🌟 «Помоги мне вывести 2000 USDT, даю сид фразу, делим пополам»

Где-то полтора года назад подобные просьбы заполонили телеграм чаты, думаю, еще раньше - они были в твитере и в ЛС криптачей. Не спешите со всех ног помогать, а тем более не пытайтесь что-то украсть с сид фразы из паблика - будьте уверены, вместо этого обнулят вас.

Суть вот чем:
пассажир N пишет/кидает скриншот в ЛС/любом чате с текстом, примерно как в заголовке. На скриншоте или прямо в тексте обязательно будет сид-фраза, like пикрелейтед.
Кто-то захочет помочь, а кто-то захочет воспользоваться наивностью и украсть у новичка накопленное: но не обольщайтесь - за пультом не новичок.

На такой сид фразе обязательно будет что-нибудь ценное - я встречал кошельки с тысячами в USDT, однако совершить транзакцию не получится: хозяин кошелька поставил работать в фоне автосвоп-скрипт, который снимет всю ключевую валюту, которую вы на него отправили. Это очень популярно в эфире, однако я помню, как участвовал в гиве от Kote, где нужно было подобрать недостающие слова к фразе, и какой-то предприимчивый юзер даже туда (в TON, в июне) тоже поставил автосвоп. Я токен снять все-таки смог, хотя и слил пару раз по 0.1 TON для этого.

Как оттуда все-таки вывести?
Резонный вопрос. Почти нереально - скрипт всегда перебивает газ до последнего, вплоть до 99.99% спенда, то есть, например, отправка 0.0006 ETH с газом 0.6 ETH - норма. Если речь о десятках, сотнях или тысячах $, просто смиритесь, что совершить транзакцию вам не дадут. Если же речь о вашей скомпрометированной фразе, куда поставили автосвоп, сумма гораздо больше, а токен находится, например, в стейкинге - и мошенник по какой-то причине не вывел ее оттуда сразу, то есть смысл обратиться к специалистам в области безопасности. Читал статью, где каким-то нереальным комбо из десятков транзакций одной пачкой спецам удалось вывести таким образом с автосвоп адреса часть токенов обманутому владельцу.

А чего это я решил об этом написать? Заметил сегодня в чате @DreamWalkersNFT такого спамера, а @DreamWalker_96 любезно предоставил удаленную пикчу для поста. Теперь вы знаете больше. 👋

P. S. Хоть напишите что-нибудь в коментах что ли, иногда кажется, что два человека читают - я, и мама.

💬 Уже прочитали новый пост PD и удалили WhatsApp?

Мы с @therealbogdanoff да. Но что если предположить, что и в телеграм ваши данные не в безопасности? Тем более, что, строго говоря, так оно и есть. 😖

Дело в том, что данные пользователя, который не блюдет цифровую гигиену - давно в паблике. Получить доступ к ним иногда достаточно просто загуглив, а с помощью несложных уловок, используя методы соц. инженерии, пользователь сам отдаст все, что не удалось найти по запросу.

Ответили на звонок "Здравствуйте, username, это Вы?" - поздравляю, весь интернет знает ваше имя.

Заполнили анкету в яндекс.еде? Любите по выходным заказать роллы из той локальной доставки своего района? - В условном завтра база данных с вашим фио, адресом, телефоном и всеми заказами будет продаваться безлимитным тиражом за очень скромные деньги, скорее всего даже в клирнете - на каком-нибудь deer.is, к примеру.

❤Что касается телеграм: щёлкнули шильдик "кто видит мой номер - никто" только спустя месяц после регистрации учётной записи? - Увы, Ваш номер слит во все базы 27 дней назад и проассоциирован с вашим юзернеймом, а так же всей информацией из предыдущих абзацев.

Изменили юзернейм и номер в надежде обнулить информацию?
К сожалению, это не поможет. Ваш chat_id в телеграм уникален, неизменен и, конечно же, записан - этими действиями вы только дополнили данные в базе дополнительной информацией, теперь все знают так же ваш новый номер.

