پادکست هجیو 🎧

جلسه طبق برنامه آغاز شد و منتظر حضور شما هستیم. 💚 https://x.com/hedgio_fa/status/2066207429780553903 💚 Website | @hedgio_fa

جهت تنظیم یادآور برای این جلسه می‌تونید به این لینک مراجعه کنید: https://x.com/hedgio_fa/status/2066207429780553903 💚 Website | @hedgio_fa

«وقتی دنیا در حال پیشرفت بود، ما کجا بودیم؟» از سری هجیوپاد (اسمش دیگه هجیوفان نیست، چون مدتی میشه که دیگه هیچ‌چیزی فان نیست برای ما). بعد از مدت‌ها می‌خوایم توی یک جلسه‌ی زنده در خدمت شما باشیم و از تمام مسائل روز که این مدت اتفاق افتاده حرف بزنیم! یکی از مهم‌ترین مباحثی هم که بررسیش می‌کنیم، بحث «مدیریت رویکرد در نگهداری دارایی‌های رمزارزی برای ایرانی‌ها»ست، که با توجه به خبرهای مختلفی که به گوش همه‌مون رسیده باید از دغدغه‌های اصلی‌مون باشه و ما به سوال «چه‌طور خودمون رو از خطرات مربوط به رهگیری‌پذیری در امان نگه داریم؟» پاسخ خواهیم داد. این دوشنبه، در اسپیس توییتری هجیو در خدمت شما هستیم. ۲۵ خرداد ماه ساعت ۸ شب به‌وقت ایران با همکاری دوستانمون: @decaffeth x @Defi_Avenue لطفا برای دوستانتون هم این پیام رو بفرستید! 💚 💚 Website | @hedgio_fa

خود ماجرا به خودی خود، خیلی عجیب به‌نظر می‌رسه،

ایده اینه که ممکنه قدرت یکی از این هوش‌‌های مصنوعی از کنترل خارج بشه و توان مقابله باهاش وجود نداشته باشه. تازه ما داریم درمورد مدل‌هایی حرف می‌زنیم که در دسترس عموم قرار می‌گیرن. تازه درمورد فیبل از همون ابتدا یک‌سری محدودیت‌هایی در زمینه‌هایی مثل بیولوژی و سایبر اعمال شده بود.

این‌وسط اما رفتار انتروپیک هم جالب بود. دسترسی فیبل رو برای تمام کاربرانش بست و استثنایی در این‌مورد قائل نشد. https://x.com/AnthropicAI/status/2065597531644743999

اولین بودن لزوماً بهترین بودن رو در پی نداره، همون‌طور که متامسک دیگه امروز پادشاه محسوب نمیشه. خیلی یهویی برام سوال شده بود که «والت Rabby از چه RPCهایی به‌عنوان پیش‌فرض در شبکه‌های مختلف استفاده می‌کنه؟». خب از توی خود اکستنشن بخشی وجود نداشت برای دیدنش. فقط شما می‌تونی اگر دوست داشته باشی Custom RPC خودت رو، مثلاً اگر از هرجایی گرفتی یا خریدی، اضافه کنی بهش. خیلی عجیب بود که همچین‌چیز ساده‌ای چرا توش وجود نداره، که بعدش با یه سرچ ساده فهمیدم فکر جاهای خیلی خفن‌تری رو کردن. 💚 Website | @hedgio_fa

