Крутые математики
Топ-10 самых интересных математиков, жизненный путь, способности, открытия или взгляды которых меня когда-то впечатлили.
Random fact: среди них 4 еврея, 2 русских, 2 немца, француз и индиец.
Факты из биографий приведены в вольном пересказе, который может содержать неточности.
Израиль Моисеевич Гельфанд
Этого мальчика с говорящим именем, отчеством и фамилией совки выгнали (заодно с одноклассником Мильманом) из школы, так что он не получил даже среднего образования.
Не имея корочек, занимаясь самообразованием, в 19 лет стал преподавателем в МГУ и аспирантом аж у Колмогорова.
Был полиматом и, помимо математики и физики, внёс существенный вклад в биологическую науку (кстати, в том числе через своих потомков, многие из которых занимаются биологией и медициной).
Сриниваса Рамануджан Айенгор
Этот индус самостоятельно проштудировал сборник тождеств и фанатично начал выводить собственные формулы (в основном цепные тождества), зачастую весьма сложные в доказательстве.
Не имея высшего образования, приехал в Британию и стал там членом Лондонского королевского общества.
Утверждал, что формулы ему во сне рассказывает богиня Намагири Тхайяр (о_О). Умер в Индии в 32 года.
Игорь Ростиславович Шафаревич
А этот суровый тип в 15 лет окончил школу, в 17 лет — мехмат, в 19 стал кандидатом физико-математических наук, в 23 — доктором, а в 35 — членкором РАН. Основной вклад внёс в теорию чисел и алгебру.
Был диссидентом и публицистом (хоть и сомнительным), прожил 94 года.
Иоганн Карл Фридрих Гаусс
Этому колоссу науки повезло прожить достаточно, чтоб привнести фантастически много нового в теорию чисел, алгебру, статистику (да-да, привет ML'щикам, не было бы ваших 300кк/сек без Карла), механику, геометрию и даже астрономию.
Отличался невероятными способностями к устному счёту, научной плодотворностью и знанием языков.
Джон фон Нейман
Этот добродушный дядька жил вполне благополучно, к 23 годам защитил PhD, затем уехал из Венгрии в США, где придумал архитектуру компьютера (за что, пожалуй, больше всего известен), а ещё, внёс существенный вклад в логику и аксиоматизацию математики, в квантовую механику, а также помогал в разработке ядерного оружия (может, не очень-то и добродушный был)!
Эварист Галуа
Дерзкий французский юнец, революционер, убитый в 20 лет в ходе дуэли (то ли из-за женщины, то ли из-за политики). За свою короткую жизнь успел пережить кучу бед и придумать группы, поля и многое другое, дав орудие для всей современной алгебры и криптографии. Интересно, что он был современником других выдающихся математиков: Фурье, Коши, Гаусса, Абеля, Пуассона, Якоби и других.
Allons enfants de la Patrie!
Григорий Яковлевич Перельман
Очевидный выбор для топа: межнар (абсолютное 1 место на ММО в 1983 году), лауреат филдсовской медали (от денежной премии, как известно, отказался), 7 лет безвылазно фигачил, работая над одной нерешённой задачей, не сдаваясь.
Пожалуй, именно такая способность — самая нужная черта для любого исследователя, будь то математик или хакер.
Курт Фридрих Гёдель
Этот ариец внёс потрясающий вклад в математическую логику и философию науки, его теоремами жонглируют в софистических дискуссиях эрудиты всех мастей (даже Онотоле). При всей строгости мышления и разумности страдал от параноидального расстройства личности и погиб от истощения.
Юрий Иванович Манин
Мечтатель и поэт, ученик Шафаревича, алгебро-геометр, логик, теор-физик, лингвист и философ. Советую к чтению его любопытную книжку "Математика как метафора".
Между прочим, Манин придумал квантовый компьютер!
Пал Эрдёш
Ещё один венгерский еврей, один из самых активных и меметичных математиков, часто встречающийся в математических анекдотах. Стал соавтором примерно 1500 статей, так что даже есть отдельный термин "Число Эрдёша", означающее длину пути от какого-либо математика до Эрдёша на графе совместных публикаций. В 21 год досрочно защитил диссертацию, внёс вклад во множество разных областей математики.
Топ-10 самых интересных математиков, жизненный путь, способности, открытия или взгляды которых меня когда-то впечатлили.
Random fact: среди них 4 еврея, 2 русских, 2 немца, француз и индиец.
Факты из биографий приведены в вольном пересказе, который может содержать неточности.
Израиль Моисеевич Гельфанд
Этого мальчика с говорящим именем, отчеством и фамилией совки выгнали (заодно с одноклассником Мильманом) из школы, так что он не получил даже среднего образования.
Не имея корочек, занимаясь самообразованием, в 19 лет стал преподавателем в МГУ и аспирантом аж у Колмогорова.
Был полиматом и, помимо математики и физики, внёс существенный вклад в биологическую науку (кстати, в том числе через своих потомков, многие из которых занимаются биологией и медициной).
Сриниваса Рамануджан Айенгор
Этот индус самостоятельно проштудировал сборник тождеств и фанатично начал выводить собственные формулы (в основном цепные тождества), зачастую весьма сложные в доказательстве.
Не имея высшего образования, приехал в Британию и стал там членом Лондонского королевского общества.
Утверждал, что формулы ему во сне рассказывает богиня Намагири Тхайяр (о_О). Умер в Индии в 32 года.
Игорь Ростиславович Шафаревич
А этот суровый тип в 15 лет окончил школу, в 17 лет — мехмат, в 19 стал кандидатом физико-математических наук, в 23 — доктором, а в 35 — членкором РАН. Основной вклад внёс в теорию чисел и алгебру.
Был диссидентом и публицистом (хоть и сомнительным), прожил 94 года.
Иоганн Карл Фридрих Гаусс
Этому колоссу науки повезло прожить достаточно, чтоб привнести фантастически много нового в теорию чисел, алгебру, статистику (да-да, привет ML'щикам, не было бы ваших 300кк/сек без Карла), механику, геометрию и даже астрономию.
Отличался невероятными способностями к устному счёту, научной плодотворностью и знанием языков.
Джон фон Нейман
Этот добродушный дядька жил вполне благополучно, к 23 годам защитил PhD, затем уехал из Венгрии в США, где придумал архитектуру компьютера (за что, пожалуй, больше всего известен), а ещё, внёс существенный вклад в логику и аксиоматизацию математики, в квантовую механику, а также помогал в разработке ядерного оружия (может, не очень-то и добродушный был)!
Эварист Галуа
Дерзкий французский юнец, революционер, убитый в 20 лет в ходе дуэли (то ли из-за женщины, то ли из-за политики). За свою короткую жизнь успел пережить кучу бед и придумать группы, поля и многое другое, дав орудие для всей современной алгебры и криптографии. Интересно, что он был современником других выдающихся математиков: Фурье, Коши, Гаусса, Абеля, Пуассона, Якоби и других.
Allons enfants de la Patrie!
