gm! JS инфраструктура в очередной раз поддается атакам на криптанов.

В этот раз задели несколько старых системных JS пакетов – debug (357M установок в неделю) и chalk (299М установок в неделю) и пачку остальных, с помощью взлома Git одного из предыдуших мейнтейнеров. Можно прочитать полный репорт здесь от владельца взломанного аккаунта. Вкратце – взлом 2FA доступов к NPM через email.

Как это может задеть вас?

При обыкновенном подключении кошелька ничего без вашего ведома не произойдет.

Скрипт внедряется в любую страницу, содержащую JS код и проверяет наличие Ethereum кошельков (с помощью проверки `window.ethereum`), затем при попытке отправки любой транзакции через кошелек просто подменяет адрес получателя.

Уязвимым может оказаться буквально любой веб-сайт, который в течение последних пары часов обновлял свои зависимости и установил взломанную версию. На текущий момент с NPM уже удалили версию с багом

Кажется, что ближайшие пару дней лучше избегать подписи транзакций, либо быть максимально внимательным к адресу получения. Адрес злоумышленника – 0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976

Что сделать разработчикам?

Проверьте lock файлы, ведь взломанные пакеты по большей части служебные и могут не использоваться напрямую в проекте.

Обфусцированный скрипт оставили здесь, а тут немного больше деталей, как он работает под капотом.

Issues с предупреждениями и больше технических деталей:
https://github.com/chalk/chalk/issues/656
https://github.com/debug-js/debug/issues/1005

но tbh пока выглядит как самая грустная атака, кошелек абсолютно пустой 🥰

Just Activities & Updates ✌ (small version)

🪵 BackWoods. Подкинули чуть больше информации по токеномике: тотал саплай = 1млрд токенов, инишиал — 15%. На ранних юзеров выделено 5%, 2% на фармеров листьев, 1% холдерам NFT

😶‍🌫️ Boundless. Запустили регу на дроп токенов ZKC, проходим ее по ссылке. Нормальная насыпка вышла за роли, средний дроп среди того, что видел — 6к токенов

😛 OpenLedger. Клейм дропа уже открыт, можете забирать свое по праву и отправлять в стакан, если ранее регались на получение. Торгуется на бинансе и прочих CEX

👍 JUST CRYPTO: канал | чат

PUMP на пампе

C момента моего поста про PUMP прошел месяц и мы сейчас имеем уже +50% к точке входа. За это время его неплохо поколбасило в обе стороны. Но команда откупает какими лютыми темпами и за 1.5 месяца они октупили почти 6% саплая. Хотя тот же Hyperliquid откупил за всё время всего 3% токенов.

Кроме того, солана сейчас показывает momentum и на новостях закупок DAT компаний (про них я напишу на днях), солана показывает хороший рост. А $PUMP является бетой на солану.

Для меня это спекулятивная ставка и я не планирую долго ее держать и уже подумываю над фиксом.

Залетали в PUMP?
🔥 — ага, cижу в профите
🍌— неа, не верю в монетку

😎 HinkoK | Telegram | Chat | HinkoK Soft | Best Proxy

gm! JS инфраструктура в очередной раз поддается атакам на криптанов.

В этот раз задели несколько старых системных JS пакетов – debug (357M установок в неделю) и chalk (299М установок в неделю) и пачку остальных, с помощью взлома Git одного из предыдуших мейнтейнеров. Можно прочитать полный репорт здесь от владельца взломанного аккаунта. Вкратце – взлом 2FA доступов к NPM через email.

Как это может задеть вас?

При обыкновенном подключении кошелька ничего без вашего ведома не произойдет.

Скрипт внедряется в любую страницу, содержащую JS код и проверяет наличие Ethereum кошельков (с помощью проверки `window.ethereum`), затем при попытке отправки любой транзакции через кошелек просто подменяет адрес получателя.

Уязвимым может оказаться буквально любой веб-сайт, который в течение последних пары часов обновлял свои зависимости и установил взломанную версию. На текущий момент с NPM уже удалили версию с багом

Кажется, что ближайшие пару дней лучше избегать подписи транзакций, либо быть максимально внимательным к адресу получения. Адрес злоумышленника – 0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976

Что сделать разработчикам?

Проверьте lock файлы, ведь взломанные пакеты по большей части служебные и могут не использоваться напрямую в проекте.

Учитывая то, что пакетов – много, лучше пройти grep c фильтром на строку кода:

grep -r "const _0x112" node_modules/

Обфусцированный скрипт оставили здесь, а тут немного больше деталей, как он работает под капотом.

