👀Накладочка вышла. Отложенный черновичок не дождался

🔒Сегодня на одном стриме услышал вопрос - "а можно ли хранить сид-фразу в заметках айфона", на что стример ответил, что "в принципе, почему бы и нет".

Исходя из этого, у меня к вам вопрос:

🫡 Общий ответ: нет. Нельзя хранить сид-фразу на девайсах

Не стану останавливаться на частных случаях, но в целом вот как все произойдет:

💬 человек сохраняет сид в заметках смартфона/в папке "документы" на пк/в письме в почте ➡️ скачивает вирус ➡️ мошенник получает доступ к почте ➡️ мошенник получает доступ к браузеру, а следом и к Apple ID в случае iOS — самой небезопасной системы в мире ➡️ мошенник читает заметки, письма (все это делает не руками, конечно, за считанные секунды все эти действия провернет специальный софт), контролирует ваше местоположение, может заблокировать данные и всячески испортить жизнь - не только путем банального воровства.

Обычно все попытки исхитриться и сохранить что-то вне кусочка бумаги заканчиваются плачевно. Но если очень хочется - я рекомендую использовать специальный open-source софт для этого - KeePass. Он бесплатный, имеет много настроек, можно разбить пароли по папкам, а для входа использовать мастер-пароль, ключ-файл и учетную запись Windows: все вместе или по отдельности. Думаю, не стоит упоминать, что не стоит хранить кей-файлы и мастер-пароли в папках на рабочем столе или в письмах, заведите себе отдельную флешку для этого и никому ее не показывайте.

🦺 А еще - ничего не скачивайте, ко всему относитесь скептически. Если кто-то предлагает вам что-нибудь скачать в 2022 - есть очень большая вероятность, что там не то, что вы ожидаете. Следуя этим простым правилам вы минимизируете риски скомпрометировать свои данные и остаться без всех своих щитков.

➕ В дополнение к вышесказанному, я бы на вашем месте не сохранял свои фото и фотографии документов в Google Drive / Apple Cloud, а так же удалял письма с последними, в случае записи куда-либо. Известны кейсы, когда мошенники, получив доступ к файлам пользователя, подделывали фото с удостоверением - это целая индустрия - после чего успешно проходили верификацию бирж и обчищали аккаунты под ноль. И речь не только о криптобиржах. 💸

🏆 TON Test Challenge завершен

Все те, кто прислушался и поучаствовал - могут поискать ссылки на свой гитхаб в таблице победителей. Призы обещают разослать на следующей неделе.

Три найденных мной недочёта внесли в таблицу, вероятно, я даже что-нибудь выиграл. Примечательно, что то, что считал важным я - не внесли. Например, плейсхолдер в интерфейсе маркета даймондов в 1 TON при продаже, из-за которого люди периодически сливают гемы за бесценок.

💭 А у всех телеграм последнее время часто пропадает?

Я имею ввиду вот что: у меня например, бывает подолгу загружаются голосовые, видео, сейчас зашёл в чат - и там бесконечное "обновление данных". И даже always-on-VPN не спасает.

🛍 Готовится к запуску новый маркетплейс NFT на TON

Анонсированный ранее Libermall уже сейчас можно посмотреть по адресу: test.libermall.com
Я понажимал - по мне так GetGems во всем лучше, чем он. 😭

Обещают пуленепробиваемые смарт-контракты (здесь: отсылка к PD) и фокус на зарубежную аудиторию.

На всякий случай, тут можно следить за новостями - @LiberMallRUS

🚮 Насчёт долгой загрузки в телеграм

Как-то забыл про этот момент, но @titikmotitik в комментах напомнил: надо чистить кэш (у меня было больше 25 GB данных) - и желательно настроить автоудаление раз в n-период.

Идём в настройки > данные > использование памяти > очистить кэш.

Возможно баги устранились сами собой, PD ребутнул сервера и кэш тут вовсе не виноват - однако после его удаления задержек я больше не наблюдаю. Дело раскрыто. 😟

💎 На вопрос "какой вклад ты внёс в развитие TON?" мне есть что ответить

Интегрировал TON NFT в Telegram. В очередной раз.

» 🧔‍♂️static punks pack
» animated punks pack 🐶
» 🐸 static legendary mt pack

👎 Жаль, что PD ограничил размер в 100х100px - использовать их вне текстовой простыни очень дорого для глаз, но в тексте и в качестве статусов и реакций выглядит норм.

