Взламываю смарт-контракт на Solidity в рамках тестового задания - на middle solidity developer
HTML-код
- Опубликовано: 23 апр 2022
- Показываю свое решение тестового задания, которое рассылает одна компания в поисках middle solidity developer.
Задание: взломать Solidity - смарт-контракт - разгадать 3 секретных слова.
Видео будет полезно тем, кто беспокоится о безопасности своих смарт-контрактов.
Код задачи у меня на гитхабе: gist.github.com/BedrosovaYuli...
Задача: kovan.etherscan.io/address/0x...
Решение: kovan.etherscan.io/address/0x... 
Наука
![KFF Singapore Badminton Open 2024 | Alfian/Ardianto (INA) [7] vs. Liang/Wang (CHN) | QF](http://i.ytimg.com/vi/g0QGafkoT2o/mqdefault.jpg)
boosty.to/bedrosova - больше контента и ранний доступ тут
Это потрясающе! Уникальный контент на ютубе! Чёткая дикция, то как вы разбираетесь в теме и то, что вы первая девушка которая шарит за солидити меня лично сразило наповал! Вы превосходны! Продолжайте! Вы за час дали столько информации сколько я сам впитывал бы месяц
Спасибо!
я ОХУЕЛ просто
Я вообще не понимаю как можно в этом разбираться. Программирование это такой темный лес 🏞
@@ZEXthn ну здесь и не должны быть тебе понятно. Чтобы понять это не только нужно знать язык, а ещё как устроены смарт контракты
@@rucat284 смарт-контракты это что-то с криптовалютой связанное ?
Самая сложная задача в этом видео это поделить 24 на 8 :D
ха-ха
@@YuliyaBedrosova Здравствуйте, Юлия! Помогите мне, пожалуйста, с одним скамовым смарт-контрактом. Буду очень благодарен.
Благодарю Вас, очень интересно. Отличная дикция и детальное\пошаговое объяснение. На Solidity не пишу, интересно для общего развития.
Спасибо за грамотный разбор! Без лишних слов, качественно объясняете, потрясающе!
Спасибо!
Очень интересно, спасибо за ваш труд. Обязательно обращусь к вам.
Все понятно доступно от А до Я, смотрел на скорости 1,5. давно не писал контракты, просто видео попалось в рекомендованных) ютуб продвигает вас, очень хороший контент
Спасибо!
Отлично, хотелось бы побольше видео на тему прохождения подобных заданий. Очень интересно смотреть на ваше решение
Спасибо!
Великолепный контент, спасибо большое автору
Спасибо!
крайне интересно.
даёшь больше solidity!
спасибо! будет!
Это годный контент!!!! Подача отличная и понятная, много чего нового можно узнать от подобных видео🦄👍👍👍
Спасибо!
@@YuliyaBedrosova жду новых подобных интересных разборок
Интересно не то слово, очень полезно все понятно!
Шикарный контент! Благодарю! :)
Спасибо!
Добрый день, Юлия. Оличный контент. Хотя довольно жестко для начинающих.) Сдеалайте пожалуйста видео по развертыванию рабочей среды. Так сказать от профи. И вот этот хак с VCode и использование своего сервера тоже очень интересно. Спасибо за ваши попытки сделать мир лучше..
буду разворачивать себе на какой-то новой машине - запишу
Очень круто. Потрясающе.
Вау! Вы просто невероятная!
Спасибо!
Очень интересно!
Круто, очень!
Очень интересно! Большое спасибо за видео!
Спасибо!
Очень круто! Кто0то большой молодец)))
Очень круто! Лайк!
Удивительное несоответствие голоса/дикции и контента) 99% видео с похожим голосом, это как сделать пирог в форме ёжика или сплести что-то из бисера или в крайнем случае на какую "кнопочку нажать, чтобы всё заработало", а тут лазим в память, декомпилируем код, деплоим форки... И это звучит так понятно, а на деле, этож ппц, так шарить в теме... Множественные респекты вам)
Я могу вам и про ежика рассказать если что.
Благодарю, очень полезно, подскажите где вы изучали solidity? где узнали про эти тонкости?
