🎰 Polymarket отказывается выплачивать ставки на «вторжение США в Венесуэлу» — платформа заявила, что речь шла о контроле США над частью территории Венесуэлы.

Захват или арест президента не считается вторжением, если США не установили территориальный контроль.

Andreessen Horowitz: Приватность станет главным преимуществом крипты в 2026 году.

✦ Ключевое конкурентное преимущество:
• Скорость и низкие комиссии перестали быть преимуществом – они есть почти у всех сетей.
• Без приватности массовый переход финансов на блокчейн невозможен.
• Приватность становится тем, что реально отличает один блокчейн от другого.

✦ Эффект привязки пользователей:
• В публичных сетях легко перейти в другую экосистему – данные открыты.
• В приватных сетях любой переход повышает риск раскрытия личности.
• Поэтому пользователи реже уходят, возникает сильная лояльность к сети.

✦ Кто выиграет в итоге:
• Универсальные блокчейны без уникальных преимуществ теряют смысл.
• Приватные сети формируют более сильные сетевые эффекты.
• В итоге несколько приватных блокчейнов могут занять большую часть рынка.

✦ Будущее мессенджеров:
• Шифрование само по себе не решает проблему.
• Централизованные серверы можно отключить или заставить раскрыть данные.
• Решение — децентрализованные протоколы без единой точки контроля.
• Пользователь владеет сообщениями через ключи, а не через приложение.

✦ Секреты как инфраструктура:
• Чувствительные данные нельзя хранить по модели «доверяй сервису».
• Нужны ончейн-правила доступа к данным.
• «Секреты как сервис» (secrets-as-a-service) делают приватность базовой инфраструктурой, а не надстройкой.

✦ Безопасность нового уровня:
• Аудиты и тесты не спасают от сложных эксплойтов.
• Безопасность должна задаваться на уровне архитектуры.
• Переход от «код – закон» к «спецификация – закон» (code is law → spec is law).
• Опасные транзакции должны автоматически блокироваться самим протоколом.

================================================
💬 Opinion #Opinion

Россия стала абсолютным лидером по... отключениям интернета — за весь 2025 год совокупно все шатдауны длились 37 166 часов.

Экономике это обошлось в 11,9 миллиарда долларов убытками и недополученной прибылью. Для сравнения: на втором месте Венесуэлла — там местные просидели в шатдаунах всего 5 952 часа.

В 2026 году побьём?

==================================================
😂 HA_HA #HA_HA

Дыра в Chrome позволяет расширениям воровать данные

6 января 2026 года Google выпустила срочное обновление Chrome, закрывающее серьёзную уязвимость CVE-2026-0628 в компоненте WebView. 🔥

Проблема кроется в недостаточном применении политик безопасности внутри тега WebView.

🔻Простыми словами:
В Chrome есть "песочница" WebView — изолированное пространство, где расширения браузера могут работать, но не могут лезть туда, куда им не положено (например, в системные страницы Chrome типа настроек или менеджера паролей).

Новая уязвимость ломает стены песочницы.

Если пользователя заставили установить вредоносное расширение, оно может через дыру в WebView вырваться из своей изоляции и внедрить свой код прямо в защищённые страницы браузера.💀

Это открывает двери для кражи данных, повышения привилегий и манипуляций с внутренними механизмами Chrome.

Эксперты присвоили уязвимости оценку CVSS 8.8 из 10.

☝🏻Обнаружил баг израильский исследователь Gal Weizman — известный специалист по безопасности JavaScript в браузерах, работающий в Palo Alto Networks.

Он сообщил о проблеме Google ещё 23 ноября 2025 года, что дало компании время на разработку патча до публичного раскрытия.

Google намеренно ограничивает доступ к техническим деталям уязвимости, пока большинство пользователей не обновится.🤔

Уязвимость находится в базовом коде Chromium и затрагивает другие Chromium-браузеры (вроде Edge, Brave, Vivaldi, Opera) — им тоже потребуется обновление.

Google выпустил фикс первым, остальные подтянутся в ближайшие дни.

==================================================
🆕 News #News

Сезон альткоинов 2026 – возможен?

Исследование от Bybit

===================================================
💬 Opinion #Opinion

Иисус подарил 5,5% годовых ставочникам на Polymarket — гении, которые поставили на то, что второго пришествия Христа в 2025 году не будет, залутали сотни тысяч долларов.