یکی از اعضای کامیونیتی توی توییتر ادعا کردن که بعد از فریز شدن تتر یک یوزر معمولی ایرانی، از شرکت حقوقی-کریپتویی‌شون درخواست کمک کردن، که در نهایت مساله با مراجعه به یک شعبه از بنیاد تتر در استانبول حل شده و آدرس از لیست سیاه تتر خارج شده. برای راستی آزمایی موارد زیر رو بررسی می‌کنیم: • آیا این آدرس واقعاً از فریز خارج شده است؟ • بله. طبق لیستی که در پست پیش هم فرستادیم، آدرس در تاریخ ۱۴ می، طی این تراکنش از لیست سیاه حذف شده. چیزی که مشخصه اینه که صاحب آدرس از حدود ۷۰ روز قبل چندین و چند بار سعی کرده تتر رو از آدرس خارج کنه اما هربار تراکنش Revert می‌شده که طبیعی هم هست. واضحه که صاحب آدرس در روزهای مختلف این موضوع رو تکرار کرده و هربار نتیجه فرقی نمی‌کرده. • آیا این آدرس می‌تونه متلق به یک کاربر عادی باشه؟ • طبق داده‌های آرکام (آرخام تلفظ نکنید توروخدا 😁 آرکام اسایلم یه تیمارستان بود توی شهر خیالی گاتهام که توی سه‌گانه‌ی بتمن اسمش رو زیاد شنیدید قطعاً) Inflow/Outflow این آدرس برای حدود ۱۶۰۰ روز، چیزی در حدود ۲۵۰ هزار دلار رو در هر بخش نشون میده که بخش اعظمش هم از نوبیتکس میاد و میره. بعید نیست که برای یک کاربر غیر سازمانی باشه، اما میشه به بیشتر ریز شدن در رفتار آدرس ادامه داد تا بشه این رو تایید کرد. • آیا واقعا کسی به این مجموعه‌ی حقوقی مراجعه کرده؟ • قابل راستی‌آزمایی نیست و مبنا رو می‌ذاریم که این سناریو واقعاً اتفاق افتاده. • آیا تتر واقعا در استانبول یا آنکارا دفتر رسمی داره؟ • تتر تا سال‌ها به‌صورت یک مجموعه‌ی توزیع‌شده و به‌صورت مجموعه‌ای از نهادهای آف‌شور فعالیت می‌کرد. از سال ۲۰۲۵ هم در تلاش هستن تا مقر رسمی خودشون رو به ال‌سالوادور منتقل کنن و این رو تازه میشه به‌عنوان اولین HQ رسمی اون‌ها دونست. از همین‌رو بعیده بتونیم ازشون انتظار چنین گستردگی‌ای رو در داشتن دفاتر رسمی داشته باشیم. البته نمیشه حضور دفاتر غیررسمی با ارتباط غیر مستقیم برای حل و فصل مباحث مربوط به AML یا درخواست‌های رگولاتوری رو رد کرد ولی مطمئنا نمیشه این دفاتر رو مستقیم به بنیاد تتر مرتبط دونست. 💚 Website | @hedgio_fa

در ادامه‌ی این پست، حتماً کنجکاو خواهید شد اگر بدونید که بنیاد تتر تا امروز ۱۲۵۳ بار آدرس‌هایی از شبکه‌های اتریوم و ترون که شاید به اشتباه وارد بلک‌لیست خودش شده بودند رو از این لیست خارج کرده. این آدرس‌ها و تراکنش‌های مربوط به Remove رو در این لینک می‌تونید ببیند (برگرفته از این دیتاست): https://gist.github.com/eferbarn/a7e0de96bcf83ec61dafa123ba40be7e البته برای دیدن تراکنش‌های مربوطه باید بدونید که چون مالتی‌سیگ (اونر) کانترکت تتر تراکنش‌ها رو ارسال می‌کنه (این آدرس دارای ۶ ساینر هست که از این‌جا می‌تونید اون‌ها رو ببینید) و بعد از شرایط خاصی تراکنش کانفرم میشه، باید ابتدا از دیتای تراکنش آی‌دی تراکنش اصلی رو پیدا کنید و بعد از طریق این متد (transactions) کال‌دیتای تراکنش Remove رو استخراج کنید. برای راحتی کار اطلاعات کافی در لینک gist قرار داده شده تا شما درگیر این مراحل نشید. 💚 Website | @hedgio_fa

