Лига Криптовалют

• Управление аппаратным обеспечением

• Управление файловой системой

• Предоставление интерфейса пользователя

• Управление процессами и программами

• Обеспечение безопасности и разграничения доступа

• Управление пакетами, представьте сейчас любой Linux или MacOs без систем пакетного менеджера

EVM это тот же компьютер, только операционной системы под нее нет, есть просто разбросанный набор инструментов.

EVMPack это попытка создать что то хотя бы похожее на операционную систему для EVM совместимых блокчейнов, и первое что я реализовал, это пакетный менеджер, потому что это фундамент без которого ничего дальше не сделаешь.

У нас сейчас есть условно 3 источника откуда мы можем взять какие то библиотеки:

1. npm - по дороге со смарт контрактами мы тащим еще много зависимостей которые вообще к контрактам не имеют никакого отношения

2. foundry - фактически работает с гит репозиториями, получаем пакеты как сабмодули, но опять же, тащим по дороге кучу ненужного мусора по дороге с контрактами. отсутствует контролируемая система версионирования semver, подход не удобен для работы с жизненным циклом проекта

3. github - те же проблемы что и в foundry

И самое главное, ни один из вариантов не дает мне использовать готовую, проверенную, задеплоиную реализацию.

Есть уже огромное кол-во контрактов которые мы могли бы использовать не деплоя их и даже не клонируя.

Допустим есть реализация ERC20(самый популярный контракт для токенов) от крупной команды OpenZeppelin, если бы эта реализация была задеплоена и адрес этой реализации проверили сообществом.

Далее я могу развернуть простой прокси контракт, который только и делает что вызывает эту проверенную реализацию, а данные я напомню если кто не в курсе хранятся в самом прокси, а функции которые с ними взаимодействуют находятся в реализации. Сам прокси контракт один, его не надо писать, просто можно сделать одну кнопку "Создать токены" и быть максимально уверенным что все будет хорошо!

А теперь давайте добавим в эту всю историю SemVer версии 2.0.0. Получится что команда из OpenZeppelin выпускает новую версию этой реализации, она проходит так же проверку сообществом, и получает галочку - "проверено", в этот момент вам прилетает уведомление что у реализации которую вы используете для своего токена вышла новая версия, она проверена и можно без опаски обновиться, почитать что там нового добавили, что исправили. Далее вы просто нажимаете кнопку обновить и все! И таких как вы может быть сотни и тысячи которые используют одну и ту же реализацию, все вы толпой уверенны что никто не взломает этот контракт и не утащит ваши кровные токены, а так же все сообщество может легко проверить что вы никого не обманываете и используете проверенную реализацию.

Вот пример как это работает если это использовать другим смарт контрактом:

А теперь давайте увеличим масштаб, теперь мы будем работать не с одним пакетом, а с 5 или больше, ведь мы захотели построить свое приложение.

Мы заходим в стор evmpack (которого пока нет, но это не на долго) и смотрим какие есть уже готовые и проверенные реализации, видим что есть удобный контракт управлением пользователей, доступом, и т.д. И далее просто собираем один контракт который будет использовать готовые реализации нужных версий, evmpack проверить совместимость, и хоба! у вас уже есть готовый бэкенд на блокчейне который готов к продакшену практически сразу и вам провести аудит нужно только одного контракта! Процесс аудита можно так же легко встроить в эту систему, потому что ваш готовый бэкенд тоже является пакетом и вы его так же публикуете с версионированием и реализацией, если вам захочется что то добавить, то вы выпускаете новый релиз реализации, и уже после того как прошли аудит снова можете обновлять.

Вот ссылка на репозиторий - https://github.com/EMVPack/core

Всю обратную связь по проекту лучше пишите на github в issue, критику тоже, потому что спорных моментов может быть много и хорошо бы делить на разные дискуссии.

В следующих постах я буду создавать большой проект с использованием этого инструмента и показывать наглядно что и как, так что цикл статей объявляется открытым!

Если кому интересно, то в ТГ канале я буду писать о проблемах по дороге разработки, объявлять о стримах на которых буду разрабатывать проект.

