Уязвимость Resolv USR не была ошибкой - это была функция, работающая именно так, как и было задумано. И в этом проблема.
Как работает выпуск USR: вы вносите USDC, затем offchain сервис с привилегированным ключом определяет, сколько USR выпустить для вас. Контракт проверяет минимальный размер, но не имеет максимального. Нет ограничений. Нет соотношения к залогу. Выпускается то, что укажет владелец ключа.
Эта конструкция существовала с самого первого дня. Это не была ошибка в коде. Модель зашиты от угроз была проста: «ключ не утечет».
Хакер получил ключ. Внес 200 000$ через две транзакции, создал 80 миллионов необеспеченных $USR. Задампил на децентрализованные биржи и получил около 23M$ в ETH.
Один скомпрометированный ключ = неограниченный источник денег.
Интересные наблюдения:
TVL USR упал с ~400M$ до ~100 млн долларов за 6 недель до взлома. Отток капитала составил 75% без объяснения причин.
P.S. Я не утверждаю, что команда произвела махинации
@thegrindingmachine
Как работает выпуск USR: вы вносите USDC, затем offchain сервис с привилегированным ключом определяет, сколько USR выпустить для вас. Контракт проверяет минимальный размер, но не имеет максимального. Нет ограничений. Нет соотношения к залогу. Выпускается то, что укажет владелец ключа.
Эта конструкция существовала с самого первого дня. Это не была ошибка в коде. Модель зашиты от угроз была проста: «ключ не утечет».
Хакер получил ключ. Внес 200 000$ через две транзакции, создал 80 миллионов необеспеченных $USR. Задампил на децентрализованные биржи и получил около 23M$ в ETH.
Один скомпрометированный ключ = неограниченный источник денег.
Интересные наблюдения:
TVL USR упал с ~400M$ до ~100 млн долларов за 6 недель до взлома. Отток капитала составил 75% без объяснения причин.
P.S. Я не утверждаю, что команда произвела махинации
@thegrindingmachine
👍13👎2
В Polymarket скоро появятся permissionless маркеты.
Многие думают, что это $POLY (как будто рано для него).
Любой сможет создать рынок на Polymarket.
Создатели будут платить небольшую комиссию за открытие маркета, но они также смогут получать комиссионные от сделок.
@thegrindingmachine
Многие думают, что это $POLY (как будто рано для него).
Любой сможет создать рынок на Polymarket.
Создатели будут платить небольшую комиссию за открытие маркета, но они также смогут получать комиссионные от сделок.
@thegrindingmachine
👍17
Могу ошибаться, конечно, но как будто последние события еще раз подчеркнули необходимость создания супер-джуниор транша, который будет брать убытки самым первым. В этом транше должны быть деньги кураторов, потому что у них нет чувства skin in the game.
Это будет некое выравнивание стимулов.
И я не просто так подсвечиваю такие события, как Lightspeed. Многим эти посты кажутся скучными и бесполезными, но они говорят о том, что нет качественной инфраструктуры для коммуникации с инвесторами.
Мне кажется, это будет реализовано после какого-то РЕАЛЬНО большого коллапса, где 70% пользователей потеряют капитал. Тогда напрямую пойдут вопросы о прозрачности и необходимости коммуникации. У команд протоколов появится мотивация реализовать что-то новое.
И раз уж мы заговорили о DeFi, то грех не поговорить о смешных доходностях. Сейчас Yield в безопасных протоколах сравнялся с каким-нибудь TradFi вкладом Interactive Brokers. Я верю в то, что достойные доходности или Easy Yield, который был +- полтора года назад, вернется вместе с новыми нарративами и активами из TradFi.
Комьюнити устало от этой фразы, но мы в позиции "ожидания"/нахождения неэффективностей, чтобы выцепить что-то посерьезнее 5%. Если же вы блещете умом, то создавайте свои решения, способные приблизить эту приятную эйфорию.
P.S. Еще бы я добавил Skin in the game аудиторов, заинтересованных в том, чтобы их клиентво не взламывали
@thegrindingmachine
Это будет некое выравнивание стимулов.
И я не просто так подсвечиваю такие события, как Lightspeed. Многим эти посты кажутся скучными и бесполезными, но они говорят о том, что нет качественной инфраструктуры для коммуникации с инвесторами.
Мне кажется, это будет реализовано после какого-то РЕАЛЬНО большого коллапса, где 70% пользователей потеряют капитал. Тогда напрямую пойдут вопросы о прозрачности и необходимости коммуникации. У команд протоколов появится мотивация реализовать что-то новое.
И раз уж мы заговорили о DeFi, то грех не поговорить о смешных доходностях. Сейчас Yield в безопасных протоколах сравнялся с каким-нибудь TradFi вкладом Interactive Brokers. Я верю в то, что достойные доходности или Easy Yield, который был +- полтора года назад, вернется вместе с новыми нарративами и активами из TradFi.
Комьюнити устало от этой фразы, но мы в позиции "ожидания"/нахождения неэффективностей, чтобы выцепить что-то посерьезнее 5%. Если же вы блещете умом, то создавайте свои решения, способные приблизить эту приятную эйфорию.