Issues с предупреждениями и больше технических деталей:
https://github.com/chalk/chalk/issues/656
https://github.com/debug-js/debug/issues/1005

но tbh пока выглядит как самая грустная атака, кошелек абсолютно пустой 🥰

Тепер лутаємо дропи від OKX? 🔥

Кілька місяців тому Binance Alpha жорстко хайпанули завдяки смачним дропам, але поступово темка вмерла

Схоже, що тренд перейде на OKX оскільки вони випустили систему Boost 😈

Якщо коротко, то за баланси і торгові обсяги ми отримаємо поінти, за які нам дадуть доступ до дропів/сейлів. Дана механіка запуститься вже скоро

І зараз вже доступний перший Launch X і відразу від Linea. Всього виділили 160М токенів (0,25% від саплая) 💰

Дроп отримають ті, хто тримав на балансах $10 і має обсяг хоча б $32 за останні 15 днів. Снепшот зробили 7 вересня

Щоб отримати дроп, потрібно підтвердити участь на сайті — ТИЦЬ

Як завжди, чим більше поінтів, тим більше дроп. Клейм вже 10 числа

Ну а якщо ви не встигли набити обсяги до першого дропа, то краще зробити це зараз, а то потім будете ловити фомо 😔

А якщо немає акаунта на ОКХ можете зареєструватись

Дроп и листинг от LiveArt

В суботу команда анонсировала чекер дропа и TGE $ART — утилити-токен, который лежит в основе первого RWAfi-протокола, превращающего культовые произведения искусства и премиальные инвестиционные активы в токенизированные RWA с полной DeFi-функциональностью.

🤔 Проверить дроп (также можно проверить на Web3 OKX).

Елигибл все пользователи, которые сделали хотя бы 1 ончейн-транзакцию на платформе LiveArt. Снепшот был 1 сентября в 18:00 Мск.

*️⃣На TGE, которое будет уже завтра можно заклеймить только 10% от дропа, остальное в течение 6-ти месяцев, но также есть система, чтобы повысить свою аллокацию:
• +50% — клейм через 8 месяцев
• +70% — клейм через 10 месяцев
• +120% — клейм через 12 месяцев

📅 Листинг будет завтра в 15:00 Мск на таких биржах, как Bybit, KuCoin, Bitget, Gate, MEXC и т.д.

*️⃣Токен $ART используется для:
• Governance — участие в голосованиях.
• DeFi-инцентивов — вознаграждения за активность и доступ к возможностям рынка RWA.
• Эксклюзивных IAO — ранний доступ к предложениям по токенизации ценных активов.
• AI-сервисов — доступ к инструментам LiveArt на базе AI.

IDO research | Chat | NFD

📊 Потерял весь депозит на МУХе? — Используй TRUE AI!

Сейчас AI уже научился рисовать котиков и делать дипломы за ночь, теперь же технологии искусственного интеллекта доступны и для трейдинга.

TRUE AI — это DEX на Solana по аналогии с Hyperliquid с AI фичами и копитрейдингом лучших трейдеров, созданный бывшими сотрудниками Ledger, Near и других топ-компаний.

😎 Уже чешутся руки затестить платформу?

Доступ получат только холдеры токена $TRUE, который вот-вот выходит на ICO:

• Сейл стартует 10 сентября в 20:30 по МСК на сайте проекта
• Продажа будет проходить в несколько фаз, стартовая цена будет в 8 раз ниже финальной (где-нибудь еще видели такое?)
• Все условия будут раскрываться ближе к запуску в Twitter'e

Также вы можете заполнить заявку на Waitlist и поучаствовать в розыгрыше на 10к$.

Если сомневаешься залетать в пресейл, токен можно будет докупить на рынке и, если AI окажется умнее твоих сделок — сможешь спокойно юзать платформу.

CRYPTONIX | CHAT | BINGX

😜 Выносим ICO USDai на мульты 😜

После небольшого отдыха, готов возвращаться к работе.

Уже несколько раз писал про USDai (1,2) и почему я булишь по нему.

С того времени проект успел заключить партнёрства с Plasma, Morpho что говорит о сильных связях у самой команды.

На этой неделе произойдёт второе расширение пулов у USD.ai с 160М$ → 210M$ и я решил поделиться с вами одной идеей, которая пришла мне после сейла Boundless.

Мультиаккинг ICO

Как показали последние сейлы Boundless и Lombard, значение имеет не только количество ликвидности, которое вы загружаете в ICO, но и предварительное взаимодействие с проектом.

• В Boundless просто за участие в Signal Prove Campaign мы получали гарантированные аллокации. Хоть $1000 закидывай в ICO, хоть $250k.

• В Lombard держатели $LBTC и Lux получили приоритет и дополнительные аллокации в сейле.

Поэтому, если мы хотим выносить мету ICO, мульты понадобятся не только на площадках для ICO, но и в самих проектах.

Cтатистика USDai и критерии

По Dune общее кол-во кошельков которое сейчас занесли > 1$ в USDai составляет 2955.

