The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Атакующие внедрили вредоносный код в web3.js, официальный JavaScript-клиент для криптовалюты Solana

04.12.2024 09:46

Выявлен факт подстановки вредоносного кода в библиотеку @solana/web3.js, насчитывающую в репозитории NPM 400-500 тысяч загрузок в неделю. Вредоносные изменения были включены в состав выпусков web3.js 1.95.6 и 1.95.7, и сводились к интеграции кода для отправки на внешний сервер закрытых ключей. Целостность проекта восстановлена в выпуске 1.95.8. Разбор причин инцидента пока не завершён, но по предварительным данным вредоносные релизы были размещены через компрометацию учётной записи сопровождающего, используя методы социального инжиниринга и фишинга.

Библиотека web3.js позиционируется как официальный JavaScript SDK для работы с криптовалютой Solana из приложений, запускаемых в браузере или использующих такие платформы, как Node.js и React Native. Проект развивает организация Solana Labs, которая также отвечает за разработку мобильного приложения и эталонную реализацию блокчейна Solana. Криптовалюта Solana занимает пятое место по размеру капитализации, уступая только Bitcoin, Ethereum, XRP и USDT.

Проведённая атака создаёт угрозу вывода злоумышленниками средств из приложений, использующих в зависимостях скомпрометированную версию web3.js. При этом отмечается, что кража средств может коснуться только децентрализованных приложений (dapps) и ботов, напрямую работающих с зарытыми ключами. Проблема не затрагивает клиентские кошельки, которые напрямую не используют закрытые ключи в транзакциях.

В настоящее время библиотека web3.js упоминается в качестве прямой зависимости у 3262 проектов в каталоге NPM, а также применяется в web-приложениях, работающих через браузер. Разработчикам dapps-приложений, использующих web3.js, необходимо убедиться в отсутствии среди зависимостей версий web3.js 1.95.6 и 1.95.7, которые распространялись через NPM во вторник 3 декабря c 18:20 по 23:25 (MSK).

В случае использования данных версий следует обновить web3.js до выпуска 1.95.8 или откатиться до версии 1.95.5. Также рекомендуется поменять приватные ключи, провести аудит своих систем, проинспектировать код и изучить содержимое каталога node_modules на предмет появления подозрительных зависимостей.

Анализ изменений в скомпрометированной версии 1.95.7 показал, что вредоносный код был внедрён в форме функции "addToQueue", которая отправляет закрытые ключи на сервер "sol-rpc.xyz". Вызов функции "addToQueue" был добавлен в различные места в коде, в которых осуществлялась манипуляция с ключами. Отправка осуществляется через кодирование ключа методом Base58 и распределения содержимого между HTTP-заголовками "x-session-id", "x-amz-cf-id" и "x-amz-cf-pop", применяемыми в CloudFlare. Домен "sol-rpc.xyz" зарегистрирован 22 ноября и размещён на хостинге CloudFlare.



  1. Главная ссылка к новости (https://socket.dev/blog/supply...)
  2. OpenNews: Атака на биржу криптовалюты через взлом счётчика StatCounter
  3. OpenNews: Взлом аккаунта на Github привёл к модификациии ПО криптовалюты Syscoin
  4. OpenNews: Уязвимость в криптовалюте Zcash, позволявшая генерировать новые средства
  5. OpenNews: Взлом сайта криптовалюты Мonero с подменой предлагаемого для загрузки кошелька
  6. OpenNews: JavaScript-приложения криптовалют, использующие SecureRandom(), могли генерировать уязвимые ключи
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/62339-solana
Ключевые слова: solana, npm, javascript, mallware, hack
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (90) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Жироватт (ok), 10:22, 04/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +12 +/
    Никогда такого не было - и вот опять.
    А ТЫ уже обновил все свои лефтпады из нпм на свежую протрояненную версию с отравленными зависимостями зависимостей зависимостей?
     
     
  • 2.3, Криптокибер (?), 10:36, 04/12/2024 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Только как получить эту вашу Солану. Как ввести, как вывести? С виндовза можно? Там будут трояны?
     
     
  • 3.6, Аноним (6), 10:41, 04/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Какая винда? Кастомный дистриб собирай на базе LFS, спокойней будешь. Миллионы первому встречному доверять - глупо.
     