P.S. Еще бы я добавил Skin in the game аудиторов, заинтересованных в том, чтобы их клиентво не взламывали
@thegrindingmachine
👍14
Tempo, блокчейн, о котором я писал несколько раз, выкатил свой payment protocol MPP (Machine Payments Protocol). Это open-source сеть, которая поддерживает платежи как в фиатных валютах, так и в криптовалютах. Протокол также совместим с уже существующей инфраструктурой AI-платежей от Stripe.
Хотелось сразу же развеять несколько мифов относительно MPP:
> Tempo работает со всеми доступными видами платежей от фиата до крипты.
> Протокол полностью бесплатен, комиссии зависят от платежного метода.
> Поддерживается Stripe, Visa, Lightspark и многие другие.
Stats:
• x402 потребовалось около 5 месяцев, чтобы количество продавцов достигло 2300.
• MPP сделал это за 5 дней
Если вы давно находитесь в теме crypto payments или агентских платежей, то вам на ум уже мог прийти x402.
Их основное отличие: позиционирование, децентрализация и философия.
x402 работает с crypto (преимущественно), MPP нацелен на все существующие платежные средства.
Платеж x402: запрос → paywall → оплата → доступ; один запрос без участия человека.
Платеж MPP: согласование метода оплаты, возможность установки сессий и постоянства.
x402 верит в то, что long-term победит Crypto, MPP верит в развитие на существующих рельсах с использованием новых нарративов.
В данный момент Tempo находится в стадии "soft launch". Retail пользователь может минтить какие-то щиткоины и ребята с большой экспертизой не могут развернуться в полную силу. К примеру, чтобы стать валидатором, придется общаться с командой. Но видно - проект двигается в правильном направлении.
Из реально интересных инициатив - это хакатон в Сан-Франциско, в котором можно участвовать удаленно. Подавайте заявку на сайте и думайте над вашим новым детищем. На этом сайте можете посмотреть уже реализованные идеи. А в этом дашборде отслеживать крипто-транзакции на Stripe.
Главный вопрос, который хочет задать нам Stripe:
Будущее денег - это революция или эволюция?
@thegrindingmachine
Хотелось сразу же развеять несколько мифов относительно MPP:
> Tempo работает со всеми доступными видами платежей от фиата до крипты.
> Протокол полностью бесплатен, комиссии зависят от платежного метода.
> Поддерживается Stripe, Visa, Lightspark и многие другие.
Stats:
• x402 потребовалось около 5 месяцев, чтобы количество продавцов достигло 2300.
• MPP сделал это за 5 дней
Если вы давно находитесь в теме crypto payments или агентских платежей, то вам на ум уже мог прийти x402.
Их основное отличие: позиционирование, децентрализация и философия.
x402 работает с crypto (преимущественно), MPP нацелен на все существующие платежные средства.
Платеж x402: запрос → paywall → оплата → доступ; один запрос без участия человека.
Платеж MPP: согласование метода оплаты, возможность установки сессий и постоянства.
x402 верит в то, что long-term победит Crypto, MPP верит в развитие на существующих рельсах с использованием новых нарративов.
В данный момент Tempo находится в стадии "soft launch". Retail пользователь может минтить какие-то щиткоины и ребята с большой экспертизой не могут развернуться в полную силу. К примеру, чтобы стать валидатором, придется общаться с командой. Но видно - проект двигается в правильном направлении.
Из реально интересных инициатив - это хакатон в Сан-Франциско, в котором можно участвовать удаленно. Подавайте заявку на сайте и думайте над вашим новым детищем. На этом сайте можете посмотреть уже реализованные идеи. А в этом дашборде отслеживать крипто-транзакции на Stripe.
Главный вопрос, который хочет задать нам Stripe:
Будущее денег - это революция или эволюция?
@thegrindingmachine
👍9👎1
Думаю вы уже слышали, что Polymarket вводит новую систему комиссий. Об этом можете почитать в официальных источниках.
Мне скорее интересно сколько они заработают с этого.
Кракнутые ресерчеры из Castle Labs разбил это по категориям:
• Crypto — объём 2,72B$ → 11,75$ в месяц (44,5% дохода)
• Спорт — объём 3,99B$ → 6,73$ (25,5%)
• Политика — объём 2,37B$ → 5,33M$ (20,2%)
Итого: 9,55B$ за 30 дней → ~300M$ в годовом исчислении.
@thegrindingmachine
Мне скорее интересно сколько они заработают с этого.
Кракнутые ресерчеры из Castle Labs разбил это по категориям:
• Crypto — объём 2,72B$ → 11,75$ в месяц (44,5% дохода)
• Спорт — объём 3,99B$ → 6,73$ (25,5%)
• Политика — объём 2,37B$ → 5,33M$ (20,2%)
Итого: 9,55B$ за 30 дней → ~300M$ в годовом исчислении.
@thegrindingmachine
👍6
В статистике Polymarket Builders появился Gate - это первая CEX, работающая с Polymarket.
В первый же день после запуска продукт Gate показал объём торгов в 300K$, заняв 10-е место в Polymarket Builders.