Григорий Яковлевич Перельман
Очевидный выбор для топа: межнар (абсолютное 1 место на ММО в 1983 году), лауреат филдсовской медали (от денежной премии, как известно, отказался), 7 лет безвылазно фигачил, работая над одной нерешённой задачей, не сдаваясь.
Пожалуй, именно такая способность — самая нужная черта для любого исследователя, будь то математик или хакер.
Курт Фридрих Гёдель
Этот ариец внёс потрясающий вклад в математическую логику и философию науки, его теоремами жонглируют в софистических дискуссиях эрудиты всех мастей (даже Онотоле). При всей строгости мышления и разумности страдал от параноидального расстройства личности и погиб от истощения.
Юрий Иванович Манин
Мечтатель и поэт, ученик Шафаревича, алгебро-геометр, логик, теор-физик, лингвист и философ. Советую к чтению его любопытную книжку "Математика как метафора".
Между прочим, Манин придумал квантовый компьютер!
Пал Эрдёш
Ещё один венгерский еврей, один из самых активных и меметичных математиков, часто встречающийся в математических анекдотах. Стал соавтором примерно 1500 статей, так что даже есть отдельный термин "Число Эрдёша", означающее длину пути от какого-либо математика до Эрдёша на графе совместных публикаций. В 21 год досрочно защитил диссертацию, внёс вклад во множество разных областей математики.
Подкасты
Ниже топ-3 подкастов/видеоблогов в моём арсенале в последнее время. Топ-10 не будет, потому что не может быть столько времени на такой тип контента, я и из этих 3 подкастов суммарно слушаю только небольшую часть выпусков.
1) Lex Fridman podcast
Офигенный (видео-)подкаст, 3-4-часовые выпуски которого хочется слушать целиком, найдя 25-й час в сутках. Космические гости (Маск, Виталик, Роган, Докинз, Вольфрам, Геохот, Каспаров и т. д.) и темы (от борьбы и ММА до алгебраической топологии), классный ведущий, который занимается разработкой беспилотных автомобилей.
Кстати, ведущий — из России, его семья эмигрировала в США в 90-е. Его отец — физик плазмы, весьма харизматичный чувак, с ним Лекс даже сделал несколько выпусков.
2) Запуск завтра
В этом подкасте я даже был гостем в одном из первых эпизодов, у автора ещё есть одноимённый канал. Самат классный чувак и отлично умеет формировать сообщество.
Со времени первых эпизодов он круто прокачал навыки интервьюера, даёт много объяснений "для мамы" и умеет удивляться, даже когда на самом деле и так знал ответ на вопрос :)
Тут много про процессы разработки в различных компаниях, про работу в стартапах и технологических гигантах, про айти и предпринимательство в целом. Эпизоды довольно короткие, так что слушаю большую часть.
3) Русские норм
Видео-интервью с успешными русскими предпринимателями, разработчиками, менеджерами, экономистами.
Ведущая (Елизавета Осетинская) хорошо разбирается в мире технологического предпринимательства, классно готовит вопросы и поднимает важные темы, раскрывая гостей.
Воды — минимум, много примеров образа мышления и жизненного пути топовых челов, многие из которых удивляют. Бывает интересно слушать даже интервью с людьми из чуждых для меня индустрий (например, ритейл).
Ниже топ-3 подкастов/видеоблогов в моём арсенале в последнее время. Топ-10 не будет, потому что не может быть столько времени на такой тип контента, я и из этих 3 подкастов суммарно слушаю только небольшую часть выпусков.
1) Lex Fridman podcast
Офигенный (видео-)подкаст, 3-4-часовые выпуски которого хочется слушать целиком, найдя 25-й час в сутках. Космические гости (Маск, Виталик, Роган, Докинз, Вольфрам, Геохот, Каспаров и т. д.) и темы (от борьбы и ММА до алгебраической топологии), классный ведущий, который занимается разработкой беспилотных автомобилей.
Кстати, ведущий — из России, его семья эмигрировала в США в 90-е. Его отец — физик плазмы, весьма харизматичный чувак, с ним Лекс даже сделал несколько выпусков.
2) Запуск завтра
В этом подкасте я даже был гостем в одном из первых эпизодов, у автора ещё есть одноимённый канал. Самат классный чувак и отлично умеет формировать сообщество.
Со времени первых эпизодов он круто прокачал навыки интервьюера, даёт много объяснений "для мамы" и умеет удивляться, даже когда на самом деле и так знал ответ на вопрос :)
Тут много про процессы разработки в различных компаниях, про работу в стартапах и технологических гигантах, про айти и предпринимательство в целом. Эпизоды довольно короткие, так что слушаю большую часть.
3) Русские норм
Видео-интервью с успешными русскими предпринимателями, разработчиками, менеджерами, экономистами.
Ведущая (Елизавета Осетинская) хорошо разбирается в мире технологического предпринимательства, классно готовит вопросы и поднимает важные темы, раскрывая гостей.
Воды — минимум, много примеров образа мышления и жизненного пути топовых челов, многие из которых удивляют. Бывает интересно слушать даже интервью с людьми из чуждых для меня индустрий (например, ритейл).
Beched's thoughts
В последнее время ОПГ из СНГ, ломавшие банки, притихли. Кто-то насытился, кого-то посадили, кто-то боится, а кто-то, может, постригся в монахи. Вокруг этих группировок было очень много шума, очень много сил вкладывали в расследования, но многих (Carbanak)…
Хаки, конечно, продолжились, вот небольшая подборка недавних инцидентов: https://twitter.com/hosseeb/status/1405637755141431297
Twitter
Haseeb Qureshi
A snapshot of DeFi hacks since 2020. Notice the transition from yellow to blue (Ethereum => BSC). Credit @FrankResearcher
Рождения
На планете примерно 7.7 млрд людей, и все они были кем-то рождены (к сожалению, мы ещё не научились синтезировать людей).
Средняя глобальная фертильность женщин сейчас порядка 2.5.
Если очень упростить, можно представить, что 3.4 млрд людей являются родителями, поскольку [1.7 млрд женщин * 2.5] детей + 3.4 млрд родителей = 7.65 млрд людей.
Даже с таким упрощением, получается, что доля родителей во всём населении превышает 44%.
В реальном мире распределение более сложное, но, судя по моим беглым подсчётам по публичной статистике, потомство есть у 80-85% людей во всём мире, учитывая все возрастные группы, включая детей (неужели не сильно ошибся?).
Если это так, то на момент смерти доля родителей должна быть ещё больше.
Войти в это число — статистически даже менее почётно, чем дожить до 28 лет.
Такими мелочами не стоит гордиться, но им обязательно нужно радоваться.
Радуйтесь мелочам и добивайтесь настоящих поводов для гордости!
На планете примерно 7.7 млрд людей, и все они были кем-то рождены (к сожалению, мы ещё не научились синтезировать людей).
Средняя глобальная фертильность женщин сейчас порядка 2.5.
Если очень упростить, можно представить, что 3.4 млрд людей являются родителями, поскольку [1.7 млрд женщин * 2.5] детей + 3.4 млрд родителей = 7.65 млрд людей.
Даже с таким упрощением, получается, что доля родителей во всём населении превышает 44%.
