Na začátku roku 2017 jsem strávil týden ve špinavém hostelu v Berlíně s @ameensol a několika kolegy Raidenem a diskutovali jsme o návrzích státních kanálů. I když to nebylo přímo L2, některá práce, kterou jsme tehdy dělali, vydláždila cestu pro dnešní L2.

Studium minulých zneužití chytrých kontraktů je vynikající pro to, abyste se stali lepším vývojářem Solidity. Nedávno jsem strávil nějaký čas přezkoumáváním mnoha exploitů, ke kterým došlo v posledních několika letech. Pochopení hlavní příčiny hacku je skvělý způsob, jak se naučit, jak přemýšlet jinak o psaní kódu. Poskytuje vám také lepší intuici pro to, které komponenty jsou při pohledu na nové kódové základy nejkritičtější. Doporučuji každému, kdo chce vylepšit svou hru Solidity, aby si prošel minulé exploity na @RektHQ nebo se podíval na @phylaxsystems dokumentaci, kde máme rozbory hacků a jak jim tvrzení mohla zabránit. Studiem těchto minulých hacků jsem si uvědomil, že často jsou zneužití možná kvůli chybějícím kontrolám v kódu nebo nesprávným výpočtům, které vedou k tomu, že protokoly vstupují do stavů, ve kterých nemají být. Jakmile dojde ke zneužití, chyba se často zdá být zřejmá. Musíme zajistit, aby protokoly tyto údaje snadněji identifikovaly. Mnoha protokolům by prospělo, kdyby strávily čas definováním invariantů a zajištěním, že je nelze porušit. Psaní tvrzení je skvělý způsob, jak zajistit, aby tyto invarianty nemohly být nikdy porušeny. Posledním exploitem, který jsem strávil zkoumáním, byl exploit Abracadabra z března 2025, kde bylo ztraceno ~13 milionů dolarů: Chyba: sendValueInCollateral() extrahoval skutečné tokeny, ale zapomněl aktualizovat interní účetní proměnné Zneužití: orderValueInCollateral() hlásilo stejnou hodnotu kolaterálu i po odstranění tokenů Výsledek: Útočník si opakovaně půjčoval proti "fantomovému kolaterálu", dokud nebyly prostředky vyčerpány Tvrzení, které ověřuje jednoduchý invariant, že "nahlášený kolaterál" odpovídá "skutečnému kolaterálu", by hackerskému útoku zabránilo.

Byl jsem pěkně naštvaný na tým @mintlify, když bez varování porušili kompatibilitu s jazyky ve svém zvýrazňovači syntaxe. Ale musím jim to předat; Od té doby dodávají skvělé funkce non-stop a zvýrazňovač byl také docela rychle opraven.

Buď pochopíte, proč je boj o Tornado Cash pro kryptoměny existenční, nebo kryptoměnu nedostanete.

Mohu potvrdit, že to funguje a je to tak snadné, jak to zní.

🔥 Pracujeme 16 hodin denně, každý den, abychom tuto bitvu vybojovali u soudu. Soud je téměř u konce – ale stále čelím obrovským účtům za právní zastoupení. 💸 Náklady jsou ohromující a dary jsou to jediné, co nás drží nad vodou. 🙏 Vím, že jsme už vybrali hodně a nikdo nedokáže předpovědět, kolik je skutečně potřeba. Pokud ale věříte v open-source, soukromí a spravedlnost, pomozte: 👉 Každý kousek se počítá. Děkuju ❤️

V roce 2015, když jsem poprvé začal budovat Etherscan jako sólový zakladatel, jsem se občas "zasekl" (tehdy žádní pomocníci AI!). Jednou z konkrétních ošemetných oblastí byly "interní txn". Vzpomínám si, jak jsem se s Peterem spojil pozdě v noci na Gitteru – byl velmi nápomocný a milý. Odpovídal, vysvětloval, dokonce kreslil diagramy. V roce 2016, když jsem se snažil zjistit, jak udržet Etherscan udržitelný (poté, co jsem byl odmítnut pro nadační grant 😅), jsem se přihlásil do @BoostVC. Potřebovali referenci – Petr laskavě souhlasil, že se jí stane. Peter nepomáhal jen s Ethereem – pomáhal lidem, kteří kolem něj stavěli. Upřímně vám přeji to nejlepší ve vaší další kapitole @peter_szilagyi. 🙏

Ameen je Ethereum. Jsme Ameen.

