#смартконтракты — Public Fediverse posts

Как НЕ провалить аудит смарт-контрактов?

Кратко о себе: в прошлом разработчик смарт-контрактов (с 2017 года), с 2022 года работаю аудитором смарт-контрактов. Эта статья для тех, кто так или иначе интересуется информационной безопасностью и непосредственно аудитом смарт-контрактов (да и процессом аудита в целом). По итогам аудита могут возникнуть два серьёзных вопроса: «Почему мы ничего не успели?» и «Почему мы ничего не нашли?» . И самая страшная ситуация, когда оба эти вопроса возникают одновременно. Опишем это одним ёмким словом: «Провал» . В данной статье я попробую описать типовой процесс проведения аудита на примере систем смарт-контрактов — от самого начала до итогового отчета.

https://habr.com/ru/companies/pt/articles/1032386/

#смартконтракты #аудит_безопасности #аудит #информационная_безопасность

Immunefi: разочарование в Web3-хантинге и почему проект вам не заплатит (а платформа ничего с этим не сделает)

50 дней назад я отправил critical-репорт через Immunefi. Проект ни разу не ответил. Письменные ответы mediation team о том, как на самом деле устроены vault, SLA и медиация на крупнейшей Web3 bug bounty платформе.

https://habr.com/ru/articles/1030812/

#bug_bounty #immunefi #web3 #информационная_безопасность #смартконтракты #defi #white_hat #блокчейн #поиск_уязвимостей #пентест

Immunefi: разочарование в Web3-хантинге и почему проект вам не заплатит (а платформа ничего с этим не сделает)

50 дней назад я отправил critical-репорт через Immunefi. Проект ни разу не ответил. Письменные ответы mediation team о том, как на самом деле устроены vault, SLA и медиация на крупнейшей Web3 bug bounty платформе.

https://habr.com/ru/articles/1030812/

#bug_bounty #immunefi #web3 #информационная_безопасность #смартконтракты #defi #white_hat #блокчейн #поиск_уязвимостей #пентест

Immunefi: разочарование в Web3-хантинге и почему проект вам не заплатит (а платформа ничего с этим не сделает)

50 дней назад я отправил critical-репорт через Immunefi. Проект ни разу не ответил. Письменные ответы mediation team о том, как на самом деле устроены vault, SLA и медиация на крупнейшей Web3 bug bounty платформе.

https://habr.com/ru/articles/1030812/

#bug_bounty #immunefi #web3 #информационная_безопасность #смартконтракты #defi #white_hat #блокчейн #поиск_уязвимостей #пентест

Immunefi: разочарование в Web3-хантинге и почему проект вам не заплатит (а платформа ничего с этим не сделает)

50 дней назад я отправил critical-репорт через Immunefi. Проект ни разу не ответил. Письменные ответы mediation team о том, как на самом деле устроены vault, SLA и медиация на крупнейшей Web3 bug bounty платформе.

https://habr.com/ru/articles/1030812/

#bug_bounty #immunefi #web3 #информационная_безопасность #смартконтракты #defi #white_hat #блокчейн #поиск_уязвимостей #пентест

Парадокс сожженного моста в архитектуре NFT

Один из фундаментальных парадоксов теории игр заключается в том, что субъект может радикально усиливать свою позицию, добровольно и необратимо лишая себя альтернативных сценариев поведения. Классическим примером реализации этой стратегии является армия, атакующая противника через единственный мост. Командующий, переведя войска на вражеский берег, приказывает уничтожить этот мост за своей спиной. С точки зрения здравого смысла это выглядит как ослабление позиции.Однако стратегически это радикальное усиление: армия, у которой отсутствуют пути для отступления, переходит в состояние предельной эффективности. Противник, видя уничтоженный мост, понимает, что переговоры или тактическое давление бесполезны — перед ним сила, которая будет биться до последнего.

https://habr.com/ru/articles/1016572/

#nft #ton #смартконтракты #накопление #накопление_денег #теория_игр

Блокчейн как инфраструктура E-Health: новая модель управления данными в здравоохранении

Представьте: вы обращаетесь в три разные клиники — и в каждой вас спрашивают об аллергиях заново. Врач не видит исследования, сделанные месяц назад в другом учреждении. Страховая не может верифицировать процедуру без телефонного звонка в регистратуру. Запись в карте исчезает при переезде или смене больницы — и никто не несёт за это ответственности. Кто и когда вносил правки в вашу историю болезни — установить почти невозможно. Это не проблема технологий. Это проблема архитектуры доверия: данные существуют, но им нельзя доверять — ни их сохранности, ни их подлинности, ни тому, кто к ним имел доступ. Цена этой проблемы измеримa. Согласно отчёту IBM Cost of a Data Breach 2023, средняя стоимость утечки данных в здравоохранении составляет $10,93 млн — почти вдвое больше, чем в финансовом секторе ($5,9 млн) IBM Security, 2023 . Но финансовые потери — лишь следствие. Причина глубже: базовая архитектура большинства медицинских информационных систем воспроизводит подходы 1990-х годов: централизованные реляционные базы данных, закрытые проприетарные форматы, точечная интеграция через HL7 или FHIR-адаптеры (HL7 FHIR — международный стандарт обмена медицинскими данными; FHIR, Fast Healthcare Interoperability Resources — его актуальная версия). Важно: стандарты обмена данными типа FHIR решают проблему формата , но не проблему доверия . Они не гарантируют, что переданные данные не были изменены. Они не дают пациенту контроль над тем, кто читает его карту. И они не позволяют двум конкурирующим страховщикам верифицировать один и тот же факт, не открывая друг другу свои базы данных. Именно здесь классические архитектуры достигают структурного предела.

