⚠️ Какие риски существуют при использовании VPS?
Хостинг-провайдеры имеют полный доступ к физическому серверу и гипервизору, что позволяет им:
➡️ Дампить оперативную память вашего VPS.
➡️ Получать доступ к вашим паролям и ключам шифрования.
➡️ Копировать ваши виртуальные диски и файлы.
Даже если вы используете полно-дисковое шифрование (например, VeraCrypt), хостер может извлечь ключи шифрования из оперативной памяти, особенно во время загрузки системы или ее установки.
🔍 Как это происходит?
➡️ При установке системы или вводе пароля шифрования, пароль хранится в оперативной памяти в открытом виде.
➡️ Хостер может сделать дамп оперативной памяти и извлечь эти пароли с помощью специальных инструментов.
➡️ Даже без пароля можно извлечь ключ шифрования из оперативной памяти и получить доступ к данным.
Практический пример можно посмотреть в подробном видео, где человек в тестовом окружении показывает как это происходит.
💭 Что делать?
➡️ Рассмотреть использование физических серверов, для самостоятельного деления на vps.
➡️ Шифровать оперативную память и применять дополнительные меры безопасности.
💭 Чего не делать?
Если у вас на vps крутятся скрипты, с балансами кошельков на десятки тысяч долларов, то очень неразумно экономить пару баксов на ноунейм vps, лучше пойти к тем, у кого стоит репутация на кону, например digitalocean, hetzner и тд.
➡️ По поводу шифрования оперативной памяти:
Чтобы защитить VPS от атак с доступом хостера к оперативной памяти, надо выбирать хостера, который предоставляет серверы на базе AMD Epyc с поддержкой шифрования оперативной памяти Secure Encrypted Virtualization (SEV) или Intel с Trust Domain Extensions (TDX).
😍 Mimble Wimble DAO
😍 Mimble Wimble LAB
Хостинг-провайдеры имеют полный доступ к физическому серверу и гипервизору, что позволяет им:
Даже если вы используете полно-дисковое шифрование (например, VeraCrypt), хостер может извлечь ключи шифрования из оперативной памяти, особенно во время загрузки системы или ее установки.
🔍 Как это происходит?
Практический пример можно посмотреть в подробном видео, где человек в тестовом окружении показывает как это происходит.
💭 Что делать?
💭 Чего не делать?
Если у вас на vps крутятся скрипты, с балансами кошельков на десятки тысяч долларов, то очень неразумно экономить пару баксов на ноунейм vps, лучше пойти к тем, у кого стоит репутация на кону, например digitalocean, hetzner и тд.
Чтобы защитить VPS от атак с доступом хостера к оперативной памяти, надо выбирать хостера, который предоставляет серверы на базе AMD Epyc с поддержкой шифрования оперативной памяти Secure Encrypted Virtualization (SEV) или Intel с Trust Domain Extensions (TDX).
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5🔥2❤1
Разбор на практике как использовать Permit2 в Universal Router от Uniswap
https://hackernoon.com/python-how-to-use-permit2-with-the-uniswap-universal-router
Permit2 — это усовершенный смарт-контракт для управления разрешениями на передачу токенов ERC-20, разработанный командой Uniswap. Он расширяет функциональность стандарта EIP-2612 (известного как ERC-20 Permit), предоставляя более гибкие и эффективные способы контроля над разрешениями на использование ваших токенов.
Основные особенности Permit2:
- Единое разрешение для нескольких токенов: Позволяет пользователям давать разрешения на использование сразу нескольких токенов через одну транзакцию, сокращая необходимость в множественных подписаниях.
- Установка лимитов и сроков действия: Пользователи могут устанавливать максимальное количество токенов, доступных для использования, и определять период, в течение которого разрешение действительно.
- Повышенная эффективность и экономия газа: За счет сокращения количества необходимых транзакций снижаются затраты на газ, делая взаимодействие с блокчейном более экономичным.
- Улучшенная безопасность: Предоставляет более точный контроль над тем, кто и как может использовать ваши токены, снижая риски несанкционированного доступа.
https://hackernoon.com/python-how-to-use-permit2-with-the-uniswap-universal-router
Permit2 — это усовершенный смарт-контракт для управления разрешениями на передачу токенов ERC-20, разработанный командой Uniswap. Он расширяет функциональность стандарта EIP-2612 (известного как ERC-20 Permit), предоставляя более гибкие и эффективные способы контроля над разрешениями на использование ваших токенов.
Основные особенности Permit2:
- Единое разрешение для нескольких токенов: Позволяет пользователям давать разрешения на использование сразу нескольких токенов через одну транзакцию, сокращая необходимость в множественных подписаниях.
- Установка лимитов и сроков действия: Пользователи могут устанавливать максимальное количество токенов, доступных для использования, и определять период, в течение которого разрешение действительно.