Но откуда они знали...

===================================================
😂 HA_HA #HA_HA

Гайд о том, как ВЕРНУТЬСЯ на работу после новогодних, составили специалисты — он поможет доползти до офиса хотя бы к обеду.

Сохраняем себе и стараемся выжить.

===================================================
😂 HA_HA #HA_HA

⚡️РКН устраивает рейды по городским провайдерам — сразу у 3️⃣3️⃣ операторов нашли «нарушения правил установки ТСПУ».

Это оборудование блокирует трафик к забаненным сервисам и включает только «белый список». После исправления ситуации шатдаунов может быть много больше.

Ну не с начала года же…

===================================================
🆕 News #News

В популярной платформе автоматизации n8n обнаружена критическая уязвимость

CVE-2026-21858 получила говорящее название Ni8mare и максимальную оценку опасности 10.0 по шкале CVSS.

Уязвимость позволяет неаутентифицированному злоумышленнику получить полный контроль над сервером без каких-либо учётных данных.

Суть проблемы заключается в путанице типов контента (Content-Type confusion) при обработке вебхуков: если отправить запрос с заголовком application/json вместо multipart/form-data, платформа использует обычный парсер вместо защищённого загрузчика файлов, что позволяет атакующему подменить внутренний объект req.body.files и читать произвольные файлы с сервера.💀

Эксплуатация бага позволяет злоумышленнику получать доступ к БД, извлекать учетные данные администратора и ключи шифрования, подделывать сессионные cookie для обхода аутентификации и в конечном итоге добиться выполнения произвольных команд.🔥

n8n насчитывает более 100 миллионов загрузок на Docker Hub, а в сети обнаружено более 26 000 публично доступных уязвимых инстансов.

Большинство из них расположено в США (7079), Германии (4280) и Франции (2655).

☝🏻Особую опасность представляет то, что n8n обычно хранит API-ключи, OAuth-токены, учётные данные баз данных и секреты CI/CD — компрометация одного сервера может открыть доступ ко всей инфраструктуре организации.

===================================================
🤔 The_past #The_past

Phishing.

• У bleepingcomputer есть статья, в которой описана интересная фишинговая кампания. В схеме используется символ Unicode «ん» (японский символ хираганы ん (Unicode U+3093). При беглом взгляде на некоторые шрифты символ очень похож на последовательность латинских букв «/n» или «/~». Это визуальное сходство позволяет мошенникам создавать URL-адреса, которые выглядят как реальные, но перенаправляют пользователей на вредоносный сайт.

• По ссылке ниже можно найти пример фишингового письма: адрес в письме выглядит как «admin[.]booking[.]com...», но гиперссылка ведёт на «account.booking.comんdetailんrestric-access.www-account-booking[.]com/en/». На самом деле зарегистрированный домен — «www-account-booking[.]com».

• Если рассматривать именно эту кампанию, то после перехода по ссылке на ПК загружается MSI-файл. Если установить данный файл, то система будет заражена различным вредоносным ПО (троянами, майнерами и т.д.).

➡ https://www.bleepingcomputer.com/bookingcom-phishing

• Схема классическая (с подменой символов), но это хороший повод напомнить, что сомнительные ссылки всегда нужно проверять и анализировать. Даже ИБ специалисты совершают ошибки и переходят на фишинговые ресурсы, не говоря уже людях, которые совершенно не знают основ информационной безопасности. Так что используйте специальные сервисы для проверки ссылок, будьте внимательны и не дайте себя обмануть.

===================================================
🤔 The_past #The_past

Бывший мэр Нью-Йорка Эрик Адамс, покинувший свой пост 1 января, представил «NYC Token».

Спустя несколько часов аналитики Bubblemaps указали на активность по выводу ликвидности в протоколе. Сперва был вывод 2,5 млн USDC на пике, а после коррекции курса на 60% вернули 1,5 млн USDC.

К сожалению, это напоминает запуск LIBRA , где ликвидность также подвергалась значительным манипуляциям, — отметили эксперты.

Сам Адамс позиционирует мем-токен как инструмент для финансирования инициатив по борьбе с «антиамериканизмом», антисемитизмом и другими проблемами, за счет доходов от продажи токенов. В дальнейшем их планируется направлять в неназванную некоммерческую организацию.