Что, если бы грабитель банка, только что вынесший из хранилища чемоданы наличных, не скрылся бы в подземных тоннелях, а сел за телефон и позвонил управляющему?

Вместо угрозы – извинение, вместо требований выкупа – обещание всё вернуть, а в финале ещё и советы, как укрепить охрану.

В привычной финансовой системе это выглядело бы сценой из абсурдной пьесы. Но мир криптовалют живёт по своим законам.

10 августа 2021 года неизвестный хакер похитил $610 миллионов из протокола Poly Network – на тот момент крупнейший взлом в истории DeFi. И вместо того чтобы раствориться в тенях даркнета, он вышел «на свет» и начал вести философский диалог с жертвами.

Как рухнул мост между блокчейнами

Poly Network был не просто сервисом, а ключевой артерией для децентрализованных финансов – мостом, связывавшим разные блокчейны: Ethereum, Binance Smart Chain и Polygon. Этот мост позволял пользователям свободно перемещать токены между экосистемами, превращая Poly Network в своего рода «транспортную систему» для капитала DeFi.

Всё изменилось в один день.

Хакер нашёл уязвимость в смарт-контрактах моста и сумел перенаправить поток средств в собственные кошельки. На его счетах оказались активы на сумму более $610 миллионов. Эта цифра не просто потрясла рынок – она превысила все убытки от DeFi-взломов за предыдущие шесть месяцев.

Казалось, что индустрию ждёт новый крах доверия, и тысячи пользователей уже мысленно прощались со своими инвестициями. Но дальше началось самое необычное.

От отчаяния к дипломатии

Команда Poly Network оказалась в безвыходной ситуации.

В традиционном мире её шаг был бы очевиден – подать заявление в полицию, ждать следствия, пытаться заморозить активы. Но блокчейн устроен иначе: если средства ушли в кошельки хакера, вернуть их невозможно ни решением суда, ни арестом.

И тогда разработчики пошли на шаг, который выглядел почти отчаянным: они написали открытое письмо хакеру. Но не в пресс-релизе, не в официальном документе, а… в Twitter.

Сообщение начиналось с обращения: «Дорогой Хакер, пожалуйста, верни наши деньги…»

Вместо юридического языка – почти человеческая мольба. В мире финансов, где обычно царит холодная формальность, это обращение выглядело наивным. Но именно оно перевернуло ход событий.

Ответ из тени: «Mr. White Hat»

К всеобщему удивлению, хакер откликнулся. Он не стал прятаться, не оборвал связь, а вступил в диалог. Более того, он согласился постепенно возвращать украденное.

С этого момента его начали называть Mr. White Hat – намёк на «этических хакеров», которые вскрывают уязвимости ради пользы, а не ради наживы. Для индустрии это было чем-то немыслимым – крупнейший взломщик в истории вдруг оказался партнёром по переписке.

Poly Network пошла ещё дальше.

Чтобы закрепить этот хрупкий диалог, команда предложила хакеру официальное вознаграждение – $500 000 баг-баунти – и даже пост советника по безопасности.

Катастрофа обернулась на глазах у всего мира в открытый спектакль – редкий для криптомира.

Хакер как философ: «деньги мне не нужны»

Самое удивительное заключалось не в возврате средств, а в объяснениях хакера.
Он писал прямо в блокчейне – оставлял цифровые послания в виде транзакций с комментариями.

В этих сообщениях Mr. White Hat оправдывал свои действия:

он утверждал, что сделал это ради эксперимента и чтобы «проверить систему на прочность».

По его словам, у него не было цели обогатиться – напротив, он считал себя своего рода экзаменатором, который «подсветил» слабость, пока её не нашли по-настоящему злонамеренные хакеры.

«Ради веселья и чтобы показать уязвимость, – писал он, – но выбрал показать индустрии её уязвимость».

В конце он подчёркивал, что возвращает средства добровольно – и даже отказался от награды. Его финальная подпись звучала почти иронично: «Ваш Главный консультант по безопасности».