- Повышенная эффективность и экономия газа: За счет сокращения количества необходимых транзакций снижаются затраты на газ, делая взаимодействие с блокчейном более экономичным.
- Улучшенная безопасность: Предоставляет более точный контроль над тем, кто и как может использовать ваши токены, снижая риски несанкционированного доступа.
❤1
Forwarded from CryptoSan
Как стать аудитором смарт-контрактов: советы для начинающих
Всем привет! После AMA у How to Code (а как?) несколько человек писали мне в личку с вопросами про аудит смарт-контрактов.
Решил написать небольшой пост о том, с чего бы я начал, если бы был на вашем месте:
1. Основы Solidity
Чтобы стать аудитором, нужно знать основы Solidity. Учить Solidity как первый язык программирования - это немного странно, поэтому важно сначала освоить базовый cинтаксис любого другого полноценного язык программирования, чтобы понимать основные концепции программирования, а затем переходить к Solidity.
2. JavaScript/TypeScript и Python
Желательно иметь хотя бы базовые знания в JavaScript/TypeScript или Python, а лучше освоить базовые библиотеки для работы с EVM блокчейнами (viem, ethers - для js/ts, web3 - для python). Почему это важно? Например, для написания тестов в Hardhat вам понадобится знание JavaScript или TypeScript. В Foundry можно писать тесты только на Solidity, но для полного понимания процесса аудита желательно иметь опыт с другими языками. Хорошему аудитору (и разработчику) также нужно уметь работать с Hardhat/Foundry, так как такие требования могут предъявляться работодателем.
Тем, кто работал с Web3 в Python, будет несложно переключиться на JS/TS.
3. Порядок обучения
Далее встает вопрос: как учиться и что учить? Я разделю обучение на платное и бесплатное, на английском и русском языках. Главное - соблюдать порядок, чтобы быстрее освоить эту тему. Если не умеете обращаться к блокчейну извне, не стоит лезть туда, чтобы работать внутри. Если не умеете работать внутри, то каким аудитором вы хотите быть? Тут есть логическая цепочка. Я не настаиваю на ее соблюдении, каждый человек индивидуален. Но эта цепочка помогла мне, а значит, поможет и вам.
4. Английский язык
Если вы хотите получать качественное обучение, нужно учить английский. Если вы хотите устроиться в компанию с нормальной зарплатой ($50,000 до $80,000 в год получает младший аудитор смарт-контрактов), нужно учить английский и искать вакансии в зарубежных компаниях. Качественного материала на русском языке очень мало. Не ищите отговорок и не оправдывайте себя. Если я смог прокачать английский с нуля, чтобы разговаривать, понимать материал и проходить собеседования - сможете и вы.
Перейдем к тому материалов:
Английский язык
Бесплатные ресурсы
1. Cyfrin
- На их платформе можно бесплатно пройти обучение от новичка до продвинутого уровня. Тут все что нужно вам чтобы начать свой путь аудитора!
- У их создателя Patrick'a Collins'a на YouTube есть видео по основам Solidity, аудиту смарт-контрактов и многое другое что необходимо знать!
2. YouTube канал 0xOwenThurm
3. YouTube канал JohnnyTime
Платные курсы
1. Курсы JohnnyTime по аудиту Solidity/Viper и Cairo Starknet
Русский язык
Бесплатные ресурсы
- YouTube канал Ильи Круковского (плейлист)
Платные курсы
- GuideDAO - тут вы покупаете не обучение, а одно из лучших комьюнити где просто огромное кол-во материалов по EVM, его работе, по работе различных протоколов и прочего. Тут есть все что нужно для того чтобы стать полноценным Solidity разработчиком и получить первый оффер. Если надумаете тут покупать обучение, напишите мне я спрошу может сделают какую-то скидку вам.
- OTUS - выбрал этот курс из-за программы, хорошая структура. Обучение идет примерно 6 месяцев. Из минусов что придется все искать самому, многое что учить самому, тут вас просто направят куда смотреть.
По поводу того какой путь выбрать и что учить, решайте сами, я вам скинул то что прошел и хочу пройти сам не зависимо от того что я уже умею! Не стоит недооценивать силу платных курсов, потому что там вы приобретаете единомышленников с которыми можете потом сделать что-то совместное.
После того как вы все пройдете (или хотя-бы что), приглашаю вас на платформы для публичных аудитов смарт контрактов:
1) https://codehawks.cyfrin.io/contests
2) https://code4rena.com/
Тут вы сможете применить знания на практике, набить руку, портфолио, почувствовать себя аудитором и заработать первые деньги!
Набили руку? Идите на собесы!
Всем привет! После AMA у How to Code (а как?) несколько человек писали мне в личку с вопросами про аудит смарт-контрактов.