https://habr.com/ru/articles/1014024/

#блокчейн #EHealth #медицинские_данные #смартконтракты #децентрализация #интероперабельность #фармлогистика #верификация #управление_данными #цифровое_доверие

Блокчейн как инфраструктура E-Health: новая модель управления данными в здравоохранении

Представьте: вы обращаетесь в три разные клиники — и в каждой вас спрашивают об аллергиях заново. Врач не видит исследования, сделанные месяц назад в другом учреждении. Страховая не может верифицировать процедуру без телефонного звонка в регистратуру. Запись в карте исчезает при переезде или смене больницы — и никто не несёт за это ответственности. Кто и когда вносил правки в вашу историю болезни — установить почти невозможно. Это не проблема технологий. Это проблема архитектуры доверия: данные существуют, но им нельзя доверять — ни их сохранности, ни их подлинности, ни тому, кто к ним имел доступ. Цена этой проблемы измеримa. Согласно отчёту IBM Cost of a Data Breach 2023, средняя стоимость утечки данных в здравоохранении составляет $10,93 млн — почти вдвое больше, чем в финансовом секторе ($5,9 млн) IBM Security, 2023 . Но финансовые потери — лишь следствие. Причина глубже: базовая архитектура большинства медицинских информационных систем воспроизводит подходы 1990-х годов: централизованные реляционные базы данных, закрытые проприетарные форматы, точечная интеграция через HL7 или FHIR-адаптеры (HL7 FHIR — международный стандарт обмена медицинскими данными; FHIR, Fast Healthcare Interoperability Resources — его актуальная версия). Важно: стандарты обмена данными типа FHIR решают проблему формата , но не проблему доверия . Они не гарантируют, что переданные данные не были изменены. Они не дают пациенту контроль над тем, кто читает его карту. И они не позволяют двум конкурирующим страховщикам верифицировать один и тот же факт, не открывая друг другу свои базы данных. Именно здесь классические архитектуры достигают структурного предела.

https://habr.com/ru/articles/1014024/

#блокчейн #EHealth #медицинские_данные #смартконтракты #децентрализация #интероперабельность #фармлогистика #верификация #управление_данными #цифровое_доверие

Блокчейн как инфраструктура E-Health: новая модель управления данными в здравоохранении

Представьте: вы обращаетесь в три разные клиники — и в каждой вас спрашивают об аллергиях заново. Врач не видит исследования, сделанные месяц назад в другом учреждении. Страховая не может верифицировать процедуру без телефонного звонка в регистратуру. Запись в карте исчезает при переезде или смене больницы — и никто не несёт за это ответственности. Кто и когда вносил правки в вашу историю болезни — установить почти невозможно. Это не проблема технологий. Это проблема архитектуры доверия: данные существуют, но им нельзя доверять — ни их сохранности, ни их подлинности, ни тому, кто к ним имел доступ. Цена этой проблемы измеримa. Согласно отчёту IBM Cost of a Data Breach 2023, средняя стоимость утечки данных в здравоохранении составляет $10,93 млн — почти вдвое больше, чем в финансовом секторе ($5,9 млн) IBM Security, 2023 . Но финансовые потери — лишь следствие. Причина глубже: базовая архитектура большинства медицинских информационных систем воспроизводит подходы 1990-х годов: централизованные реляционные базы данных, закрытые проприетарные форматы, точечная интеграция через HL7 или FHIR-адаптеры (HL7 FHIR — международный стандарт обмена медицинскими данными; FHIR, Fast Healthcare Interoperability Resources — его актуальная версия). Важно: стандарты обмена данными типа FHIR решают проблему формата , но не проблему доверия . Они не гарантируют, что переданные данные не были изменены. Они не дают пациенту контроль над тем, кто читает его карту. И они не позволяют двум конкурирующим страховщикам верифицировать один и тот же факт, не открывая друг другу свои базы данных. Именно здесь классические архитектуры достигают структурного предела.

https://habr.com/ru/articles/1014024/

#блокчейн #EHealth #медицинские_данные #смартконтракты #децентрализация #интероперабельность #фармлогистика #верификация #управление_данными #цифровое_доверие

Блокчейн как инфраструктура E-Health: новая модель управления данными в здравоохранении

Представьте: вы обращаетесь в три разные клиники — и в каждой вас спрашивают об аллергиях заново. Врач не видит исследования, сделанные месяц назад в другом учреждении. Страховая не может верифицировать процедуру без телефонного звонка в регистратуру. Запись в карте исчезает при переезде или смене больницы — и никто не несёт за это ответственности. Кто и когда вносил правки в вашу историю болезни — установить почти невозможно. Это не проблема технологий. Это проблема архитектуры доверия: данные существуют, но им нельзя доверять — ни их сохранности, ни их подлинности, ни тому, кто к ним имел доступ. Цена этой проблемы измеримa. Согласно отчёту IBM Cost of a Data Breach 2023, средняя стоимость утечки данных в здравоохранении составляет $10,93 млн — почти вдвое больше, чем в финансовом секторе ($5,9 млн) IBM Security, 2023 . Но финансовые потери — лишь следствие. Причина глубже: базовая архитектура большинства медицинских информационных систем воспроизводит подходы 1990-х годов: централизованные реляционные базы данных, закрытые проприетарные форматы, точечная интеграция через HL7 или FHIR-адаптеры (HL7 FHIR — международный стандарт обмена медицинскими данными; FHIR, Fast Healthcare Interoperability Resources — его актуальная версия). Важно: стандарты обмена данными типа FHIR решают проблему формата , но не проблему доверия . Они не гарантируют, что переданные данные не были изменены. Они не дают пациенту контроль над тем, кто читает его карту. И они не позволяют двум конкурирующим страховщикам верифицировать один и тот же факт, не открывая друг другу свои базы данных. Именно здесь классические архитектуры достигают структурного предела.