Паника и облегчение: качели для пользователей

Для тысяч пользователей Poly Network эти дни стали самыми нервными в их криптожизни.

Утром 10 августа они увидели новости о том, что украдено более $600 миллионов. Для многих это были не просто цифры в новостях, а их личные заблокированные активы.

Протокол немедленно остановил работу мостов – токены буквально «зависли» между блокчейнами. Люди не могли ни вывести средства, ни использовать их. Паника была почти абсолютной.

Но всего через два дня всё изменилось. Хакер начал возвращать украденное – сначала частями, потом всё больше. Оставались только $33 миллиона в USDT, замороженные эмитентом. Постепенно пользователи начали получать назад свои активы – и атмосфера паники сменилась на облегчение и даже благодарность.

Это был эмоциональный контраст: от безысходности и отчаяния – к почти праздничному облегчению.

Катастрофа как PR-триумф

Итог этой истории оказался парадоксальным.
Poly Network не только выжила – но и превратила катастрофу в PR-победу.

– Хакер, который должен был стать врагом, стал «белой шляпой». – Потеря, которая должна была разрушить проект, закончилась возвратом почти всех средств. – Вместо уголовного дела компания получила бесплатный аудит уязвимостей и глобальную рекламу.

Poly Network усилила безопасность – привлекла сторонних аудиторов и неожиданно получила репутацию проекта, который умеет договариваться даже с хакерами.

Урок Poly Network

Эта история вошла в историю DeFi не как трагедия, а как парадоксальный спектакль.

Ограбление превратилось в диалог, а диалог – в урок для всей индустрии.

В мире, где код всё чаще становится законом, оказалось, что человеческие качества – честность, благородство, способность к диалогу – могут оказаться важнее любой технологии.

Poly Network показал: иногда для возврата $610 миллионов достаточно одного слова – «пожалуйста». А Mr. White Hat доказал, что даже в цифровой анархии может существовать собственный рыцарский кодекс.

Комиссия по ценным бумагам и биржам и Комиссия по торговле товарными фьючерсами выпустили совместное заявление, разъясняющее правила торговли криптовалютами на спотовом рынке США. Регуляторы подтвердили: действующее законодательство не запрещает регулируемым биржам размещать криптовалюты.🔥

Теперь крупные традиционные площадки (Nasdaq, Нью-Йоркская фондовая биржа, CME Group и Cboe Global Markets) могут начать размещать криптовалюты в своих торговых списках. Пока в США такие услуги предоставляют только специализированные криптобиржи — Coinbase и Kraken.

Совместное заявление стало результатом рекомендаций президентской рабочей группы по рынкам цифровых активов. Группа призывала регуляторы обеспечить ясность правил и удержать блокчейн-инновации в США.

Одним утром вы заходите на биржу, а там вместо привычных цифр – уведомление о «технических работах». Только это не техработы, а одно из самых дерзких ограблений в истории криптовалют, которое закончилось как голливудский триллер – с цифровыми уликами, облачными файлами и неожиданным финалом в американском суде.

2 августа 2016 года хакеры взломали гонконгскую биржу Bitfinex и вывели 119,756 BTC – тогда это стоило около $72 млн. Для понимания масштаба: украденная сумма составляла почти шестую часть месячного оборота биржи.

Цена биткоина мгновенно рухнула на 20% – рынок в панике вспоминал Mt. Gox.

Но самое удивительное началось потом.

Bitfinex не закрылась, не объявила банкротство и не исчезла с деньгами клиентов. Вместо этого биржа совершила нечто беспрецедентное.

Команда проекта: мастер-класс антикризисного управления

Руководство Bitfinex приняло решение, которое сначала возмутило всех, а потом стало образцом для индустрии. Вместо банкротства биржа распределила потери между всеми пользователями: каждый аккаунт урезали на 36%, а взамен выдали токены BFX – своеобразные долговые расписки.

Логика была жестокой, но честной: лучше потерять треть сейчас, чем всё навсегда. Токены можно было либо продать обратно бирже по мере выкупа, либо конвертировать в акции компании.