Почему меня вообще должно волновать все это?
Давайте на примере: лежит у вас 10 тыщ TON в @cryptobot, 5 тыщ USDT в @wallet, 50 тыщ праксиса в @punkcity2094bot, и сид фраза в saved messages. Продолжать? Безалаберность из предыдущих пунктов дает злоумышленнику точку входа для дальнейшей работы по вам. Трудно найти клиента сбербанка, которому бы не звонил сотрудник - из тюрьмы. Вам может прийти смс с необычной фотографией или предложением о работе в формате .docx или .pdf, как бедняге из команды Axie Infinity, а внутри файла будет заложен эксплоит.

😏 При этом если кто-то считает, что Telegram гарантирует тотальную безопасность от запуска различных вредоносных файлов - он ошибается и в этом. В 2017-18 году в Telegram был инцидент с 0day vulnerability - злоумышленник мог получить полный доступ к ПК жертвы с помощью нехитрых манипуляций, пользователь открывал "картинку" - так что задумайтесь, прежде чем открывать uncompressed-изображения здесь. Было так же время, когда отправленный в телеграм файл обходил встроенную защиту SmartScreen, поскольку сохранял файл на ПК пользователя по умолчанию как "доверенный"! Ну так же нельзя - но было можно.

» Здесь можно ознакомиться со списком уязвимостей в Telegram - база обновляется.

📰 Снова длиннопост получился. Некоторые рекомендации по обнулению информации о себе я постараюсь дать в следующих постах.

Если бы КОДЕР AXIE INFINITY ПРОЧИТАЛ ЭТУ СТАТЬЮ за день до катастрофы..

Ваши данные в безопасности, нужно только тратить на ЭТО 10 минут в день..

Сорок тысяч клиентов Google СКАЗАЛИ ЕМУ СПАСИБО просто за два абзаца..

👀Почему-то 0 репостов. Это база вообще-то. Распространите среди жильцов вашего ЖЭКа.

Обновил FAQ - дополнил статьями и заметками за последний месяц. Как много и часто я вам тут пишу - одних статей 12 штук, ужас.
Тем, кто недавно в канале - рекомендую обратить внимание, там столько всего интересного - вы даже себе не представляете. ⚡️

🏆 Прямо сейчас рассылают награды за участие в TON Test Challenge

Вы все были мной предупреждены здесь, стоило поучаствовать. Я отправил около 15 issue в репозитории из списка, три из них были приняты; за каждый репорт начислили по 500 TON.

🤑 1500 TON = почти на ровном месте.

» Место для обсуждения 👇

😖 Культура отмены набирает обороты

Централизованные сервисы, такие, как биржи, кастодиальные кошельки и даже некоторые аппаратные устройства, вроде Ledger, могут заблокировать доступ к аккаунту и средства на нем - просто потому, что пользователь - гражданин государства N.

🗽 Такая уж сегодня свобода и демократия. 1, 2

Оставшихся - тех, кто откажется блокировать пользователя по географической принадлежности по указке с той стороны - заботливо ограничит государство с этой. (как, например, OKX)

И если в случае с Ledger и его аналогами у вас останется приватный ключ (хотя я бы на вашем месте все равно его опустошил), то с условного Binance, в случае блокировки, средства можно больше никогда не увидеть.

Smart - снять средства со всех бирж, пока ещё можно, до безопасного минимума - с которым не жалко расстаться: а эту сумму поделить между своими любимыми. Я по чуть-чуть торгую на OKX, MEXC и KuCoin, на них и KYC не очень нужен. Пока что.

Always-ON VPN ✅

👍 Маркет-офферы в @punks_bot

Сегодня мне в голову пришла мысль, а почему бы не дать всем желающим возможность делать друг другу офферы относительно предложений панков на GetGems / Disintar — прямо в комьюнити боте @punks_bot? — ведь это так просто и удобно, а ключевые маркетплейсы все еще не научились в самое простое — сообщения.