В реальном мире распределение более сложное, но, судя по моим беглым подсчётам по публичной статистике, потомство есть у 80-85% людей во всём мире, учитывая все возрастные группы, включая детей (неужели не сильно ошибся?).
Если это так, то на момент смерти доля родителей должна быть ещё больше.
Войти в это число — статистически даже менее почётно, чем дожить до 28 лет.
Такими мелочами не стоит гордиться, но им обязательно нужно радоваться.
Радуйтесь мелочам и добивайтесь настоящих поводов для гордости!
Хабр
Всегда терпеть не мог токсичных комментаторов хабра и редко туда заходил.
Но всё-таки это самый большой русскоязычный IT-ресурс, так что завели там корпоративный блог и будем надеяться на минимум токсичности =)
Для старта опубликовал статью про квантовый шеллкодинг (если точнее, то про решение задачки на реверс-инжиниринг и квантовое программирование).
Похоже, пора нанимать писателей, чтоб оформить накопившиеся интересности в статьи =)
Подписывайтесь, ставьте лайки!
Всегда терпеть не мог токсичных комментаторов хабра и редко туда заходил.
Но всё-таки это самый большой русскоязычный IT-ресурс, так что завели там корпоративный блог и будем надеяться на минимум токсичности =)
Для старта опубликовал статью про квантовый шеллкодинг (если точнее, то про решение задачки на реверс-инжиниринг и квантовое программирование).
Похоже, пора нанимать писателей, чтоб оформить накопившиеся интересности в статьи =)
Подписывайтесь, ставьте лайки!
Хабр
Взлом квантовой программы
Программы для квантового компьютера тоже могут содержать уязвимости. Эти уязвимости могут позволять удалённо выполнять какие-то вычисления. Как же написать шеллкод для программы, уязвимой к...
Госблечеры
Весь мир последние несколько дней обсуждает NSO Group.
Западная твиттерская общественность вдруг всколыхнулась: оказывается, какая-то израильская лавка поставляет кибероружие различным нехорошим людям, и они потом с его помощью убивают людей.
На самом деле, это, конечно, не единственная такая лавка, но одна из самых известных и наглых. И не случайно она находится в Израиле: это страна, которая одновременно и инновационная Startup Nation, и милитаристская держава, поэтому там среди IT-компаний непропорционально много тех, которые занимаются именно кибербезопасностью.
И из них, в свою очередь, непропорционально много тех, которые занимаются тем, что называется offensive security: разработка продуктов и исследования в интересах спецслужб.
Понятно, что совсем кому угодно продать продать оружие им вроде как не должны разрешать, а значит, всё это должно происходить с одобрения старших (Моссад, АНБ, ЦРУ).
Всегда считал все эти лавки "блечерами" (black hats): они существуют официально, но являются лишь квазилегитимными. Их деятельность поощряется спецслужбами конкретных стран, но вообще-то технически не отличается от деятельности какой-нибудь ОПГ, за которой гоняются, и участников которой потом сажают.
Отличие лишь в том, что у этих ОПГ вроде NSO Group есть крыша в виде спецслужбы, и вряд ли эти ребята ездят по курортам в недружественных странах.
Ах да: узнали о конкретных жертвах Pegasus, потому что какой-то добрый человек слил базу номеров телефонов жертв оружия NSO Group.
Похожая ситуация произошла в 2015 году с итальянской компанией того же offensive-профиля Hacking Team: их тогда взломали и слили в паблик вообще всё, включая всю почтовую переписку, инструменты и прочее.
Какие выводы можно сделать?
В мире есть несколько, скажем так, полу-преступных группировок, которые совершенно официально и легально продают инструменты для удалённого или локального взлома айфонов, компьютеров и прочего.
Продать их могут как всесильному АНБ, так и какому-нибудь банановому правительству, которое при помощи них отследит нелюбимого журналиста и замочит его.
А что с этим делает АНБ, журналисты даже писать боятся, наверное.
Если вы в группе риска (журналистика, политика, крупный бизнес) и пользуетесь айфоном, проследуйте хотя бы этим рекомендациям:
— Перезагружайте айфон каждый день (защита от persistance),
— Отключите iMessage, Facetime, Airdrop,
— Отключите Javascript в Safari,
— Вовремя обновляйте iOS,
— Используйте пасскод, отключите FaceID,
— Защитите iCloud
Если у вас вдруг андроид, рекомендации в целом аналогичны: обновления, пасскод, VPN, отключение максимального количества функций (bluetooth, javascript, и т. д.).
Весь мир последние несколько дней обсуждает NSO Group.
Западная твиттерская общественность вдруг всколыхнулась: оказывается, какая-то израильская лавка поставляет кибероружие различным нехорошим людям, и они потом с его помощью убивают людей.
На самом деле, это, конечно, не единственная такая лавка, но одна из самых известных и наглых. И не случайно она находится в Израиле: это страна, которая одновременно и инновационная Startup Nation, и милитаристская держава, поэтому там среди IT-компаний непропорционально много тех, которые занимаются именно кибербезопасностью.
И из них, в свою очередь, непропорционально много тех, которые занимаются тем, что называется offensive security: разработка продуктов и исследования в интересах спецслужб.
Понятно, что совсем кому угодно продать продать оружие им вроде как не должны разрешать, а значит, всё это должно происходить с одобрения старших (Моссад, АНБ, ЦРУ).
Всегда считал все эти лавки "блечерами" (black hats): они существуют официально, но являются лишь квазилегитимными. Их деятельность поощряется спецслужбами конкретных стран, но вообще-то технически не отличается от деятельности какой-нибудь ОПГ, за которой гоняются, и участников которой потом сажают.
Отличие лишь в том, что у этих ОПГ вроде NSO Group есть крыша в виде спецслужбы, и вряд ли эти ребята ездят по курортам в недружественных странах.
Ах да: узнали о конкретных жертвах Pegasus, потому что какой-то добрый человек слил базу номеров телефонов жертв оружия NSO Group.
Похожая ситуация произошла в 2015 году с итальянской компанией того же offensive-профиля Hacking Team: их тогда взломали и слили в паблик вообще всё, включая всю почтовую переписку, инструменты и прочее.
Какие выводы можно сделать?
В мире есть несколько, скажем так, полу-преступных группировок, которые совершенно официально и легально продают инструменты для удалённого или локального взлома айфонов, компьютеров и прочего.
Продать их могут как всесильному АНБ, так и какому-нибудь банановому правительству, которое при помощи них отследит нелюбимого журналиста и замочит его.
А что с этим делает АНБ, журналисты даже писать боятся, наверное.
Если вы в группе риска (журналистика, политика, крупный бизнес) и пользуетесь айфоном, проследуйте хотя бы этим рекомендациям:
— Перезагружайте айфон каждый день (защита от persistance),
— Отключите iMessage, Facetime, Airdrop,
— Отключите Javascript в Safari,
— Вовремя обновляйте iOS,
— Используйте пасскод, отключите FaceID,
— Защитите iCloud
Если у вас вдруг андроид, рекомендации в целом аналогичны: обновления, пасскод, VPN, отключение максимального количества функций (bluetooth, javascript, и т. д.).