Нашел ресурс solidity-by-example где рассказывается об этом и не только, если у вас есть еще источники, кроме документации, поделитесь пожалуйста)
Я просто читала документацию по Solidity и Ethereum еллоу педжес, и решала задачи, которые передо мной стояли. Знаете, когда я начинала свою карьеру - еще будучи студенткой 18 лет назад, тогда не было такого деления, что я вот программист C++, а ты программист PHP. Если ты программист, и перед тобой стоит задача, ты открываешь документацию, читаешь ее и решаешь задачу. Я до сих пот так делаю. А тех языков, на которых я за это время успела поработать - не пересчитать.
Привет, можешь уточнить что это за ресурс solidity-by-example? Первая ссылка в гугле она?
Как вариант - послушать видео Ilya Krukowski, чтобы начать понимать основы Solidity. После чего решить задачки на Ethernaut, в ходе чего Вы поймёте тонкости Solidity и места, на которых можно обжечься. Но сразу говорю, что если идти по этому пути, то требуются предварительные навыки программирования.
Этих знаний уже достаточно для того, чтобы понимать видео Юлии, и имхо даже самому сделать то, что делает она (возможно, правда, несколько медленнее, я вот про immutable не знал, поначалу подумал, что это чисто защита на уровне компилятора, никак не влияющая на генерируемый байткод, а оказывается, это значение вычисляется в момент создания контракта и при этом меняется код контракта, на самом деле довольно забавно, что при деплое контракта вы заливаете не сам код контракта, а код, который генерирует код контракта, и собственно, компилятор Solidity вам и генерирует не сам код контракта, а код генерации кода контракта).
Только что посмотрел на solidity-by-example, думаю, тоже стоит прочитать, в том числе чтобы узнать используемые распространённые паттерны.
Yuliya, спасибо за материал, полезно, изучаю, тестирую. Не могли бы сказать, как мониторить только что появившиеся токены на bsc?
Это сложная тема. Читайте документацию по ethers js - там это есть.
класс, давайте еще
будет!
Ничего не понял, но очень интересно) 🙂
Как это оказалось у меня в рекомендациях?
Задача решается гораздо проще без копания в перситент памяти контракта и без деплоя. Просто выполня модифицированный код в тесте прямо в IDE, отправляя ключи под текущий нонс в окно лога дебугера. pwd2 берем как показано в видео, pwd1 - не нужен (задача же была только 2 угадать).
Сейчас бы я тоже решала по-другому, но благодаря этому видео мой канал вырос - переснимать не планирую - повторы так не залетают.
Юлия, добрый день! Подскажите пожалуйста, есть ли сейчас востребованность на рынке РФ или вне его для начинающих разработчиков? Планирую перекатываться из java(5+лет), сложно ли будет найти работу на первых порах?
Работа есть всегда для тех, кто хочет работать, а не просто теплое место. Конечно, нужно вкатываться, если есть интерес.
Спасибо за котент)
Здравствуйте, Юлия, на данный момент я так понимаю тестовая сеть kovan недоступна, не могли бы вы заменить ссылки на исходный код контракта? Спасибо большое за видео.
Заменю! Спасибо, что заметили!
спасибо за видео! очень интересно, но ничего не понято)
👍🏼💯
Юлия, вам бы хоткеи посмотреть чтоб одной комбинацией числа выделять😊
Мое уважение
Пока не смотрел в крипту, тут случайно нашёл уже второй ролик смотрю. Кстати, в индустрии говорят ивЕнт
класс!
Очень интересно, спасибо! Возникает ли у вас сложность с верификацией контракта в эксплорере?
обычно нет
Потрясающий контент
Спасибо!
@@YuliyaBedrosova А у Вас в фирме используют смарт контракты или это просто для интереса было сделано?
@@user-fk8lb4jj6k если заказать что-то хотите - обращайтесь ко мне в скайп Bedrosova - организую
@@YuliyaBedrosova Просто я самостоятельно изучаю Solidity, спросил из любопытства
Впечатляет. Пора из тестировщика в солидити девелопера переквалиться
Ктл может помочь вытащить деньги из смарт контракта?
Твой ум возбуждает
По моему визуально секреты напоминают адреса контактов, может имеет смысл проверить существуют ли они? Может там сразу на Сеньора тестовое?)
Вряд ли существуют, они же каждый раз меняются после изменения нанс.
Ничего не понятно, но очень интересно 🤔
Сразу такой вопрос, пришёл в эту тему из создания нфт коллекции. Мозги то вроде есть, но опыта в программировании нет вообще. Смотрел видео у Hashlips и у Вас. В связи с этим хочу узнать безопасно ли созданы смарт контракты, которые даёте Вы и Lips для создания коллекций. Прокомментируйте пожалуйста!
проверять надо, этот код дается в образовательных целях
@@YuliyaBedrosova т.е. гарантий нет, я понял. Спасибо. Но этот код же явно не совсем "дырявый", так бы его ведь не рассматривали? А не можете посоветовать код для смарт контракта проверенный, чтобы при использовании точно не сломали?
Т.е. где взять код для реальной не тестовой коллекции?
@@maksimpetrenko683 бывает так, что смарт-контракт получает сертификат в 3х разных аудиторских компаниях, а его все равно ломают. Нет таких вариантов, где вы не несете риск. Но на хешлипсовских контрактах я запускала коллекции, и мои клиенты запускали - они этот риск осознанно несут.
@@YuliyaBedrosova из этого могу понять, что это адекватный действительно вариант без того чтобы заказывать для себя код. Спасибо огромное за ответы!!!
После этого видео! Чувствую себя ХАКЕРОМ)
Ничего не понятно, но очень интересно.
Контент прелесть)
Спасибо!
Есть ребята из Азии, где есть безлимитный тариф на ютьюб трафик в 360р, чуть крупнее шрифт кода позволит смотреть без особого напряга, весь остальной трафик дороговат.
ого вы могете! чотко!
Спасибо!
Все круто ,но....2:54-3:14. Вот это очень непонятно.Как подключиться к кован?Что значит подлючиться к адресу задеплоенного контракта?И почему просто не задеплоить в обычную тестовую виртуальную сеть remix и также нажимать все кнопочки и геттеры?
Подскажите пожалуйста, купил скам токен, контракт не верифицирован. Реально как нибудь забрать своё?
Скорее всего, нет.
@@YuliyaBedrosova если контракт не верифицирован, могу я его верифицировать? На что влияет верификация?
@@ScrOOge69 его могут верифицировать только создатели. Верификация влияет на вашу возможность изучать его код и взаимодействовать с ним без специального интерфейса. Вы никогда не должны вкладывать деньги в неверифициррванные контракты - этим вы не только вредите себе, но и портите рынок - поддерживаете мошенников материально.
@@YuliyaBedrosova согласен. Вроде и опыт есть, сам не знаю как это произошло 🤦
@@ScrOOge69 ну у того чувака и спросите
Было бы очень инетересно посмотреть видео с вашей историе)))
Спасибо!
Моя история скучная и не модная: я заканчивала профильный ВУЗ - КубГТУ, подрабатывала лаборантом на кафедре, потом работала инженером-программистом на заводе, принадлежащем РЖД, у РЖД был договор с КубГТУ на поставку выпускников - и именно это дало начало моей карьере. РЖД - большая и технологичная компания. После нее у меня был хороший опыт.
Напишите смартонтракт который пишет письмо автоматически через другой смарт контракт без передачи секретов;-)
ничего не понятно, но очень интересно
Как вернуть денги из контракта ?
Dzięki :)
Где вы этому научились?
Читала документацию.
Вау
Откуда вы такая?
Спасибо!
Невероятно крутой кейс! Спасибо
Спасибо!
А как можно увидеть код любого токена?
Ну так же - через эксплоер по адресу контракта токена.
@@YuliyaBedrosova на бсц можно? Я там не нашел
@@asdfakljcvnmdsfadfs там можно, да
@@YuliyaBedrosova ну там же только код контракта, а мне исходный код нужен, не могу найти его
Круто, не работаю с криптой (solidity) но тем не менее было очень интересно
Задача показалась довольно тривиальной: всего то нужно уметь вызвать функцию с библиотеки которая считывает dump памяти контракта.
Так просто сривёрс-инжинирить дамп памяти, все равно что считывать содержимое какого нибудь си-шного struct в mem-browser-е какого нибудь debugger-а.
Такого типа конткракты вообще реальней кейс в эфире? Если да, то эта штука небезопасная от слова совсем.
Да, все так.
В этой задаче, кстати, возможна одна сложность. При расчёте третьего секрета вызывается другой контракт.
А код в нём вполне может учитывать msg.sender, в результате чего значение, подсчитанное Вашим контрактом будет неверным.
Я уже не помню точно, если честно, учитывала ли я этот нюанс, но не проблема ведь подгрузить и декомпилировать код другого контракта. И эта задача не могла быть нерешаемой - тогда ее не давали бы в качестве тестового.
Ой, в этом месяце я ещё так не смеялся! 24 поделить на 8, сколько же это будет? Шесть? Нет, 4! А может 8? И так, не будем гадать, правильный ответ от калькулятора будет 3! Хотя я не уверена, что у него не сели батарейки
ЗЫ Без обид, просто улыбнулся
это единственный момент во всем видео, который вы поняли?
@@YuliyaBedrosova Да, милая Юлия, это единственный момент во всём видео, который я понял. И?
@@anso_10101 а, ну хорошо, что хотя бы так.
От желчи смотри не умри 🤗
@@tatya7553 А из тебя уже прёт из всех щелей?
Вообще не в теме и не понимаю как меня сюда занесло что вообще происходит че за солидити, но смотреть интерессно.
начал обучение просто не знаю куда писать,задумано правильно но ваша программа тупит то не пишет,то не удаляет мозг за два дня вынесла как будто пол года занимался
😁😁😁😁
Вообще не Але в солидити, но интересно
Я полный ноль в этом (не знаю почему ютуб порекомендовал мне это) но у меня вопрос. Зачем такая защита которую так просто взломать? Нет я понимаю до этого видео это наверно было трудно но теперь-то.
Ха-ха. Закройте видео и повторите.
@@YuliyaBedrosova Я же говорю это не моя тема. Но я подумал раз задания со взломом дают на собеседовании значит наниматель знает о возможности взлома. Он не делает из этого секрет и более того требует чтобы соискатели тоже знали что подразумевает что это возможно. Полагаю на этот взлом способен любой кто знает принципы криптографии и устройство этого фрэймворка/протокола на уровне деталей о хранении переменных. По идее все что касается финансов должно быть безупречно надежным а тут такое. Лично я после увиденного делаю вывод что все эти смартконтракты - фуфел и мне интересно есть ли вероятность что я ошибаюсь.
@@fufloradar есть набор задач, к-й основан на исторических взломах смарт-контрактов. Сискатель должен знать их все наизусть, чтобы когда он пишет код - избегать конструкций, которые себя уже скомпрометировали. Естественно, задания на собесах специально упрощены, чтобы сделать их проходимыми. Иначе никто не прошел бы.
@@YuliyaBedrosova Ок но на месте разработчиков этого фрэймворка я позаботился бы чтобы действия пользователя не смогли привести к компрометации а сейчас я делаю вывод что грош цена этому фрэймворку. Спасибо за видео.
Ни чего не понятно, но спасибо 😊
Спасибо!
капнула, картошки ....
В канун Пасхи - святое дело.
@@YuliyaBedrosova а вы пробовали искать уязвимости в токенах у которых есть ликвидность?
@@yan_it пробовала, конечно, хотите чтобы я посмотрела какой-то конкретный - кидайте адрес. У меня на майских вагон времени.
@@YuliyaBedrosova завтра скину несколько
почему не взломаете смарт контракты тогда другие и не украдете миллионы эфиров?
Потому что этот был простой, а другие - сложные.
Зачем тебе это все нужно?
что именно?
@@YuliyaBedrosova эти все смартконтракты, уязвимости, борьба за защиту хомяков.. вместо этого кухня и борщ
@@renozelver4680 хаха, сказал как отрезал)
@@renozelver4680 У меня отвратительное мнение о людях в целом, но тем не менее каждый раз двуногий крупнорогатый скот застаёт меня в расплох там где его не ждёшь увидеть)))
Куда я попал? Посмотрел конечно всё, но ничего не понял. После просмотра сложилось впечатление, что я в своей жизни пропускаю что-то очень интересное.
😁
Привет, есть интересный скам был. Было бы круто увидеть видео обзор 0xcd657182a749554fc8487757612f02226355269d bsc
Спасибо! Посмотрю, если успею.
@Yuliya Bedrosova подскажите пожалуйста:
Хорошо что столкнулся с этой проблемой когда на кошельке была маленькая сумма.
у меня из кошелька метамаска украли небольшую сумму в районе $11.
Если я знаю на какой кошелек была отправлена сумма - как узнать какой контракт (подключенный сайт/контракт) - это делает, чтобы его отключить?
Помогите пожалуйста
Вот адресс куда ушли средства: 0x3900a3247160021529b2A98E987a938Ef5a65cbd
На трансляции сегодня отвечу.