Спасибо за подробные видео! Лучшее объяснения в рунете!!! Хотелось бы больше примеров по безопасности!!!!

Как всегда очень круто! Спасибо за такой ценный контент!!!

самые лучше курсы по солидити , спасибо

Спасибо за видео! Было очень интересно и позновательно!

Огромное спасибо за видео. очень подробно и понятно!)

Отличные уроки, спасибо Вам.

Спасибо большое за уроки!

А так, забавно, что к 16 уроку дошли 600 человек))) первый урок 15к просмотров. не умаляет титанического труда автора) Илья - лучший

Илья, огромная благодарность за такой качественный контент 🙌 У меня вопрос по функции bid, в частности про знак += в выражении bidders[msg.sender] += msg.value; А точно ли должен быть += ? Ведь если юзер делает ставку повторно, то у него будет записано не просто более высокая ставка, которую он поставил, но и плюс сумма первой ставки. Или аукцион - это когда к существующей ставке добавляются новые ставки поверх?

Доброго времени суток, Илья. Понравилось видео, понятно и лаконично. В качестве дискуссии хочу поинтересоваться каким образом злоумышленник может получить доступ к казне в случае DoS атаки, ведь результатом его действий, описанных в виде является блокировка выплаты рефундов участникам? В первом случае гешефт злоумышленника оказался более понятен.

Спасибо за урок. Очень хочется больше объяснений по строке - (bool success,) = msg.sender.call{value: refundAmount}(""). Ранее такого синтаксиса не было. Что такое (bool success,) почему там запятая и что может быть после запятой? Почему в скобках? success - это переменная? Все тайна) Еще мучает вопрос: почему в атаке Dos не вернулись средства первому аккаунту? По логике должна была пройти оплата на первый адрес в списке?

Способ защиты на 14:36 не совсем понял как будет работать за счет модификатора: Насколько я понял модификатор выполняется каждый раз перед вызовом функции, далее происходи вызов логики функции через _; деньги уходят атакующему, но далее на атакующем контракте повторно вызывается через receive() снова auction.refund() который вновь идет в модификатор и не проходит булеву проверку на этом обрывается выполнение модификатора и собственно всего тела функции refund() тем самым значение баланса атакующего не меняется, по этому достаточно атаковать повторно и деньги будут выведены хоть и без рекурсии. Что я не так понял? Проверка защиты на 15:08 не совсем корректна так как одновременно используются первый и второй способ, тут скорее сработал первый способ нежели второй через модификатор, если бы сработал модификатор, так как выполняется сначала coll и там сваливается в рекурсию которая прерывается булевой проверкой и так как до изменения баланса выполнение функции не дошло то запросить вывод можно еще раз. UP: Кажется я понял, рекурсия атаки через Reentrancy выполняется в одной транзакции, прежде вся рекурсия формирует повторные транзакции и только впоследствии они отправляются на выполнение, а так как у нас стоит проверка то даже первая транзакция не обрабатывается так как при исключении все откатывается назад.

Был бы очень благодарен если вы бы ответили. Зачем мы пишем "ReentrancyAuction auction;" на начале контракта Reentrancy attack. Спасибо

Спасибо большое за ваши видео, здоровезный просто кладязь концентрата информации Можно вас попросить сделать так же в каком-то ролике фронт част на nextjs, на функциональный компонентах с использованием theGraph И можно так же сделать видео пожалуйста по ipfs, с практическим примером, где и как им пользоваться, желательно с фронтом тоже конечно Спасибо большое

thank you

Спасибо за урок! у меня есть вопрос по поводу Reentrancy атаки. Как так происходит, что функция, которая начала выполнятся не выполнила bidders[msg.sender] = 0; если эта строчка прописана в конце? У нас происходит блокировка одного потока? То есть мы отправили наши деньги хаккеру, но почему дальше функция не выполняет условие с применением 0? Тут какой-то особенный call stack вызовов? То есть если мы запрашиваем быстро новую функцию refund, то она попадает первая в очередь блокируя те функции, которые не закончили свое выполнение?