🗺 Репортаж про TON в эфире телеканала Россия 24

Теперь заживём. >watch

🌟 «Помоги мне вывести 2000 USDT, даю сид фразу, делим пополам»

Где-то полтора года назад подобные просьбы заполонили телеграм чаты, думаю, еще раньше - они были в твитере и в ЛС криптачей. Не спешите со всех ног помогать, а тем более не пытайтесь что-то украсть с сид фразы из паблика - будьте уверены, вместо этого обнулят вас.

Суть вот чем:
пассажир N пишет/кидает скриншот в ЛС/любом чате с текстом, примерно как в заголовке. На скриншоте или прямо в тексте обязательно будет сид-фраза, like пикрелейтед.
Кто-то захочет помочь, а кто-то захочет воспользоваться наивностью и украсть у новичка накопленное: но не обольщайтесь - за пультом не новичок.

На такой сид фразе обязательно будет что-нибудь ценное - я встречал кошельки с тысячами в USDT, однако совершить транзакцию не получится: хозяин кошелька поставил работать в фоне автосвоп-скрипт, который снимет всю ключевую валюту, которую вы на него отправили. Это очень популярно в эфире, однако я помню, как участвовал в гиве от Kote, где нужно было подобрать недостающие слова к фразе, и какой-то предприимчивый юзер даже туда (в TON, в июне) тоже поставил автосвоп. Я токен снять все-таки смог, хотя и слил пару раз по 0.1 TON для этого.

Как оттуда все-таки вывести?
Резонный вопрос. Почти нереально - скрипт всегда перебивает газ до последнего, вплоть до 99.99% спенда, то есть, например, отправка 0.0006 ETH с газом 0.6 ETH - норма. Если речь о десятках, сотнях или тысячах $, просто смиритесь, что совершить транзакцию вам не дадут. Если же речь о вашей скомпрометированной фразе, куда поставили автосвоп, сумма гораздо больше, а токен находится, например, в стейкинге - и мошенник по какой-то причине не вывел ее оттуда сразу, то есть смысл обратиться к специалистам в области безопасности. Читал статью, где каким-то нереальным комбо из десятков транзакций одной пачкой спецам удалось вывести таким образом с автосвоп адреса часть токенов обманутому владельцу.

А чего это я решил об этом написать? Заметил сегодня в чате @DreamWalkersNFT такого спамера, а @DreamWalker_96 любезно предоставил удаленную пикчу для поста. Теперь вы знаете больше. 👋

P. S. Хоть напишите что-нибудь в коментах что ли, иногда кажется, что два человека читают - я, и мама.

💬 Уже прочитали новый пост PD и удалили WhatsApp?

Мы с @therealbogdanoff да. Но что если предположить, что и в телеграм ваши данные не в безопасности? Тем более, что, строго говоря, так оно и есть. 😖

Дело в том, что данные пользователя, который не блюдет цифровую гигиену - давно в паблике. Получить доступ к ним иногда достаточно просто загуглив, а с помощью несложных уловок, используя методы соц. инженерии, пользователь сам отдаст все, что не удалось найти по запросу.

Ответили на звонок "Здравствуйте, username, это Вы?" - поздравляю, весь интернет знает ваше имя.

Заполнили анкету в яндекс.еде? Любите по выходным заказать роллы из той локальной доставки своего района? - В условном завтра база данных с вашим фио, адресом, телефоном и всеми заказами будет продаваться безлимитным тиражом за очень скромные деньги, скорее всего даже в клирнете - на каком-нибудь deer.is, к примеру.

❤Что касается телеграм: щёлкнули шильдик "кто видит мой номер - никто" только спустя месяц после регистрации учётной записи? - Увы, Ваш номер слит во все базы 27 дней назад и проассоциирован с вашим юзернеймом, а так же всей информацией из предыдущих абзацев.

Изменили юзернейм и номер в надежде обнулить информацию?
К сожалению, это не поможет. Ваш chat_id в телеграм уникален, неизменен и, конечно же, записан - этими действиями вы только дополнили данные в базе дополнительной информацией, теперь все знают так же ваш новый номер.

Почему меня вообще должно волновать все это?
Давайте на примере: лежит у вас 10 тыщ TON в @cryptobot, 5 тыщ USDT в @wallet, 50 тыщ праксиса в @punkcity2094bot, и сид фраза в saved messages. Продолжать? Безалаберность из предыдущих пунктов дает злоумышленнику точку входа для дальнейшей работы по вам. Трудно найти клиента сбербанка, которому бы не звонил сотрудник - из тюрьмы. Вам может прийти смс с необычной фотографией или предложением о работе в формате .docx или .pdf, как бедняге из команды Axie Infinity, а внутри файла будет заложен эксплоит.

