Channel: gosunov.ton
Я чуть помог Пескарю в эксплойте креативном использовании смартконтракта по минту нфтшек. Подробнее можно прочитать у него. А он меня даже упомянул!
Считаю преступно не воспользоваться бесплатным траффиком и решил создать канал, чтобы все куда-то переходили. Плюс как будто у всех в тоне должен быть канал.
Сюда вряд ли в ближайшее время буду что-то писать, но вы все равно подписывайтесь там, возможно че-то около техническое напишу.
Себе я, кстати, тоже сделал премиум нфт
Считаю преступно не воспользоваться бесплатным траффиком и решил создать канал, чтобы все куда-то переходили. Плюс как будто у всех в тоне должен быть канал.
Сюда вряд ли в ближайшее время буду что-то писать, но вы все равно подписывайтесь там, возможно че-то около техническое напишу.
Себе я, кстати, тоже сделал премиум нфт
Не знаю зачем может понадобится смотреть настоящаю метадату токена, но я немного залип смотря кто куда заливает изображения. Можно так чуть-чуть оценить профессионализм фаундеров
Смотреть можно вообще любые токены, то есть всякие ликвидности, стейкинги тоже, там мб даже чёт интереснее может быть.
Наверняка это можно где-то ещё посмотреть, но я так быстро нигде не нашёл
UPD: Ладно сайт было сделать неожиданно сложно, поэтому сейчас он не работает
Тут болтоши в одном из последних постов напомнил о существовании такого сервиса как durevpn. Хотел поделиться исторей связаной с ней.
В конце августа, когда они только запустились, я зашёл посмотреть что за впн, как сайт работает и нашёл супер элементарную ошибку у них. Для контекста, они дают впн бесплатно, если у тебя на кошельке лежит их нфтшка. Как они проверяют, что кошелёк принадлежит тебе? Никак! То есть ты просто подключаешь тонконнект на фронте, они берут адрес кошелька с фронта и пересылают на бэк. Естественно такую вещь очень легко обойти. Вот скрипт, который это делает.
Я в день публичного запуска зарепортил им это. Они поблагодарили. Я попросил 50 долларов. Они заигнорили...😪
Спустя два месяца можно всё также получить доступ к их впну бесплатно. Видимо не баг, а фича. Думаю, что им просто в лом или они даже не знают, как это починить. А чинится это тон пруфами, вон Субботин целый сервис для примера написал.
UPD: Пофиксили, я уверен все ещё есть способ обойти, но мне лень искать
В конце августа, когда они только запустились, я зашёл посмотреть что за впн, как сайт работает и нашёл супер элементарную ошибку у них. Для контекста, они дают впн бесплатно, если у тебя на кошельке лежит их нфтшка. Как они проверяют, что кошелёк принадлежит тебе? Никак! То есть ты просто подключаешь тонконнект на фронте, они берут адрес кошелька с фронта и пересылают на бэк. Естественно такую вещь очень легко обойти. Вот скрипт, который это делает.
Я в день публичного запуска зарепортил им это. Они поблагодарили. Я попросил 50 долларов. Они заигнорили...
Спустя два месяца можно всё также получить доступ к их впну бесплатно. Видимо не баг, а фича. Думаю, что им просто в лом или они даже не знают, как это починить. А чинится это тон пруфами, вон Субботин целый сервис для примера написал.
UPD: Пофиксили, я уверен все ещё есть способ обойти, но мне лень искать
Please open Telegram to view this post
VIEW IN TELEGRAM
Я верифнул контракт болта! 🧃
Если вдруг кто не знает верификация контракта нужна, чтоб любой мог посмотреть код контракта и быть увернным с чем он взаимодействует. В тонвьювере даже есть отдельная вкладочка "Code", если контракт верифнут, то вы увидите нечто более менее читаемое, если же нет, увидите просто набор букв и цифр. Контракты верифают обычно создатели, но может так-то и любой человек, который знает FunC код исходников.
Так вот контракт старейшого в тоне жеттона не был верифнут создателями (вероятно потому, что тогда и верифаера не было). Но код оказывается был открыт, я долго и муторно пытался верифнуть контракт самого жеттон мастера, но что-то то ли технологии сильно изменились за два года, то ли программисты че-то там напутали, но жеттон-мастер верифнуть не получилось. Зато получилось верифнуть контракт кошелька болта. Теперь в каждом коде кошелька болта в начале идёт моя реклама) Вот тут можно посмотреть, как это выглядит.