https://habr.com/ru/articles/1014024/

#блокчейн #EHealth #медицинские_данные #смартконтракты #децентрализация #интероперабельность #фармлогистика #верификация #управление_данными #цифровое_доверие

Как фаззить смарт-контракты (chaincode) в Hyperledger Fabric: методика на примере ACL

Хабр, привет! На связи Леонид Дьячков, в Positive Technologies мы с командой специализируемся на безопасности смарт-контрактов и блокчейн-приложений. Наша экспертиза охватывает полный спектр задач: от глубокого криптоанализа и проектирования кастомных фаззинг-кампаний до разработки и применения формальных методов верификации. Мы работаем на стыке кода, математики и бизнес-логики Web3-протоколов, выявляя неочевидные векторы атак и системные риски. Обычно в отрасли много внимания уделяется экосистеме EVM (Ethereum Virtual Machine, виртуальная машина Ethereum), но в этой статье мы целенаправленно разбираем приватный блокчейн Hyperledger Fabric, потому что он важен для корпоративных сценариев, так как позволяет допускать к сети только авторизованных участников, управлять их идентификацией и изолировать данные на уровне каналов.

https://habr.com/ru/companies/pt/articles/1009764/

#фаззинг #web3 #блокчейн #evmblockchains #ethereum #hyperledger_fabric #аудит_безопасности #смартконтракты

Как фаззить смарт-контракты (chaincode) в Hyperledger Fabric: методика на примере ACL

Хабр, привет! На связи Леонид Дьячков, в Positive Technologies мы с командой специализируемся на безопасности смарт-контрактов и блокчейн-приложений. Наша экспертиза охватывает полный спектр задач: от глубокого криптоанализа и проектирования кастомных фаззинг-кампаний до разработки и применения формальных методов верификации. Мы работаем на стыке кода, математики и бизнес-логики Web3-протоколов, выявляя неочевидные векторы атак и системные риски. Обычно в отрасли много внимания уделяется экосистеме EVM (Ethereum Virtual Machine, виртуальная машина Ethereum), но в этой статье мы целенаправленно разбираем приватный блокчейн Hyperledger Fabric, потому что он важен для корпоративных сценариев, так как позволяет допускать к сети только авторизованных участников, управлять их идентификацией и изолировать данные на уровне каналов.

https://habr.com/ru/companies/pt/articles/1009764/

#фаззинг #web3 #блокчейн #evmblockchains #ethereum #hyperledger_fabric #аудит_безопасности #смартконтракты

Как фаззить смарт-контракты (chaincode) в Hyperledger Fabric: методика на примере ACL

Хабр, привет! На связи Леонид Дьячков, в Positive Technologies мы с командой специализируемся на безопасности смарт-контрактов и блокчейн-приложений. Наша экспертиза охватывает полный спектр задач: от глубокого криптоанализа и проектирования кастомных фаззинг-кампаний до разработки и применения формальных методов верификации. Мы работаем на стыке кода, математики и бизнес-логики Web3-протоколов, выявляя неочевидные векторы атак и системные риски. Обычно в отрасли много внимания уделяется экосистеме EVM (Ethereum Virtual Machine, виртуальная машина Ethereum), но в этой статье мы целенаправленно разбираем приватный блокчейн Hyperledger Fabric, потому что он важен для корпоративных сценариев, так как позволяет допускать к сети только авторизованных участников, управлять их идентификацией и изолировать данные на уровне каналов.

https://habr.com/ru/companies/pt/articles/1009764/

#фаззинг #web3 #блокчейн #evmblockchains #ethereum #hyperledger_fabric #аудит_безопасности #смартконтракты

Как фаззить смарт-контракты (chaincode) в Hyperledger Fabric: методика на примере ACL

Хабр, привет! На связи Леонид Дьячков, в Positive Technologies мы с командой специализируемся на безопасности смарт-контрактов и блокчейн-приложений. Наша экспертиза охватывает полный спектр задач: от глубокого криптоанализа и проектирования кастомных фаззинг-кампаний до разработки и применения формальных методов верификации. Мы работаем на стыке кода, математики и бизнес-логики Web3-протоколов, выявляя неочевидные векторы атак и системные риски. Обычно в отрасли много внимания уделяется экосистеме EVM (Ethereum Virtual Machine, виртуальная машина Ethereum), но в этой статье мы целенаправленно разбираем приватный блокчейн Hyperledger Fabric, потому что он важен для корпоративных сценариев, так как позволяет допускать к сети только авторизованных участников, управлять их идентификацией и изолировать данные на уровне каналов.

https://habr.com/ru/companies/pt/articles/1009764/

#фаззинг #web3 #блокчейн #evmblockchains #ethereum #hyperledger_fabric #аудит_безопасности #смартконтракты