Wikipedia
Pegasus (spyware)
spyware software
Code is Law
Второй день люди из мира DeFi в прямом эфире наблюдают за самым крупным хищением в истории не только блокчейна, но и вообще IT, финансовой системы, да и, может, в принципе человечества.
Некий анонимус спёр 611 (шестьсот одиннадцать) миллионов долларов США из китайского проекта poly.network.
Уязвимость, через которую они это сделали, сочетала в себе недостаток авторизации и хитрую особенность языка Solidity, на котором пишут смарт-контракты (а именно, способ вызова функций на уровне байт-кода).
В какой-то момент атакующему кто-то в комментарии к транзакции дал подсказку о том, что часть похищенных токенов начали блокировать, и в знак благодарности хакер переслал подсказчику 13.37 ETH. Всего $43k, а мог ведь и $4M перевести =)
В результате на кошельках атакующего появляются тысячи транзакций людей, умоляющих поделиться награбленным. Каждый мечтает о том, что Робин Гуд скинет жалкие $500k именно ему на счёт.
Сам же хакер там же просит у "подписчиков" советов, как ему поступить с деньгами. В какой-то момент он даже начал возвращать средства проекту, но почему-то до сих пор не вернул всё.
Как обычно, хищение вскрыло вечные философские вопросы...
Должны ли быть DeFi-проекты по-настоящему децентрализованы?
Тут, например, компания Tether заблокировала атакующему $30M кастодиальных токенов USDT. Это противоречит духу DeFi, но зато может помочь вернуть деньги.
Является ли код смарт-контракта законом в конечной инстанции, а следовательно, и взломы — правомерным поведением в рамках контракта?
Если да, то каким образом защищаться от бекдоров и закладывать в экономику проекта риски, которые заведомо признаются нормальным поведением кода?
Если нет, то на кой чёрт тогда блокчейн вместо централизованного сервиса?
Кто несёт ответственность за потери?
Взломанный проект вроде как аудировали несколько команд, и уязвимость эту они не нашли.
При этом авторы проекта даже не удосужились выложить его код и результаты аудитов, так что со стороны такой объём средств в проекте выглядит как полнейшая глупость со стороны пользователей.
По-моему, в "традиционных" индустриях давно нет такого драйва, крутых задач и веселья (да и взломов таких там просто не может быть :D).
Так что, в очередной раз призываю вливаться и вникать: ведь как бы вы ни относились к этому явлению, оно уже существует и создаёт возможности и проблемы =)
Второй день люди из мира DeFi в прямом эфире наблюдают за самым крупным хищением в истории не только блокчейна, но и вообще IT, финансовой системы, да и, может, в принципе человечества.
Некий анонимус спёр 611 (шестьсот одиннадцать) миллионов долларов США из китайского проекта poly.network.
Уязвимость, через которую они это сделали, сочетала в себе недостаток авторизации и хитрую особенность языка Solidity, на котором пишут смарт-контракты (а именно, способ вызова функций на уровне байт-кода).
В какой-то момент атакующему кто-то в комментарии к транзакции дал подсказку о том, что часть похищенных токенов начали блокировать, и в знак благодарности хакер переслал подсказчику 13.37 ETH. Всего $43k, а мог ведь и $4M перевести =)
В результате на кошельках атакующего появляются тысячи транзакций людей, умоляющих поделиться награбленным. Каждый мечтает о том, что Робин Гуд скинет жалкие $500k именно ему на счёт.
Сам же хакер там же просит у "подписчиков" советов, как ему поступить с деньгами. В какой-то момент он даже начал возвращать средства проекту, но почему-то до сих пор не вернул всё.
Как обычно, хищение вскрыло вечные философские вопросы...
Должны ли быть DeFi-проекты по-настоящему децентрализованы?
Тут, например, компания Tether заблокировала атакующему $30M кастодиальных токенов USDT. Это противоречит духу DeFi, но зато может помочь вернуть деньги.
Является ли код смарт-контракта законом в конечной инстанции, а следовательно, и взломы — правомерным поведением в рамках контракта?
Если да, то каким образом защищаться от бекдоров и закладывать в экономику проекта риски, которые заведомо признаются нормальным поведением кода?
Если нет, то на кой чёрт тогда блокчейн вместо централизованного сервиса?
Кто несёт ответственность за потери?
Взломанный проект вроде как аудировали несколько команд, и уязвимость эту они не нашли.
При этом авторы проекта даже не удосужились выложить его код и результаты аудитов, так что со стороны такой объём средств в проекте выглядит как полнейшая глупость со стороны пользователей.
По-моему, в "традиционных" индустриях давно нет такого драйва, крутых задач и веселья (да и взломов таких там просто не может быть :D).
Так что, в очередной раз призываю вливаться и вникать: ведь как бы вы ни относились к этому явлению, оно уже существует и создаёт возможности и проблемы =)
Ethereum (ETH) Blockchain Explorer
PolyNetwork Exploiter 1 | Address 0xc8a65fadf0e0ddaf421f28feab69bf6e2e589963 | Etherscan
The Address 0xc8a65fadf0e0ddaf421f28feab69bf6e2e589963 page allows users to view transactions, balances, token holdings and transfers of ERC-20, ERC-721 and ERC-1155 (NFT) tokens, and analytics.
Русский Мир
Поразительно, в уличном интервью в Австралии в 1962 г. на вопрос "какие языки необходимо преподавать в австралийских школах?" примерно половина респондентов упомянула русский.
Некоторые объяснили это тем, что русские скоро захватят мир и будут доминирующей нацией.
Выходит, несмотря на всю антисоветскую пропаганду, люди на Западе (в случае с этим видео — не в географическом, а в культурном смысле) воспринимали эту страну как победителя.
Похожим образом сейчас многие обосновывают необходимость изучать китайский.
Интересно, как будут выглядеть такие доводы через 60 лет...
Поразительно, в уличном интервью в Австралии в 1962 г. на вопрос "какие языки необходимо преподавать в австралийских школах?" примерно половина респондентов упомянула русский.
Некоторые объяснили это тем, что русские скоро захватят мир и будут доминирующей нацией.
Выходит, несмотря на всю антисоветскую пропаганду, люди на Западе (в случае с этим видео — не в географическом, а в культурном смысле) воспринимали эту страну как победителя.
Похожим образом сейчас многие обосновывают необходимость изучать китайский.
Интересно, как будут выглядеть такие доводы через 60 лет...
YouTube
What foreign languages should be taught in Australian schools? (1962) | Sixty years of Four Corners
In 1962, (Four Corners' second year on air), we asked Sydneysiders this very question. Their answers might surprise you.
Subscribe: https://www.youtube.com/c/abcnewsindepth
This year marks Four Corners’ 60th anniversary.
In August 1961, we made our…
Subscribe: https://www.youtube.com/c/abcnewsindepth
This year marks Four Corners’ 60th anniversary.
In August 1961, we made our…
Корпоративно-спортивный хакинг
Кстати, полтора месяца назад поучаствовали в чемпионате HackTheBox Business CTF среди компаний, которые предоставляют услуги по пентесту.