Если вдруг кто не знает верификация контракта нужна, чтоб любой мог посмотреть код контракта и быть увернным с чем он взаимодействует. В тонвьювере даже есть отдельная вкладочка "Code", если контракт верифнут, то вы увидите нечто более менее читаемое, если же нет, увидите просто набор букв и цифр. Контракты верифают обычно создатели, но может так-то и любой человек, который знает FunC код исходников.
Так вот контракт старейшого в тоне жеттона не был верифнут создателями (вероятно потому, что тогда и верифаера не было). Но код оказывается был открыт, я долго и муторно пытался верифнуть контракт самого жеттон мастера, но что-то то ли технологии сильно изменились за два года, то ли программисты че-то там напутали, но жеттон-мастер верифнуть не получилось. Зато получилось верифнуть контракт кошелька болта. Теперь в каждом коде кошелька болта в начале идёт моя реклама) Вот тут можно посмотреть, как это выглядит.
Please open Telegram to view this post
VIEW IN TELEGRAM
Я никак не связан с USDT и Ноткоином!
Знали ли вы, что любому безымянному адресу кто угодно может присвоить своё название? Так например кто-то сделал, что теперь нулевой адрес это blockburner.ton. Я вот когда об этом узнал, очень удивился и провернул тоже самое с адресами USDT и NOT. Просто вставил туда своё имя. Сделал я это очень давно, и уже забыл об этом. Зачем? Мне просто показалось, что это смешно.
Вот только сейчас мне это аукнулось, и мне начали писать куча людей с обвинениями в каких-то мошенничествах, ханипотах, и даже угрожать!😔 Оказалось всё из-за этих адресов... Специально для них я пишу этот пост, чтобы скидывать его, когда мне такое пишут.
Ещё, кстати, удивлен, что этим массово не пользуются. Есть же много безымянных адресов, с которыми ежедневно взаимодействуют тысячу раз. Можно вставить туда какой-нибудь фишинг или рекламу. На всякий случай не буду тут говорить, как такое сделать.
UPD: Я изменил днсы на usdt-minter.ton и notcoin-minter.ton (ща подумал надо было к ним ещё adnl свой привязать).
Знали ли вы, что любому безымянному адресу кто угодно может присвоить своё название? Так например кто-то сделал, что теперь нулевой адрес это blockburner.ton. Я вот когда об этом узнал, очень удивился и провернул тоже самое с адресами USDT и NOT. Просто вставил туда своё имя. Сделал я это очень давно, и уже забыл об этом. Зачем? Мне просто показалось, что это смешно.
Вот только сейчас мне это аукнулось, и мне начали писать куча людей с обвинениями в каких-то мошенничествах, ханипотах, и даже угрожать!
Ещё, кстати, удивлен, что этим массово не пользуются. Есть же много безымянных адресов, с которыми ежедневно взаимодействуют тысячу раз. Можно вставить туда какой-нибудь фишинг или рекламу. На всякий случай не буду тут говорить, как такое сделать.
UPD: Я изменил днсы на usdt-minter.ton и notcoin-minter.ton (ща подумал надо было к ним ещё adnl свой привязать).
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Небольшой анализ разлоков ТОНа
Многие знают, что Телеграмм продаёт ТОНы OTC по скидке. Можно даже увидеть когда он их продаёт. Продает он их, конечно с нормальным таким вестингом. И есть даже сервис для просмотра данных о вестинге.
Но вот только нигде нет никакой общей статистики, когда и сколько будет разлоков. Поэтому я выкачал данные о всех вестинг кошельках и сделал эту статистику! Посмотреть красивый график можно тут http://unlocks.gosunov.ru.
Из интересного, уже произошло каких-то два больших разлока. Пришли они на этот кош, а этот кош их тут же раскидал на биржи) Последний разлок был 4 ноября, тогда курс тона просел с 4.86 до 4.59, уж не знаю связанные ли эти события, но в следующий разлок попробую открыть шорт.
Многие знают, что Телеграмм продаёт ТОНы OTC по скидке. Можно даже увидеть когда он их продаёт. Продает он их, конечно с нормальным таким вестингом. И есть даже сервис для просмотра данных о вестинге.
Но вот только нигде нет никакой общей статистики, когда и сколько будет разлоков. Поэтому я выкачал данные о всех вестинг кошельках и сделал эту статистику! Посмотреть красивый график можно тут http://unlocks.gosunov.ru.