     
  • 4.9, 1 (??), 10:48, 04/12/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Главное - не забывать обновляться ...
    Сколько там уязвимость действовала ? Как раз чтоб ключики утекли ?
     
  • 4.23, Аноним (23), 11:25, 04/12/2024 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Ты забываешь что помимо тысячи глаз в опенсорсе есть тысячи рук, которые так и норовят вставить свой троян или вульн в каждую либу. А тот же lfs не даёт гарантии безопасТности.
     
     
  • 5.34, Аноним (34), 12:09, 04/12/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ты забываешь, что абслолютную гарантию не даёт никакое творение рук человеческих. Если и даёт гарантию, то с какой-то вероятностью <100%. Так что и без третьих рук.
     
     
  • 6.50, есть такая штука называется вероятность. (?), 14:04, 04/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Есть такая штука, сейчас будет сложно, называется вероятность. Так вот в закрытый коммерческий проект где все либы свои левый васян ничего внедрить не может как бы он не хотел.
     
     
  • 7.53, 1 (??), 14:17, 04/12/2024 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Зато правый Петя навтыкает туда троянов, по самое нихачу.
     
     
  • 8.57, Аноним (23), 14:51, 04/12/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Петя действовал по команде и внедрил туда правильный согласованный троян А Вася... текст свёрнут, показать
     
     
  • 9.136, Fear of the dark (?), 03:32, 05/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ха-хаха Правильная дырка внедренная производителем как правило глупа и заинтерес... текст свёрнут, показать
     
     
  • 10.137, Bottle (?), 04:59, 05/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Не только согласованных в виде телеметрии и прочего шпионажа , но и случайных, ... текст свёрнут, показать
     
  • 8.61, Аноним (-), 15:00, 04/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Для этого ему придется войти в сговор с командой, тк это не попенсорс где васян ... текст свёрнут, показать
     
  • 3.138, ИмяХ (ok), 08:31, 05/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >>Как ввести, как вывести

    Никак. Это не настоящие деньги, а всего лишь циферки на компьютере. Единственный способ - найти такого же лоха, который купит у тебя эти циферки за настоящие деньги.

     
     
  • 4.143, Зануда (?), 23:00, 08/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Но ведь "настоящие деньги" это тоже либо бумажки и кусочки металла, не имеющие ценности сами по себе, либо циферки на компьютере банка.
     
  • 2.7, Аноним (7), 10:42, 04/12/2024 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Ты не понял, "качай мне все зависимости" это современно плюс js безопасно работает с памятью!
     
  • 2.17, Ананимус (?), 11:19, 04/12/2024 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Причем здесь зависимости зависимостей? Это официальный клиент. Примерно как если бы дыра появились в libpq.
     
     
  • 3.25, Аноним (23), 11:27, 04/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Официальный клиент может быть и зависимостью и зависимостью зависимости.
     
     
  • 4.65, Ананимус (?), 15:29, 04/12/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Официальный клиент может быть и зависимостью и зависимостью зависимости.

    Автор вспомнил про leftpad, который буквально был модулем на одну функцию, что сломало куче людей пакеты. Здесь же речь идет не о supply chain attack на какой-то мелкий модуль в цепочке зависимостей, а про компроментацию окружения разработчика проекта и вставку бекдора. Что может случиться буквально с кем угодно, как показала история с xz. Поэтому все и рофлят с пердежа про leftpad, потому что в данном случае он ваще не в тему.

    А то что клиент криптобиржи может быть чейто зависимостью это очень странный заход. Предлагается в каждом проекте писать весь API заново? Это шиза.

     
     
  • 5.69, Аноним (23), 16:50, 04/12/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Да в критических задачах и в критических инфраструктурах все пишется заново. Представь себе.
     
     
  • 6.96, Ананимус (?), 18:48, 04/12/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Да в критических задачах и в критических инфраструктурах все пишется заново. Представь
    > себе.

    Начинается... В Сбербанке (достаточно критичная финансовая организация?) никто не пишет свой libpq чтобы к постгресу подключиться. Все просто берут libpq из репозиториев. Потому что наркоманов, пишущих все самостоятельно, можно встретить только на опеннете, потому что они делают это в своих влажных фаннтазиях. Все остальные используют какую-нибудь монгу из репов Убунты и просят ещё.