🎈 Что предлагаю и как это работает:
В боте в разделе "купить NFT" появилась дополнительная шестерня настройки — "отображать офферы пользователей бота". (изначально она активна по умолчанию)
В этом случае в карточке каждого панка, стоящего на продаже, доступна кнопка "написать владельцу", с помощью которой можно что-нибудь ему предложить: например, попросить скидку или договориться об обмене. И не нужно никуда выходить!

При этом данные владельцев NFT конфиденциальны.
Отправитель сообщения не получает никакой информации о телеграм-аккаунте владельца панка; только получатель сообщения может связаться с отправителем - при желании.

🗯 А если пользователь надоедает сообщениями - его можно заблокировать одним нажатием; в этом случае написать вам он больше не сможет.

💪 Обязательно подружитесь с @punks_bot, если ни разу в него не заходили. Пользуйтесь экосистемой, делайте офферы — и присоединяйтесь к комьюнити!

🔥 Telegram в 2022 looks like:

🐈♥️🥑©️©️👽🐈🥑❗️

🛍 Начался токен-сейл Fanz.ee

» Здесь.
Доступ по аллокациям. Публичная продажа стартует в 18:00.

Тем временем, создатели Tonkeeper за полгода так и не смогли арендовать нормальные сервера и не оптимизировали нагрузку - таким образом, кошелек перестает работать при малейшем увеличении объема трафика.

Не могу представить, чтобы условный Safepal мог себе позволить такое отношение к пользователям.

💎 Tonkeeper получил обновление

Новая версия уже доступна пользователям Android, насчёт iOS - не знаю. Старый баг с отпечатком пальца пофиксили, и я наконец смог включить защиту.

Обновление описано как "большое". Я пощелкал - вроде бы кошелёк действительно стал работать лучше и быстрее. Рад за ребят! Остаюсь. 😏

Здесь можно прочитать подробную заметку об этом обновлении от самих разработчиков.

P. S. На iOS, говорят, обновление доступно тоже.

❔ Как сжечь NFT в сети TON?

Вот чтобы совсем - никак. Однако, есть несколько нулевых адресов, поэтому, чтобы навсегда избавиться от NFT - просто отправьте его на один из них.

EQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAM9c
Например, на этот. NFT с этого адреса больше никогда не вернутся в рынок.

EQD__________________________________________0vo

А вот второй!

В коментах оставлю свой - считайте его тоже нулевым, да и вообще - он волшебный. 🧔‍♂️

✅️ Галочки верификации в Telegram

Долгое время в телеграм не было возможности получить галочку, будучи пользователем, даже в Page Verification Guidelines все еще отдельным абзацем акцентировано внимание на этом моменте:
«Can my user account be verified?
Sorry, Telegram doesn’t verify user accounts at the moment. Verification is only available for big and active official channels, groups and bots».

Однако теперь очевидно, что это не так: @clashtvshowoff @mgdcking

Примечательно, что официальный @VerifyBot до сих пор не принимает личные страницы для верификации (пикрелейтед) — интересно, как вышеупомянутые юзеры умудрились ее пройти.

📁 Жетоны на TonMarketCap

Появился новый сервис для просмотра детальной статистики по жетонам в сети TON — ознакомьтесь. Интерфейс местами стремный, но вроде работает.

Некоторые жетоны размещены так же на ton.org.in - например, $SCALE, однако я не нашел там сходу страницы со списком всех доступных для просмотра монет, а сохранять отдельно ссылку на каждый жетон - как-то совсем не юзабельно в 2022.

P. S. На ton.org.in тоже список токенов тоже доступен.

😃 Многообещающий NFT-проект с реальным utility

..до сих пор не придумали, поэтому поговорим о TON NFT Coffee.

Пожалуйста, скажите, что ни один подписчик этого канала не участвовал в их пресейле.

Список "почему нет?" можно было бы закончить на визуальной составляющей, однако здесь для вас:
▪️и уже так полюбившееся всем "мы выбрали этот блокчейн, поскольку тон - молодой, развивающийся, etc";
▪️и, конечно, DAO. Но я посмотрел интерфейс этого бота, и мне кажется, что дао будет организовано в формате опросов в телеграм;
▪️и физическая кофейня в Питере - здесь мне сложно что-то добавить, просто посмотрите пикрелейтед (прикреплю в комментарии) диалог с представителем коллекции.