С точки зрения механики, Gate, судя по всему, использует прокси-торговлю, так как через API Polymarket видно, что фактически торговый пользователь только один.
В будущем, больше CEX последуют этому примеру.
@thegrindingmachine
В первый же день после запуска продукт Gate показал объём торгов в 300K$, заняв 10-е место в Polymarket Builders.
С точки зрения механики, Gate, судя по всему, использует прокси-торговлю, так как через API Polymarket видно, что фактически торговый пользователь только один.
В будущем, больше CEX последуют этому примеру.
@thegrindingmachine
👍9
Полезные материалы, если вы хотите разобраться в $TAO и subnets:
• Список топ-10 subnets и что они делают
• Гайд по экосистеме и объяснение, как она работает
• Bear case для Bittensor
• Ответ на этот bear case
• TAO Flywheel
• TAO Report
• TAO Mining
@thegrindingmachine
• Список топ-10 subnets и что они делают
• Гайд по экосистеме и объяснение, как она работает
• Bear case для Bittensor
• Ответ на этот bear case
• TAO Flywheel
• TAO Report
• TAO Mining
@thegrindingmachine
👍12
Мне, наверное, как и многим, интересна тема крипто-платежей, крипто-банков и нео-банков. Я на постоянной основе ресерчу это направление: читаю статьи, общаюсь с людьми, смотрю подкасты. Чаще всего мне не хватает общения с фаундерами, людьми, которые находятся глубоко в индустрии.
Поэтому я ценю вот такие статьи, где фаундер публично рассказывает о билдинге и проблемах, с которыми он сталкивается, давая полную экспертизу по теме.
В случае этой статьи мне больше всего понравились тезисы про stickiness и инфраструктуру.
Stickness (буквальный перевод "липкость") - это то, насколько ты привык к продукту. Мы не меняем банки, потому что там вся твоя история: будь то платежи, зарплата, кредиты или подписки. Если продукт не способен дать такой stickiness, то он умрет.
А в построении инфраструктуры все еще проще. Сначала нужно отбилдить банковскую логику, а потом уже подключать к ней крипту с правильно настроенным compliance.
Кстати, как оказалось, большинство крипто-карт билдятся через Rain. Конкретно с Rain ознакомьтесь самостоятельно.
Крутая статья с фаундером, у которого есть skin in the game - советую к прочтению.
@thegrindingmachine
Поэтому я ценю вот такие статьи, где фаундер публично рассказывает о билдинге и проблемах, с которыми он сталкивается, давая полную экспертизу по теме.
В случае этой статьи мне больше всего понравились тезисы про stickiness и инфраструктуру.
Stickness (буквальный перевод "липкость") - это то, насколько ты привык к продукту. Мы не меняем банки, потому что там вся твоя история: будь то платежи, зарплата, кредиты или подписки. Если продукт не способен дать такой stickiness, то он умрет.
А в построении инфраструктуры все еще проще. Сначала нужно отбилдить банковскую логику, а потом уже подключать к ней крипту с правильно настроенным compliance.
Кстати, как оказалось, большинство крипто-карт билдятся через Rain. Конкретно с Rain ознакомьтесь самостоятельно.
Крутая статья с фаундером, у которого есть skin in the game - советую к прочтению.
@thegrindingmachine
👍17
the grinding machine
Coinbase с Morpho провернули очень грамотную схему, в которой Coinbase зарабатывает на всех этапах. Coinbase инвестировал в Morpho, интегрировал его в свой продукт и дал огромный трафик retail пользователей. Как работает продукт: 1. У вас есть $BTC. 2.…
Еще один пример хорошего крипто-маллета (когда вы пользуетесь продуктом и не подозреваете, что под капотом DeFi) - это Treasury от Whop (популярная площадка для фрилансеров и интернет-бизнесов с 21M пользователей).
Vault создан Veda Labs, доходность генерирует Aave, забилжено на Plasma.
К концу года количество таких интеграций вырастет в несколько раз.
@thegrindingmachine
Vault создан Veda Labs, доходность генерирует Aave, забилжено на Plasma.
К концу года количество таких интеграций вырастет в несколько раз.
@thegrindingmachine
👍9
Пул WSOL/USDC в Goonfi v2 был опустошен примерно на 250.000$.
Оператор пула указал ошибочную цену (2,65 USDC/WSOL) во всех обновлениях Oracle, попавших в слот 409430505.
Эта ошибка привела к тому, что бот nika6 arb получил прибыль более 2400 SOL за счет нескольких транзакций.
@thegrindingmachine
Оператор пула указал ошибочную цену (2,65 USDC/WSOL) во всех обновлениях Oracle, попавших в слот 409430505.
Эта ошибка привела к тому, что бот nika6 arb получил прибыль более 2400 SOL за счет нескольких транзакций.
@thegrindingmachine
1👍12
Сотрудник Polymarket сообщает, что атаки с использованием уязвимости nonce могут быть решены вместе с предстоящими изменениями в инфраструктуре.
@thegrindingmachine
@thegrindingmachine
👍8