• Boundless ICO ~22,000 участников ;
• Lombard ICO - 21,340 кошельков с аллокой ;

Даже если кол-во кошельков увеличиться в 4 раза (~10k-12k) , мы всё равно будем иметь хороший шанс на приоритетку если зайдём рано и закинем стейблы с бустами.

Напомню что в USDai один из инвесторов это Binance - значит это потенциальный кандидат на Builpad ICO.

Стратегия:

Будем с командой мультить акки в USDai по 10$ на акк + закид в LP Pendle на х25 + часть будем сжигать YT токены.

@nine_mirror

#Aztec: Создаем аватарку и заполняем форму 🎧

Aztec — это платформа, обеспечивающая приватность транзакций и смарт-контрактов. Она использует zk-rollups для защиты данных в сети Ethereum.

🐦 TwitterScore 320
💰 Инвестиции 119.1 млн$ от a16z, Paradigm, ConsenSys, Coinbase.

✏️ Ранее писали о запуске активности с созданием приватной аватарки, анонсировали в Discord роль за активность и форму с дедлайном.

За выполнение дадут роль: Glyph Legend 🤵

Как получить роль:
🟢 Переходим сюда и подключаем X.
🟢 Настраиваем цвет, структуру аватара и создаем.
🟢 Делимся пикчей в X, меняем аватарку в X или в Discord.

🔗 Заполняем форму.

⏱ Дедлайн до 11.09, ~10:00 по Киеву/МСК.

👋 Slavik investor links

😨 Главное за сегодня:

⚠️ Хакеры перехватили пакеты NPM известного разработчика и добавили вредоносное ПО в популярные библиотеки JavaScript, используемые миллионами приложений

🇺🇸 США | крипто-#ETF:
- #RWA Nasdaq планирует открыть торги токенизированными акциями
- Grayscale подали в SEC заявку S-1 на спотовый #LINK ETF
- #макро JPMorgan предупреждает, что ожидаемое 17 сентября снижение ставки ФРС может спровоцировать "распродажу новостей" в американских акциях

🇰🇿 Президент Казахстана поручил Нацбанку создать государственный фонд цифровых активов для накопления стратегического крипторезерва страны

🇰🇷 Upbit запустит свою сеть L1 "Giwa"

💰 Forward Industries привлекли 1,65 млрд $ от Galaxy Digital, Jump Crypto и Multicoin Capital для создания казначейства #SOL

🔍 На Binance перевели SOL на >670 млн $ тремя транзакциями

🙅‍♂ #K Kinto прекратит работу 30 сентября

🚀 Продолжается памп #MYX

🥳 #ENA MegaETH запустят стейблкоин USDM в партнёрстве с Ethena

🖼 OpenSea объявили о заключительном этапе своей программы вознаграждений перед TGE (подробности будут в начале октября), а также создают стратегический резерв #NFT

🥳 #XION теперь поддерживает вход в систему с помощью Apple ID на уровне протокола

🙋‍♂ #XRP Tembo e-LV (VivoPower International) теперь принимает платежи от клиентов и партнёров в #RLUSD

💰 ZachXBT обвиняет проект "Aqua" в Rug Pull

👀 Lion Group Holding (#LGHL) планируют конвертировать все свои SOL и SUI в #HYPE

🙋‍♂ HashKey планирует создать казначейский фонд цифровых активов на 500 млн $

🤝 CoinShares заключила соглашение об объединении бизнеса с Vine Hill Capital Investment (SPAC)

🕵️‍♂️ Транзакции китов

🏴‍☠️ Взломы:
- SwissBorg взломаны на 192.6 тыс SOL (41.5 млн $)
- Nemo взломаны на 2,4 млн $

🆕 Листинги:
- Binance листит OpenLedger (#OPEN) и добавляет #LINEA на Binance HODLer Airdrops
- Coinbase листит #SPX и #FLOCK

🎩 Приобретения криптовалют публичными компаниями:
- Bitmine сообщили, что удерживают 2 069 443 ETH
- Eightco Holdings (#OCTO) планируют привлечь до 250 млн $ для покупки #WLD
- Strategy приобрели 1 955 BTC

📊 Графики и отчёты:
- ТОП блокчейнов по росту объёмов на DEX за последние 30 дней
- ТОП мостов и протоколов messaging по объему за последние 30 дней
- отчёт CoinShares по фин потокам

✏️ События на завтра:

🔓 Разлоки:
- Movement (#MOVE) - 0,51% (5,98 млн $)
- Sonic (#S) - 5,02% (45,07 млн $)
🆕 Binance залистит Avantis (#AVNT)
🇺🇸 Redbook (YoY) - 15:55 мск
👀 #HOOD Robinhood Summit