Изначально рынок не верил в успех: BFX торговались с дисконтом до 70%, пользователи были уверены, что эти «бумажки» никогда не будут погашены. Но Bitfinex выдержала. Уже в 2017–2018 годах компания постепенно выкупила и погасила все BFX, полностью рассчитавшись с клиентами. На это ушло около полутора лет.

Это единственный случай в истории криптовалют, когда биржа после такого масштаба катастрофы не только выжила, но и полностью возместила ущерб своим пользователям.

Биржа превратила катастрофу в управляемый кризис, а затем – в триумф.

Сегодня Bitfinex остаётся одной из ведущих площадок мира, хотя тень репутационного удара ещё долго висела над ней.

Хакеры: из тени на свет

А вот здесь начинается сюжет, достойный криминальной хроники. В феврале 2022 года, спустя почти 6 лет после взлома, ФБР арестовало в Нью-Йорке супружескую пару – Илью Лихтенштейна и Хизер Морган.

Следствие долго искало следы похищенных средств, и именно арест этой пары стал ключом к разгадке. Вскоре после задержания власти получили доступ к зашифрованным ключам.

Правоохранители изъяли 94,000 BTC из украденных средств – тогда это стоило около $3.6 млрд. Остальные монеты до сих пор считаются потерянными.

Как их поймали?

Всё оказалось не столь изощрённо, как ожидали: приватные ключи хранились в зашифрованном облачном файле, доступ к которому смогли получить следователи.

Ошибка хранения обнулила годы анонимности.

В 2023 году оба признали вину. В 2024-м суд вынес приговоры: Лихтенштейн получил 5 лет тюрьмы за организацию отмывания, а Морган – 18 месяцев за соучастие в легализации средств. Она доказала, что не участвовала в самом взломе и узнала о происхождении биткоинов только позже, но ответственность за их отмывание всё равно легла на неё.

И, наконец, в январе 2025 года суд постановил: свыше 94 000 BTC должны быть возвращены Bitfinex, а не клиентам – решение оформлено как «in-kind restitution», и стало редкой победой справедливости в мире криптобезопасности.

История Bitfinex стала редким примером, когда хакеры не растворились в цифровых тенях, а предстали перед судом.

Пользователи: от трагедии к триумфу

Для клиентов Bitfinex этот взлом был эмоциональными американскими горками.

Представьте: у вас было 10 BTC, а утром стало 6.4 BTC – и неизвестно, вернутся ли остальные когда-нибудь.

Первые недели царили паника и ярость.

Многие выводили остатки средств, а BFX-токены считали пустыми бумажками. Но те, кто рискнул довериться платформе, получили неожиданное вознаграждение.

Через полтора года Bitfinex погасила все обязательства. Некоторые пользователи, конвертировавшие BFX в акции компании, даже оказались в плюсе, став совладельцами площадки, которая сумела восстановиться и укрепиться.

Ирония в том, что к моменту ареста Лихтенштейна и Моргана в 2022 году украденные биткоины стоили уже десятки миллиардов долларов. Те, кто получил компенсацию ещё в 2017-2018 годах, фактически вернули всё и даже извлекли выгоду – но уже не от роста украденных BTC, а от самой схемы возмещения и сохранения бизнеса.

Парадокс Bitfinex

В отличие от Mt. Gox, которая погибла в хаосе, Bitfinex доказала, что даже после смертельного удара компания может выжить.

В отличие от DAO, где сообщество раскололось, здесь клиенты приняли условия и получили обратно всё.

Главный урок этой истории: кризис не всегда убивает – иногда он становится точкой роста.

Bitfinex показала индустрии новую модель: не прятаться от проблем, а превращать их в инструмент доверия.

Сегодня токены BFX вспоминаются как легенду, а дело Bitfinex – как пример того, что даже катастрофа может закончиться компенсацией, где хакеры оказались не призраками блокчейна, а людьми из реального мира, которых вывели на свет, сняли с пьедестала и посадили на скамью подсудимых.

Вы создаёте идеальную инвестиционную компанию без директоров, менеджеров и бюрократии. Код вместо людей, математика вместо жадности. Именно такой задумывалась The DAO – первая в истории децентрализованная автономная организация на базе Ethereum, запущенная 30 апреля 2016 года.