Решил написать небольшой пост о том, с чего бы я начал, если бы был на вашем месте:
1. Основы Solidity
Чтобы стать аудитором, нужно знать основы Solidity. Учить Solidity как первый язык программирования - это немного странно, поэтому важно сначала освоить базовый cинтаксис любого другого полноценного язык программирования, чтобы понимать основные концепции программирования, а затем переходить к Solidity.
2. JavaScript/TypeScript и Python
Желательно иметь хотя бы базовые знания в JavaScript/TypeScript или Python, а лучше освоить базовые библиотеки для работы с EVM блокчейнами (viem, ethers - для js/ts, web3 - для python). Почему это важно? Например, для написания тестов в Hardhat вам понадобится знание JavaScript или TypeScript. В Foundry можно писать тесты только на Solidity, но для полного понимания процесса аудита желательно иметь опыт с другими языками. Хорошему аудитору (и разработчику) также нужно уметь работать с Hardhat/Foundry, так как такие требования могут предъявляться работодателем.
Тем, кто работал с Web3 в Python, будет несложно переключиться на JS/TS.
3. Порядок обучения
Далее встает вопрос: как учиться и что учить? Я разделю обучение на платное и бесплатное, на английском и русском языках. Главное - соблюдать порядок, чтобы быстрее освоить эту тему. Если не умеете обращаться к блокчейну извне, не стоит лезть туда, чтобы работать внутри. Если не умеете работать внутри, то каким аудитором вы хотите быть? Тут есть логическая цепочка. Я не настаиваю на ее соблюдении, каждый человек индивидуален. Но эта цепочка помогла мне, а значит, поможет и вам.
4. Английский язык
Если вы хотите получать качественное обучение, нужно учить английский. Если вы хотите устроиться в компанию с нормальной зарплатой ($50,000 до $80,000 в год получает младший аудитор смарт-контрактов), нужно учить английский и искать вакансии в зарубежных компаниях. Качественного материала на русском языке очень мало. Не ищите отговорок и не оправдывайте себя. Если я смог прокачать английский с нуля, чтобы разговаривать, понимать материал и проходить собеседования - сможете и вы.
Перейдем к тому материалов:
Английский язык
Бесплатные ресурсы
1. Cyfrin
- На их платформе можно бесплатно пройти обучение от новичка до продвинутого уровня. Тут все что нужно вам чтобы начать свой путь аудитора!
- У их создателя Patrick'a Collins'a на YouTube есть видео по основам Solidity, аудиту смарт-контрактов и многое другое что необходимо знать!
2. YouTube канал 0xOwenThurm
3. YouTube канал JohnnyTime
Платные курсы
1. Курсы JohnnyTime по аудиту Solidity/Viper и Cairo Starknet
Русский язык
Бесплатные ресурсы
- YouTube канал Ильи Круковского (плейлист)
Платные курсы
- GuideDAO - тут вы покупаете не обучение, а одно из лучших комьюнити где просто огромное кол-во материалов по EVM, его работе, по работе различных протоколов и прочего. Тут есть все что нужно для того чтобы стать полноценным Solidity разработчиком и получить первый оффер. Если надумаете тут покупать обучение, напишите мне я спрошу может сделают какую-то скидку вам.
- OTUS - выбрал этот курс из-за программы, хорошая структура. Обучение идет примерно 6 месяцев. Из минусов что придется все искать самому, многое что учить самому, тут вас просто направят куда смотреть.
По поводу того какой путь выбрать и что учить, решайте сами, я вам скинул то что прошел и хочу пройти сам не зависимо от того что я уже умею! Не стоит недооценивать силу платных курсов, потому что там вы приобретаете единомышленников с которыми можете потом сделать что-то совместное.
После того как вы все пройдете (или хотя-бы что), приглашаю вас на платформы для публичных аудитов смарт контрактов:
1) https://codehawks.cyfrin.io/contests
2) https://code4rena.com/
Тут вы сможете применить знания на практике, набить руку, портфолио, почувствовать себя аудитором и заработать первые деньги!
Набили руку? Идите на собесы!
👍3🔥1
Отличная статья про логику отслеживания транзакций в Monero (XMR)
В статье подробно рассказывается о том, что несмотря на высокий уровень защитных механизмов у Monero, присутствуют проблемы в эффективности кольцевых подписей при определенной беспечности юзера.
https://telegra.ph/Pro-Monero-XMR-TXO-i-treking-11-06
Кстати автор @TorZireael1 очень хорошо пишет на тему безопасности. Давно на него подписан, не реклама.
