктуры - огромная экономия и ускорение запуска.
А $EIGEN - токен для управления и будущих вознаграждений.

3️⃣ Avail - слой данных для мультичейн-мира
Ещё один специализированный слой доступности данных, но с сильным акцентом на совместимость между разными экосистемами.
Он уже интегрирован с Arbitrum, Optimism, Polygon, StarkWare, zkSync и многими другими.

Сейчас:
• mainnet запущен в 2025 году и активно растёт
• в планах блоки Infinity (10 ГБ и больше)
• Avail Nexus — слой, который координирует взаимодействие цепочек

Avail часто оказывается дешевле Celestia и лучше подходит для проектов за пределами чистого Ethereum.
Если вы работаете в Polygon, Arbitrum или мультичейн-среде — Avail может стать вашим основным слоем данных.

🎛 Краткое сравнение:
• Celestia - наибольшая децентрализация + DAS, лидер по количеству подключённых роллапов
• EigenLayer / EigenDA — общая безопасность от Ethereum, огромный объём капитала, идеально для быстрого запуска защищённых проектов
• Avail — лучшая совместимость + низкая цена, сильный в мультичейн-экосистемах

Поэтому все три конкурируют в доступности данных, но в целом дополняют друг друга.
Модульные блокчейны уже меняют крипто-пространство, делая масштабирование дешевле и проще.
Celestia, EigenLayer и Avail - это ключевые кирпичики будущего Web3, за которыми вам стоит следить прямо сейчас

👥 Devsprout - Подписаться

Prediction Markets или в чем феномен одного из главных крипто-трендов 2026 года

За последние несколько лет криптоиндустрия прошла через несколько мощных циклов нарративов: DeFi, NFT, GameFi, AI-токены. Но уже в 2026 году все меняется и чаще в центре внимания оказывается именно новая категория - prediction markets, или же рынки предсказаний.

Одними из ярких примеров таких рынков стоит считать: Polymarket и Kalshi, но также существует огромное количество альтернатив

Prediction markets - это рынки, на которых участники делают ставки на исход будущих событий. Каждый исход представлен в виде торгуемого контракта, цена которого отражает вероятность наступления события.

Например:
контракт «Bitcoin достигнет $150 000 до конца 2026 года».

Если такой контракт торгуется по цене $0.65, рынок оценивает вероятность события примерно в 65%.

Таким образом, цена на prediction market - это не просто ставка, а коллективная оценка вероятности события, сформированная участниками.

В отличие от классических ставок или букмекерских рынков, здесь формируется полноценная рыночная динамика: участники покупают и продают позиции, формируя ликвидность и изменяя рыночную вероятность.

❓ Почему рынки предсказаний привлекают внимание

Интерес к prediction markets связан с их уникальной способностью агрегировать информацию.

Исследования в области экономики и поведенческих наук показывают, что рынки предсказаний во многих случаях оказываются точнее опросов, аналитических прогнозов и экспертных оценок.

Причина заключается в нескольких ключевых механизмах:

— финансовая мотивация: участники рискуют собственным капиталом
— информационная агрегация: рынок собирает знания и ожидания большого числа людей
— быстрая реакция на новую информацию
— дисциплина капитала, которая снижает влияние субъективных мнений

По сути, prediction market превращает информацию о будущем в торгуемый актив.

📶 Почему именно блокчейн

Рынки предсказаний существовали и до криптовалют. Однако традиционные версии сталкивались с рядом проблем:

— регуляторные ограничения
— необходимость доверия к централизованному оператору
— сложности с глобальным доступом
— ограниченная ликвидность

Блокчейн решает многие из этих задач:

1. Децентрализация
Контракты и расчеты происходят через смарт-контракты.
2. Глобальный доступ
Участвовать может любой пользователь с криптокошельком.
3. Прозрачность
Все ставки и результаты фиксируются в блокчейне.
4. Программируемость рынков
Можно создавать рынки практически на любое событие.


🌐 Почему этот сектор стал трендом именно в 2026 году

1. Рост интереса к альтернативной аналитике
Инвесторы и фонды ищут новые источники сигналов.
Рынки предсказаний становятся индикатором коллективных ожиданий.

2. Политический цикл
Мировые выборы традиционно создают огромный спрос на прогнозирование политических событий.