1. Получается можно посмотреть код каждого смартконтракта в сети? Если да, то как это сделать? 2. В случае 1й атаки, в коде он делает а) расчет баланса б) выплату в) обнуление баланса, но почему когда доходит до выплаты то далее идет раскрутка логики контракта-аттакера а в базовом контракте до конца функции мы так и не добрались вообще? Разве там не должна быть хотя бы гонка между receive() атакера и 1м или 2м шагом пункта (в) контракта-аукциона? 3. Получается можно всегда вызывать любые смартконтракты кого угодно, никаких аналогов cors не существует? 4. Получается что и никаких примитивов авторизации тоже нет? вопрос не по теме: потоков в солидити тоже нет, я полагаю? А какие-то обходные маневры для использования внешних веб сервисов из солидити тоже отсутствуют до сих пор? Ну и наконец: а в чем вообще необходимость смартконтрактов? Все что наблюдаю - довольно ограниченный и убогий функционал который следуя SOLID принципу апроксимированному на всю эту архитектуру, вообще не должен быть в блокчейне. Разве не логичнее было бы сделать "смартконтракты" отдельно работающими программами на серверах, которые бы имели: весь набор фич любого языка включая работу с БД, мультитрединг и тд и заканчивая тем, что они бы имели высокую скорость и возможность горизонтального скалирования.

На 12 минуте видео урока вы показали пример защиты с занулением до того как пройдёт оплата Но есть вопрос, что делать, если мы занулили, а оплата не прошла успешно, например, не существующий кошелёк или ещё что-то ? Получается, что пользователь не сможет попробовать ещё раз сделать refund, так как у него уже 0 Если подумать, то лучше всего добавить в конце условие, что если оплата не прошла успешно, то надо вернуть в mapping истенное значение для refund

То ради чего стоило пройти весь путь до )

Добрый день))) спасибо за уроки))) Если можете объясните пожалуйста как в конце после закомментирования получились балансы user1 и user2.

когда делаем call, адрес который получает средства, не помечаем payable?

Спасибо за урок! А если в атаке DoS мы перенесем refundProgress++; в начало функции сразу после address bidder = allBidders[i]? Поможет ли это в защите?

Интересно, спасибо. Также можно рассмотреть реальные скам-токены и разобрать типы эксплоитов. На реальном примере всегда интересно. Например в сети BSC: 0x145fc2dc6c54c9fed4ce01f96fe0de6992f6d703 или любой другой. Как правило, они копируются многократно и выходят под разными именами.

Если хочется получить просмотры и возможно подтолкнуть канал, есть предложение. Рассмотреть ситуацию с Луной-UST. Это тоже как живой пример, а не лабораторная работа. Немного популистский :) Возможно не в этот плей-лист, а просто на канал. Делать нужно быстро, пока вопрос актуальный.

Добрый, большое спасибо, было бы круто, если бы вы ответили работу со смарт-контрактами на других языках ( фронт) к примеру, клиент на питоне в рамках бота или веб/моб приложение на flutter это сильно бы помогло

Уроки очень качественные, спасибо. Хотел уточнить, и Reentrancy и DoS упираются в вызов .call(value:) функции? Т.е. если отправлять с контракта эфир с помощью функций send или transfer то в этом случае Reentrancy невозможен? И что на счет отправки ERC20 токенов, там можно не беспокоится о потенциальных Reentrancy при трансфере токена с контракта пользователю?

Здравствуйте! Попробовал сделать как у вас первую часть урока, но ничего не получилось. Повлялось только много ошибок в хардхат, потом добавил цикл try catch как в dos в тесты и заработало, только атака не удавалась, деньги не списывались. Потом убрали из кода солидити условие bool success и require и заработало все как надо, при условии что разница между отправленной суммой и той которую я хочу получить в ходе атаки должать быть в 20 раз, но не больше. Не могли бы вы рассказать с чем это связанно? Разрабы повысили безопасность смарт контрактов включив каки-то условия по дефолту или как? Можете перепроверить код, если не сложно или может вы тоже сталкивались с таким? Заранее спасибо

😼🤙

А вы просто для разнообразия сделали рефанд с помощью (bool success,) = msg.sender.call{value: refundAmount}("") вместо payable(msg.sender).transfer(refundAmount)?