Смарт-контракт без иллюзий: разговор с Solidity-аудитором

Смарт-контракты могут использоваться не только в публичных блокчейнах, но и в корпоративных и permissioned‑EVM-сетях. При этом с аудитами безопасности по‑прежнему связано много упрощенных представлений: от веры в то, что они не нужны в приватной сети, до ожидания, что аудит способен гарантировать отсутствие уязвимостей. Мы обсудили эти вопросы с нашим экспертом по аудиту смарт‑контрактов на Solidity, Владимиром Чечеткиным. Под катом — разговор о типичных заблуждениях, качестве подготовки проектов и о том, почему ценность аудита часто раскрывается не в отчете, а в процессе взаимодействия.

https://habr.com/ru/companies/pt/articles/1000584/

#смартконтракты #solidity #evm #dosатаки #diff #аудит_безопасности #блокчейнтехнологии #интервью #профессии_в_it

Смарт-контракт без иллюзий: разговор с Solidity-аудитором

Смарт-контракты могут использоваться не только в публичных блокчейнах, но и в корпоративных и permissioned‑EVM-сетях. При этом с аудитами безопасности по‑прежнему связано много упрощенных представлений: от веры в то, что они не нужны в приватной сети, до ожидания, что аудит способен гарантировать отсутствие уязвимостей. Мы обсудили эти вопросы с нашим экспертом по аудиту смарт‑контрактов на Solidity, Владимиром Чечеткиным. Под катом — разговор о типичных заблуждениях, качестве подготовки проектов и о том, почему ценность аудита часто раскрывается не в отчете, а в процессе взаимодействия.

https://habr.com/ru/companies/pt/articles/1000584/

#смартконтракты #solidity #evm #dosатаки #diff #аудит_безопасности #блокчейнтехнологии #интервью #профессии_в_it

Смарт-контракт без иллюзий: разговор с Solidity-аудитором

Смарт-контракты могут использоваться не только в публичных блокчейнах, но и в корпоративных и permissioned‑EVM-сетях. При этом с аудитами безопасности по‑прежнему связано много упрощенных представлений: от веры в то, что они не нужны в приватной сети, до ожидания, что аудит способен гарантировать отсутствие уязвимостей. Мы обсудили эти вопросы с нашим экспертом по аудиту смарт‑контрактов на Solidity, Владимиром Чечеткиным. Под катом — разговор о типичных заблуждениях, качестве подготовки проектов и о том, почему ценность аудита часто раскрывается не в отчете, а в процессе взаимодействия.

https://habr.com/ru/companies/pt/articles/1000584/

#смартконтракты #solidity #evm #dosатаки #diff #аудит_безопасности #блокчейнтехнологии #интервью #профессии_в_it

Смарт-контракт без иллюзий: разговор с Solidity-аудитором

Смарт-контракты могут использоваться не только в публичных блокчейнах, но и в корпоративных и permissioned‑EVM-сетях. При этом с аудитами безопасности по‑прежнему связано много упрощенных представлений: от веры в то, что они не нужны в приватной сети, до ожидания, что аудит способен гарантировать отсутствие уязвимостей. Мы обсудили эти вопросы с нашим экспертом по аудиту смарт‑контрактов на Solidity, Владимиром Чечеткиным. Под катом — разговор о типичных заблуждениях, качестве подготовки проектов и о том, почему ценность аудита часто раскрывается не в отчете, а в процессе взаимодействия.

https://habr.com/ru/companies/pt/articles/1000584/

#смартконтракты #solidity #evm #dosатаки #diff #аудит_безопасности #блокчейнтехнологии #интервью #профессии_в_it

Применяем формальные методы к чейнкодам Hyperledger Fabric: кейс BaseToken

Добрый день! Меня зовут Кирилл Зиборов, я представляю отдел безопасности распределенных систем Positive Technologies. В этой статье я продолжу рассказывать о том, как мы используем инструменты формальной верификации для предотвращения уязвимостей в различных компонентах блокчейна. Речь пойдет о верификации смарт-контракта BaseToken в Hyperledger Fabric с помощью метода проверки моделей.

https://habr.com/ru/companies/pt/articles/993688/

#Hypeledger_Fabric #смартконтракты #чейнкод #формальная_верификация_криптовалют #model_checking #tla+ #блокчейн #hlf

Применяем формальные методы к чейнкодам Hyperledger Fabric: кейс BaseToken

Добрый день! Меня зовут Кирилл Зиборов, я представляю отдел безопасности распределенных систем Positive Technologies. В этой статье я продолжу рассказывать о том, как мы используем инструменты формальной верификации для предотвращения уязвимостей в различных компонентах блокчейна. Речь пойдет о верификации смарт-контракта BaseToken в Hyperledger Fabric с помощью метода проверки моделей.

https://habr.com/ru/companies/pt/articles/993688/

#Hypeledger_Fabric #смартконтракты #чейнкод #формальная_верификация_криптовалют #model_checking #tla+ #блокчейн #hlf

Применяем формальные методы к чейнкодам Hyperledger Fabric: кейс BaseToken

Добрый день! Меня зовут Кирилл Зиборов, я представляю отдел безопасности распределенных систем Positive Technologies. В этой статье я продолжу рассказывать о том, как мы используем инструменты формальной верификации для предотвращения уязвимостей в различных компонентах блокчейна. Речь пойдет о верификации смарт-контракта BaseToken в Hyperledger Fabric с помощью метода проверки моделей.

https://habr.com/ru/companies/pt/articles/993688/

#Hypeledger_Fabric #смартконтракты #чейнкод #формальная_верификация_криптовалют #model_checking #tla+ #блокчейн #hlf

