😟 Скам-алерт

На днях появился очередной лендинг TON Foundation с аирдропом 100 TON всем желающим.

Продолжая удивляться этой детской наивности, все же снова напоминаю:
Любое место, где вас просят ввести сид фразу - скам. По умолчанию. Сид фразу нужно ввести один раз в свой кошелек и больше никогда не доставать её из самого дальнего ящика в кладовке.

Остановитесь, даже если кажется, что сайт официальный. В крайнем случае - лучше уточните информацию где-нибудь в публичном чате.

⭕️ На сайт TON Eternity добавили раздел explore, в котором можно покрутить карту их будущего мира. Сейчас кажется, будто это все совсем не важно, но в целом - красивое. Жду релиз проекта.

📰 Близится долгожданное

..обновление Disintar.

Парни уверяют, что информация теперь будет обновляться молниеносно. Возможно, релиз будет уже сегодня до конца дня.

Может быть вскоре и другие коллекции увидим в своих комнатах на этом маркетплейсе.

🏆 Результаты турнира Fantasy Invest

Турнир был завершен; я набрал -12.97 (?) - наверное, процентов доходности. Конечно, я не победил. Однако бесплатные турниры сейчас - это отличная возможность попробовать, чтобы понять, стоит ли заходить в проект на этапе релиза.

Мне нравится интерфейс приложения, уже начался следующий турнир - я свою колоду из монеток составил. Надеюсь, результат будет не таким удручающим.

👀Накладочка вышла. Отложенный черновичок не дождался

🔒Сегодня на одном стриме услышал вопрос - "а можно ли хранить сид-фразу в заметках айфона", на что стример ответил, что "в принципе, почему бы и нет".

Исходя из этого, у меня к вам вопрос:

🫡 Общий ответ: нет. Нельзя хранить сид-фразу на девайсах

Не стану останавливаться на частных случаях, но в целом вот как все произойдет:

💬 человек сохраняет сид в заметках смартфона/в папке "документы" на пк/в письме в почте ➡️ скачивает вирус ➡️ мошенник получает доступ к почте ➡️ мошенник получает доступ к браузеру, а следом и к Apple ID в случае iOS — самой небезопасной системы в мире ➡️ мошенник читает заметки, письма (все это делает не руками, конечно, за считанные секунды все эти действия провернет специальный софт), контролирует ваше местоположение, может заблокировать данные и всячески испортить жизнь - не только путем банального воровства.

Обычно все попытки исхитриться и сохранить что-то вне кусочка бумаги заканчиваются плачевно. Но если очень хочется - я рекомендую использовать специальный open-source софт для этого - KeePass. Он бесплатный, имеет много настроек, можно разбить пароли по папкам, а для входа использовать мастер-пароль, ключ-файл и учетную запись Windows: все вместе или по отдельности. Думаю, не стоит упоминать, что не стоит хранить кей-файлы и мастер-пароли в папках на рабочем столе или в письмах, заведите себе отдельную флешку для этого и никому ее не показывайте.

🦺 А еще - ничего не скачивайте, ко всему относитесь скептически. Если кто-то предлагает вам что-нибудь скачать в 2022 - есть очень большая вероятность, что там не то, что вы ожидаете. Следуя этим простым правилам вы минимизируете риски скомпрометировать свои данные и остаться без всех своих щитков.

➕ В дополнение к вышесказанному, я бы на вашем месте не сохранял свои фото и фотографии документов в Google Drive / Apple Cloud, а так же удалял письма с последними, в случае записи куда-либо. Известны кейсы, когда мошенники, получив доступ к файлам пользователя, подделывали фото с удостоверением - это целая индустрия - после чего успешно проходили верификацию бирж и обчищали аккаунты под ноль. И речь не только о криптобиржах. 💸

🏆 TON Test Challenge завершен

Все те, кто прислушался и поучаствовал - могут поискать ссылки на свой гитхаб в таблице победителей. Призы обещают разослать на следующей неделе.