در ادامه‌ی این پست، حتماً کنجکاو خواهید شد اگر بدونید که بنیاد تتر تا امروز ۱۲۵۳ بار آدرس‌هایی از شبکه‌های اتریوم و ترون که شاید به اشتباه وارد بلک‌لیست خودش شده بودند رو از این لیست خارج کرده. این آدرس‌ها و تراکنش‌های مربوط به Remove رو در این لینک می‌تونید ببیند (برگرفته از این دیتاست): https://gist.github.com/eferbarn/a7e0de96bcf83ec61dafa123ba40be7e البته برای دیدن تراکنش‌های مربوطه باید بدونید که چون مالتی‌سیگ (اونر) کانترکت تتر تراکنش‌ها رو ارسال می‌کنه (این آدرس دارای ۶ ساینر هست که از این‌جا می‌تونید اون‌ها رو ببینید) و بعد از شرایط خاصی تراکنش کانفرم میشه، باید ابتدا از دیتای تراکنش آی‌دی تراکنش اصلی رو پیدا کنید و بعد از طریق این متد (transactions) کال‌دیتای تراکنش Remove رو استخراج کنید. برای راحتی کار اطلاعات کافی در لینک gist قرار داده شده تا شما درگیر این مراحل نشید. 💚 Website | @hedgio_fa

در ادامه‌ی این پست، حتماً کنجکاو خواهید شد اگر بدونید که بنیاد تتر تا امروز ۱۲۵۳ بار آدرس‌هایی که شاید به اشتباه وارد بلک‌لیست خودش شده بودند رو از این لیست خارج کرده. لیست این آدرس‌ها و تراکنش‌ها رو در این لینک می‌تونید ببیند:

آیا در این لحظه باید نگران کامپیوترها و پردازش کوانتومی باشیم؟ (این صرفاً یک اظهار نظر بسیار عامیانه از بنده است در باب این پست از کانال دیفای اونیو) واقعیت اینه که خروجی ناگوار این قضایای به‌ظاهر طبقه بندی‌شده، قبل از این‌که اثرش رو روی کریپتو (به‌عنوان یکی از کوچک‌ترین اعضای دنیای تکنولوژی) بذاره، ضربه‌ی بسیار بزرگی به Institutionalها خواهد زد. دنیایی رو تصور کنید که هیچ‌گونه حریم خصوصی‌ای در اون مفهومی نداره. فرض کنید داریم درمورد شکسته‌شدن پسوردهای تمام افراد کوچک و بزرگ در دنیا حرف می‌زنیم. اینه که اگر قرار باشه این مفاهیم از مراحل فعلیش بگذره، افراد و نهادهای بسیار بزرگ‌تری از ما و کل کریپتو با اون مقابله خواهند کرد. پی‌نوشت: خیلی اتفاقی یاد سری تلویزیونی Prime Target افتادم. نام این اثر اشاره‌ی واضحی به معادل انگلیسی «اعداد اول» داره. احتمالاً می‌دونید که شالوده و اساس بسیاری از سیستم‌های رمزنگاری امروزی نبود الگو در اعداد اول و غیرقابل‌پیش‌بینی بودن توزیع اون‌هاست. فکر می‌کنم از دیدن این سری خوشتون خواهد اومد. پی‌نوشت دوم: حدس اینه که این توازن همیشگی (بین پیشرفت در پردازش و سیستم‌های رمزنگاری) به‌هم نخواهد خورد و ما به‌سمت روش‌های Quantum-Resistant پیش خواهیم رفت. 💚 Website | @hedgio_fa