Применяем формальные методы к чейнкодам Hyperledger Fabric: кейс BaseToken

Добрый день! Меня зовут Кирилл Зиборов, я представляю отдел безопасности распределенных систем Positive Technologies. В этой статье я продолжу рассказывать о том, как мы используем инструменты формальной верификации для предотвращения уязвимостей в различных компонентах блокчейна. Речь пойдет о верификации смарт-контракта BaseToken в Hyperledger Fabric с помощью метода проверки моделей.

https://habr.com/ru/companies/pt/articles/993688/

#Hypeledger_Fabric #смартконтракты #чейнкод #формальная_верификация_криптовалют #model_checking #tla+ #блокчейн #hlf

Web3 — Разрабатываем магазин без базы данных

Блокчейн разработка меняется со скоростью света. Решив вникнуть, купил несколько лет назад книгу, но к сегодняшнему дню она уже безнадежно устарела. Инструменты описанные в ней web3.js, Truffle, Ganache, заброшены, подходы и стандарты изменились. В праздники, дописал и залил в сеть web3 демо-магазин на solidity/ethers.js. Магазин работает без базы данных, авторизация через metamask extension, информация о транзакции сохраняется on-chain. Поделюсь ньансами разработки и современными инструментами.

https://habr.com/ru/articles/984698/

#solidity #javascript #блокчейн #разработка #смартконтракты

Web3 — Разрабатываем магазин без базы данных

Блокчейн разработка меняется со скоростью света. Решив вникнуть, купил несколько лет назад книгу, но к сегодняшнему дню она уже безнадежно устарела. Инструменты описанные в ней web3.js, Truffle, Ganache, заброшены, подходы и стандарты изменились. В праздники, дописал и залил в сеть web3 демо-магазин на solidity/ethers.js. Магазин работает без базы данных, авторизация через metamask extension, информация о транзакции сохраняется on-chain. Поделюсь ньансами разработки и современными инструментами.

https://habr.com/ru/articles/984698/

#solidity #javascript #блокчейн #разработка #смартконтракты

Web3 — Разрабатываем магазин без базы данных

Блокчейн разработка меняется со скоростью света. Решив вникнуть, купил несколько лет назад книгу, но к сегодняшнему дню она уже безнадежно устарела. Инструменты описанные в ней web3.js, Truffle, Ganache, заброшены, подходы и стандарты изменились. В праздники, дописал и залил в сеть web3 демо-магазин на solidity/ethers.js. Магазин работает без базы данных, авторизация через metamask extension, информация о транзакции сохраняется on-chain. Поделюсь ньансами разработки и современными инструментами.

https://habr.com/ru/articles/984698/

#solidity #javascript #блокчейн #разработка #смартконтракты

Аудит смарт-контрактов: что проверяет CertiK, а что пропускает — взгляд изнутри

Эта статья — не критика CertiK. Это честный технический разбор того, что аудит делает, чего не делает, и как извлечь из него максимум пользы. Написано на основе опыта сопровождения Security Token Offering через полный цикл аудита CertiK, где я прошёл через 29 замечаний разной критичности и исправление уязвимостей в ERC-1400 контракте на 1,100 строк.

https://habr.com/ru/articles/976262/

#Certik #аудит_безопасности #смартконтракты #DeFi #блокчейнтехнологии #аудит_смартконтрактов #ERC1400 #блокчейн_аудит

Аудит смарт-контрактов: что проверяет CertiK, а что пропускает — взгляд изнутри

Эта статья — не критика CertiK. Это честный технический разбор того, что аудит делает, чего не делает, и как извлечь из него максимум пользы. Написано на основе опыта сопровождения Security Token Offering через полный цикл аудита CertiK, где я прошёл через 29 замечаний разной критичности и исправление уязвимостей в ERC-1400 контракте на 1,100 строк.

https://habr.com/ru/articles/976262/

#Certik #аудит_безопасности #смартконтракты #DeFi #блокчейнтехнологии #аудит_смартконтрактов #ERC1400 #блокчейн_аудит

Аудит смарт-контрактов: что проверяет CertiK, а что пропускает — взгляд изнутри

Эта статья — не критика CertiK. Это честный технический разбор того, что аудит делает, чего не делает, и как извлечь из него максимум пользы. Написано на основе опыта сопровождения Security Token Offering через полный цикл аудита CertiK, где я прошёл через 29 замечаний разной критичности и исправление уязвимостей в ERC-1400 контракте на 1,100 строк.

https://habr.com/ru/articles/976262/

#Certik #аудит_безопасности #смартконтракты #DeFi #блокчейнтехнологии #аудит_смартконтрактов #ERC1400 #блокчейн_аудит

Аудит смарт-контрактов: что проверяет CertiK, а что пропускает — взгляд изнутри

Эта статья — не критика CertiK. Это честный технический разбор того, что аудит делает, чего не делает, и как извлечь из него максимум пользы. Написано на основе опыта сопровождения Security Token Offering через полный цикл аудита CertiK, где я прошёл через 29 замечаний разной критичности и исправление уязвимостей в ERC-1400 контракте на 1,100 строк.

https://habr.com/ru/articles/976262/

#Certik #аудит_безопасности #смартконтракты #DeFi #блокчейнтехнологии #аудит_смартконтрактов #ERC1400 #блокчейн_аудит

Анатомия DeFi-эксплойтов 2023-2024: технический разбор уязвимостей с точки зрения аудитора