Из интересного, уже произошло каких-то два больших разлока. Пришли они на этот кош, а этот кош их тут же раскидал на биржи) Последний разлок был 4 ноября, тогда курс тона просел с 4.86 до 4.59, уж не знаю связанные ли эти события, но в следующий разлок попробую открыть шорт.
Опять про TON Connect, и опять про тон пруфы
TON Connect это просто замечательный протокол, это одна из тех фич тона, которая реализована намного круче, чем в других блокчейнах. Но разработчики сервисов могут, не всегда его правильно интегрировать.
Я уже писал, как однажды обошёл дуревский впн, который давал доступ к впну бесплатно, если у тебя есть на кошельке нфтшка. А сейчас я написал более обобщенное решение, которое позволяет подключить любой адрес к любому сервису, если тот не использует тон пруф!
http://fakeconnect.gosunov.ru
На самом деле, теперь все интересные юзкейсы уже пофикшены🎩 . (Можно было зайти в некоторые ОЧЕНЬ дорогие приватки). Но думаю, кто-то все равно найдёт применение. Вот пара полезных и не злых применений доступных сейчас. Допустим вам интересна история трейдов человека в шторм трейде и его открытые позиции, или вы хотите посмотреть сколько юзер положил денег в еваа протокол. Вы можете подключить этот адрес и скопировать ссылку подключения в сервисе, и вам прям в браузере покажется вся инфа!
Я относительно долго и глубоко разбирался в протоколе тонконнекта и возможно напишу вторую часть с жестким программистким хардкором, напишите, если это интересно. А ещё спасибо за эту идею @tiredofbeeing
TON Connect это просто замечательный протокол, это одна из тех фич тона, которая реализована намного круче, чем в других блокчейнах. Но разработчики сервисов могут, не всегда его правильно интегрировать.
Я уже писал, как однажды обошёл дуревский впн, который давал доступ к впну бесплатно, если у тебя есть на кошельке нфтшка. А сейчас я написал более обобщенное решение, которое позволяет подключить любой адрес к любому сервису, если тот не использует тон пруф!
http://fakeconnect.gosunov.ru
На самом деле, теперь все интересные юзкейсы уже пофикшены
Please open Telegram to view this post
VIEW IN TELEGRAM
Я взломал дефай протокол в тоне! И всё вернул..
Изучая опенсорс протоколы, я наткнулся на протокол с неймингом французских гренок. И роясь в коде каким-то чудом обнаружил там критическую уязвимость! В моменте мне захотелось поиграть в хакера и я сделал эксплойт. Кто бы мог подумать, но после эксплойта меня замучила совесть, поэтому, когда мне написали с просьбой вернуть деньги, я сразу вернул, оставив себе только маленькую часть. Нашу маленькую ончейн переписку можете посмотреть здесь.
Удивляет в этой истории, что протокол был проаудирован квантштампом, и они пропустили настолько прямолинейную уязвимость! Ещё чуть менее удивительно, но все равно интересно, что хак заметило ровно ноль человек. Что это говорит нам о дефае на тоне? Не знаю..
Вообще команда сейчас закрывает протокол и билдит что-то новое. И я искренне им желаю удачи. Билдить дефай на тоне дело очень неблагодарное, так что респектую всем, кто рискнул сюда залезть.
Да я не писал посты три месяца, и что вы мне сделаете? Ожидаю, что много людей от канала отпишуться, потому что забыли как сюда попали :)
Изучая опенсорс протоколы, я наткнулся на протокол с неймингом французских гренок. И роясь в коде каким-то чудом обнаружил там критическую уязвимость! В моменте мне захотелось поиграть в хакера и я сделал эксплойт. Кто бы мог подумать, но после эксплойта меня замучила совесть, поэтому, когда мне написали с просьбой вернуть деньги, я сразу вернул, оставив себе только маленькую часть. Нашу маленькую ончейн переписку можете посмотреть здесь.
Удивляет в этой истории, что протокол был проаудирован квантштампом, и они пропустили настолько прямолинейную уязвимость! Ещё чуть менее удивительно, но все равно интересно, что хак заметило ровно ноль человек. Что это говорит нам о дефае на тоне? Не знаю..
Вообще команда сейчас закрывает протокол и билдит что-то новое. И я искренне им желаю удачи. Билдить дефай на тоне дело очень неблагодарное, так что респектую всем, кто рискнул сюда залезть.
HTML Embed Code: