Hacker News Digest

Монтана стала первым штатом в США, юридически защитившим право своих граждан на доступ к вычислительным инструментам и технологиям искусственного интеллекта. Губернатор Грег Джанфорте подписал закон Сената 212, официально известный как Акт о праве на вычисления в Монтане (MRTCA). Этот исторический шаг создает правовую основу для использования вычислительных технологий без избыточных ограничений со стороны государства.

Законопроект получил поддержку как со стороны технологических компаний, так и организаций, выступающих за цифровые права. Хотя полный текст закона и его конкретные положения в статье не раскрываются, эксперты считают, что он может стать прецедентом для других штатов. Подписание этого акта отражает растущее осознание того, что вычислительные возможности стали неотъемлемой частью современной жизни и должны защищаться на законодательном уровне, подобно другим базовым правам граждан.

• Закон Монтаны защищает право граждан владеть и использовать вычислительные ресурсы для законных целей, ограничивая действия правительства, нарушающие права на собственность и свободу выражения.
• Многие участники скептически оценивают мотивы закона, считая его инструментом для защиты технологических корпораций от регулирования, особенно в области ИИ, а не защитой прав обычных граждан.
• Поднимаются вопросы о реальной угрозе, которую закон призван предотвратить, и о том, существует ли она, а также о том, не создаст ли закон новые лазейки для злоупотреблений.
• Обсуждаются юридические тонкости, включая широкое понятие "законных целей" и формулировку "публичная безопасность", которые могут подорвать эффективность закона.
• Отмечается влияние лоббизма со стороны технологических элит, осевших в Монтане, и возможная связь закона с привлечением в штат центров обработки данных и криптомайнинга.

• Обсуждение охватывает широкий спектр тем: от лотерей и ставок на спорт до карточных игр и криптовалютных рынков, подчеркивая, что все они эксплуатируют уязвимых людей и создают зависимость.
• Участники обсуждения подчеркивают, что реклама и маркетинг этих продуктов направлены на создание зависимости и эксплуатацию уязвимых групп населения.
• Обсуждение поднимает вопрос о том, что государства, которые сами зарабатывают на этих продуктах, не могут быть заинтересованы в их запрете.
• Участники также обсуждают, что влияние этих продуктов на общество и экономику может быть более разрушительным, чем признается.
• Обсуждение также затрагивает вопрос о том, что влияние этих продуктов на общество может быть более разрушительным, чем признается, и что государства, которые сами зарабатывают на этих продуктах, не могут быть заинтересованы в их запрете.

Министерство юстиции США конфисковало биткойны на 15 миллиардов долларов — самую крупную сумму в истории ведомства — в рамках расследования масштабной мошеннической схемы «убоя свиней» (pig butchering), базирующейся в Камбодже. Под этим термином понимают схемы, где преступники втираются в доверие к жертвам через соцсети или знакомства, а затем убеждают их «инвестировать» в фейковые проекты.

Арестованы средства, хранившиеся на криптокошельках 38-летнего Чэнь Чжи, который, как утверждается, руководил схемой. Его самого, однако, пока не нашли — обвинительные документы лишь заочно предъявлены в федеральном суде Нью-Йорка.

Операция выявила тысячи жертв по всему миру, причём многие из них поначалу даже не верили, что стали жертвами мошенничества, отметили в DOJ. Дело продолжает расследоваться.

• Сумма в 15 млрд $ в криптовалюте, конфискованная DOJ, подчеркивает масштаб преступной сети, действующей в Камбодже и Бирме под прикрытием легального бизнеса.
• Сообщение о конфискации криптовалюты на 15 млрд $ вызывает вопросы о том, как именно были получены ключи от кошельков, и поднимает вопрос о том, насколько безопасна сама криптовалюта.
• Использование китайцами в Камбодже и Бирме в рабском труде и в казино для отмывания денег указывает на то, что транснациональная преступная организация может использовать эти страны как убежище.

Открытый протокол x402 использует HTTP-статус 402 для мгновенных платежей через API без регистрации, OAuth или сложных подписей. Он бесплатен для обеих сторон, обеспечивает расчет за 2 секунды через блокчейн и не привязан к конкретной сети или токену. Для интеграции достаточно одной строки кода в middleware, что позволяет принимать платежи в USDC или других криптовалютах без прямого взаимодействия с блокчейном.

Протокол открывает новые модели монетизации для ИИ-агентов, облачных хранилищ и создателей контента, поддерживая микроплатежи без подписок или рекламы. Ответ сервера 402 автоматически запрашивает оплату, делая процесс seamless для пользователей. Это веб-нативный стандарт, работающий через заголовки HTTP, что упрощает внедрение в существующую инфраструктуру.

• Пользователи делятся опытом тестирования протокола x402, отмечая как простоту получения USDC и подключения кошелька, так и проблемы с потерянными транзакциями и потенциальной двойной оплатой.
• Критики указывают на скрытые комиссии блокчейна, волатильность сборов, корпоративный интерес Coinbase и отсутствие децентрализации по сравнению с Bitcoin и Lightning Network.
• Обсуждаются технические аспекты: использование HTTP 402, абстрагирование gas-фees, скорость подтверждений в блокчейне и сравнение с альтернативами (SEPA, L402, A2P).
• Высказываются опасения по поводу усложнения веб-платежей, пригодности для микроплатежей и опасности корпоративного захвата открытых платежных систем.
• Отмечается потенциал протокола для оплаты AI-агентами и API-запросов, но подчеркивается необходимость предоплаты и стандартизации для автоматизации.

Как работает «свинобойка»

1. Крючок – случайное СМС/мессенджер: «Привет, Анна?» → жертва отвечает.
2. Сборка личности – 5-7 дней лёгкого флирта/дружбы; выясняют доход, семью, кредитку.
3. Платформа-ловушка – переводят в WhatsApp/Signal, сбрасывают ссылку на «криптобиржу» (поддельная).
4. Первый кэш-аут – просят внести $100-500, показывают +20 % прибыли за 2 дня.
5. Откармливание – «эксклюзивный пул», «контракт с ограниченным входом»; жертва несёт кредитки, займы, продаёт авто.
6. Нож – когда вклад >$50 k, счёт «замораживают» под предлогом налога/маржи; требуют ещё.
7. Исчезновение – чат удаляют, сайт закрывают, номер выбрасывают. Средний цикл: 40-60 дней.

Цифры

• 75 % пострадавших – мужчины 30-55 лет.
• Средний убыток: $180 тыс. (макс. в кейсе – $2,3 млн).
• 60 % денег выводится через Tether на биржи без KYC за 12 минут.
• 1 оператор ведет 8-12 «свиней» одновременно.

Схема техов

• SIM-банки + Google Voice для спуфинга.
• Фейковые биржи клонируют MetaTrader; баланс правят в Postgres.
• Обнал через DeFi-миксеры (Tornado, Railgun) → китайские овер-де-Каунтеры → юань наличными.

Признаки

• Незнакомец пишет первым, фото украдено у модели.
• Речь о «внутреннем сигнале» или «арбитраже USDT».
• Сайт младше 3 месяцев, SSL от Cloudflare, домен .vip/.top.
• Прибыль ровно 18-22 % в неделю.

Что делать

• Проверьте номер/фото через Yandex/Google Images.
• Любая «инвестиция» в Telegram = красный флаг.
• Сообщите банку о мошенничестве в течение 24 ч – 30 % шанс вернуть часть.

• Пользователи обсуждают "scam с разделкой свиней" — многоэтапные мошеннические схемы, где жертв ("свиней") сначала "откармливают", выстраивая доверительные отношения в течение нескольких месяцев, а затем "забивают", выманивая крупные суммы, часто через фейковые криптоинвестиции.

• Мошенники демонстрируют невероятное терпение и используют сложную инфраструктуру: CRM-системы, сети фейковых аккаунтов и даже привлекают людей для видео-звонков, чтобы казаться реальнее. Многие операторы таких центров сами являются жертвами трафика и работают под принуждением.