این روزها که موضوع فریز شدن آدرس‌ها و رگیولیشن‌های سخت‌گیرانه بحث داغ محافل کریپتویی ماست، پیدا کردن یک ابزار مرتبط ولی ساده می‌تونه خیلی ارزشمند باشه،‌ پس با در نظر گرفتن یک‌سری از مهم‌ترین اوراکل‌ها یا کانترکت‌ها ابزاری ساختیم که بتونید با اون‌ها آدرس‌ها 0x خودتون یا بقیه رو چک کنید و قبل تعامل باهاشون از فلگ‌بودن اون‌ها مطلع بشید. https://0x.eferbarn.com درسته تا دلتون بخواد مرجع مثل TRM Labs یا Elliptic وجود داره، اما عموماً این‌ها پاسخ‌ها رو به شکل آف‌چین و دارای APIهای دارای محدودیت بالا هستن و در حال حاضر هم خیلی استفاده‌ی گسترده ندارن، پس فعلاً از قانون KISS تبعیت کردیم و به آدرس‌های 0x و اوراکل‌ها و کانترکت‌های مهم (تا این‌جای ماجرا احتمالاً این منابع کافی باشن) بسنده کردیم تا در آینده مراجع بیشتری رو بهش اضافه کنیم. این ابزار روی مرورگر شما اجرا میشه و فقط یک‌سری RPC Call می‌فرسته تا نتایج رو برگردونه. توییت مربوطه 💚 Website | @hedgio_fa

یکی از دوستان درمورد استفاده از نرم‌افزارهای مدیریت پسورد مردد بودن. خیلی اجمالی اگر بخوایم جواب بدیم، خوبه، کار رو راه میندازن، اما حواستون باشه خودشون می‌تونن عامل دردسر بشن. کما این‌که شواهدی وجود داره که درین شدن والت‌های اتریومی باسابقه که سال‌ها ایمن مونده بودن، مربوط به یک بریچ از نرم‌افزار مدیریت پسورد LastPass هست و نگهداری فریزها توی این نرم‌افزارها باعث این دسترسی کامل به آدرس‌ها شده. LastPass Breach Fallout + Ethereum Wallets Suddenly Drained 💚 Website | @hedgio_fa

تیم Circle که صادرکننده‌ی استیبل‌کوین USDC محسوب میشه و به تنبل‌بودنش در فریز کردن وجوه مشکوک در مقایسه با بنیاد تتر معروف بود، در یک اقدام عجیب کانترکت cUSDC از پروژه‌ی Zama (زاما یک پروژه در سکتور پرایوسی روی اتریوم محسوب میشه) رو فریز کرد که در اون حدود 12.6 میلیون دلار USDC وجود داشت. Circle blacklisted the Zama cUSDC contract طبق اعلام و بررسی ZachXBT، این اقدام به دلیل گزارش کاربران درمورد یک راگ‌پول از طرف تیم Overnight Finance و واریز وجوه مربوط به این اتفاق از طرف یکی از آدرس‌ها وابسته به همین ماجرا به پروژه‌ی زاما هست. چیزی که این‌جا مورد بحث هست اینه که چرا کانترکتی که می‌تونه آمیخته با وجوه کاربران عادی Zama بشه بلک‌لیست و فریز شده؟ مورد مهم‌تر برای ما اینه که به‌نظر می‌رسه مجموعه‌ی سرکل بعد از این می‌تونه رویکرد بنیاد تتر رو در پیش بگیره و این موضوع هر دو دارایی $USDT و $USDC رو به کلاس دارایی‌های پریسک منتقل کنه. 💚 Website | @hedgio_fa

برای ایردراپ شبکه‌ی بیس دوستان میگن که خیلی از شبیه‌سازهای ایردراپ، کانترکت‌های دپلوی شده توسط جاهایی مثل owlto رو حساب نمی‌کنن و اون‌ها رو نادیده می‌گیرن. اگرچه راه برای پیدا کردن کانترکت‌های کوچک و سمپل زیاده اما اگر خواستین می‌تونید از این ریپازیتوری قدیمی استفاده کنید: https://github.com/eferbarn/Simple-Solidity-Contracts برای ساده‌ترین روش دپلوی کردن هم می‌تونید سراغ Remix برید. کافیه والت‌تون رو وصل کنید و چین آی‌دی رو هم روی 8453 یا همون chainID مین‌نت بیس تنظیم کنید و بعد مراحل رو پیگیری کنید. (راهنما) 💚 Website | @hedgio_fa