Три найденных мной недочёта внесли в таблицу, вероятно, я даже что-нибудь выиграл. Примечательно, что то, что считал важным я - не внесли. Например, плейсхолдер в интерфейсе маркета даймондов в 1 TON при продаже, из-за которого люди периодически сливают гемы за бесценок.

💭 А у всех телеграм последнее время часто пропадает?

Я имею ввиду вот что: у меня например, бывает подолгу загружаются голосовые, видео, сейчас зашёл в чат - и там бесконечное "обновление данных". И даже always-on-VPN не спасает.

🛍 Готовится к запуску новый маркетплейс NFT на TON

Анонсированный ранее Libermall уже сейчас можно посмотреть по адресу: test.libermall.com
Я понажимал - по мне так GetGems во всем лучше, чем он. 😭

Обещают пуленепробиваемые смарт-контракты (здесь: отсылка к PD) и фокус на зарубежную аудиторию.

На всякий случай, тут можно следить за новостями - @LiberMallRUS

🚮 Насчёт долгой загрузки в телеграм

Как-то забыл про этот момент, но @titikmotitik в комментах напомнил: надо чистить кэш (у меня было больше 25 GB данных) - и желательно настроить автоудаление раз в n-период.

Идём в настройки > данные > использование памяти > очистить кэш.

Возможно баги устранились сами собой, PD ребутнул сервера и кэш тут вовсе не виноват - однако после его удаления задержек я больше не наблюдаю. Дело раскрыто. 😟

💎 На вопрос "какой вклад ты внёс в развитие TON?" мне есть что ответить

Интегрировал TON NFT в Telegram. В очередной раз.

» 🧔‍♂️static punks pack
» animated punks pack 🐶
» 🐸 static legendary mt pack

👎 Жаль, что PD ограничил размер в 100х100px - использовать их вне текстовой простыни очень дорого для глаз, но в тексте и в качестве статусов и реакций выглядит норм.

🗺 Репортаж про TON в эфире телеканала Россия 24

Теперь заживём. >watch

🌟 «Помоги мне вывести 2000 USDT, даю сид фразу, делим пополам»

Где-то полтора года назад подобные просьбы заполонили телеграм чаты, думаю, еще раньше - они были в твитере и в ЛС криптачей. Не спешите со всех ног помогать, а тем более не пытайтесь что-то украсть с сид фразы из паблика - будьте уверены, вместо этого обнулят вас.

Суть вот чем:
пассажир N пишет/кидает скриншот в ЛС/любом чате с текстом, примерно как в заголовке. На скриншоте или прямо в тексте обязательно будет сид-фраза, like пикрелейтед.
Кто-то захочет помочь, а кто-то захочет воспользоваться наивностью и украсть у новичка накопленное: но не обольщайтесь - за пультом не новичок.

На такой сид фразе обязательно будет что-нибудь ценное - я встречал кошельки с тысячами в USDT, однако совершить транзакцию не получится: хозяин кошелька поставил работать в фоне автосвоп-скрипт, который снимет всю ключевую валюту, которую вы на него отправили. Это очень популярно в эфире, однако я помню, как участвовал в гиве от Kote, где нужно было подобрать недостающие слова к фразе, и какой-то предприимчивый юзер даже туда (в TON, в июне) тоже поставил автосвоп. Я токен снять все-таки смог, хотя и слил пару раз по 0.1 TON для этого.

Как оттуда все-таки вывести?
Резонный вопрос. Почти нереально - скрипт всегда перебивает газ до последнего, вплоть до 99.99% спенда, то есть, например, отправка 0.0006 ETH с газом 0.6 ETH - норма. Если речь о десятках, сотнях или тысячах $, просто смиритесь, что совершить транзакцию вам не дадут. Если же речь о вашей скомпрометированной фразе, куда поставили автосвоп, сумма гораздо больше, а токен находится, например, в стейкинге - и мошенник по какой-то причине не вывел ее оттуда сразу, то есть смысл обратиться к специалистам в области безопасности. Читал статью, где каким-то нереальным комбо из десятков транзакций одной пачкой спецам удалось вывести таким образом с автосвоп адреса часть токенов обманутому владельцу.