3. Развитие криптоинфраструктуры
Layer-2 решения и более дешевые транзакции сделали prediction markets технически удобными.

4. Смена нарратива в крипто
После периода инфраструктурных проектов рынок вновь ищет потребительские приложения блокчейна. Prediction markets - один из немногих продуктов, который имеет понятную ценность для массовой аудитории.

🔗 Возможные последствия
• Такие рынки могут стать альтернативой социологическим опросам.

• Они способны превратиться в новый инструмент анализа рисков для бизнеса и инвесторов.

• Появится возможность создавать финансовые инструменты на базе будущих событий, что значительно расширяет границы финансовых рынков.


Prediction markets - это гораздо больше, чем просто новая ниша криптоиндустрии.

Если этот механизм окажется устойчивым и масштабируемым, он может изменить не только криптоэкономику, но и сам подход к прогнозированию будущего.

👥 Devsprout - Подписаться

Что такое «белые списки» интернета и при чём здесь блокировки в РФ

Когда говорят о блокировках сайтов в России, часто всплывает термин «белые списки». Чтобы понять, что это значит, нужно разобраться в принципе работы доступа к интернет-ресурсам.

📌 Белый список (whitelist) - модель доступа, при которой разрешены только заранее одобренные сайты или сервисы. Всё остальное автоматически считается запрещённым.

Это противоположность привычной модели интернета, где доступно всё, кроме того, что специально заблокировано (то есть «чёрный список»).

⏲ Как это может работать:

• провайдер получает список разрешённых доменов

• пользователи могут открывать только сайты из этого списка

• любые другие сайты просто не загружаются

👥 Почему эту тему обсуждают в контексте РФ

В России уже действует система блокировок через реестр запрещённых сайтов, который ведёт Роскомнадзор. По этой модели запрещённые ресурсы попадают в чёрный список, и провайдеры обязаны их блокировать.

Однако периодически обсуждаются сценарий, при котором интернет может работать по модели белого списка - когда доступ будет только к ограниченному набору разрешённых ресурсов. Это часто связывают с идеей «суверенного интернета» и возможностью более жёсткого контроля трафика.

❓ Что это означает для пользователей

Если интернет работает по белому списку:

• доступных сайтов становится значительно меньше
• многие зарубежные сервисы могут быть недоступны
• усиливается централизованный контроль трафика

⌨ Как обойти такие ограничения

Пользователи обычно пытаются обходить блокировки с помощью:

• VPN-сервисов - создают зашифрованный туннель к серверам в другой стране
• прокси-серверов - позволяют заходить на сайты через промежуточный сервер
• Tor-сети - анонимная сеть, которая маршрутизирует трафик через несколько узлов
• зеркал сайтов - альтернативные домены тех же ресурсов
• альтернативных DNS-серверов

⚠️ Важно понимать, использование таких инструментов может ограничиваться или регулироваться законом, а часть сервисов может также блокироваться.

🔒 Какие ресурсы могут быть в белых списках

Обычно в такие списки попадают сайты, которые считаются необходимыми для работы государства и повседневной жизни:

• государственные сервисы (порталы ведомств, госуслуги)
• сайты банков и платёжных систем
• крупные отечественные IT-платформы (почта, поиск, карты)
• официальные СМИ и информационные агентства
• образовательные и медицинские сервисы
• инфраструктурные ресурсы - обновления ПО, облачные сервисы, системы электронной подписи

То есть доступ остаётся только к тем ресурсам, которые считаются критически важными для экономики и управления, а остальная часть интернета может быть недоступна

👥 Devsprout - Подписаться

Всем привет! Во имя дизайна и святого духа — поддержите нас и увидите нечто великое и прекрасное 😁
(Вы когда-нибудь мечтали стать лучшей версией себя? Моложе, красивее, идеальнее. Всего одна инъекция разблокирует вашу ДНК и запустит процесс деления клеток, который создаст другую версию вас)
https://t.me/boost/DevSprout

Non-Human Identities: почему боты и API-аккаунты стали главной целью хакеров

Большинство компаний всё ещё строят безопасность вокруг людей:
фишинг, пароли, двухфакторная аутентификация. Но реальность изменилась.

Сегодня инфраструктурой управляют машины - боты, сервисные аккаунты, API-ключи, токены автоматизации. И именно они становятся главной целью атак.