تو این اپیزود مدیر اجرایی ایمیونفای داره با احسان صحبت می‌کنه و چه مسیر عجیبی رو طی کرده احسان. داستانش می‌تونه الهام‌بخش زندگی خیلی از ماها باشه. https://www.youtube.com/watch?v=BPkLUdMcPLY 💚 Website | @hedgio_fa

جلسه بحث آزاد ❗️ ⬅️ موضوع گفتگو : - قراره درمورد Polymarket و ریسک هاش حرف بزنیم. - قراره درمورد خطرات احتمالی سروها یا Vpn هایی که برای وصل شدن استفاده میکنیم حرف بزنیم. - مثل همیشه بحث آزاد هم هست شما میتونید بیاد درمورد هر موضوعی دوست داشتید باهم حرف بزنیم. ⬅️ با همکاری : مهدی کانال Hedgio محمد کانال CryptoCraze ⬅️زمان جلسه دوشنبه 4 خرداد ساعت 9 شب به تایم ایران ⬅️ مکان جلسه کانال تلگرام Defi Avenue 🎺 جلسه ضبط نمیشه ✉️ Telegram ❌ Twitter

در این زمینه میشه بهترین راهکار (راهکارهای مناسب دیگری هم برای ایزوله‌سازی موجود هستند،‌ اما به‌نظر این راه، راه سرراست‌تری میاد) برای شرایط فعلی رو این دونست که به‌جای این‌که سرتیفیکیت‌های تولیدی رو به Trusted Root دیوایس خودتون بفرستید، اون‌ها رو در یک مرورگر مجزا از مرورگر اصلیتون یا حتی یک پروفایل از مرورگر روزمره‌تون تراست کنید. در این شرایط شما می‌تونید تمام کارهای روزمره‌تون و مدیاگردی رو داخل این پروفایل انجام بدید. البته که سختی‌های خاص خودش رو داره و مثلا مجبورید از نسخه‌ی وب بسیاری از وبسایت‌ها استفاده کنید. برای این منظور مرورگرها یک ابزار داخلی دارن که می‌تونید سرتیفیکیت خودتون رو فقط و فقط در همون پروفایل تایید کنید که مثلا در مرورگرهای بر پایه‌ی کرومیوم در آدرس زیر قابل دسترس هست:

chrome://certificate-manager

همچنین با جستجوری عبارت Certificate در تنظیمات کلی مرورگرتون هم به همین بخش خواهید رسید. به این ترتیب حتی اگر پراکسی ساخته‌شده توسط MitM رو روی کل سیستمتون هم اعمال کنید، باز فقط اینترنت (بدون اخطار) از طریق این پروفایل در دسترس هست و خودتون هم هر زمان بخواید می‌تونید حذف/تغییر مدنظر خودتون رو روی این پروفایل اعمال کنید. البته که برای این‌که پراکسی رو هم فقط روی همین مرورگر/پروفایل اعمال کنید راه‌های بسیار زیادی نظیر استفاده از اکستنشن FoxyProxy وجود داره که خب کنترل بیشتری رو به شما اعطا می‌کنه. این ترکیب در این شرایط می‌تونه معجزه کنه و جلوی خیلی از اشتباهات سهوی رو بگیره. برای دوستانتون بفرستید تا بتونیم باهم از این روزهای تاریک به سلامت گذر کنیم! 💚 Website | @hedgio_fa