На самом деле, там, конечно, регистрировались и внутренние команды различных корпораций и банков, да и просто какие-то фрилансерские или академические команды.
Начали за здравие, удерживая 1-е место, но потом скатились на 7-е, сохранив 1-е среди российских команд.
На типичных CTF-соревнованиях нужно решать сложные задачи по бинарной эксплуатации, реверс-инжирингу, криптоанализу и прочим категориям.
Здесь же, помимо традиционных олимпиадных заданий, было много "тачек" в стиле HackTheBox: нужно было взламывать Active Directory, Kubernetes, повышать привилегии на Windows и Linux и т. д.
В целом, по-моему, делать корпоративные хакерские чемпионаты — прикольная идея.
И реализация была на удивление неплохой, я ожидал куда более идиотские таски.
В случае с HTB, конечно, мотивация очевидна: одним из их направлений бизнеса является как раз b2b, и им нужно продавать свои тренинги, для чего они и решили привлечь аудиторию таким ивентом.
Ну а наши ребята отлично потренились и добавили фактуры нашей корпоративной рекламе DeteAct про "чемпионов мира по хакингу", хотя, конечно, я всё ещё верен принципу, что в любых соревнованиях всё, кроме 1-го места, — это поражение ;)
Кстати, полтора месяца назад поучаствовали в чемпионате HackTheBox Business CTF среди компаний, которые предоставляют услуги по пентесту.
На самом деле, там, конечно, регистрировались и внутренние команды различных корпораций и банков, да и просто какие-то фрилансерские или академические команды.
Начали за здравие, удерживая 1-е место, но потом скатились на 7-е, сохранив 1-е среди российских команд.
На типичных CTF-соревнованиях нужно решать сложные задачи по бинарной эксплуатации, реверс-инжирингу, криптоанализу и прочим категориям.
Здесь же, помимо традиционных олимпиадных заданий, было много "тачек" в стиле HackTheBox: нужно было взламывать Active Directory, Kubernetes, повышать привилегии на Windows и Linux и т. д.
В целом, по-моему, делать корпоративные хакерские чемпионаты — прикольная идея.
И реализация была на удивление неплохой, я ожидал куда более идиотские таски.
В случае с HTB, конечно, мотивация очевидна: одним из их направлений бизнеса является как раз b2b, и им нужно продавать свои тренинги, для чего они и решили привлечь аудиторию таким ивентом.
Ну а наши ребята отлично потренились и добавили фактуры нашей корпоративной рекламе DeteAct про "чемпионов мира по хакингу", хотя, конечно, я всё ещё верен принципу, что в любых соревнованиях всё, кроме 1-го места, — это поражение ;)
Deteact - Тестирование на проникновение. Информационная безопасность
Топ-10 пентест-компаний в мире
Команда DeteAct заняла 7-е место в мире и 1-е место в России на чемпионате по тестированию на проникновение среди компаний.
9\\11
20 лет назад беззаботно гонял мяч в облупленном дворе, а потом прибежал домой, где взрослые сидели на кухне и безотрывно пырили в маленький телик, где показывали то, что в значительной мере определило или по крайней мере символизировало последующие 20 лет жизни всего человечества и, наверное, в большей степени повлияло на облик профессии безопасников.
Начинался 21 век.
20 лет назад беззаботно гонял мяч в облупленном дворе, а потом прибежал домой, где взрослые сидели на кухне и безотрывно пырили в маленький телик, где показывали то, что в значительной мере определило или по крайней мере символизировало последующие 20 лет жизни всего человечества и, наверное, в большей степени повлияло на облик профессии безопасников.
Начинался 21 век.
DoS: не недоступностью единой
Безнадёжно отстали от контент-плана по статьям на Хабре, но вот выкатил заметку на тему, о которой хотел основательно подумать последние 3-4 года, но так и не подумал достаточно хорошо =)
Думаю, что есть ещё немало интересных техник эксплуатации такого класса, и соответствующие недостатки трудно найти как вручную, так и автоматически.
Безнадёжно отстали от контент-плана по статьям на Хабре, но вот выкатил заметку на тему, о которой хотел основательно подумать последние 3-4 года, но так и не подумал достаточно хорошо =)
Думаю, что есть ещё немало интересных техник эксплуатации такого класса, и соответствующие недостатки трудно найти как вручную, так и автоматически.
Хабр
От DoS до RCE: о неуловимом векторе атак
Привет читателям блога компании DeteAct!Меня зовут Омар Ганиев, многие меня знают по нику «Beched». Во время проведения пентестов и анализа защищённости мы иногда обнаруживаем необычное...
Ask Me Anything
Ещё я тут залетел в Т-Ж на AMA.
В течение нескольких дней придётся отвечать на вопросы, заодно разобравшись в них самому =)
Все желающие могут накидать своих вопросов или полайкать понравившиеся.
Часто самые простые на первый взгляд вопросы от "простых юзеров" вызывают самые длительные баталии ИБшников, что я как раз недавно проверил, задав в паре чатов вопрос о том, как лучше хранить пароли.
И тут ведь ситуация как у врачей: "пациенты" будут возлагать ответственность на экспертов, поэтому нужно давать максимально понятные и невредные советы =)
Ещё я тут залетел в Т-Ж на AMA.
В течение нескольких дней придётся отвечать на вопросы, заодно разобравшись в них самому =)
Все желающие могут накидать своих вопросов или полайкать понравившиеся.
Часто самые простые на первый взгляд вопросы от "простых юзеров" вызывают самые длительные баталии ИБшников, что я как раз недавно проверил, задав в паре чатов вопрос о том, как лучше хранить пароли.
И тут ведь ситуация как у врачей: "пациенты" будут возлагать ответственность на экспертов, поэтому нужно давать максимально понятные и невредные советы =)
Тинькофф Журнал
Хотите знать, как обезопасить свои данные? Задайте вопрос эксперту
AMA с экспертом по оценке безопасности и основателем компании DeteAct
Редакция
Немного снялись в фильме канала "Редакция" про всякое хакерство.
Когда ребята уже пришли к нам в офис, мы поняли, что нужно сделать какую-то демку для съёмок =)
Готово ничего не было, а в очередной раз ломать wi-fi для ТВ — баян, поэтому решили сделать что-то интереснее.
Сплойт под непатченный десктопный Chrome или мобильный Safari с ходу завести не успели, так что не придумали ничего, кроме запуска Responder и демонстрации взлома netntlm-хеша, что можно угадать по кадрам.
Интересно, понятно ли что-то обычному зрителю %)
Немного снялись в фильме канала "Редакция" про всякое хакерство.
Когда ребята уже пришли к нам в офис, мы поняли, что нужно сделать какую-то демку для съёмок =)
Готово ничего не было, а в очередной раз ломать wi-fi для ТВ — баян, поэтому решили сделать что-то интереснее.
Сплойт под непатченный десктопный Chrome или мобильный Safari с ходу завести не успели, так что не придумали ничего, кроме запуска Responder и демонстрации взлома netntlm-хеша, что можно угадать по кадрам.
