A cryptography expert on how Web3 started, and how it’s going 💬 Длинная дискуссия
Web3: криптография на новом рубеже
Идея полностью децентрализованного интернета теряет популярность: блокчейны медленны, дороги и централизуются вокруг крупных игроков.
Криптографы ищут выход в zero-knowledge (ZK) и fully homomorphic encryption (FHE), позволяющих считать данные, не раскрывая их.
ZK-доказательства уже масштабируют Ethereum (zk-rollups), а FHE только выходит из лабораторий: пока миллион раз медленнее обычных вычислений.
Главный вопрос — удастся ли снизить overhead до практического уровня, чтобы вернуть пользователей и данные из «Web2» обратно.
Комментарии (161)
- Участники сходятся: «Web3» оказалась централизованнее старого веба и превратилась в прикрытие для крипто-спекуляций.
- Настоящая децентрализация возможна (email, BitTorrent, Mastodon, Arweave), но убивается монополиями Google/Meta/Amazon и эффектом сети.
- Пользователям плевать на «нердские» идеи: они выбирают удобство и деньги, а не открытые протоколы.
- Без массового спроса и удобного UX любые «свободные» сети остаются нишевыми; венчур и капитал всё равно тянут к централизации.
We all dodged a bullet 🔥 Горячее 💬 Длинная дискуссия
Коротко: в NPM проникли популярные пакеты (colors, debug и др.) через фишинг письмо «смени 2FA». Вредоносный код подменял адреса криптокошельков.
Почему это мелко: библиотеки используются в CLI-утилитах, а не в Web3; украденные API-ключи или майнеры были бы катастрофой.
Вывод: любая зависимость может быть трояном, но проверять всё дерево пакетов никто не успевает — надо успевать релизить.
Комментарии (449)
- Атака на NX через NPM показала, что даже популярные плагины могут стать вектором для кражи creds и API-кейсов.
- Участники сходятся: «всё дерево зависимостей NPM по умолчанию доверяет всем», а ручная проверка каждой мелкой библиотеки невозможна при скорости релизов.
- Многие выжили лишь благодаря «отложенным обновлениям», изоляции в контейнерах или отказу от экосистемы Node/NPM целиком.
- Фишинг на домене npm.help подтвердил, что даже IT-специалисты не всегда замечают поддельные TLD; предлагают белые списки ссылок и DMARC-индикаторы в клиентах.
- Утверждение «мы просто не заметили более продвинутые атаки» звучит всё чаще: Jia Tan 3.0, по мнению комментаторов, уже где-то в supply-chain.