• Жертвами становятся не только пожилые или уязвимые люди, но и молодые, образованные individuals, включая инженеров. Ключевой фактор — не интеллект, а эмоциональная уязвимость или одиночество в данный момент жизни.

• Масштабы проблемы колоссальны: с 2020 года похищено около $75 миллиардов, а индустрия кибермошенничества по доходам сравнялась с незаконной торговлей наркотиками.

• Обсуждение также затрагивает необходимость обучения в школах распознаванию мошенничества, сложность борьбы с этими схемами из-за их跨境ного характера и этические аспекты самого термина, который может усиливать чувство вины у жертв.

• Атакующий случайно раскрыл свою инфраструктуру: оставил открытым Git-репозиторий с исходниками вредоноса, скриптами и конфигами.
• Внутри: Python-стиллер, нацеленный на браузеры, крипто-кошельки, 2FA; обфускация через pyarmor; авто-апдейт через Telegram.
• Следы ведут в русскоязычное комьюнити: комментарии, ники, форумы.
• Уязвимость в C2 позволила аналитикам Huntress скачать 30 ГБ логов жертв: пароли, cookies, крипто-сид-фразы.
• Ошибка раскрыла 1 800+ уникальных пользователей за 3 месяца; сам стиллер активен с 2023.
• Huntress заблокировал домены и передала IOC партнёрам; инцидент подчёркивает ценность мониторинга «мелких» endpoint-угроз.

• Huntress — это EDR-решение для компаний, которое ставит агент на каждый корпоративный ПК и передаёт в SOC-отдел логи браузера, процессов, hostname и файлы.
• Пользователи возмущены: «устанавливать продукт безопасности = дать поставщику полный доступ к истории и данным».
• Сам пост — история «случайно пойманного» злоумышленника, который сам установил триальный агент Huntress на свою «хакерскую» машину; компания узнала его по старому hostname и опубликовала разбор действий.
• Критики считают это саморекламой и примером «шпионажа за клиентами»; вендор отвечает: «анализируем только подозрительное, логи доступны заказчику, нужно для расследований».
• Комментаторы напоминают: в больших компаниях подобные EDR-инструменты (CrowdStrike, SentinelOne и др.) стоят на каждом ПК де-факто, просто обычно об этом не пишут посты.

Схема «бездушного» казино
Новый русскоязычный партнёрский проект Gambler Panel («бездушный, создан для прибыли») за месяц породил сотни фальшивых гемблинг-сайтов.

Как работает

• В соцсетях крутят рекламу с «промокодом на $2 500» и именами звёзд.
• Пользователи регистрируются, «выигрывают», но для вывода требуют «верификационный депозит» ≈ $100 в крипте.
• После пополнения жертву уговаривают играть дальше и вливать ещё; в итоге всё теряется.

Gambler Panel

• Даёт готовый движок «фейкового казино», инструкции, шаблоны постов для Instagram/TikTok.
• Обещает партнёрам до 70 % прибыли и минимум $10 за каждый депозит.
• 20 000+ партнёров, вступление через Telegram-канал (~2 500 активных).
• География: любой трафик, кроме стран СНГ.

• Предложено создать децентрализованный протокол MVM, который вычисляет «скам-рейтинг» сайтов по движению денег и, как DNS, помечает мошенников по всему миру.
• Обсуждение быстро свелось к тому, что без регуляции всё стремится к скаму, а крипта и гемблинг лишь ускоряют процесс.
• Примером стала Yotta от YC: обещала FDIC-страховку, потеряла $112 млн вкладов и теперь работает как криптоказино.
• Вывод: YC называют «фабрикой скамов», где изредка вырастает реальный бизнес.

Кто я и зачем это
Сисадмин, SRE, писал код для POS-терминалов и сидел на звонках Visa↔банки. Ушёл из fintech — морально тяжело. Знаю, о чём говорю.

Что такое «платёжный процессор»
Это не одна штука, а стопка слоёв:

• PCN — Visa, MC, сети.
• Acquirer — банк, который у PCN берёт лицензию и гарантирует деньги.
• MSP — продаёт терминалы и прокачивает транзакции в сеть.
• PayFac — держит деньги продавца (Stripe, PayPal).
• Merchant — магазин (Itch).
• Sub-merchant — автор на Itch.