در ادامه‌ی پست بالا باید دنبال راهکاری باشیم تا بتونیم خطرات بالقوه رو کاهش بدیم. پیش از ورود به بحث باید گفت که ما دست کسانی که به دسترسی افراد به اینترنت آزاد کمک می‌کنند رو می‌بوسیم و صدها لعنت می‌فرستیم به باعثان این شرایط. همون‌طور که می‌بینید وقتی Self-Hosted Authority ما یک سرتیفیکیت ایجاد کرده، سیستم‌عامل در تلاشه که اون رو در کل سیستم اعمال کنه و به‌عبارت دیگه اون رو به Trusted Root اضافه کنه. این باعث میشه که خطاهای انسانی یا دسترسی‌های ناخواسته وارد فرایند بشه. پس ما باید دنبال یک راهکار خوب برای استفاده‌ی مطمئن باشیم. مشکل از کجا ناشی میشه؟ 🟥 این فرایندها در ابتدا در کنترل شما هستند و خب تا این‌جا مشکلی نیست. اما پس از مدتی هیچ‌گونه الزامی وجود نداره که اپ‌ها یا جاسوس‌افزارهای دیگه اعم از اپلیکیشن‌ها یا چیزهایی که روی دسکتاپ یا موبایلتون دارید، دنبال فایل‌های مرتبط با رمزگشایی ترافیک شما نگردن. خصوصا در پلتفرم‌های همه‌گیری مثل اندروید و ویندوز خیلی از دسترسی‌ها به‌صورت ناخواسته از قبل داده شده و ممکنه در روزهای خاص از اون دسترسی‌ها استفاده بشه. 🟥 اگر روزی دسترسی آزاد واقعی به اینترنت برای شما فراهم بشه، احتمالا با فرایند ابطال اون سرتیفیکیت‌های قدیمی آشنایی ندارید یا حتی ممکنه یادتون بره که این سرتیفیکیت‌ها رو باطل کنید و از Trusted Root اون‌ها رو خارج کنید. بهترین راه اینه که بتونید یک Sandbox یا به‌عبارتی یک محیط قابل کنترل و امن ایجاد کنید تا هر لحظه روی اون و دیتایی که واردش می‌کنید اشراف کامل داشته باشید و در زمان نیاز هم حذفش کنید. در پست بعدی به بررسی یک راهکار ایمن در این زمینه می‌پردازیم. 💚 Website | @hedgio_fa

اگر ناچار به استفاده از این روش‌ها هستید، با جدیت بیشتری موضوع امنیت رو مدنظر داشته باشید. فایل‌های سرتیفیکیت رو به‌صورت دوره‌ای Rotate کنید و تا حد امکان امکان دستیابی هر فرد دیگری به این فایل‌ها رو ناممکن کنید. 💚 Website | @hedgio_fa

این روزها به‌طور فراگیر، روش‌هایی برای اتصال به اینترنت در حال گسترش هستن که در اون‌ها یک کلاینت (چه به‌صورت یک اسکریپت باشه و چه هر شکل دیگری) حکم MitM یا مرد میانی رو بازی می‌کنه. برای مثال تموم روش‌های منشعب شده از روش MHR از همین متد استفاده می‌کنن. در این روش‌ها با ایجاد شدن یک سرتیفیکیت Self-Hosted کلاینت می‌تونه ترافیکی عبوری از مرورگر (و سایر بخش‌های ماشین) شما که از این پراکسی گذر می‌کنه رو رمزگشایی کنه، و بعد دوباره اون‌ها رو با متد خودش ارسال و دریافت کنه. بگذریم که خود این کلاینت‌ها و امنیتشون یک نقطه‌ی شکست محسوب میشن، اما نکته‌ی اساسی، نگهداری فایل‌های سرتیفیکیت (یعنی cert و key) هست که اصلا به اون توجه نمیشه. خصوصاً جابه‌جایی اون‌ها بین دیوایس‌های مختلف و نگهداریشون به‌صورت خام داخل دایرکتوری‌ها، می‌تونه شما رو به‌طور بالقوه به یک طعمه تبدیل کنه. توجه داشته باشید که هر شخص ثالثی با داشتن این فایل‌ها، ترافیک شما رو رمزگشایی و شنود کنه. این شامل رمزها و کلیدهایی که تبادل می‌کنید هم هست. نباید کار به این نقطه می‌رسید که سراغ روش‌های با ریسک ساختاری بسیار بالا بریم، اما حالا که رسیدیم، چاره‌ای نیست که حواسمون خیلی جمع باشه. 💚 Website | @hedgio_fa