     
     
  • 7.125, Аноним (125), 21:48, 04/12/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В Сбербанке ты не можешь просто так использовать зависимость. Только если её уже одобрили и добавили в внутренний репозиторий.
     
     
  • 8.128, Ананимус (?), 22:19, 04/12/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    И Это не значит что её сами руками написали, это значит что её проаутировали в ... текст свёрнут, показать
     
  • 6.117, Аноним (-), 20:16, 04/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Да в критических задачах и в критических инфраструктурах все пишется заново. Представь себе.

    И какие гарантии что сотрудники там - все белые и пушистые, никогда не лажаются, и вообще? А, никаких?! И чем тогда это лучше предыдущей схемы?...

     
  • 2.43, Аноним (-), 13:27, 04/12/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И люди проглядевшие бекдор в ХЗ либе или Bvp47 запрещают жабаскриптерам ковыряться в носу?
    Чем этот лефтпад отличается от 100500 библиотек и зависимостей, которые обновляются в любом дистрибутиве?
    Воистину "в чужом глазу песчинку разглядывают, когда в своем уже ЖинТяны с бревнами"
     
  • 2.55, Аноним (55), 14:39, 04/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >А ТЫ уже обновил все свои лефтпады из нпм на свежую протрояненную версию с отравленными зависимостями зависимостей зависимостей?

    А ты до сих пор сидиш на зависимостях, к которым уже эксплоиты успеил написать?

     

  • 1.2, Аноним (2), 10:23, 04/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +9 +/
    > JavaScript
    > web3
    > криптовалюты
    > вредоносный код

    Бинго?

     
     
  • 2.20, Аноним (20), 11:22, 04/12/2024 [^] [^^] [^^^] [ответить]  
  • +4 +/
    за определенную сумму (например $10 000) я тоже могу сказать что мою учетку скомпроментировали....
     
     
  • 3.122, Ivan_83 (ok), 20:55, 04/12/2024 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Фу позорник за такой мизер так рисковать репутацией и может даже свободой.
     
  • 2.45, Аноним (45), 13:38, 04/12/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Когда XZ скомпрометировали, тоже JavaScript был виноват? Или это другое, понимать надо?
     
     
  • 3.47, Аноним (-), 13:42, 04/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Когда XZ скомпрометировали, тоже JavaScript был виноват? Или это другое, понимать надо?

    Конечно другое!
    Как можно сравнивать дырень которую внедрили почти во все дистрибутивы с какой-то крипрой.
    Крипта это опаснее и важнее!

    Зато качали на с какого-то NPM, а тарболчики с самого репизитория!
    Надежнее же не бывает!


     
     
  • 4.67, Аноним (67), 16:21, 04/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    XZ тоже был тарболчиком с самого репизитория.
     
  • 3.51, есть такая штука называется вероятность. (?), 14:06, 04/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    По статистике да.
     

  • 1.4, Аноним (4), 10:39, 04/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я конечно не эксперт с необходимой экспертизой, но ...

    почему (сторонний) клиент напрямую работает с приватными (секретными) ключами?

     
     
  • 2.27, Аноним (23), 11:28, 04/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Как ты предлагаешь это делать накривую?
     
     
  • 3.35, Аноним (34), 12:12, 04/12/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Через разделение процессов, клиент - сервер?
     
     
  • 4.38, Аноним (23), 12:21, 04/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Это ещё на каждого бота свой промежуточный сервер? Это сложно и противоречит принципу децентрализованности.
     
     
  • 5.42, Аноним (34), 13:08, 04/12/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Локальное разделение, на компе у пользователя кошелька или чего там ещё. Код на JS говорит другому процессу, вот это подпиши, а не сам берёт ключ и подписывает.43
     
     
  • 6.59, Аноним (23), 14:52, 04/12/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Оверинжиниринг и сложно.
     
     
  • 7.62, Анониссимус (?), 15:05, 04/12/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ещё и бесполезно. От этой уязвимости может и спасёт, но монетки всё равно не будут в безопасности.
     