За 2024 год из DeFi-протоколов было похищено более $2.2 млрд. В первом полугодии 2025 года эта цифра уже превысила $2.17 млрд — и это только середина года. При этом 60%+ взломанных протоколов имели аудит от известных компаний. Эта статья — не пересказ новостей. Это технический разбор четырёх ключевых эксплойтов, которые я воспроизводил в тестовой среде при подготовке к аудитам. Для каждого кейса разберём: корневую причину, почему это прошло аудит, как воспроизвести атаку в Foundry, и какие паттерны защиты реально работают.

https://habr.com/ru/articles/975322/

#defi #смартконтракты #аудит_безопасности #evmblockchains #solidity #криптовалюты #эксплойты #эксплорер_блокчейна

Анатомия DeFi-эксплойтов 2023-2024: технический разбор уязвимостей с точки зрения аудитора

За 2024 год из DeFi-протоколов было похищено более $2.2 млрд. В первом полугодии 2025 года эта цифра уже превысила $2.17 млрд — и это только середина года. При этом 60%+ взломанных протоколов имели аудит от известных компаний. Эта статья — не пересказ новостей. Это технический разбор четырёх ключевых эксплойтов, которые я воспроизводил в тестовой среде при подготовке к аудитам. Для каждого кейса разберём: корневую причину, почему это прошло аудит, как воспроизвести атаку в Foundry, и какие паттерны защиты реально работают.

https://habr.com/ru/articles/975322/

#defi #смартконтракты #аудит_безопасности #evmblockchains #solidity #криптовалюты #эксплойты #эксплорер_блокчейна

Анатомия DeFi-эксплойтов 2023-2024: технический разбор уязвимостей с точки зрения аудитора

За 2024 год из DeFi-протоколов было похищено более $2.2 млрд. В первом полугодии 2025 года эта цифра уже превысила $2.17 млрд — и это только середина года. При этом 60%+ взломанных протоколов имели аудит от известных компаний. Эта статья — не пересказ новостей. Это технический разбор четырёх ключевых эксплойтов, которые я воспроизводил в тестовой среде при подготовке к аудитам. Для каждого кейса разберём: корневую причину, почему это прошло аудит, как воспроизвести атаку в Foundry, и какие паттерны защиты реально работают.

https://habr.com/ru/articles/975322/

#defi #смартконтракты #аудит_безопасности #evmblockchains #solidity #криптовалюты #эксплойты #эксплорер_блокчейна

xAI провела 24-часовой хакатон: как инженеры использовали Grok в играх, рекрутинге и кибербезопасности

Компания xAI представила результаты 24-часового внутреннего хакатона, на котором команда разработчиков создавала прототипы на базе Grok - AI-модели, тесно интегрированной с платформой X. Формат был простым: сутки непрерывной работы и полная свобода экспериментировать с агентами, обработкой данных и интеграциями. Но именно эта «сжатость» хорошо показала, как быстро Grok превращается в инструмент для прикладных задач, а не просто чат-модель.

https://habr.com/ru/articles/974330/

#xai #grok #aiагенты #кибербезопасность #смартконтракты #машинное_обучение #инженерия #рекрутинг #web3

Анализ смарт-контрактов на примере Solidity

Блокчейн-индустрия переживает период беспрецедентного роста, при этом общая стоимость заблокированных активов (Total Value Locked, TVL) в децентрализованных финансовых протоколах превышает 200 миллиардов долларов по состоянию на 2024 год. Вместе с ростом экосистемы растет и количество инцидентов безопасности, связанных с уязвимостями в смарт-контрактах. Согласно отчету Chainalysis, только в 2023 году потери от хакерских атак на DeFi-протоколы составили более 3.7 миллиардов долларов . История блокчейн-индустрии изобилует громкими случаями эксплуатации уязвимостей смарт-контрактов. Я Радда Юрьева, работаю в команде AppSec и вместе с коллегами из отдела Web3 исследую вопросы безопасности смарт-контрактов. В этой статье хочу поделиться нашим опытом анализа уязвимостей Solidity-кода и рассказать, какие подходы помогают находить и предотвращать ошибки на ранних этапах разработки Solidity-контрактов.

https://habr.com/ru/companies/pt/articles/936914/

#cybersecurity #machinelearning #smartcontract #уязвимости #смартконтракты #блокчейнтехнологии #defi #безопасный_код #безопасная_разработка #appsec

Анализ смарт-контрактов на примере Solidity

Блокчейн-индустрия переживает период беспрецедентного роста, при этом общая стоимость заблокированных активов (Total Value Locked, TVL) в децентрализованных финансовых протоколах превышает 200 миллиардов долларов по состоянию на 2024 год. Вместе с ростом экосистемы растет и количество инцидентов безопасности, связанных с уязвимостями в смарт-контрактах. Согласно отчету Chainalysis, только в 2023 году потери от хакерских атак на DeFi-протоколы составили более 3.7 миллиардов долларов . История блокчейн-индустрии изобилует громкими случаями эксплуатации уязвимостей смарт-контрактов. Я Радда Юрьева, работаю в команде AppSec и вместе с коллегами из отдела Web3 исследую вопросы безопасности смарт-контрактов. В этой статье хочу поделиться нашим опытом анализа уязвимостей Solidity-кода и рассказать, какие подходы помогают находить и предотвращать ошибки на ранних этапах разработки Solidity-контрактов.

https://habr.com/ru/companies/pt/articles/936914/

#cybersecurity #machinelearning #smartcontract #уязвимости #смартконтракты #блокчейнтехнологии #defi #безопасный_код #безопасная_разработка #appsec