===================================================
😂 HA_HA #HA_HA

• Специалисты по кибербезопасности нашли несколько вредоносных расширений в магазине Chrome Web Store. Эти расширения крадут переписку с ИИ‑чат‑ботами и собирают данные о сайтах, которые посещает пользователь. Всю информацию вредоносные приложения отправляют на серверы злоумышленников. Этими расширениями воспользовались 900 тысяч человек.

• Первое расширение называется ChatGPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI. Его установили 600 тысяч пользователей. Второе называется AI Sidebar with Deepseek, ChatGPT, Claude, and more. У него 300 тысяч установок. Оба расширения маскируются под реальное дополнение Chat with all AI models от компании Aitopia. Одно из вредоносных расширений даже имело статус рекомендованного.

• Сами расширения передают переписку и адреса всех открытых вкладок на удалённый сервер. Это происходит каждые 30 минут. При установке расширения просят разрешение собирать анонимные данные для улучшения работы. Но на деле расширения копируют всё содержимое чатов с ИИ‑чат‑ботами. Для этого оно ищет нужные элементы на странице. Затем извлекает сообщения и сохраняет их. После этого данные уходят на серверы злоумышленников.

• А еще злоумышленники используют платформу Lovable для создания сайтов. На этих ресурсах хакеры публикуют политики о защите данных и другие элементы. Это делается для маскировки. Так что будьте внимательны... .

===================================================
🤖 AI_News #AI_News

Сегодня - Всемирный день шаурмы !
В этот четверг весь рацион должен состоять только из пищи богов.

Начинаем праздновать....

==================================================
😂 HA_HA #HA_HA

📲 В Х появилось видео уязвимости 1-click в Telegram, которая позволяет раскрыть IP через специально замаскированный username.

Злоумышленник отправляет сообщение с текстом, который визуально выглядит как обычное упоминание username (синяя подсветка, как у настоящего профиля). Под этим текстом скрыта гиперссылка на специальный адрес вида t.iss.one/proxy?server=...&port=...&secret=... (MTProxy-ссылка).

🚠При нажатии на username устройство жертвы вместо открытия профиля автоматически инициируется соединение с контролируемым хакером прокси-сервером. Вектор атаки приводит к компрометации реального IP-адреса цели.

Критики смеются над тем, что "хакер" на видео взломал себя сам внутри LAN. Для них это выглядит как дилетантство, но они не учитывают, что это лишь демонстрация PoC в безопасной среде, а в реальности злоумышленник использует внешний IP.

Примечательно, что некоторые комментаторы пишут: архитектурная особенность Telegram известна специалистам минимум с 2023 года и не является новой уязвимостью, а скорее «фичей», которую разработчики не спешат исправлять.

♋️Не кликайте на 👺usernames в сообщениях от неизвестных пользователей. Для защиты от подобных атак с целью раскрытия IP могут использоваться "технологии туннелирования с шифрованием".

===================================================
💬 Opinion #Opinion

Улучшаем качество видео в несколько раз прямо в браузере — легковесный и очень шустрый сервис, который улучшит видео и фото за секунду.

• Грузить можно абсолютно любые видео.
• Работает просто и очень быстро — один клик, и результат уже у вас.
• База — ИИ-алгоритмы, которые убирают все недочеты, «шакал» и прочие огрехи в роликах.
• БЕЗ вотерок и БЕЗ артефактов.
• Да, прямо в браузере.

Пробуем

===================================================
🤖 AI_News #AI_News

Никогда такого не было и вот опять: дыра в Claude Cowork — ваш ИИ-помощник может слить все файлы хакерам.

Не прошло и недели с релиза Claude Cowork (агента для автоматизации рутины), а исследователи уже нашли в нем критическую уязвимость.

Хакеры прячут в обычных .docx невидимый текст, который приказывает Claude выполнить команду curl. Виртуальная машина ИИ блокирует внешние сайты, но доверяет API самой Anthropic — в итоге агент послушно берет ваши личные файлы и заливает их в аккаунт злоумышленника.

Самое паршивое: весь процесс происходит в фоновом режиме, подтверждение от пользователя не требуется.

Разработчики знают о эксплойте, но пока просто советуют «быть бдительными» и не давать агенту доступ к чувствительным папкам.

===================================================
🤖 AI_News #AI_News