🙄 Почему вообще стоит писать о проекте, чей канал насчитывает 300 подписчиков? - Потому что каким-то невероятным образом любой скам без особых усилий выкачивает из ру-комьюнити тонкоины: даже этих 300 подписчиков смогли разгрузить на ~1000 TON. Где еще возможна такая монетизация? Доход с кофейни, они это серьёзно?

Ещё кое-что: прямо сейчас очередной скам намного более грамотно прогревает русскую (странно, как это всегда так, да?) аудиторию, пытается мимикрировать под иностранный проект и тоже планирует разбогатеть об комьюнити - обратите внимание сюда. Авторы покупают посты в русских каналах (этот накрученный канал - ваш враг #1), делают банальные ошибки в словах ("prisail"), используют аватарки известных русскоговорящих участников комьюнити в своих креативах — и совсем скоро начнут продавать.

Поправьте, если я не прав.

👾 NNS — NFT Name Service

Появился какой-то social-media аналог ENS и TON DNS с претензией на аудиторию твитера, а самое главное - они запустили аирдроп доменов. В связи с этим, я написал небольшую заметку о том, как можно забрать себе один или наабузить много доменов NNS — здесь.

Клеймить можно будет 16.10 после 17:00, то есть уже в это воскресенье.
» Подробнее об NNS
» Страница с аирдропом

P. S. Может оказаться пустой тратой времени, но я свои 15 минут потратил - два домена зарезервировал и возможно скоро буду ими хвастаться.

🤝 «Давай через гаранта»

На текущем рынке продавцы избегают щедро разбрасываться роялти и прочими комиссиями, ищут способы обойтись без них и часто проводят сделки P2P.

Этому пути свойственны очевидные риски и издержки: покупатель может не заплатить, а продавец не отправить; поэтому пользователи прибегают к помощи своего рода гарантов - активных участников сообщества, которые несут за собой определённый бэкграунд и их честность так же подкреплена размером коллекции или собственным проектом, например.

У меня за плечами большой опыт проведения таких сделок (не здесь), а так же расследования случаев мошенничества среди пользователей одного комьюнити, и в этом посте я хочу разместить для вас несколько советов.

Вот они, слева направо:
▪️никуда не нажимайте и не переходите:
очень удобно перейти по кем-то отправленной ссылке; однако, скопируйте адрес вручную; зайдите на GetGems из закладок или напечатав адрес - и наберите название NFT в поиске вручную; исключите момент с подставными ресурсами;

▪️обязательно проверяйте все движения по активам и транзакциям самостоятельно:
все ли двигается, правда ли "оплатил", был ли трансфер нфт - и куда: поскольку иногда гарант и оппонент в сделке могут оказаться одним лицом;

▪️максимально идентифицируйте оппонента непосредственным, однозначным комментарием, чтобы избежать двойной сделки:
попросите его совершить транзакцию с точными данными сделки - "а напиши в комменте >продаю тебе @ghwnd Embryo #222 за 30 тон", это простое действие позволит точно убедиться, что речь идёт именно об этой сделке. В противном случае, возможна ситуация, когда мошенник вам продает и параллельно у кого-то покупает - и просит того человека написать за себя. Если не хочется палить телеграм - создайте новый пустой канал, потом удалите - зато будете знать наверняка;

▪️проверьте все ещё раз:
если речь об NFT, после получения гарантом посмотрите, в нужной ли NFT коллекции, убедитесь, что продавец не заминтил панка 3 минуты назад; тоже самое сделайте после получения актива на свой кошелёк.

🔎 Через кого провести сделку?
— Через GetGems/Disintar. Но если использовать надёжные смартконтракты маркетплейсов совсем не хочется, то, как правило, помочь могут админы/активные участники целевого комьюнити. Знаю, что 1351 своим помогает. Важно понимать, что выбранному человеку вы доверяете свои нервы и средства.

P. S. И помните, если сделка сомнительна, а оппонент явно ненадёжен - порой дешевле отказаться.