     
  • 8.135, нах. (?), 02:14, 05/12/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ну просто автору троянца придется через нескучный api вот это подписать вот ... текст свёрнут, показать
     
  • 6.60, Аноним (60), 14:59, 04/12/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ты сейчас описал концепцию холодных ключей, который есть рекомендованный способ для хранения значимых сумм в крипте.
     
     
  • 7.134, Аноним (60), 01:15, 05/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Холодных кошельков, а не ключей.
     
  • 3.106, Аноним (106), 19:40, 04/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Обычно это осуществляется через провайдера безопасности. В виде запроса - клиент ввел пару логин-пароль - это верно? Здесь - зашифруй данные ключом клиента. Секрет хранится инфраструктурой безопасности и только она имеет прямой доступ к секрету.
     
  • 2.56, Аноним (55), 14:46, 04/12/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Если вам действительно нужен ключ, то вам нужен и публичный и приватный. Вы же не только шифровать, но и расшифровывать собираетесь?
     
     
  • 3.74, Аноним (4), 17:26, 04/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Нужен транзакционный (сессонный) ключ - приватный и публичный. Запросили транзакционный приватный ключ, сгенерировали публичный. Подписали транзакцию, уничтожили приватный ключ. Если и украли приватный ключ транзакции, потеряли только транзакцию.
     
  • 3.121, Аноним (106), 20:50, 04/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Чтобы расшифровать сообщение от другого нужен Его публичный ключ, который выдается визави.
     

  • 1.5, ryoken (ok), 10:39, 04/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >>работающих с зарытыми ключами

    уху

     
     
  • 2.15, RM (ok), 11:13, 04/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Так отсылка к Буратыно же, классика...
     

  • 1.11, Аноним (7), 10:56, 04/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Если вы загружаеты свой приватный ключ на вебприложуху, то тут проблема не в жабаскрипте.
     
  • 1.13, Соль земли (?), 11:09, 04/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Кому-то не пофиг на криптовалюты? Которые могут обвалиться в любое мгновение.
     
     
  • 2.14, Аноним (4), 11:13, 04/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Так как бежать больше некуда, бегут в крипту. Обвал крипты означает пи...дец деньгизму.
     
  • 2.29, Наибулина (?), 11:30, 04/12/2024 Скрыто ботом-модератором     [к модератору]
  • +9 +/
     
     
  • 3.33, Аноним (33), 12:08, 04/12/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 3.44, Аноним (34), 13:27, 04/12/2024 Скрыто ботом-модератором     [к модератору]
  • +3 +/
     
  • 2.41, Аноним (41), 12:53, 04/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Храни сбережения в рублях! (А доллар не в коем случае!)
     
  • 2.68, nume (ok), 16:34, 04/12/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну-ну, сколько уже говорят что биткоин всё? А он всё растёт и растёт (и не только он).
     
     
  • 3.72, Аноним (72), 17:04, 04/12/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    С битком главное дождаться, когда он "ну вот теперь он точно фсе, ха ха, а мы предупреждали", и в этот момент покупать.
     

  • 1.21, Аноним (-), 11:24, 04/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Дурики какие-то... зачем им какая-то крипта?
    Вот лучше бы сломали kernel.org и сопутствующую инфру как раньше.

    > распространялись через NPM во вторник 3 декабря c 18:20 по 23:25

    Всего-то? Жалкие 11 часов?

     
     
  • 2.30, Аноним (30), 11:40, 04/12/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Зачем мучиться с kernel.org, когда написал простенький скрипт для перечисления на свой кошелёк и в продакшон.
     
  • 2.52, Аноним (52), 14:10, 04/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > c 18:20 по 23:25
    > 11 часов

    Раз десять перепроверил, пытаясь понять где я мог ошибиться в вычитании.

     
     
  • 3.54, Аноним (33), 14:32, 04/12/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Четверичная система вычислений - это круто!

    Спалился рептилоид!

     
     
  • 4.109, Аноним (106), 19:58, 04/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Откуда 8 в четверичной системе? (0 .. 7 )
     
  • 3.73, Ты не понял (?), 17:15, 04/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Это время засекалось во время полета вокруг Земли. Такое время может иметь любые значения, но результат один - 11 часов и точка!
     