Анализ смарт-контрактов на примере Solidity

Блокчейн-индустрия переживает период беспрецедентного роста, при этом общая стоимость заблокированных активов (Total Value Locked, TVL) в децентрализованных финансовых протоколах превышает 200 миллиардов долларов по состоянию на 2024 год. Вместе с ростом экосистемы растет и количество инцидентов безопасности, связанных с уязвимостями в смарт-контрактах. Согласно отчету Chainalysis, только в 2023 году потери от хакерских атак на DeFi-протоколы составили более 3.7 миллиардов долларов . История блокчейн-индустрии изобилует громкими случаями эксплуатации уязвимостей смарт-контрактов. Я Радда Юрьева, работаю в команде AppSec и вместе с коллегами из отдела Web3 исследую вопросы безопасности смарт-контрактов. В этой статье хочу поделиться нашим опытом анализа уязвимостей Solidity-кода и рассказать, какие подходы помогают находить и предотвращать ошибки на ранних этапах разработки Solidity-контрактов.

https://habr.com/ru/companies/pt/articles/936914/

#cybersecurity #machinelearning #smartcontract #уязвимости #смартконтракты #блокчейнтехнологии #defi #безопасный_код #безопасная_разработка #appsec

Анализ смарт-контрактов на примере Solidity

Блокчейн-индустрия переживает период беспрецедентного роста, при этом общая стоимость заблокированных активов (Total Value Locked, TVL) в децентрализованных финансовых протоколах превышает 200 миллиардов долларов по состоянию на 2024 год. Вместе с ростом экосистемы растет и количество инцидентов безопасности, связанных с уязвимостями в смарт-контрактах. Согласно отчету Chainalysis, только в 2023 году потери от хакерских атак на DeFi-протоколы составили более 3.7 миллиардов долларов . История блокчейн-индустрии изобилует громкими случаями эксплуатации уязвимостей смарт-контрактов. Я Радда Юрьева, работаю в команде AppSec и вместе с коллегами из отдела Web3 исследую вопросы безопасности смарт-контрактов. В этой статье хочу поделиться нашим опытом анализа уязвимостей Solidity-кода и рассказать, какие подходы помогают находить и предотвращать ошибки на ранних этапах разработки Solidity-контрактов.

https://habr.com/ru/companies/pt/articles/936914/

#cybersecurity #machinelearning #smartcontract #уязвимости #смартконтракты #блокчейнтехнологии #defi #безопасный_код #безопасная_разработка #appsec

[Перевод] Исчерпывающее руководство по разработке смарт-контрактов на Solidity

Solidity — это статически типизированный язык программирования, ориентированный на контракты и используемый в основном для написания и реализации смарт‑контрактов на блокчейне Ethereum. Создание высококачественных смарт‑контрактов обеспечивает безопасность, надежность и эффективность. В этой статье рассматриваются основные концепции, лучшие практики и примеры создания надежных смарт-контрактов с помощью Solidity.

https://habr.com/ru/companies/otus/articles/930516/

#blockchain #solidity #смартконтракты #смарт_контракты_ethereum #разработка_смартконтрактов #solidity_tutorial #solidity_обучение #blockchain_разработка #ethereum

12 событий апреля, которые нельзя пропустить

Мы собрали для вас серию открытых уроков, которые пройдут в апреле и помогут не просто разобраться в сложных темах, а применить знания на практике. Будущее AI агентов на основе LLM, Prometheus для мониторинга, как избежать хаоса в IT-проектах и как обучить модель понимать языки — на эти и не только темы поговорим с экспертами в IT. Рассмотрим реальные кейсы, обсудим опыт и получим понимание того, как внедрять эти технологии в проекты.

https://habr.com/ru/companies/otus/articles/899644/

#AI_агенты #Scrum #seq2seq #автоматизация_тестирования #Docker #Apache_Kafka #Смартконтракты #data_science #prometheus

Изучаем Ethereum через практику: моя история деплоя смарт-контракта в Sepolia

Изучаем Ethereum через практику: моя история развертывания смарт-контрактов Сегодня я с удовольствием поделюсь своим уникальным опытом, полученным при развертывании смарт-контрактов двумя разными методами в тестовой сети Sepolia.

https://habr.com/ru/articles/871168/

#смартконтракт #смартконтракты #блокчейн #solidity #ethereum #blockchain #smartcontracts #smartcontract

Аудит безопасности смарт-контрактов в TON: ключевые ошибки и советы

Всем привет! На связи Сергей Соболев, специалист по безопасности распределенных систем в Positive Technologies, наша команда занимается аудитом смарт-контрактов. Сегодня я расскажу вам о результатах исследований и выводах нашей команды насчет аудита безопасности смарт-контрактов на языках FunC и Tact платформы TON.

https://habr.com/ru/companies/pt/articles/873654/

#ton #блокчейн #аудит_безопасности #funC #tact #смартконтракты #jetton #криптокошелек #blockchain

Инструмент статического анализа Slither

Всем привет! Я из команды по анализу уязвимостей распределенных систем Positive Technologies. Мы занимаемся исследованием безопасности в области блокчейн-технологий и хотим поделиться обзором фреймворка для статического анализа кода, написанного на Solidity , — Slither. Он разработан компанией Trail of Bits , релиз состоялся в 2018 году. Slither написан на Python 3. Подробнее

https://habr.com/ru/companies/pt/articles/775074/

#статический_анализ #блокчейн #solidity #cybersecurity #slither #смартконтракты #python #ethereum

