Kirill Varlamov

486 posts

Kirill Varlamov

@ongridpro

CTO and systems architect at @DefinmeAG. Pushing the boundaries of possibility with transformative solutions in DAOs, DeFi and Web3.

Zug, Switzerland เข้าร่วม Ağustos 2018

2.4K กำลังติดตาม326 ผู้ติดตาม

Kirill Varlamov รีทวีตแล้ว

deKirill@kir_varlamov·4d

Two diametrically opposite reads on AI × security this week The fear-forward one: AI-priced offense visibly outran DeFi defense in April, with measured research behind it 🧵/1

Pashu@pavellarenso

DeFi's April hack count keeps rising: 15+ exploits, ~$1B+ gone, and AI is the quiet suspect behind most of them This is the first month where AI-priced offense visibly outran DeFi defense, and the research showing why isn't speculation - it's measured and replicable 🧵 /1

English

2.7K

Kirill Varlamov@ongridpro·5d

@patfscott Yes on AI bullet Hack capability scales with each new model and more compute, while defender economics stay flat Pashu compiled it well x.com/pavellarenso/s…

Pashu@pavellarenso

English

Patrick Scott@patfscott·19 Nis

What do you guys think is behind the sudden surge in crypto hacks? A few possibilities: - AI is advancing hacking capabilities faster than security. Not just identifying exploits, but social engineering through deepfakes. I know people that have been targeted. - Groups using all their known exploits before Mythos drops. - Engineers in crypto no longer see a legal path to making money.

Jeremy@Jeremybtc

Kelp DAO appears to have been exploited for $293 MILLION in the last hour, making it the biggest DeFi hack of 2026. And it's far from being the only one this month. Over $600M stolen from DeFi in the last 2 weeks across over 10 different protocols, and AI is only making it easier for hackers. > Kelp DAO: attacker exploited the LayerZero bridge to drain 116,500 rsETH ($293M), then used it as collateral on Aave to borrow ETH, leaving Aave with bad debt as $AAVE dumps. > Drift Protocol: $285M drained by North Korean hackers using AI powered social engineering, they spent months building trust with insiders before executing in 12 minutes. > Rhea Finance: $18M stolen through fake token pools that tricked the protocol's oracle into approving withdrawals. > Grinex: $15M stolen, sanctioned Russian exchange suspended all operations and blamed "Western intelligence". > Hyperbridge: attacker minted 1 billion fake bridged DOT with a notional value over $1B, but only extracted about $237K because liquidity was thin. > BSC TMM pool: $1.67M drained through reserve manipulation. > Aethir: $423K lost in an access control exploit on their GPU network. > Dango: $410K stolen through a smart contract bug in their bridge aggregator. > Silo Finance: $392K gone from a misconfigured oracle. > CoW Swap: frontend hijacked through DNS attack, site redirected to a phishing page. > Zerion: hit by North Korean social engineering, credentials stolen. The attack surface is expanding faster than the defenses. This is only going to get worse.

English

16.9K

Kirill Varlamov รีทวีตแล้ว

deKirill@kir_varlamov·5d

Multi-agent LLM harnesses are a real lever for vuln discovery. AI agents wired to fuzzers, static analysis, debuggers with with runtime signals steering rewrites Liu et al. article proved this on local programs. DeFi version is Echidna, Slither, Foundry arxiv.org/pdf/2604.20801

English

691

Kirill Varlamov@ongridpro·6d

@chrisdior777 also had thoughts about DPRK, AI-superpowered disbalance and mispriced security

English

chrisdior@chrisdior777·6d

My current take: If Mythos, or Mythos-class capabilities, become broadly accessible in the future, they will most likely make life harder for legitimate projects more than they help them. Here’s why: Cybersecurity has always involved money. Bigger companies already spend a lot on security. But on the offensive side, the bottleneck used to be different. Previously, money alone was not enough. You still needed scarce, highly skilled hackers spending time manually researching targets, reviewing code, chaining bugs, and finding exploitable paths. AI is changing that now. We are already seeing AI tooling identify high and critical severity issues. And if Mythos is as capable as described, advanced models can scan codebases, test exploit hypotheses, simulate attack paths, and review many targets in parallel. That means capital can now buy offensive search speed in a way it could not before. Money may now buy: - faster vulnerability discovery - broader coverage across many projects - repeated autonomous testing - less dependence on elite human researchers, while still needing them for judgment - dramatically shorter time-to-exploit And this compute is expensive. The Mythos evaluations reportedly used very large token budgets per run, suggesting serious autonomous security scanning may require substantial spending. That is where this becomes especially relevant for crypto. DPRK-linked groups, already responsible for massive thefts, have huge capital, infrastructure, patience, and incentives. Many Web3 projects do not have comparable security budgets. So the picture may increasingly look like: well-funded attacker groups running frontier AI vs projects that cannot match the spend. That could mean only top-tier teams can afford continuous AI hardening: - nonstop red teaming - repeated exploit simulations - continuous code review - meaningful token / compute budgets And even then, nothing is guaranteed. So projects may need larger security budgets while simultaneously becoming easier targets for well-funded attackers using AI. I may be wrong or missing key nuances, so I’d genuinely like to hear other views.

English

2.3K

Kirill Varlamov@ongridpro·6d

@newmichwill …and offender side outperforms em all x.com/pavellarenso/s…

Pashu@pavellarenso

English

124

Michael Egorov@newmichwill·6d

Our AI is right. Code become more secure over time, but humans did not. So need to depend less on humans (true DeFi) or secure the human part

Chado@chadosdiary

🔓 5 years of DeFi/crypto exploits, 2020–2026 YTD: where the money actually leaks. 📉 Protocol-logic exploits collapsed: 37% (2021) → ~5% (2024). Audits, formal verification, fuzz harnesses, immutable bug bounties — they actually work. 📈 But total losses didn't fall — keys / infra / CEX / UI supply-chain became 80–95% of the pie: • Bybit $1.5B (Safe{Wallet} supply chain, Lazarus, Feb 2025) • Kelp DAO via LayerZero $292M (RPC compromise + DDoS failover, Apr 2026) • DMM Bitcoin $305M (private key, May 2024) • WazirX $235M (multisig, Jul 2024) • Mixin $200M (cloud DB breach, Sep 2023) ⚖️ 2025 partial recovery to 20% logic: Cetus (Sui) $223M, Balancer V2 $128.6M precision heist, GMX V1 $42M. The weakest link moved from code → humans, cloud, endpoints. Sources: Chainalysis, SlowMist, Halborn, Immunefi, DefiLlama, REKT DB. #DeFi #CryptoSecurity

English

18.1K

Kirill Varlamov รีทวีตแล้ว

deKirill@kir_varlamov·6d

New paper on Post-Quantum Crypto from Coinbase, @danboneh, @drakefjustin, @sreeramkannan, @LindellYehuda, @dahlia_malkhi covers migration for major chains Ethereum’s path is fairly well-understood by now, so the interesting read was seeing how Bitcoin, Solana, and the rest are planning to handle it assets.ctfassets.net/sygt3q11s4a9/6…

English

805

Kirill Varlamov@ongridpro·6d

@mokevnin Предлагаю начать обучать под эти задачи людей, их можно рожать без вреда для экологии и процесс давно отлажен

Русский

897

Kirill (hexlet.io)@mokevnin·21 Nis

Мы наняли джуниор-разработчика, чтобы писать простой код и не тратить кучу денег на токены для таких базовых/примитивных задач

Русский

2.5K

319.5K

Kirill Varlamov รีทวีตแล้ว

deKirill@kir_varlamov·20 Nis

A minimum DVN threshold inside one provider is redundancy, not shared security. Multiple DVNs under one organization still share the same team, same codebase and ops. The the M-of-N rule should sit a layer up, across independent providers.

deAlex@AlexSmirnov

x.com/i/article/2046…

English

3.9K

Kirill Varlamov รีทวีตแล้ว

deKirill@kir_varlamov·16 Nis

x.com/i/article/2044…

ZXX

15.9K

Kirill Varlamov@ongridpro·28 Şub

@selenarisy Отличный дядька, мне в ютупчике попадается, залипаю на его курочек. Я в деревне жил - обожал это уютное ко-ко-ко 🐓🐔

Русский

184

Вишневый пирог 蓝寒月@selenarisy·27 Şub

После просмотра этого видео я снова психически стабильна

Русский

200

3.4K

83K

Kirill Varlamov@ongridpro·24 Şub

@omarsar0 Totally agree with “The recommendation is clear. Omit LLM-generated context files entirely”. Use programming language’s “syntactic sugar” for expressiveness and runnable test cases for documenting business and interactions

English

122

elvis@omarsar0·24 Şub

Be careful what you put in your AGENTS dot md files. This new research evaluates AGENTS dot md files for coding agents. Everyone uses these context files in their repos to help AI coding agents. More context should mean better performance, right? Not quite. This study tested Claude Code (Sonnet-4.5), Codex (GPT-5.2/5.1 mini), and Qwen Code across SWE-bench and a new benchmark called AGENTbench with 138 real-world instances. LLM-generated context files actually decreased task success rates by 0.5-2% while increasing inference costs by over 20%. Agents followed the instructions, using the mentioned tools 1.6-2.5x more often, but that instruction-following paradoxically hurt performance and required 22% more reasoning tokens. Developer-written context files performed better, improving success by about 4%, but still came with higher costs and additional steps per task. The broader pattern is that context files encourage more exploration without helping agents locate relevant files any faster. They largely duplicate what already exists in repo documentation. The recommendation is clear. Omit LLM-generated context files entirely. Keep developer-written ones minimal and focused on task-specific requirements rather than comprehensive overviews. I featured a paper last week that showed that LLM-generated Skills also don't work so well. Self-improving agents are exciting, but be careful of context rot and of unnecessarily overloading your context window. Paper: arxiv.org/abs/2602.11988 Learn to build effective AI agents in our academy: academy.dair.ai

English

401

68.8K

Kirill Varlamov@ongridpro·24 Şub

@peterfriese In your experience, what prevents smaller public OpenAI’s open-source projects (like codex) from adopting this approach today?