  • 1.26, Бывалый Смузихлёб (ok), 11:27, 04/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Т.е никакой проверки заливаемого релизного кода в проекте нет ?
     
     
  • 2.39, Аноним (23), 12:22, 04/12/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Мы всегда проверяем.

    /me смех

     
  • 2.48, Аноним (45), 13:43, 04/12/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Так проверял тот же, кто и релизил. Предлагаешь ему свой же бекдор отрежектить?
     
     
  • 3.58, Аноним (4), 14:52, 04/12/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Так отрежектил же. Но есть ньюанс.
     

  • 1.66, Аноним (66), 15:43, 04/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А что за ключи отправляют? Я думал берут ~/.ssh/*, а по скриншотам там как будто... ключи от самой соланы берут? С кошельков чтоб воровать?
     
  • 1.76, Хрю (?), 17:34, 04/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А будет ещё хуже. С нуля писать это не вариант, в большинстве случаев заказчик просто пошлет нафиг, а аудит 100500 зависимостей, которые являются чьими то зависимостями тоже задача невыполнимая.
     
  • 1.79, Аноним (79), 18:00, 04/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    1. Создаю шорт на солану.
    2. Добавляю в репизиторий соланы хорошо заметную уязвимость. Заметность нужна, чтобы быстро обнаружили и не пришлось платит проценты за перенос шорта на следующие дни.
    3. Жду когда находят уязвимость. Либо "нахожу" её сам и быстрее бегу писать новость на опеннете.
    4. С распространением новости, котировка соланы стремительно падает вниз.
    5. Закрываю шорт.
    6. Еду в Вегас транжирить полученный куш.
    7. Нажираюсь в хлам.
    8. Женюсь на какой-то блондинке.
    9. Просыпаюсь утром с больной головой.
    10. Обнаруживаю блондинку, пишущую заявление о разводе.
    11. Хорошо, что весь куш я уже промотал!
     
     
  • 2.84, Аноним (4), 18:23, 04/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Создаю шорт на солану.

    Зашел на первый попавшийся сайт с курсом соланы. 1 декабря упала с ~235 до ~225 и вернулась обратно 3 декабря, когда официально обнаружили. Как-то в другую сторону всё работает.

     
  • 2.89, Аноним (89), 18:26, 04/12/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вообще незначительно упала,в пределах волатильности
    Это не та новость которая вызывает массовый сброс монет
    Это новость для гиков с оупеннет и прочих похорониксов
     
     
  • 3.94, Аноним (94), 18:36, 04/12/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Речь не про последнюю уязвимость.
     
  • 2.142, Аноним (142), 16:56, 05/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Вот если бы ты смог широко распространить по миру "новость из достоверных источников!", что Кучерявый Сэм смог из тюрьмы дотянуться до своего "тайного грандиозного кошелька" с "мильярдами соляны" и сейчас вот-вот всё где-то (интересно, где?) распродаст... И если бы это еще совпало с мощной коррекцией битка (падения этак до 80к) - то да, может и прокатило бы. Если бы ты еще и плечо не меньше 25-го выставил. Но сейчас, или, только из-за этого из новости...
     

  • 1.86, Аноним (-), 18:25, 04/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > JavaScript SDK для работы с криптовалютой Solana из приложений,
    > запускаемых в браузере или использующих такие платформы, как Node.js и React Native.

    Казалось бы, что в этой схеме с такими программистами может пойти не так, если там еще и бабки крутиться будут...

     
  • 1.100, Аноним (100), 19:04, 04/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Это цена отсутствия чучхе. Кто не хочет компрометации - тот пишет всю экосистему сам, с нуля. Начиная от выпечки чипов. И литографического оборудования. И вообще с собственных вооружённых сил для защиты от тех, кто считает, что бекдоры должны быть во всём, а к тем, кто не согласен, отправляет убедительных людей с металлическим убеждателем. Да, это дорого. Безопасность в принципе не может быть дешёвой: обезапашивают то, что стоит дорого, и если преодоление безопасности хоть вполовину будет дешевле стоимости защищаемого по невозвратным издержкам, то это уже 100% рентабельность на языке экономики. Ежели же все издержки возвратные, то стоимость того, что берут бесплатно, вообще роли не играет, выгодно преодолевать безопасность при любом раскладе.
     