Интересно, понятно ли что-то обычному зрителю %)
YouTube
Кто и как читает наши мессенджеры и лички / Редакция
Авиасейлс для бизнеса: решаем вопрос с командировками https://i.avs.io/xi7tvl
Подпишитесь на YouTube-канал Фахверк Домогацкого: https://www.youtube.com/fachwerk_domogatskogo И выберите свой дом мечты уже сегодня. Бонусы до 50.000 рублей при покупке по промокоду…
Подпишитесь на YouTube-канал Фахверк Домогацкого: https://www.youtube.com/fachwerk_domogatskogo И выберите свой дом мечты уже сегодня. Бонусы до 50.000 рублей при покупке по промокоду…
Банальности
Даже и забыл, что у меня есть канал.
А ещё, в суете изучения нового валютного законодательства, — и о том, что каждому иногда приходится говорить банальные, вроде бы очевидные и как будто даже формальные вещи вроде "будь здоров", "с днём рождения" и "нет".
Из-за чего-то вроде синдрома самозванца мне часто бывает неудобно говорить банальности, потому что кажется, что это выглядит неискренне, что я просто повторяю за всеми, и что это и так понятно.
Оказывается, понятно не всем, и в такие дни многие обнажают свою истинную или, напротив, поддельную сущность, сбиваясь на эмоции и наговорив гадостей прежним друзьям и знакомым, призывая к убийствам и ненависти.
Убеждён, что геополитические цели и моральная эквилибристика не оправдывают этого нападения, и это ошибка, которая совершена людьми, потерявшими связь с реальностью.
Что делать прямо сейчас — каждый решает самостоятельно, и единственный безопасный инвестиционный совет, который я готов дать по этому поводу, — это не залипать на новостных каналах и пропаганде и не фокусироваться на этом негативе.
Нам нужен незамутнённый и холодный и не потерявший связи с реальностью разум для принятия решений как о своей жизни, так и о жизнях родных, сограждан, друзей и соседей, о бизнесе и государстве.
Даже и забыл, что у меня есть канал.
А ещё, в суете изучения нового валютного законодательства, — и о том, что каждому иногда приходится говорить банальные, вроде бы очевидные и как будто даже формальные вещи вроде "будь здоров", "с днём рождения" и "нет".
Из-за чего-то вроде синдрома самозванца мне часто бывает неудобно говорить банальности, потому что кажется, что это выглядит неискренне, что я просто повторяю за всеми, и что это и так понятно.
Оказывается, понятно не всем, и в такие дни многие обнажают свою истинную или, напротив, поддельную сущность, сбиваясь на эмоции и наговорив гадостей прежним друзьям и знакомым, призывая к убийствам и ненависти.
Убеждён, что геополитические цели и моральная эквилибристика не оправдывают этого нападения, и это ошибка, которая совершена людьми, потерявшими связь с реальностью.
Что делать прямо сейчас — каждый решает самостоятельно, и единственный безопасный инвестиционный совет, который я готов дать по этому поводу, — это не залипать на новостных каналах и пропаганде и не фокусироваться на этом негативе.
Нам нужен незамутнённый и холодный и не потерявший связи с реальностью разум для принятия решений как о своей жизни, так и о жизнях родных, сограждан, друзей и соседей, о бизнесе и государстве.
Высокая нагрузка
Я пока ещё в Москве, и завтра таки должна состояться давно запланированная и несколько раз перенесённая конференция HighLoad++, куда я в прошлом году подавал докладик.
На прошлом хайлоаде я рассказывал про пентест AI-систем, а на этот раз тема чуть более приземлённая и приближенная к первоначальной тематике конференции.
Кто едет, пинайте, буду рад обсудить ломание и защиту со старыми и новыми знакомыми.
Я пока ещё в Москве, и завтра таки должна состояться давно запланированная и несколько раз перенесённая конференция HighLoad++, куда я в прошлом году подавал докладик.
На прошлом хайлоаде я рассказывал про пентест AI-систем, а на этот раз тема чуть более приземлённая и приближенная к первоначальной тематике конференции.
Кто едет, пинайте, буду рад обсудить ломание и защиту со старыми и новыми знакомыми.
Forwarded from YAH (Egor Bogomolov)
Подкаст
А вот и вторая серия нашего подкаста: Yet Another Hacker.
Вместе с гостем подкаста мы развили увлекательнейшую тему для большинства наших слушателей - Соревновательность в хакинге и соревнования.
В этой серии мы обсуждаем тему, которая делает хакинг для многих столь привлекательным. Очень часто специалисты здесь могут и хотят померяться силами: кто быстрее взломает? кто больше знает? кто больше опыта имеет? Отчасти поэтому турниры и багбаунти платформы так популярны. Все видят подиум, но могут даже не представлять себе то, что на пути к этому подиуму стоит. Стоит ли игра свеч, является ли успех в соревновательных активностях показательным или обманчивым, как часто именно пентестеры проявляют себя в подобного рода мероприятиях и как часто это делают не они - вопросы нашей сегодняшней встречи.
В гостях: Омар Ганиев (@beched)
Episode page: https://podcast.ru/e/Yelq50Lk86
Podcast page: https://podcast.ru/1626820774
P.S. Всем приятного прослушивания!
А вот и вторая серия нашего подкаста: Yet Another Hacker.
Вместе с гостем подкаста мы развили увлекательнейшую тему для большинства наших слушателей - Соревновательность в хакинге и соревнования.
В этой серии мы обсуждаем тему, которая делает хакинг для многих столь привлекательным. Очень часто специалисты здесь могут и хотят померяться силами: кто быстрее взломает? кто больше знает? кто больше опыта имеет? Отчасти поэтому турниры и багбаунти платформы так популярны. Все видят подиум, но могут даже не представлять себе то, что на пути к этому подиуму стоит. Стоит ли игра свеч, является ли успех в соревновательных активностях показательным или обманчивым, как часто именно пентестеры проявляют себя в подобного рода мероприятиях и как часто это делают не они - вопросы нашей сегодняшней встречи.
В гостях: Омар Ганиев (@beched)
Episode page: https://podcast.ru/e/Yelq50Lk86
Podcast page: https://podcast.ru/1626820774
P.S. Всем приятного прослушивания!
Podcast.ru
Серия #2 - Соревновательность в хакинге и соревнования – YAH – Podcast.ru
Серия 2В этой серии мы обсуждаем тему, которая делает хакинг для многих столь привлекательным - слава. Очень часто специалисты здесь могут и хотят померяться силами: кто быстрее взломает? кто больше знает? кто больше опыта имеет? Отчасти поэтому турниры и…
Ждём ещё больше крепких хакеров, готовых ломать и качаться.
Если хотите смотреть изнутри на системы крупных (и не очень) компаний с миллионами пользователей и хакать их, идите к нам!
Если хотите смотреть изнутри на системы крупных (и не очень) компаний с миллионами пользователей и хакать их, идите к нам!
Forwarded from Bounty On Coffee (Ramazan)
Веб-пентестер (Junior+/Middle- — Middle+)
Continuous Technologies (бренд DeteAct) — растущая компания, предоставляющая сервисы и разрабатывающая продукты в сфере кибербезопасности.