😏 При этом если кто-то считает, что Telegram гарантирует тотальную безопасность от запуска различных вредоносных файлов - он ошибается и в этом. В 2017-18 году в Telegram был инцидент с 0day vulnerability - злоумышленник мог получить полный доступ к ПК жертвы с помощью нехитрых манипуляций, пользователь открывал "картинку" - так что задумайтесь, прежде чем открывать uncompressed-изображения здесь. Было так же время, когда отправленный в телеграм файл обходил встроенную защиту SmartScreen, поскольку сохранял файл на ПК пользователя по умолчанию как "доверенный"! Ну так же нельзя - но было можно.

» Здесь можно ознакомиться со списком уязвимостей в Telegram - база обновляется.

📰 Снова длиннопост получился. Некоторые рекомендации по обнулению информации о себе я постараюсь дать в следующих постах.

Если бы КОДЕР AXIE INFINITY ПРОЧИТАЛ ЭТУ СТАТЬЮ за день до катастрофы..

Ваши данные в безопасности, нужно только тратить на ЭТО 10 минут в день..

Сорок тысяч клиентов Google СКАЗАЛИ ЕМУ СПАСИБО просто за два абзаца..

👀Почему-то 0 репостов. Это база вообще-то. Распространите среди жильцов вашего ЖЭКа.

Обновил FAQ - дополнил статьями и заметками за последний месяц. Как много и часто я вам тут пишу - одних статей 12 штук, ужас.
Тем, кто недавно в канале - рекомендую обратить внимание, там столько всего интересного - вы даже себе не представляете. ⚡️

🏆 Прямо сейчас рассылают награды за участие в TON Test Challenge

Вы все были мной предупреждены здесь, стоило поучаствовать. Я отправил около 15 issue в репозитории из списка, три из них были приняты; за каждый репорт начислили по 500 TON.

🤑 1500 TON = почти на ровном месте.

» Место для обсуждения 👇

😖 Культура отмены набирает обороты

Централизованные сервисы, такие, как биржи, кастодиальные кошельки и даже некоторые аппаратные устройства, вроде Ledger, могут заблокировать доступ к аккаунту и средства на нем - просто потому, что пользователь - гражданин государства N.

🗽 Такая уж сегодня свобода и демократия. 1, 2

Оставшихся - тех, кто откажется блокировать пользователя по географической принадлежности по указке с той стороны - заботливо ограничит государство с этой. (как, например, OKX)

И если в случае с Ledger и его аналогами у вас останется приватный ключ (хотя я бы на вашем месте все равно его опустошил), то с условного Binance, в случае блокировки, средства можно больше никогда не увидеть.

Smart - снять средства со всех бирж, пока ещё можно, до безопасного минимума - с которым не жалко расстаться: а эту сумму поделить между своими любимыми. Я по чуть-чуть торгую на OKX, MEXC и KuCoin, на них и KYC не очень нужен. Пока что.

Always-ON VPN ✅

👍 Маркет-офферы в @punks_bot

Сегодня мне в голову пришла мысль, а почему бы не дать всем желающим возможность делать друг другу офферы относительно предложений панков на GetGems / Disintar — прямо в комьюнити боте @punks_bot? — ведь это так просто и удобно, а ключевые маркетплейсы все еще не научились в самое простое — сообщения.

🎈 Что предлагаю и как это работает:
В боте в разделе "купить NFT" появилась дополнительная шестерня настройки — "отображать офферы пользователей бота". (изначально она активна по умолчанию)
В этом случае в карточке каждого панка, стоящего на продаже, доступна кнопка "написать владельцу", с помощью которой можно что-нибудь ему предложить: например, попросить скидку или договориться об обмене. И не нужно никуда выходить!

При этом данные владельцев NFT конфиденциальны.
Отправитель сообщения не получает никакой информации о телеграм-аккаунте владельца панка; только получатель сообщения может связаться с отправителем - при желании.

🗯 А если пользователь надоедает сообщениями - его можно заблокировать одним нажатием; в этом случае написать вам он больше не сможет.

💪 Обязательно подружитесь с @punks_bot, если ни разу в него не заходили. Пользуйтесь экосистемой, делайте офферы — и присоединяйтесь к комьюнити!

🔥 Telegram в 2022 looks like:

🐈♥️🥑©️©️👽🐈🥑❗️

🛍 Начался токен-сейл Fanz.ee

» Здесь.
Доступ по аллокациям. Публичная продажа стартует в 18:00.

Тем временем, создатели Tonkeeper за полгода так и не смогли арендовать нормальные сервера и не оптимизировали нагрузку - таким образом, кошелек перестает работать при малейшем увеличении объема трафика.

Не могу представить, чтобы условный Safepal мог себе позволить такое отношение к пользователям.