Что такое флэш-кредит-атаки?

Флэш-кредиты являются относительно новой технологией и, следовательно, подвержены атакам со стороны хакеров и злоумышленников, которые пытаются обмануть систему и использовать ее в своих интересах.

При атаке на мгновенную ссуду заемщик может обмануть кредитора, заставив его поверить в то, что ссуда была полностью погашена, даже если это не так.

Технически вор выдает себя за заемщика и берет срочный кредит из кредитного протокола. Затем протокол используется для манипулирования рынком и обмана кредиторов. В некоторых случаях злоумышленники создают арбитражные возможности для использования уязвимых смарт-контрактов. Таким образом, злоумышленники могут покупать токены по дешевке или продавать их по более высоким ценам на эксплуатируемые контракты.

Почему в DeFi происходят атаки с использованием мгновенных кредитов?
Атаки с использованием мгновенных кредитов распространены, потому что их проще и быстрее всего осуществить.

Это связано с тем, что протоколы, связанные с быстрыми кредитами, еще не защищены от новых атак и манипуляций. Поскольку транзакции происходят за считанные секунды, хакеры могут атаковать сразу несколько рынков.

Наиболее распространенные атаки с использованием флэш-кредитов в DeFi — это поддельные арбитражные возможности, о которых мы упоминали выше. При флэш-кредит-атаке злоумышленник создает возможность арбитража, изменяя относительную стоимость торговой пары токенов. Это можно сделать, используя их кредитные токены, чтобы заполнить контракт и создать проскальзывание.

Как системы DeFi могут защитить себя от флэш-кредит-атак?

Подавляющее большинство взломов DeFi — это атаки с использованием флэш-кредитов. Поскольку технология является новой, уязвимости не сразу бросаются в глаза, и для их выявления могут потребоваться опытные разработчики.

Атаки с использованием флэш-кредитов могут стоить протоколам DeFi и их пользователям сотен миллионов долларов. Таким образом, должны быть приняты меры безопасности, чтобы гарантировать надежность и чистоту протокола.

Пост выше тезис к этому посту

13 марта 2023 года Euler Finance подвергся серьезному взлому, в результате чего было потеряно около 196 миллионов долларов активов.

Прочитал новость о том, что хакер все таки вернул 200 миллионов долларов.
Пока не понятно что заставило его повернуть назад

Статья о эксплуатации экспресс-кредита Euler Finance на 196 миллионов | Узнайте, как повторить взлом с помощью флеш-кредит-атаки :

Ссылка на статью

Код на GitHub

🛠 Подборка источников и инструментов для аудита.

Редкие инструменты для аудита:

• github.com/naddison36/sol2uml
• github.com/naddison36/tx2uml
• twitter.com/danielvf/status/1637815201243320320
• openchain.xyz/trace
• github.com/PraneshASP/vscode-solidity-inspector
• evm-slotreader.on.fleek.co
• github.com/Jon-Becker/heimdall-rs (decompile.tools)
• github.com/DanielVF/evm-contract-draw
• lab.miguelmota.com/ethereum-input-data-decoder/example
• antoncoding.github.io/eth-tx-decoder
• github.com/nascentxyz/pyrometer
• twxtter.com/FungifyNFT/status/1638230119960420380
• tx.eigenphi.io/analyseTransaction
• github.com/SheldonHolmgren/code2pdf/blob/master/MakerDAO
• github.com/ziyadedher/evm-bench
• tenderly.co

Аккаунты аудиторов в twitter:
Faith, patrickd, zzykxx, Trust, okkothejawa, pashov, afeli.eth, WINTΞR, philogy, Liam | Sydney, WATCHPUG, 0xrudra, Samrat Gupta, rmi7.eth, Christoph Michel, Officer's Notes, alpharush.

(Подборка аудиторов by Влад) https://news.1rj.ru/str/solidityset

Опрос разработчиков за 2022 год

Статистика о:

Местоположении
Сколько времени потрачено на обучение
Внесение вклада в проекты с открытым исходным кодом
И многое другое


https://blog.soliditylang.org/2023/03/10/solidity-developer-survey-2022-results/

Immunefi Crypto Losses Report Q12023

This is how I found my second high severity vuln on @immunefi

Или как я нашёл уязвимость уровня high на immunefi

https://zzykxx.com/2023/02/27/a-very-helpful-sign/

Twitter : https://twitter.com/zzykxx?s=21&t=FSoNvV1PWGLv0sdnDFmuOA

Solhunt - это статический анализатор Solidity. Он предназначен для поиска наиболее распространенных уязвимостей перед началом ручного аудита.

https://t.co/rsRyym7chZ

https://twitter.com/franfraneth/status/1644391363364913153?s=46&t=FSoNvV1PWGLv0sdnDFmuOA

+Нашёл полезный курс по взлому Смарт контрактов

https://t.co/7hgfZcC9JL?ssr=true

Моя персональня aggregated подборка задач связанные с аудитом смарт-контрактов, а также виды уязвимостей & взломы DeFi протоколов
Rektoff 👾

https://news.1rj.ru/str/dbtlp

Для всех аудиторов смарт-контрактов выкатили годноту! Датасет из 150 тысяч смарт-контрактов с Ethereum Mainnet, 175 миллионов строк кода! Применив чуть-чуть OSINT можно найти контракты с уязвимыми кусками кода.

Новые инструменты, уязвимости и исследования

Что нового принесли в сообщество за вторую половину апреля?

————————————
Найденные уязвимости:
————————————
- Уязвимость в TrustWallet расширение для браузера в ноябре прошлого года.

- Кража газа: обход обработчиков Ethermint

- Серия исследований программных кошельков: проблема реализации EIP-712, затрагивающая более 40 поставщиков (Coinspect)

- Критические ошибки в библиотеке Facebook/Polygon

- Gnosis Gnosis развернул хард-форк , чтобы исправить проблему с повторным входом в смарт-контракт
————————
Исследования:
————————
- EF/CF: высокопроизводительный тестинг смарт-контрактов для создания эксплойтов

- Как HYDN спасла средства пользователей на сумму 600 тысяч долларов для SushiSwap

- Взлом узла Ethereum от TrustChain

- Uniswap V2 — протокол DeFi, объясненныйUniswap V2

- Концепции кредитования DeFi, часть 1: кредитование и заимствование
-Концепции кредитования DeFi, часть 2: ликвидацияDeFi Lending Concepts Part 2: Liquidations
———————————
Новые инструменты:
———————————
- EVM Bytecode Decomplier - для сложных в декомпиляции смарт-контрактах

- MEV BlockerMEV Blocker защищает от атак с опережением и сэндвич-атак.

Safe Smart Accounts & Diamond Proxies

Safe — это модульный протокол Smart Account, который использует абстракцию учетной записи для создания широкого спектра кошельков и других решений через общий интерфейс плагинов.

Одной из целей контрактов Safe является модульность и расширяемость. Это необходимо для полного использования возможностей смарт-аккаунтов (абстракции учетных записей).

more details: safe.mirror.xyz

⇝ This is the index repository

общее количество смарт-контрактов, развëрнутых на Ethereum: (token/router/factory addresses laying etc)

GitHub: github.com/tintinweb/smart-contract-sanctuary

AST — это аббревиатура от абстрактного синтаксического дерева. Это концепция в информатике, которая представляет структуру исходного кода программы для использования компилятором и обычно является результатом фазы синтаксического анализа компилятора. Это дерево также помогает просматривать структуру исходного кода подобно тому, как DOM помогает просматривать структуру HTML-файла. Применение AST заключается в статическом анализе кода, при котором автоматизированные инструменты могут проходить AST программы, чтобы находить синтаксические ошибки и неверные шаблоны в коде, не выполняя его на самом деле, процесс, который помогает отладке при программировании Solidity.