     
  • 2.103, Ананимус (?), 19:10, 04/12/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Это цена отсутствия чучхе. Кто не хочет компрометации - тот пишет всю экосистему сам, с нуля.

    Правда никто этого никогда не делает, потому что деньги считать умеют. Но когда это останавливало влажных опеннетчиков?

     
     
  • 3.104, Аноним (89), 19:27, 04/12/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Правда никто этого никогда не делает

    Вы заблуждаетесь. Крупные проекты (не стартапы) пишут всё с нуля. Фейсбук, ВК, Яндекс, Амазон... тысячи их!

     
     
  • 4.107, Аноним (94), 19:40, 04/12/2024 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Посмешил. Все перечислинные начинали что-то делать с нуля только уже став монополистами и лопаясь от капитализации. И то, только потому, что когда в компании тьма продакт менеджеров, им полюбому нужно что-то придумать, чтобы показать руководству. А то их уволят.
     
  • 4.111, Ананимус (?), 20:00, 04/12/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ага, ваще все. Ни одного стороннего компонента не осталось, даже линукс свой написали, черти. Ох лол.
     
     
  • 5.132, Аноним (132), 23:20, 04/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Линукс у них свой, если все ключевые сотрудники под козырёк берут, когда надо. Что не своё - то можно с потрохами и обслуживающим персоналом купить, и станет своим.
     
     
  • 6.139, Ананимус (?), 10:18, 05/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Напомни, как давно яндекс купил openssl?
     
  • 4.112, Аноним (-), 20:04, 04/12/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Вы заблуждаетесь. Крупные проекты (не стартапы) пишут всё с нуля. Фейсбук,
    > ВК, Яндекс, Амазон... тысячи их!

    И кто из них написал с ноля ну хотя-бы операционку для своих серверов?

     
  • 2.120, anonymous (??), 20:50, 04/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    дело пишешь, у японцев своё чучхе было даже еще раньше северокорейцев - там в основе идея что качественным может быть только то что сам полностью контролируешь. Ну и еще что нельзя врать самому себе, разбираться в чём недостаток и его устранять. А у нас под одобрямсы все шильдикостроение и "ахаха из стиралок выковыриваем ахахах да да из стиралок ой ржака" и в итоге 0 промышленности газ в обмен на бусы и все довольны.
     
     
  • 3.131, нах. (?), 23:12, 04/12/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > дело пишешь, у японцев своё чучхе было даже еще раньше северокорейцев -

    В смысле, оно там кончилось раньше чем началась северная корея.

    > сам полностью контролируешь. Ну и еще что нельзя врать самому себе,
    > разбираться в чём недостаток и его устранять. А у нас под

    тоетин датчик заслонки гнусно хихикает над культурными легендами.

    > из стиралок ой ржака" и в итоге 0 промышленности газ в
    > обмен на бусы и все довольны.

    Если бы газ и дальше был в обмен на бусы, а не вяличие - я бы тоже был совершенно доволен. А без знания что такое "кароси" я и дальше бы обошелся.

     

  • 1.108, RANDOMIZE USR 15616 (?), 19:42, 04/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вот так мифы о "независимости" и "неподконтрольности" криптовалют разбиваются о вопрос: "А кто, собственно, правит их исходники?"
     
  • 1.118, Аноним (-), 20:39, 04/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Solana занимает пятое место по размеру капитализации
    > которые распространялись через NPM во вторник 3 декабря c 18:20 по 23:25
    > версий web3.js 1.95.6 и 1.95.7

    Меня одного это смущает что-ли? 5ая по размеру _виртуальная экономика_ за 5 часов пару раз апнулась..

     

  • 1.126, Аноним (126), 22:08, 04/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >>  Также рекомендуется ... изучить содержимое каталога node_modules

    Повеселило) Это веселит даже если видел лишь node_modules от TODO app например на ангуляре.

     
  • 1.140, OpenEcho (?), 11:51, 05/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > используя методы социального инжиниринга и фишинга.

    Митник бессмертен !

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру