ведут, и довольно активно. Как минимум есть несколько проектов, которые пытаются создать железо для прувинга. Плюс многие новые пруф системы умеют эффективно использовать много конвейеров GPU, на котором получают буст производительности в разы, а то и десятки раз. Это не нейросети, но все равно - очень значимый прирост. А на одной из конференций, где я был, посвященной чисто пруф-системам и ZK, был, например, доклад от AMD. С чего бы это?
Ну, фишка последних лет, что сейчас на современых фреймворках уже можно писать не вдаваясь сильно в математику пруфов. Просто понимтаь что прям много всего не засунешь, и просто тестировать, стараясь чтобы proving и verification time/proof size были нормальными, чтобы система работала
Офигенно, сам Tarantool очень хорош, один из любимых продуктов в области СУБД, а в связке с отказоустойчивым автореконфигурируемым кластером - вообще супер!
ну вообще бекенды-то вообще в паблик не выкладывают, даже если и не стыдно - как то не прижилось, очень уж стремно это считается. Хотя это не очень хорошая с теоретической точки зрения практика. Исходники все равно можно достать подкупом, так что для реального врага их не скроешь, так что лучше играть в открытую с большими bounty и многчисленными pentester-ами, если действительно нужна безопасность. Увы, до этого уровня ИТ сообществу с его корпоративными "лицензиями" и "годовыми тарифными планами" еще придется подрасти.
C этим даже близко не спорю. Открытый софт, разрабатываемый по правильным принципам гораздо более безопасен чем закрытый. И гос. софт точно должен быть открытым. И открываться должен не через дыры, а выложен на публичный государственный github, с pull request-ами, обсуждениями фич. Но у нас до этого дозреют наверное только к 2030, а пока будет самописное закрытое
вообще репорт про bounty публикуется после того, как дыра была найдена и сотрудникам баунти не дают (точнее в норм. компаниях дают внутри и в открытую). google, amazon, yandex и mail.ru и еще тысячи компаний используют bounty - вряд ли, наверное, использовали бы, если бы результатов не было А вообще, уже несколько лет как есть куча ребят, которые просто честно этим зарабатывают, лично знаю многих. И ни одну дыру для себя не использовали. В случае кидка инфа просто распространяется в группах whitehats о том, что данная компания - тупое мудачьё, и ее нефига шатать, страдает от этого только сама компания.
совершенно нормальная практика - нормальные сервисы пишут "копайтесь пожалуйста в наших сервисах" либо дают тестовые стенды, в которых можно копать за хорошие деньги. И государственные сервисы просто обязаны так поступать.
А аналогия про отмычки паршивая - если мне слесарь показывает как с помошью зубочистки и скрепки мой замок открывается, причем приватно, и советует сменить замок - я не буду против заплатить ему, а не написать его имя в "лист благодарностей"
Ну а про посадки "асоциальных" личностей, ссущих в солонки - это совсем уже политота, на хабре ей не место...
зря, вполне нормальная практика требовать за серьезную дыру, человек работал, искал дыру, это не халява вообще - то что дыра халявная, повторяю, это не довод - бывают дыры которые требуют огромной работы, а bounty за них - смешное. Для гос сервисов надо вообще держать огромные bounty, чтобы любой хакер хотел и мечтал взломать госуслуги, сообщить о дырке приватно и помочь убедиться что дыру залатали. Так делается по-правильному в крупных WWW сервисах, баунти программы есть у всех крупнейших компаний.
имхо, самое главное - динамический шардинг и изначально очень продуманная архитектура (правда вся - самописная). Аккаунты-контракты, сообщения между шардами с вложенными в них TON-ами, эффективный storage из cells, сложные, но реально секърные fees. Мне показалось, что Николай прям здорово почувствовал много болей блокчейнов - размер storage, мертвые акки, cross-shard транзакции и решил в первую очередь именно эти задачи, а на остальные - типа компиляторов, примитивов для разрабов, они забили пока. Этим, они, правда, положили болт на юзабилити для внешних разработчиков, но вообще на том этапе не было никакого смысла строить какой то tooling - тупо код был не доделан. Например, рабочий в проде шардинг цепочек на момент выхода той версии ноды TON никто в проде не сделал, а в тесотнете FreeTON этот шардинг протестили, все вроде даже сработало - шарды разсплиттились, и потом смержились. Похожие решения заработали в проде только вот недавно - NEAR, Avalanche, например, и еще куча похожих Ну а последние цифры по tps во FreeTON(который теперь Everscale) - вообще офигенные, почти 60k tps - это мега круто для блокчейнов. Но вообще всю эту ситуацию я рассматриваю так: "вот какая каша бывает, когда core-команда бросает самый основной движок и валит". Могли бы хоть свой backlog опубликовать, или хотя бы неофициально слить кого то из core-разрабов на независимое развитие проекта.
P.S. Ну и большое спасибо за всё это дедам-тупарям из SEC.
да, базовые контракты пробовал, и нативно, и с Solidity компиляторов от тонлабс. Получалось сделать простые вещи, но чтобы делать что-то сложнее, надо прям здорово понимать особенности TON, аккаунтов, cells, нюансов реально много
имхо, отличная архитектура, которая работает в проде. Я хз что там с баблом и governance, но технически TON хорош - многие боли блокчейнов там красиво решены. Хотя писать под него - это та еще история
Я вообще не понял где это общество обещало быть открытым и честным? Блокчейны тем и круты, что там на словах ничего не построено, только код, никто никому ничего не обещает. Безопасность этого кода работает только если M из N участников следуют протоколу, причем M > 1 - это уже в M раз лучше чем в традиционном софте. Так что история с MEV очень показательна - никто никому ничего не должен, сеть открыта и работает по такому-то алгоритму, все "пожелания" к "честности" на словах никому не интересны - это просто не работает. Именно из за этой беспринципности блокчейны безопасней и крепче любых централизованных систем.
Где гарантии, что Яндекс или FB - это не сговорившаяся кучка скамеров? Кто их инвесторы? Какие задачи они ставят подразделениям? Как процессят наши данные? Без наездов на уважаемые компании - мы все им верим и их работа критически важна, но надо все таки признавать, что есть конкретные требования к безопасности, которые гораздо крепче в децентрализованной среде.
Проблема MEV, имхо, не решается никакой простой добавочной логикой, если есть свободная p2p сеть по доставке транзакций и блоки с фиксированным порядком транзакций. Всегда можно будет эксплойтить. Решение в сокрытии содержимого транзакций, но это требует всю сеть изначально строить в zero-knowledge парадигме. Ну и проблему-то эту необязательно искоренять, ее нужно "возглавить". Сейчас уже есть нормальные аукционы по приватному предордерингу транзакций, они просто продолжат развиваться. Тот же арбитраж, просто еще одно измерение.
софт не может диктовать майнерам ничего, при формировании блока всегда можно вбросить транзакцию. Никаких проверок софта нет - в блокчейнах один и итот же протокол реализуется множеством вариантов софта - в том же Ethereum есть куча нод на разных языках. Проверка про "нужный" софт - это и есть консенсус, другой нет. По поводу наказаний - в PoS сетях они есть, и MEV-ающих валидаторов остальные могут выкидывать из сети, этот механизм есть, но не уверен, что это прям нужно делать - бороться с технически неостановимой атакой запретами и угрозой послешить - неэффективная стратегия - лучше экономически, сделав нормальный рынок ордеринга и пусть трейдеры себе бодаются за позиции в блоке
верификация бесплатная - сотрудник аэропорта предъявляет QR код с одноразовым рандомом, типа "подпишите-ка этот рандом приватником от адреса, который указан в реестре". Юзер своим телефонов (где есть приватник) подписывает + показывает адрес. Телефон сотрудника знает какие адреса есть в реестре и может убедиться, что только владелец адреса мог его подписать. Можно и дальше оптимизировать схему - например с помощью merkle proofs, тогда на телефоне сотрудника есть вообще лишь одно число - merkle root ВСЕХ привитых, а юзер доказывает: 1) что он владеет адресом A (с помощью подписи) 2) что адрес A находится в списке привитых (с помощью merkle proof)
угу. Ну можно выбрать из кучи форков эфира, например. Я люблю xDAI например (просто знаю сколько нужного софта ребята написали для экосистемы). Там быстро и дешево. Ну и решение на эфире можно вообще сделать сразу во всех эфирных БЧ :) Если используется один и тот же тип адресов, то один и тот же адрес может быть использован в нескольких БЧ.
ведут, и довольно активно. Как минимум есть несколько проектов, которые пытаются создать железо для прувинга. Плюс многие новые пруф системы умеют эффективно использовать много конвейеров GPU, на котором получают буст производительности в разы, а то и десятки раз. Это не нейросети, но все равно - очень значимый прирост. А на одной из конференций, где я был, посвященной чисто пруф-системам и ZK, был, например, доклад от AMD. С чего бы это?
Ну, фишка последних лет, что сейчас на современых фреймворках уже можно писать не вдаваясь сильно в математику пруфов. Просто понимтаь что прям много всего не засунешь, и просто тестировать, стараясь чтобы proving и verification time/proof size были нормальными, чтобы система работала
плюс многие из новостей выше - "блестящие примеры индустрии, построенной на заныкивании кода и надежде, что его никто не стырит" :)
Офигенно, сам Tarantool очень хорош, один из любимых продуктов в области СУБД, а в связке с отказоустойчивым автореконфигурируемым кластером - вообще супер!
ну вообще бекенды-то вообще в паблик не выкладывают, даже если и не стыдно - как то не прижилось, очень уж стремно это считается. Хотя это не очень хорошая с теоретической точки зрения практика. Исходники все равно можно достать подкупом, так что для реального врага их не скроешь, так что лучше играть в открытую с большими bounty и многчисленными pentester-ами, если действительно нужна безопасность.
Увы, до этого уровня ИТ сообществу с его корпоративными "лицензиями" и "годовыми тарифными планами" еще придется подрасти.
да выкатка просто так сделана - раньше так часто выкатывали, когда докеров, облачных тачек не было. git pull на всех серверах и погнали
C этим даже близко не спорю. Открытый софт, разрабатываемый по правильным принципам гораздо более безопасен чем закрытый. И гос. софт точно должен быть открытым. И открываться должен не через дыры, а выложен на публичный государственный github, с pull request-ами, обсуждениями фич. Но у нас до этого дозреют наверное только к 2030, а пока будет самописное закрытое
вообще репорт про bounty публикуется после того, как дыра была найдена и сотрудникам баунти не дают (точнее в норм. компаниях дают внутри и в открытую). google, amazon, yandex и mail.ru и еще тысячи компаний используют bounty - вряд ли, наверное, использовали бы, если бы результатов не было
А вообще, уже несколько лет как есть куча ребят, которые просто честно этим зарабатывают, лично знаю многих. И ни одну дыру для себя не использовали. В случае кидка инфа просто распространяется в группах whitehats о том, что данная компания - тупое мудачьё, и ее нефига шатать, страдает от этого только сама компания.
совершенно нормальная практика - нормальные сервисы пишут "копайтесь пожалуйста в наших сервисах" либо дают тестовые стенды, в которых можно копать за хорошие деньги. И государственные сервисы просто обязаны так поступать.
А аналогия про отмычки паршивая - если мне слесарь показывает как с помошью зубочистки и скрепки мой замок открывается, причем приватно, и советует сменить замок - я не буду против заплатить ему, а не написать его имя в "лист благодарностей"
Ну а про посадки "асоциальных" личностей, ссущих в солонки - это совсем уже политота, на хабре ей не место...
зря, вполне нормальная практика требовать за серьезную дыру, человек работал, искал дыру, это не халява вообще - то что дыра халявная, повторяю, это не довод - бывают дыры которые требуют огромной работы, а bounty за них - смешное.
Для гос сервисов надо вообще держать огромные bounty, чтобы любой хакер хотел и мечтал взломать госуслуги, сообщить о дырке приватно и помочь убедиться что дыру залатали. Так делается по-правильному в крупных WWW сервисах, баунти программы есть у всех крупнейших компаний.
слив исходников - это лютая дыра для всех нормальных безопасников
требование bounty за простую, но огромную дырень в сервисе - совершенно нормальная практика современных whitehat-ов
то что ему повезло легко найти - не меняет факта серьезности уявимости, которая еще и вскрыла другие сервисы
имхо, самое главное - динамический шардинг и изначально очень продуманная архитектура (правда вся - самописная). Аккаунты-контракты, сообщения между шардами с вложенными в них TON-ами, эффективный storage из cells, сложные, но реально секърные fees. Мне показалось, что Николай прям здорово почувствовал много болей блокчейнов - размер storage, мертвые акки, cross-shard транзакции и решил в первую очередь именно эти задачи, а на остальные - типа компиляторов, примитивов для разрабов, они забили пока. Этим, они, правда, положили болт на юзабилити для внешних разработчиков, но вообще на том этапе не было никакого смысла строить какой то tooling - тупо код был не доделан.
Например, рабочий в проде шардинг цепочек на момент выхода той версии ноды TON никто в проде не сделал, а в тесотнете FreeTON этот шардинг протестили, все вроде даже сработало - шарды разсплиттились, и потом смержились. Похожие решения заработали в проде только вот недавно - NEAR, Avalanche, например, и еще куча похожих Ну а последние цифры по tps во FreeTON(который теперь Everscale) - вообще офигенные, почти 60k tps - это мега круто для блокчейнов.
Но вообще всю эту ситуацию я рассматриваю так: "вот какая каша бывает, когда core-команда бросает самый основной движок и валит". Могли бы хоть свой backlog опубликовать, или хотя бы неофициально слить кого то из core-разрабов на независимое развитие проекта.
P.S. Ну и большое спасибо за всё это дедам-тупарям из SEC.
да, базовые контракты пробовал, и нативно, и с Solidity компиляторов от тонлабс. Получалось сделать простые вещи, но чтобы делать что-то сложнее, надо прям здорово понимать особенности TON, аккаунтов, cells, нюансов реально много
имхо, отличная архитектура, которая работает в проде. Я хз что там с баблом и governance, но технически TON хорош - многие боли блокчейнов там красиво решены. Хотя писать под него - это та еще история
Я вообще не понял где это общество обещало быть открытым и честным? Блокчейны тем и круты, что там на словах ничего не построено, только код, никто никому ничего не обещает. Безопасность этого кода работает только если M из N участников следуют протоколу, причем M > 1 - это уже в M раз лучше чем в традиционном софте. Так что история с MEV очень показательна - никто никому ничего не должен, сеть открыта и работает по такому-то алгоритму, все "пожелания" к "честности" на словах никому не интересны - это просто не работает. Именно из за этой беспринципности блокчейны безопасней и крепче любых централизованных систем.
Где гарантии, что Яндекс или FB - это не сговорившаяся кучка скамеров? Кто их инвесторы? Какие задачи они ставят подразделениям? Как процессят наши данные? Без наездов на уважаемые компании - мы все им верим и их работа критически важна, но надо все таки признавать, что есть конкретные требования к безопасности, которые гораздо крепче в децентрализованной среде.
Проблема MEV, имхо, не решается никакой простой добавочной логикой, если есть свободная p2p сеть по доставке транзакций и блоки с фиксированным порядком транзакций. Всегда можно будет эксплойтить. Решение в сокрытии содержимого транзакций, но это требует всю сеть изначально строить в zero-knowledge парадигме. Ну и проблему-то эту необязательно искоренять, ее нужно "возглавить". Сейчас уже есть нормальные аукционы по приватному предордерингу транзакций, они просто продолжат развиваться. Тот же арбитраж, просто еще одно измерение.
софт не может диктовать майнерам ничего, при формировании блока всегда можно вбросить транзакцию. Никаких проверок софта нет - в блокчейнах один и итот же протокол реализуется множеством вариантов софта - в том же Ethereum есть куча нод на разных языках. Проверка про "нужный" софт - это и есть консенсус, другой нет.
По поводу наказаний - в PoS сетях они есть, и MEV-ающих валидаторов остальные могут выкидывать из сети, этот механизм есть, но не уверен, что это прям нужно делать - бороться с технически неостановимой атакой запретами и угрозой послешить - неэффективная стратегия - лучше экономически, сделав нормальный рынок ордеринга и пусть трейдеры себе бодаются за позиции в блоке
https://zen.yandex.ru/media/id/5f0826e994f06f0e7c353244/ethereum--premainennyi-skam-605379e029a80b6fd2d3d54c
верификация бесплатная - сотрудник аэропорта предъявляет QR код с одноразовым рандомом, типа "подпишите-ка этот рандом приватником от адреса, который указан в реестре". Юзер своим телефонов (где есть приватник) подписывает + показывает адрес. Телефон сотрудника знает какие адреса есть в реестре и может убедиться, что только владелец адреса мог его подписать. Можно и дальше оптимизировать схему - например с помощью merkle proofs, тогда на телефоне сотрудника есть вообще лишь одно число - merkle root ВСЕХ привитых, а юзер доказывает:
1) что он владеет адресом A (с помощью подписи)
2) что адрес A находится в списке привитых (с помощью merkle proof)
угу. Ну можно выбрать из кучи форков эфира, например. Я люблю xDAI например (просто знаю сколько нужного софта ребята написали для экосистемы). Там быстро и дешево. Ну и решение на эфире можно вообще сделать сразу во всех эфирных БЧ :) Если используется один и тот же тип адресов, то один и тот же адрес может быть использован в нескольких БЧ.