А чего это я решил об этом написать? Заметил сегодня в чате @DreamWalkersNFT такого спамера, а @DreamWalker_96 любезно предоставил удаленную пикчу для поста. Теперь вы знаете больше. 👋

P. S. Хоть напишите что-нибудь в коментах что ли, иногда кажется, что два человека читают - я, и мама.

💬 Уже прочитали новый пост PD и удалили WhatsApp?

Мы с @therealbogdanoff да. Но что если предположить, что и в телеграм ваши данные не в безопасности? Тем более, что, строго говоря, так оно и есть. 😖

Дело в том, что данные пользователя, который не блюдет цифровую гигиену - давно в паблике. Получить доступ к ним иногда достаточно просто загуглив, а с помощью несложных уловок, используя методы соц. инженерии, пользователь сам отдаст все, что не удалось найти по запросу.

Ответили на звонок "Здравствуйте, username, это Вы?" - поздравляю, весь интернет знает ваше имя.

Заполнили анкету в яндекс.еде? Любите по выходным заказать роллы из той локальной доставки своего района? - В условном завтра база данных с вашим фио, адресом, телефоном и всеми заказами будет продаваться безлимитным тиражом за очень скромные деньги, скорее всего даже в клирнете - на каком-нибудь deer.is, к примеру.

❤Что касается телеграм: щёлкнули шильдик "кто видит мой номер - никто" только спустя месяц после регистрации учётной записи? - Увы, Ваш номер слит во все базы 27 дней назад и проассоциирован с вашим юзернеймом, а так же всей информацией из предыдущих абзацев.

Изменили юзернейм и номер в надежде обнулить информацию?
К сожалению, это не поможет. Ваш chat_id в телеграм уникален, неизменен и, конечно же, записан - этими действиями вы только дополнили данные в базе дополнительной информацией, теперь все знают так же ваш новый номер.

Почему меня вообще должно волновать все это?
Давайте на примере: лежит у вас 10 тыщ TON в @cryptobot, 5 тыщ USDT в @wallet, 50 тыщ праксиса в @punkcity2094bot, и сид фраза в saved messages. Продолжать? Безалаберность из предыдущих пунктов дает злоумышленнику точку входа для дальнейшей работы по вам. Трудно найти клиента сбербанка, которому бы не звонил сотрудник - из тюрьмы. Вам может прийти смс с необычной фотографией или предложением о работе в формате .docx или .pdf, как бедняге из команды Axie Infinity, а внутри файла будет заложен эксплоит.

😏 При этом если кто-то считает, что Telegram гарантирует тотальную безопасность от запуска различных вредоносных файлов - он ошибается и в этом. В 2017-18 году в Telegram был инцидент с 0day vulnerability - злоумышленник мог получить полный доступ к ПК жертвы с помощью нехитрых манипуляций, пользователь открывал "картинку" - так что задумайтесь, прежде чем открывать uncompressed-изображения здесь. Было так же время, когда отправленный в телеграм файл обходил встроенную защиту SmartScreen, поскольку сохранял файл на ПК пользователя по умолчанию как "доверенный"! Ну так же нельзя - но было можно.

» Здесь можно ознакомиться со списком уязвимостей в Telegram - база обновляется.

📰 Снова длиннопост получился. Некоторые рекомендации по обнулению информации о себе я постараюсь дать в следующих постах.

Если бы КОДЕР AXIE INFINITY ПРОЧИТАЛ ЭТУ СТАТЬЮ за день до катастрофы..

Ваши данные в безопасности, нужно только тратить на ЭТО 10 минут в день..

Сорок тысяч клиентов Google СКАЗАЛИ ЕМУ СПАСИБО просто за два абзаца..

👀Почему-то 0 репостов. Это база вообще-то. Распространите среди жильцов вашего ЖЭКа.

Обновил FAQ - дополнил статьями и заметками за последний месяц. Как много и часто я вам тут пишу - одних статей 12 штук, ужас.
Тем, кто недавно в канале - рекомендую обратить внимание, там столько всего интересного - вы даже себе не представляете. ⚡️