ERC-2981 под капотом: зачем он нужен и его ограничения

ERC-2981 стал важным шагом к тому, чтобы NFT-авторы действительно получали справедливые роялти с перепродаж. Но работает ли это в реальности? В статье разбираемся, как устроен этот стандарт, какие задачи он решает, как его поддерживают маркетплейсы — и почему даже с его появлением вопрос с роялти остаётся открытым.

https://habr.com/ru/articles/913626/

#Royalty #блокчейн #смартконтракты #ERC2981

ERC-2981 под капотом: зачем он нужен и его ограничения

ERC-2981 стал важным шагом к тому, чтобы NFT-авторы действительно получали справедливые роялти с перепродаж. Но работает ли это в реальности? В статье разбираемся, как устроен этот стандарт, какие задачи он решает, как его поддерживают маркетплейсы — и почему даже с его появлением вопрос с роялти остаётся открытым.

https://habr.com/ru/articles/913626/

#Royalty #блокчейн #смартконтракты #ERC2981

ERC-2981 под капотом: зачем он нужен и его ограничения

ERC-2981 стал важным шагом к тому, чтобы NFT-авторы действительно получали справедливые роялти с перепродаж. Но работает ли это в реальности? В статье разбираемся, как устроен этот стандарт, какие задачи он решает, как его поддерживают маркетплейсы — и почему даже с его появлением вопрос с роялти остаётся открытым.

https://habr.com/ru/articles/913626/

#Royalty #блокчейн #смартконтракты #ERC2981

ERC-2981 под капотом: зачем он нужен и его ограничения

ERC-2981 стал важным шагом к тому, чтобы NFT-авторы действительно получали справедливые роялти с перепродаж. Но работает ли это в реальности? В статье разбираемся, как устроен этот стандарт, какие задачи он решает, как его поддерживают маркетплейсы — и почему даже с его появлением вопрос с роялти остаётся открытым.

https://habr.com/ru/articles/913626/

#Royalty #блокчейн #смартконтракты #ERC2981

Размышления после подкаста «Employment Is Changing Forever» о будущем занятости

Почитал транскрипт подкаста HBR IdeaCast с автором книги Employment Is Dead: How Disruptive Technologies Are Revolutionizing the Way We Work. Как можно догадаться из названия книги, подкаст была о том, как технологии (ИИ, Web3, DAO) трансформируют рынок труда и какое место в этом новом мире займёт классическая занятость. Нужно понимать, что речь идёт о том, как всё это выглядит сейчас на западе, поэтому многое из сказанного ниже для человека на русскоязычном пространстве будет звучать достаточно бредово, однако всё и все в мире взаимосвязаны, так что будет как минимум не лишним посмотреть, "а как там у них". Итак, делюсь кратким пересказом ключевых тезисов, а затем — своими размышлениями как человека, работающего внутри IT и HR Tech и наблюдающего трансформацию воочию.

https://habr.com/ru/articles/914888/

#гибкая_занятость #блокчейн #смартконтракты #структура_компании #экосистемы #hr_tech

Архитектура Uniswap v4: разбираем основы протокола

Uniswap V4 — это новая версия Uniswap в которой снова все с ног на голову. В предыдущей версии мы увидели новую математику, а в этой версии новый взгляд на архитектуру смарт-контрактов. Часть моментов я разбирал в своей прошлой статье , здесь мы углубимся в организацию работы смарт-контрактов. В этой статье мы разберем: - Ключевые смарт-контракты и библиотеки : репозитории и смарт-контракты с которых начинать изучение кода - Менеджер пулов: основной функционал и схема наследования - Флоу транзакции : точка входа для пользователя и поставщика ликвидности - Transient Storage : на примере разблокировки пула в качестве защиты от reentrancy - Хуки : что смарт-контракт хука использует и как вызывается менеджером пулов Если вы хотите понять, как Uniswap V4 превратился из обычной DEX в мощную платформу для DeFi-протоколов, эта статья для вас. Погнали!

https://habr.com/ru/articles/935928/

#uniswap #uniswapv4 #архитектура #хуки #маршрутизация #singleton #transient_storage #dex #routing #смартконтракты

Формальная верификация смарт-контрактов во фреймворке ConCert

Добрый день! Меня зовут Кирилл Зиборов, я представляю отдел безопасности распределенных систем Positive Technologies. В этой статье мы продолжим обсуждать методы и инструменты формальной верификации смарт-контрактов и их практическое применение для предотвращения уязвимостей. Мы подробно поговорим о методе дедуктивной верификации, а точнее, о фреймворке для тестирования и верификации смарт-контрактов — ConCert. Под кат

https://habr.com/ru/companies/pt/articles/804861/

#формальная_верификация #формальная_верификация_криптовалют #formal_verification #formal_methods #тестирование #смартконтракты #блокчейн #solidity #coq #Concert

История о том, как мы разработали благотворительный web3 сервис для крупнейшей DeFi платформы Lido

Всем привет! Меня зовут Саша Аксёнов, я — CEO питерской студии разработки Unistory. Сегодня расскажу вам о разработке благотворительного сервиса на блокчейне, где можно отчислять процент заработка в НКО. Проект со сложной математикой транзакций, который можно использовать в некоторых странах, чтобы платить меньше налогов.

https://habr.com/ru/articles/865810/

#блокчейн #web3 #криптовалюты #solidity #токеномика #смартконтракты #смартконтракт