Co to za věčně živoucí kurva. DoJ/FBI/SDNY/IRS-CI se pokouší uvěznit Romana Storma – amerického vývojáře softwaru – na desítky let, protože severokorejská vláda používala jeho software. A předložili důkazy, které údajně spojují jejich svědka – oběť podvodu – s jeho softwarem Tornado Cash... ⤵️

Je čas zabránit hackerským útokům "dříve", než k nim dojde. V1 důvěryhodné vrstvy je tady. Beta testování začíná právě teď. Pracujeme na tom už dlouho a jsme velmi optimističtí, pokud jde o dopad, který to může mít. Zde je návod, jak to funguje. Důvěryhodná vrstva má čtyři složky: > Assertions: Bezpečnostní pravidla napsaná v Solidity, která definují stavy, které by nikdy nenastaly (např. "adresa implementace by se neměla měnit", "cena by se neměla odchýlit o více než x% v jedné transakci"). > protokoly: Týmy definují kontrolní výrazy pro své smlouvy a registrují je v řetězci. > Block Builders/Sequencers: Síťová infrastruktura ověřuje každou transakci proti assertions před zařazením bloku a vypouští všechny, které by porušovaly bezpečnostní pravidla. > Transparency Dashboard: Ukazuje, které protokoly jsou chráněny a jak. Zde je rozpis transakčních toků, abyste si udělali představu o tom, jak to funguje ve volné přírodě: > Uživatel odešle transakci do sítě > Transakce vstupuje do mempoolu > OP-Talos obdrží transakci pro potenciální zařazení > OP-Talos odkazuje na tvrzení týkající se smluv, s nimiž transakce interaguje > PhEVM simuluje provádění transakcí a vytváří snímky stavu před / po transakci > Všechny relevantní kontrolní výrazy se provádějí proti těmto stavům > Pokud se některý kontrolní výraz vrátí → transakce označená jako neplatná a zrušená > Pokud všechny kontrolní výrazy projdou → transakcí zahrnutou v bloku Pokud by transakce vedla k hackerskému útoku a kontrakt je chráněn důvěryhodnou vrstvou, transakce je zrušena. Pokud smlouva chráněna není, je transakce zahrnuta. Systémy, které výše uvedené umožňují: > OP-Talos: Nástroj pro tvorbu vlastních bloků pro kumulativní aktualizace OP Stack, který orchestruje proces ověřování a vytváří bloky s vyloučením transakcí porušujících kontrolní výrazy. > PhEVM (vynucovací rameno OP-Talos): Provádí bytecode assertion v izolovaném off-chain prostředí se speciálními předkompilacemi pro efektivní přístup ke stavu. > Assertion DA: Ukládá zdrojový kód kontrolního výrazu a bajtový kód, poskytuje kód kontrolního výrazu tvůrcům bloků. > Credible Layer Protocol: Inteligentní kontrakt spravující on-chain registr kontrolních výrazů, mapující tvrzení na chráněné kontrakty. To umožňuje pro vaši aplikaci dapp následující: • Zabraňuje hackerům, nedetekuje je: Zastaví útoky před provedením • Žádné falešné poplachy: Blokuje pouze transakce, které výslovně porušují definovaná pravidla • Přívětivé pro vývojáře: Kontrolní výrazy napsané v Solidity • Neinvazivní: Nejsou vyžadovány žádné stávající úpravy smlouvy • Vysoký výkon: Zpracovává 1 500+ transakcí za méně než 50 ms • Transparentní: Všechny assertion viditelné v řetězci Vývojáři jej mohou otestovat již dnes. Můžeš: > nasazení smluv > psát kontrolní výrazy > testy zápisu > otestujte, zda hackerská transakce porušuje vaše tvrzení Pokud máte zájem, ozvěte se. Prozatím zařazujeme přístup na bílou listinu. Bezpečnost se mění. (Velké oznámení již brzy).