Мы — одни из лидеров на рынке услуг по оценке защищённости в России.
Мы помогаем клиентам обнаруживать уязвимости и действовать для их устранения, опередив злоумышленников.
Задача: участие в проектах по тестированию на проникновение и анализу защищённости приложений.
Вилка: 120-170 т.р. на руки
Обязанности:
— Анализ защищённости веб-приложений, фронтендов, API, исходного кода,
— Работа в команде как с российскими, так и зарубежными заказчиками (корпорации, стартапы, банки, компании любого размера и из различных индустрий),
— При желании: совместные исследования, разработка продуктов и сервисов, участие в соревнованиях и конференциях.
Примерные требования:
— Опыт проведения пентестов, понимание методологии, умение находить, эксплуатировать и объяснять основные веб-уязвимости,
— Уверенное владение всем необходимым инструментарием (Burp Suite, расширения, различные сканеры и нюансы их конфигурации) и технологическим стеком (программирование),
— Умение формулировать стандартные рекомендации по исправлению багов,
— Умение корректно оценивать уровень риска уязвимостей, придумывать атаки на бизнес-логику.
Условия:
— Работа удалённо или в московском офисе в БЦ "Савёловский Сити",
— Молодой коллектив и быстрорастущая компания,
— Время на исследования и публикации,
— Участие в конференциях и обучение.
HH: https://hh.ru/vacancy/68107810
В ЛС (neprivet.ru): @r0hack или @beched
Continuous Technologies (бренд DeteAct) — растущая компания, предоставляющая сервисы и разрабатывающая продукты в сфере кибербезопасности.
Мы — одни из лидеров на рынке услуг по оценке защищённости в России.
Мы помогаем клиентам обнаруживать уязвимости и действовать для их устранения, опередив злоумышленников.
Задача: участие в проектах по тестированию на проникновение и анализу защищённости приложений.
Вилка: 120-170 т.р. на руки
Обязанности:
— Анализ защищённости веб-приложений, фронтендов, API, исходного кода,
— Работа в команде как с российскими, так и зарубежными заказчиками (корпорации, стартапы, банки, компании любого размера и из различных индустрий),
— При желании: совместные исследования, разработка продуктов и сервисов, участие в соревнованиях и конференциях.
Примерные требования:
— Опыт проведения пентестов, понимание методологии, умение находить, эксплуатировать и объяснять основные веб-уязвимости,
— Уверенное владение всем необходимым инструментарием (Burp Suite, расширения, различные сканеры и нюансы их конфигурации) и технологическим стеком (программирование),
— Умение формулировать стандартные рекомендации по исправлению багов,
— Умение корректно оценивать уровень риска уязвимостей, придумывать атаки на бизнес-логику.
Условия:
— Работа удалённо или в московском офисе в БЦ "Савёловский Сити",
— Молодой коллектив и быстрорастущая компания,
— Время на исследования и публикации,
— Участие в конференциях и обучение.
HH: https://hh.ru/vacancy/68107810
В ЛС (neprivet.ru): @r0hack или @beched
Hack the World
Победным в любом соревновании является только первое место. Так всегда нужно рассуждать, когда вы в нём участвуете.
Когда же оно закончилось, можно немного расслабиться и посчитать успехом и попадание в тройку или пятёрку.
Вообще, именно победными часто ощущаются не самые высокие результаты: ведь занять 2-е означает проиграть 1-му, и это обидно.
Если же занять 3-е — выходит, что это уже "бронза", вырванная зубами!
Аналогично, 4-е — это провал, ведь не удалось взойти на пьедестал, а 5-е — это приятный круглый результат.
Именно так я мотивировал коллег, рассказывая, что наше на тот момент 5-е место в The Standoff 2022 в мае (* и победа в категории Bug Hunting) — это круто, но в последние минуты нам засчитали ещё очков, и мы вернулись на 4-е, про которое я только что объяснил, что это обидный провал, в отличие от нашего достойного круглого места :D
Зато пару недель назад ребята отыгрались и улучшили результат, заняв как раз 5-е из 657 на хакерском чемпионате среди компаний — HTB Business CTF.
Если вы в компании занимаетесь практической безопасностью и не участвуете пару раз в год в таких мероприятиях — попробуйте, это отличные интенсивные командные учения.
В последние годы набирают обороты даже внутренние CTF, которые компании проводят для обучения сотрудников безопасной разработке.
Победным в любом соревновании является только первое место. Так всегда нужно рассуждать, когда вы в нём участвуете.
Когда же оно закончилось, можно немного расслабиться и посчитать успехом и попадание в тройку или пятёрку.
Вообще, именно победными часто ощущаются не самые высокие результаты: ведь занять 2-е означает проиграть 1-му, и это обидно.
Если же занять 3-е — выходит, что это уже "бронза", вырванная зубами!
Аналогично, 4-е — это провал, ведь не удалось взойти на пьедестал, а 5-е — это приятный круглый результат.
Именно так я мотивировал коллег, рассказывая, что наше на тот момент 5-е место в The Standoff 2022 в мае (* и победа в категории Bug Hunting) — это круто, но в последние минуты нам засчитали ещё очков, и мы вернулись на 4-е, про которое я только что объяснил, что это обидный провал, в отличие от нашего достойного круглого места :D
Зато пару недель назад ребята отыгрались и улучшили результат, заняв как раз 5-е из 657 на хакерском чемпионате среди компаний — HTB Business CTF.
Если вы в компании занимаетесь практической безопасностью и не участвуете пару раз в год в таких мероприятиях — попробуйте, это отличные интенсивные командные учения.
В последние годы набирают обороты даже внутренние CTF, которые компании проводят для обучения сотрудников безопасной разработке.
Deteact - Тестирование на проникновение. Информационная безопасность
Чемпионы по пентестам
Одна из сильнейших команд этичных хакеров DeteAct попала в топ-5 компаний мира по тестированию на проникновение
Ураган наличных
США совершили атаку на свободу слова и на право приватности, а также продемонстрировали экстратерриториальность своих законов и некомпетентность своих чиновников.
OFAC наложили санкции на протокол Tornado Cash, а в Амстердаме был арестован один из его разработчиков.
А госсекретарь США Энтони Блинкен заявил в Твиттере, что санкции наложены на "хакерскую группировку, спонсируемую Северной Кореей" (WTF??).
В действительности Tornado Cash (далее — TC) — это никакая не группировка, а децентрализованный протокол, разработанный ребятами из русского сообщества безопасников и web3-разработчиков.
Он работает как "миксер" и позволяет скрыть происхождение средств в блокчейне.
Ключевое отличие от обычных централизованных миксеров в том, что приватность обеспечивается криптографически, никто не может её нарушить, и работа протокола обеспечивается не конкретными людьми, а распределённым блокчейном.
Люди, создавшие протокол, не знают, кто его использует, не могут это узнать или предотвратить: они вообще не влияют на работу его алгоритма после публикации, а значит, не могут нести за это ответственность.
В санкционный список OFAC добавлены Ethereum-адреса, связанные с TC.