В статье подробно рассказывается о том, что несмотря на высокий уровень защитных механизмов у Monero, присутствуют проблемы в эффективности кольцевых подписей при определенной беспечности юзера.
https://telegra.ph/Pro-Monero-XMR-TXO-i-treking-11-06
Кстати автор @TorZireael1 очень хорошо пишет на тему безопасности. Давно на него подписан, не реклама.
👍1
Mine the Best Salt for Uniswap v4 and Become an Onchain Legend
На юнисвап проходит челлендж по майнингу красивого адреса для будущего контракта v4 (остался один день):
https://v4-address.uniswap.org/
https://blog.uniswap.org/uniswap-v4-address-mining-challenge
Захотелось поучастовать. Сначала на python написал код для майнинга, потом, когда понял, что со скоростью дело дрянь, то пришлось пойти в гпт и переписать код на Rust.
После этого рассчитал сколько моему ноуту (m1 max) понадобится, чтобы встать в топ лидерборда (0x000000000004444…….), получилось 285 000 000 дней. Видимо челик из топа - директор майнинг пула😂
Надо было сначала расчеты произвести потом в код ударяться, лол
Но из этого всего родился классный репозиторий по майнингу красивых EVM адресов на Rust:
https://github.com/smeshny/PrettyEVMadress
(Чисто ради спорта, чтобы изыскания зря не пропали)
На m1 max майниниг 0x7777…7777 займет примерно 1300 минут
Майню себе сейчас 0xacab…acab🙂
На юнисвап проходит челлендж по майнингу красивого адреса для будущего контракта v4 (остался один день):
https://v4-address.uniswap.org/
https://blog.uniswap.org/uniswap-v4-address-mining-challenge
Захотелось поучастовать. Сначала на python написал код для майнинга, потом, когда понял, что со скоростью дело дрянь, то пришлось пойти в гпт и переписать код на Rust.
После этого рассчитал сколько моему ноуту (m1 max) понадобится, чтобы встать в топ лидерборда (0x000000000004444…….), получилось 285 000 000 дней. Видимо челик из топа - директор майнинг пула
Надо было сначала расчеты произвести потом в код ударяться, лол
Но из этого всего родился классный репозиторий по майнингу красивых EVM адресов на Rust:
https://github.com/smeshny/PrettyEVMadress
(Чисто ради спорта, чтобы изыскания зря не пропали)
На m1 max майниниг 0x7777…7777 займет примерно 1300 минут
Майню себе сейчас 0xacab…acab
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5
Подробный доклад с разбором злосчастной транзакции safe global от Patrick Collins о том как именно произошел взлом Bybit на $1.4B.
Очень интересно, если немного понимаете в evm и как работает мультисиг.
https://www.youtube.com/watch?v=Gf8_ovO-jBI
3 (минимальное число) из 6 подписантов подписали фейк транзу! тоесть либо все подписанты были одним лицом, либо северокорейцы очень крутые ребята)
Mimble Wimble DAO
Mimble Wimble LAB
Очень интересно, если немного понимаете в evm и как работает мультисиг.
https://www.youtube.com/watch?v=Gf8_ovO-jBI
3 (минимальное число) из 6 подписантов подписали фейк транзу! тоесть либо все подписанты были одним лицом, либо северокорейцы очень крутые ребята)
Mimble Wimble DAO
Mimble Wimble LAB
YouTube
LARGEST Crypto Exchange Hack of All Time!! ($1.4B Bybit) | Security Researcher Explains
The largest crypto exchange hack of all time just happened.
$1.4B Lost.
https://x.com/benbybit/status/1892963530422505586
Oh and for ZKsync Sinkers "cane man": "GqjwvoGeaWGXzqkcAbJA"
✅✅ Donate ✅✅
I use donated funds to spend money on making fun & informational…
$1.4B Lost.
https://x.com/benbybit/status/1892963530422505586
Oh and for ZKsync Sinkers "cane man": "GqjwvoGeaWGXzqkcAbJA"
✅✅ Donate ✅✅
I use donated funds to spend money on making fun & informational…
🔥4
Open source прототип хедж-фонда с агентами AI
Нашёл интересный проект — AI Hedge Fund.
Несколько агентов анализируют фундаментал, технику, настроения рынка и имитируют стиль известных инвесторов вроде Баффета, Мангера, Бэрри и тд.
Имеется веб-интерфейс, поддержка OpenAI и Groq, можно тестировать стратегии на исторических данных.
Mimble Wimble DAO
Mimble Wimble LAB
Нашёл интересный проект — AI Hedge Fund.
Несколько агентов анализируют фундаментал, технику, настроения рынка и имитируют стиль известных инвесторов вроде Баффета, Мангера, Бэрри и тд.
Имеется веб-интерфейс, поддержка OpenAI и Groq, можно тестировать стратегии на исторических данных.
Mimble Wimble DAO
Mimble Wimble LAB
🔥1