Идея казалась фантастической: капитал управляется не советом директоров, а алгоритмами и голосованием держателей токенов.

Идея взлетела.

За несколько недель 11 000 инвесторов вложили рекордные $150 млн в ETH – это составляло около 14% всего эфира в обращении. По тем временам это был феномен, сравнимый с рождением нового финансового континента. Люди поверили в демократию капитала, где нет ни топ-менеджеров, ни золотых гор, только код и равные правила для всех.

Но утопия быстро обернулась кошмаром. 17 июня 2016 года злоумышленник нашёл reentrancy-уязвимость – баг повторного входа в код. Она позволяла выводить эфир снова и снова до обновления баланса, словно кто-то сумел открыть сейф, дверь которого каждый раз захлопывалась слишком поздно. В результате за несколько часов из фонда ушло 3,6 млн ETH – треть всех средств The DAO, что тогда оценивалось в $50–70 млн. На кону оказалось не просто доверие к проекту, а 5% всего существующего эфира.

Перед сообществом встал философский выбор. С одной стороны – принцип «Code is Law», идея о том, что блокчейн не подлежит переписыванию. С другой стороны – реальные люди, потерявшие свои сбережения: стартап-капиталы, пенсионные накопления, семейные инвестиции. Виталик Бутерин и команда Ethereum предложили мягкое решение: софт-форк, чтобы заморозить украденное.

Но тогда хакер выступил с заявлением, от которого у многих похолодело в груди. Он опубликовал открытое письмо, заявив: «Я действовал строго по правилам. Деньги мои». Более того, он пригрозил майнерам, что заплатит им 1 млн ETH и 100 BTC, если они саботируют попытку вмешательства.

Это стало философской атакой не меньше, чем технической.

20 июля 2016 года Ethereum решился на шаг, которого прежде никто не делал: хард-форк блокчейна. Историю переписали, украденные средства вернули инвесторам через новый контракт. Но это решение стало водоразделом. Часть сообщества посчитала вмешательство предательством принципов. Они продолжили майнить чистую цепочку без отката истории.

Так появился Ethereum Classic (ETC) - символ того, что даже несправедливый код остаётся законом.

Кто же был атакующим?

Его личность остаётся тайной.

В 2022 году журналистка Лаура Шин предположила, что к атаке мог быть причастен один из ранних участников Ethereum, но доказательств нет. Важно и то, что баг был известен заранее: ещё весной 2016 года белые хакеры предупреждали о проблеме, но их не услышали.

Возможно, взлом был не просто кражей, а демонстрацией – жестоким уроком для всей индустрии.

После форка украденные средства в сети Ethereum обесценились и были заморожены. Однако в Ethereum Classic хакер сохранил те же 3,6 млн монет, которые там стоили около $8,5 млн. Он не остался с пустыми руками, но и полного триумфа не добился. Более того, его стиль был необычен: он не прятался в тени, а подписывал послания как «The Attacker», почти как философ-провокатор, проверяющий сообщество на прочность.

Инвесторы DAO пережили драму длиной в несколько месяцев. Сначала эйфория революции, потом ужас кражи, затем облегчение от хард-форка. Те, кто остался на стороне основного Ethereum, получили компенсацию: 1 ETH за каждыe 100 DAO-токенов.

Сторонники Ethereum Classic компенсацию не получили, зато сохранили неизменность блокчейна.

В результате индустрия разделилась на два лагеря – идеалистов и прагматиков.

Ирония в том, что провал The DAO стал фундаментом будущей индустрии DeFi. Сегодня в децентрализованных финансах заблокировано более $149,8 млрд, и каждый проект использует уроки 2016 года: аудиты критически важны, защищаться от reentrancy, никогда не забывать про культуру безопасности.

Главный урок The DAO: даже безупречные технологии не отменяют человеческих ошибок и амбиций. И иногда именно человеческий фактор – страх, идеалы или жадность – определяет судьбу миллиардных экосистем.