English

Peter Friese@peterfriese·22 Şub

OpenAI's engineering team built their new platform with 0 lines of manually written code, using Codex agents. openai.com/index/harness-…

English

362

126.4K

Kirill Varlamov@ongridpro·29 Oca

@pakhandrin Чем лучше-то? Как быть с «мелочами» что их TUI до сих пор не поддерживает, например, курсор ввода. Перенос строки можно вставить только через экранирование \. Vim шорткаты не поддерживаются. Доколе будем UNIX/POSIX переизобретать?

Русский

201

Sergey Pakhandrin@pakhandrin·29 Oca

Я полюбил терминал c Claude Code CLI У меня не раз уже спрашивали: – “Ты реально в терминале сидишь, а не через IDE типа vccode? – “А как же видеть, что он меняет?” – “А как же глазами просматривать код, а вдруг он что-то не то сделал?” – “Нет-нет, я сижу в Cursor и тщательно просматриваю каждое изменение.” Это выбор, и каждый делает его для себя. Когда-то и я работал через Cursor и слово терминал для меня было чем-то страшным, но я заставил себя попробовать Claude Code CLI и понял, что это лучшее “окно” для работы с агентом. Кто-то боится разучиться писать код вручную, кто-то боится, что агент наделает ерунды, но моё личное мнение, что это надуманная история. Я часто стал замечать у разных людей, что Claude Code им в ответах выдаёт блок “★ Insight”, где описывается как что-то сделано, или почему им было принято такое решение или какие-то важные мысли, выделенные в этом отдельном блоке. Оказывается в Claude Code есть слеш-команда output-style, и у меня значение output-style было выставлено в Default, т.е. самый скучный режим. Я упустил существование этой команды и полез разбираться, что это и как оно работает. Output-style это своего рода переключатель системного промпта Claude Code. Только системный промпт не заменяется, а дополняется новым поведением агента. У этой команды есть 3 варианта: default, explanatory и learning. На Default стиле сидят все, кто не знает о существовании этой команды. А вот Explanatory режим как раз добавляет те самые инсайты. Но не менее интересен режим Learning. Судя по всему, он как раз для тех, кто не хочет разучиться писать код руками, хотя это вымирающий навык. В этом режиме агент так же выдает инсайты, но дополнительно оставляет в коде блоки TODO(human), чтобы человек сам дописал нужные куски кода и не разучился это делать или научился писать код, если он только учится в эти непростые для новичков времена. А еще можно реализовать свой собственный стиль и поведение агента на уровне системного промпта, и дополнить его теми качествами, которые вам нужны.

Русский

181

26.2K

Kirill Varlamov@ongridpro·18 Oca

@Dimillian Hey man. While going through your repo, I noticed this comment on one of the pull requests. Just curious — was this feedback given by you personally (a human who ran the code manually), or the job was done by an AI agent? #issuecomment-3762735691" target="_blank" rel="nofollow noopener">github.com/Dimillian/Code… Cc @AlexSmirnov

English

Thomas Ricouard@Dimillian·17 Oca

Thanks to Moe Haje, Codex Monitor now supports dictation with Whisper! Their PR has been merged and will go into the next release! github.com/Dimillian/Code…

English

4.3K

Kirill Varlamov@ongridpro·16 Eki

Моё резюме: контрибьютор в opensource проекты. Мои коммиты:

Tikhon Dzyadko@tikhondzyadko

Справедливость восторжествовала

Русский

111

Kirill Varlamov@ongridpro·9 Eki

@mironov_ru Серёнь, ну ты же депутат и глава «оппозиционной» фракции. Ты зачем на заседания-то ходишь, чисто пожрать? Выскажись, против проголосуй. У тебя целая фракция кнопкодавов там кормится. Хули ты во вражеской соцсети ноешь-то? Или кувалда повисла?

Русский

Сергей Миронов@mironov_ru·6 Eki

Наша медицина умирает. В 2026 году расходы на здравоохранение почти не вырастут. Поэтому и врачей катастрофически не хватает. К специалистам не попасть, детская медицина в упадке. Доходы медиков падают, система деградирует. Нужно увеличивать финансирование медицины минимум вдвое!

Русский

472

195

34K

Kirill Varlamov@ongridpro·19 Tem

@alam4freedom @KlonD90 erc7683.org для контекста

Українська

Kirill Varlamov@ongridpro·19 Tem

@alam4freedom @KlonD90 @KlonD90 Если ищешь опыт и контриб в опенсорс, то есть идея вот этот проект попробовать воскресить github.com/0xProject/0x-m… и адаптировать его под ERC-7683 формат обмена intent-сообщениями

Русский

KlonD90@KlonD90·18 Tem

Все еще ищу работу. Если у вас есть что-то крутое в блокчейне или связанное с ним я могу вам подойти, также если нужен просто хороший fullstack engineer со стэком виде typescript/rust/solidity то вполне могу закрыть ваши потребности.

Русский

2.2K

Kirill Varlamov@ongridpro·13 Nis

@mgh_pls Т10Д

Русский