Чтобы стать PayFac, нужен спонсирующий банк. Он оценит риски, активы, зарезервирует деньги на чарджбэки и возьмёт свой процент. Без банка — никак.

Сделать свой PayFac

1. Найти банк-спонсор (редкость; банки боятся «взрослого» контента).
2. Показать капитал ≥ миллионы $, PCI-DSS, KYC/AML, страховку.
3. Подписать договор, где банк может заморозить счёт при первом же чарджбэке.
4. Платить за лицензию, аудит, штрафы, резервы.
5. Поддерживать 24/7 antifraud и поддержку.

Итог: для Itch это годы и десятки миллионов. Проще не стало.

«Взять порно-дружелюбный процессор»
Таких почти нет. Те, что есть (CCBill, Epoch) берут 10-15 % + резервы и всё равно зависят от тех же банков. Visa/MC могут в любой момент отключить код MCC за «вредный» контент.

Вывод
Сделать «свой» процессор или найти «дружелюбный» — это не «написать скрипт», а полноценный банковский бизнес с регуляцией, миллионами резервов и постоянным риском отключения. Поэтому Itch и Valve танцуют так, как им диктуют сверху.

• Visa/MC монополия и высокие комиссии (3 %) стали главной причиной блокировок и отказов в обслуживании «рисковых» категорий (NSFW, игры, фетиш-контент).
• Попытки создать собственный процессинг или карту сталкиваются с PCI-DSS, банковскими риск-политиками и тем, что даже крупные игроки (Valve) не могут быстро решить проблему.
• Криптовалюты и стейблкоины предлагаются как обходной путь, но мошенничество (50 % транзакций в Steam-2017) и сложный off-ramp в фиат сдерживают внедрение.
• Успешные примеры: бразильский Pix (бесплатный, центробанковский), индийский UPI, канадский Interac e-Transfer — все дешёвые и не зависят от Visa/MC.
• Решение видится в регуляции: запретить финансовым учреждениям блокировать законные транзакции по моральным или репутационным причинам.

В даркнете появилась модифицированная прошивка для Flipper Zero, которая обходит защиту rolling-code у гаражных ворот и автомобильных сигнализаций.

Прошивка «Shadow Code» перехватывает и «замораживает» текущий код, позволяя злоумышленнику повторно активировать систему без подбора следующего значения. Работает на частотах 433/868 МГц, совместима с Keeloq, KeeLoq HCS и аналогичными протоколами.

Разработчики утверждают, что эксплойт не требует физического доступа к брелку: достаточно одного перехваченного пакета. Прошивка распространяется через закрытые Telegram-каналы и даркнет-форумы за криптовалюту.

Специалисты по ИБ рекомендуют обновить прошивку своих систем до последней версии, включить двухфакторную аутентификацию (где поддерживается) и использовать шлюзы с временными окнами активации, чтобы минимизировать риск повторного использования кода.

• Уязвимость в системах с динамическим кодом KeeLoq позволяет по одному нажатию кнопки ключа клонировать все функции брелка, если известен «производственный ключ».
• Пользователи обсуждают, что из-за атаки оригинальный брелок рассинхронизируется и перестаёт работать, что может быть использовано как акт вандализма.
• Многие считают бесключевой запуск и удалённое открытие машины избыточным риском, предпочитая физический ключ или многофакторную защиту.
• Упоминается, что производители (особенно Hyundai/Kia) могут выигрывать от краж, так как страховые выплаты приводят к продаже новых машин.
• Некоторые производители (Chevrolet, Toyota, Honda, Nissan) в списке уязвимых не фигурируют — возможно, используют другие протоколы или просто не тестировались.

From the article:> consumers hate metered billing. they'd rather overpay for unlimited than get surprised by a bill.Yes and no.Take Amazon. You think your costs are known and WHAMMO surprise bill. Why do you get a surprise bill? Because you cannot say 'Turn shit off at X money pe