Если посмотреть на современные инфраструктуры, то соотношение машинных аккаунтов к человеческим обычно в промежутке 10–50 : 1
В облачных же сервисах вообще может доходить до 100:1

🔔 Почему это идеальная точка входа для атаки:

1. Разработчик сохраняет изменения в системе контроля версий (например, Git) и фиксирует их в репозитории
Вместе с кодом в коммит случайно попадает конфигурационный файл с ключом. Через несколько минут этот ключ уже индексируют автоматические сканеры - такие боты постоянно мониторят GitHub в поиске секретов. По статистике безопасности тысячи ключей утекaют в публичные репозитории каждый день, и вскоре атакующий получает доступ к найденному ключу.

2. Получив ключ, злоумышленник первым делом проверяет, какие действия он позволяет выполнять
Нередко оказывается, что сервисный аккаунт имеет довольно широкие права:

• читать хранилище
• писать в хранилище
• создавать новые токены
• читать секреты
• управлять инфраструктурой

Так происходит потому, что при создании аккаунта разработчик часто выдаёт максимальные права, чтобы всё работало без ограничений

3. Если ключ даёт доступ к хранилищу или базе данных, атакующий начинает выгружать информацию
В таких хранилищах нередко находятся:

• пользовательские данные
• внутренние документы
• резервные копии
• конфигурации инфраструктуры

На этом этапе компания может даже не заметить ничего подозрительного, поскольку доступ осуществляется с валидным ключом

4. Далее злоумышленник пытается найти дополнительные ключи и токены
В облачной инфраструктуре они часто хранятся в разных местах:

• в переменных окружения
• в конфигурациях сервисов
• в системах сборки
• в секрет-хранилищах

Один найденный ключ нередко приводит к нескольким новым, и так начинается перемещение внутри инфраструктуры

Если среди обнаруженных токенов оказываются ключи с административными правами, атакующий получает возможность:

• запускать новые серверы
• менять конфигурацию инфраструктуры
• читать любые данные
• создавать новые учётные записи

В этот момент инфраструктура фактически скомпрометирована, и всё это может начаться всего с одного API-ключа

⌨️ Самое страшное, что это не просто на бумаге, а реальные кейсы которые происходили в крупных компаниях:

Uber (2022)
Атакующий получил доступ к внутренним системам после того, как нашёл жёстко прописанные учётные данные в скриптах PowerShell.
Через них удалось получить доступ к внутренним сервисам и административным инструментам.

Microsoft (2023)
Китайская группа получила доступ к подписывающему ключу сервисных токенов.

Это позволило подделывать токены и читать почтовые ящики в облаке, включая почту государственных структур США

ℹ️ Главная проблема

В большинстве компаний хорошо управляют пользователями. Но почему то почти не управляют машинными учётными записями:

• API-ключами
• сервисными аккаунтами
• токенами автоматизации
• ключами из CI/CD

А их обычно в десятки раз больше, чем людей. Поэтому безопасность меняется

🔒 Сегодня всё больше компаний начинают защищать именно машинные идентичности:

• полный учёт всех ключей
• короткоживущие токены
• автоматическая ротация секретов
• минимальные права доступа
• мониторинг использования ключей

Потому что в современной инфраструктуре самая опасная учётная запись - это та, которой пользуется не человек или же о которой все забыли

👥 Devsprout - Подписаться

🤩
⚠️🤩🤩🤩🤩
🤩🤩🤩🤩 🕷
☀🤩🤩🤩🤩
🤩

🌿🌿🌿🌿🌿🌿🌿🌿🌿🌿🌿
🌿🌿🌿🌿🌿🌿🌿🌿🌿🌿🌿
🌿🌿🌿🌿🌿🌿🌿🌿🌿🌿🌿
✨⚪️ BUILD OR DIE ⚪️✨


YOTSUBA x DEVSPROUT
⭐️collabaration ⭐️

Канал оформлен 🤩
продолжение коллабы
✨SOON...
GOODLUCK


🍓🔞 CHILL & NETFLIX ART
95% HAND DRAWN 😊🌟💋
🧩🧩🧩🧩🧩🧩🧩🧩🧩🧩
🧩🧩🧩🧩🧩🧩🧩🧩🧩🧩