Почему AST так важен?
Ссылка:

Собрал ближайшие даты хакатонов и конференций web3

5-10 мая — Хакатон ETHTallinn и конференция NFT Tallinn

9-12 мая — Блокчейн-саммит EYEY

11–14 мая — Хакатон Pragma Lisbon и & ETHGlobal в Лиссабоне

19-23 мая — EDCON Черногория (вместо Вены)

20-21 мая — ETHDam конференция и хакатон

24-26 мая — Spaghett ETH конференция (Неаполь)

26-28 мая — Хакатон ETHDublin

2–4 июня — ETH Сеул

2–7 июня — Конференция и хакатон ETH в Белграде

9–11 июня — Конференция и хакатон ETHPrague

23–25 июня — ETHGlobal Waterloo

5-7 июля — ETHBarcelona

17-20 июля — EthCC (Париж)

21–23 июля — ETHGlobal (Париж)

13-16 августа — ETHToronto & ETHWomen

16-19 августа — Ethereum Argentina (Буэнос-Айрес)

28-30 августа — Конференция <Наука о блокчейне> (Стэнфордский университет)

30 августа–3 сентября — конференция и хакатон ETHWarsaw

1–3 сентября — Хакатон Ethcon (Корея)

10-12 сентября — Хакатон и конференция Ethereum Singapore

11-13 сентября — DappCon (Берлин)

15 сентября — Протокол Берг (Берлин)

18–21 сентября — Хакатон и конференция ETH Montréal

22–24 сентября — ETHGlobal Нью-Йорк

5-6 октября — Конференция ETHMilan

6–27 октября — ETHOnline (ETHGlobal)

27–29 октября — Фестиваль ETH Miami + хакатон

28–30 октября — Хакатон ETH в Лиссабоне

13-19 ноября — Devconnect (Стамбул)

17-19 ноября — ETHGlobal (Стамбул)

Blend: протокол

Как построить протокол кредитования, который поддерживает произвольный залог, не имеет оракулов и не имеет истечения срока действия?

Протокол P2P Lending, который безжалостно вычитает все, что не является необходимым. Никаких оракулов, никаких экспираций.

Подробнее:

https://www.paradigm.xyz/2023/05/blend

Руководство по нетворкингу и бот который превращает любое изображение в NFT?

- Поиск влиятельных людей
- Инструменты для расширения сети контактов
-Типы людей в компании, на которых следует обратить внимание
-Бот который превратит любое ваше изображение в NFT
-Многое другое

Soon

Возвращаемся через бэкдор в строй киберпартизанов!

Накопилось очень много полезного материала в процессе ресерча за последнее время.
Погружайся!

Часть l (Практика, обучение)
Некоторые слова выделены подчеркиванием-ссылкой на статью с объяснением термина.

Состязайся:
- Практикуйтесь во взломе смарт-контрактов
- Головоломки от RareSkills
- Задача по усилению CTF

CMИ:
- Аудит смарт-контрактов c 0xWeiss (Security Researcher, Smart Contract Auditor) - где он поделился своим процессом аудита и анализом кода
- Все о смарт-контрактах и аудите DApp Оливер из »Zellic« объяснил весь процесс аудита контрактов / DApp от начала разработки проекта до завершения аудита и решения проблем.
- Как не быть взломанным и другие извлеченные уроки безопасности. В этой беседе Рияз и Насс , ранее отвечавшие за онлайн-безопасность в криптовалюте a16z (венчурный фонд, инвестирующий в крипто- и web3-стартапы), расскажут об уроках, полученных в дикой природе, типах атак, целостном понимании угроз и о том, как не стать жертвой взлома.

Инструменты:

- Загрузка любого контракта в визуальный код в вашем браузере!
Просто скопируйте любую ссылку с etherscan и редактируйте добавив deth.net (инструкция в посте)

-Инструмент кодирования ABIEncoding (Когда вы хотите проверить код смарт-контракта Solidity на EtherScan, BscScan, PolygonScan и т.д. или вручную провести транзакцию для вызова метода вашего контракта, вам необходимо специальным образом закодировать входные аргументы.
ABI Encoding поможет вам закодировать эти аргументы)

-Function Selector Miner - быстрый майнер селектора функций, написанный на Rust

- Инструмент сравнения контрактов (Очень удобный вид отчета)

-Contract-diff.xyz помогает находить различия в разветвлениях контрактов с помощью SimHashes

-Function Selector Miner - быстрый майнер селектора функций, написанный на Rust

- Nocturne: ваш путь к личным транзакциям
(Nocturne позволяет пользователям отправлять или получать активы из внешних учетных записей (EOA) и контрактов на частные скрытые адреса. Это сохраняет личность пользователя и баланс активов в секрете. Пользователи могут доказать, что они владеют этими активами (которые скрыты), не раскрывая никакой личной информации.)