А подозрения в адрес арестованного разработчика заключаются в том, что он способствовал незаконному отмыванию средств.
Почему ситуация абсурдна?
1) Далеко не весь оборот TC — грязь.
В Tornado Cash действительно залили огромные суммы украденных средств, но это всё равно всего лишь 10.5% всего оборота обменника, причём подозреваю, что существенную часть этой суммы составляют 3-4 конкретных случая, когда были очень крупные взломы на сотни миллионов.
2) Создатель балаклавы не несёт ответственность за то, что кто-то в ней ограбил банк.
Обвинить авторов open-source протокола в том, что кто-то воспользовался им для отмыва украденных средств, это почти как обвинить Райвеста, Шамира и Адлемана в том, что они создали алгоритм шифрования RSA, который может использоваться для сокрытия преступлений.
3) Механика санкций абсолютно непрозрачна.
Теперь запрещено "взаимодействовать" с адресами миксера в сети Ethereum, но старики из OFAC не учли, что в блокчейне можно получить средства без какого-либо умысла и даже не зная об этом. А те, кто действительно отмывает средства, может их перевести на другой кошелёк, который уже формально не взаимодействовал с миксером.
Так что вполне ожидаемо произошло следующее: некий тролль раскидал через TC по 0.1 ETH (~$200) на адреса известных людей, включая ведущего Джимми Фэллона и основателя Coinbase Брайана Армстронга.
Теперь, если буквально интерпретировать закон, им может грозить до 30 лет тюрьмы.
Почему TC — нужная технология?
1) Приватность — базовое право человека.
Сегодня вам запрещают пользоваться TC, а завтра заставляют устанавливать дома телекран.
Вы имеете право на приватность и свободу слова. В данном случае код является словом, и его свободу тоже нарушили арестом автора.
2) В финансовых системах необходимы механизмы приватности для бизнеса.
Транзакции в банке видит только банк и налоговая, но не каждый встречный. В блокчейне тоже нужен такой механизм.
Например, вы оказываете услуги и получаете за это деньги от клиентов в крипте, но не хотите, чтоб конкуренты знали стоимость услуг. Если вы не анонимизируете свои кошельки, вся информация открыта.
При этом в TC существует криптографический механизм комплаенса, который позволяет раскрыть происхождение средств при необходимости (как в случае с банком и налоговой).
3) Для личных и общественно-политических целей нужны анонимные платежи.
Виталик Бутерин воспользовался TC для отправки средств на нужды Украины. Многие люди боятся в открытую тратить на благотворительность или даже просто совершать платежи с основным кошельков (где много денег), и для них такой сервис полезен.
Пока не доказано обратное (факты реального намеренного содействия криминалу), эта нападка на TC является атакой репрессивной и формалистской чиновничей машины на новый технологический мир децентрализации и анонимности, которого они боятся.
США совершили атаку на свободу слова и на право приватности, а также продемонстрировали экстратерриториальность своих законов и некомпетентность своих чиновников.
OFAC наложили санкции на протокол Tornado Cash, а в Амстердаме был арестован один из его разработчиков.
А госсекретарь США Энтони Блинкен заявил в Твиттере, что санкции наложены на "хакерскую группировку, спонсируемую Северной Кореей" (WTF??).
В действительности Tornado Cash (далее — TC) — это никакая не группировка, а децентрализованный протокол, разработанный ребятами из русского сообщества безопасников и web3-разработчиков.
Он работает как "миксер" и позволяет скрыть происхождение средств в блокчейне.
Ключевое отличие от обычных централизованных миксеров в том, что приватность обеспечивается криптографически, никто не может её нарушить, и работа протокола обеспечивается не конкретными людьми, а распределённым блокчейном.
Люди, создавшие протокол, не знают, кто его использует, не могут это узнать или предотвратить: они вообще не влияют на работу его алгоритма после публикации, а значит, не могут нести за это ответственность.
В санкционный список OFAC добавлены Ethereum-адреса, связанные с TC.
А подозрения в адрес арестованного разработчика заключаются в том, что он способствовал незаконному отмыванию средств.
Почему ситуация абсурдна?
1) Далеко не весь оборот TC — грязь.
В Tornado Cash действительно залили огромные суммы украденных средств, но это всё равно всего лишь 10.5% всего оборота обменника, причём подозреваю, что существенную часть этой суммы составляют 3-4 конкретных случая, когда были очень крупные взломы на сотни миллионов.
2) Создатель балаклавы не несёт ответственность за то, что кто-то в ней ограбил банк.
Обвинить авторов open-source протокола в том, что кто-то воспользовался им для отмыва украденных средств, это почти как обвинить Райвеста, Шамира и Адлемана в том, что они создали алгоритм шифрования RSA, который может использоваться для сокрытия преступлений.
3) Механика санкций абсолютно непрозрачна.
Теперь запрещено "взаимодействовать" с адресами миксера в сети Ethereum, но старики из OFAC не учли, что в блокчейне можно получить средства без какого-либо умысла и даже не зная об этом. А те, кто действительно отмывает средства, может их перевести на другой кошелёк, который уже формально не взаимодействовал с миксером.
Так что вполне ожидаемо произошло следующее: некий тролль раскидал через TC по 0.1 ETH (~$200) на адреса известных людей, включая ведущего Джимми Фэллона и основателя Coinbase Брайана Армстронга.
Теперь, если буквально интерпретировать закон, им может грозить до 30 лет тюрьмы.
Почему TC — нужная технология?
1) Приватность — базовое право человека.
Сегодня вам запрещают пользоваться TC, а завтра заставляют устанавливать дома телекран.
Вы имеете право на приватность и свободу слова. В данном случае код является словом, и его свободу тоже нарушили арестом автора.
2) В финансовых системах необходимы механизмы приватности для бизнеса.
Транзакции в банке видит только банк и налоговая, но не каждый встречный. В блокчейне тоже нужен такой механизм.
Например, вы оказываете услуги и получаете за это деньги от клиентов в крипте, но не хотите, чтоб конкуренты знали стоимость услуг. Если вы не анонимизируете свои кошельки, вся информация открыта.
При этом в TC существует криптографический механизм комплаенса, который позволяет раскрыть происхождение средств при необходимости (как в случае с банком и налоговой).
3) Для личных и общественно-политических целей нужны анонимные платежи.
Виталик Бутерин воспользовался TC для отправки средств на нужды Украины. Многие люди боятся в открытую тратить на благотворительность или даже просто совершать платежи с основным кошельков (где много денег), и для них такой сервис полезен.
Пока не доказано обратное (факты реального намеренного содействия криминалу), эта нападка на TC является атакой репрессивной и формалистской чиновничей машины на новый технологический мир децентрализации и анонимности, которого они боятся.
U.S. Department of the Treasury
U.S. Treasury Sanctions Notorious Virtual Currency Mixer Tornado Cash
WASHINGTON – Today, the U.S. Department of the Treasury’s Office of Foreign Assets Control (OFAC) sanctioned virtual currency mixer Tornado Cash, which has been used to launder more than $7 billion worth of virtual currency since its creation in 2019. This…