Для всех аудиторов смарт-контрактов выкатили годноту! Датасет из 150 тысяч смарт-контрактов с Ethereum Mainnet, 175 миллионов строк кода! Применив чуть-чуть OSINT можно найти контракты с уязвимыми кусками кода.

Новые инструменты, уязвимости и исследования

Что нового принесли в сообщество за вторую половину апреля?

————————————
Найденные уязвимости:
————————————
- Уязвимость в TrustWallet расширение для браузера в ноябре прошлого года.

- Кража газа: обход обработчиков Ethermint

- Серия исследований программных кошельков: проблема реализации EIP-712, затрагивающая более 40 поставщиков (Coinspect)

- Критические ошибки в библиотеке Facebook/Polygon

- Gnosis Gnosis развернул хард-форк , чтобы исправить проблему с повторным входом в смарт-контракт
————————
Исследования:
————————
- EF/CF: высокопроизводительный тестинг смарт-контрактов для создания эксплойтов

- Как HYDN спасла средства пользователей на сумму 600 тысяч долларов для SushiSwap

- Взлом узла Ethereum от TrustChain

- Uniswap V2 — протокол DeFi, объясненныйUniswap V2

- Концепции кредитования DeFi, часть 1: кредитование и заимствование
-Концепции кредитования DeFi, часть 2: ликвидацияDeFi Lending Concepts Part 2: Liquidations
———————————
Новые инструменты:
———————————
- EVM Bytecode Decomplier - для сложных в декомпиляции смарт-контрактах

- MEV BlockerMEV Blocker защищает от атак с опережением и сэндвич-атак.

Safe Smart Accounts & Diamond Proxies

Safe — это модульный протокол Smart Account, который использует абстракцию учетной записи для создания широкого спектра кошельков и других решений через общий интерфейс плагинов.

Одной из целей контрактов Safe является модульность и расширяемость. Это необходимо для полного использования возможностей смарт-аккаунтов (абстракции учетных записей).

more details: safe.mirror.xyz

⇝ This is the index repository

общее количество смарт-контрактов, развëрнутых на Ethereum: (token/router/factory addresses laying etc)

GitHub: github.com/tintinweb/smart-contract-sanctuary

AST — это аббревиатура от абстрактного синтаксического дерева. Это концепция в информатике, которая представляет структуру исходного кода программы для использования компилятором и обычно является результатом фазы синтаксического анализа компилятора. Это дерево также помогает просматривать структуру исходного кода подобно тому, как DOM помогает просматривать структуру HTML-файла. Применение AST заключается в статическом анализе кода, при котором автоматизированные инструменты могут проходить AST программы, чтобы находить синтаксические ошибки и неверные шаблоны в коде, не выполняя его на самом деле, процесс, который помогает отладке при программировании Solidity.

Почему AST так важен?
Ссылка:

Собрал ближайшие даты хакатонов и конференций web3

5-10 мая — Хакатон ETHTallinn и конференция NFT Tallinn

9-12 мая — Блокчейн-саммит EYEY

11–14 мая — Хакатон Pragma Lisbon и & ETHGlobal в Лиссабоне

19-23 мая — EDCON Черногория (вместо Вены)

20-21 мая — ETHDam конференция и хакатон

24-26 мая — Spaghett ETH конференция (Неаполь)

26-28 мая — Хакатон ETHDublin

2–4 июня — ETH Сеул

2–7 июня — Конференция и хакатон ETH в Белграде

9–11 июня — Конференция и хакатон ETHPrague

23–25 июня — ETHGlobal Waterloo

5-7 июля — ETHBarcelona

17-20 июля — EthCC (Париж)

21–23 июля — ETHGlobal (Париж)

13-16 августа — ETHToronto & ETHWomen

16-19 августа — Ethereum Argentina (Буэнос-Айрес)

28-30 августа — Конференция <Наука о блокчейне> (Стэнфордский университет)

30 августа–3 сентября — конференция и хакатон ETHWarsaw

1–3 сентября — Хакатон Ethcon (Корея)

10-12 сентября — Хакатон и конференция Ethereum Singapore

11-13 сентября — DappCon (Берлин)

15 сентября — Протокол Берг (Берлин)

18–21 сентября — Хакатон и конференция ETH Montréal

22–24 сентября — ETHGlobal Нью-Йорк

5-6 октября — Конференция ETHMilan

6–27 октября — ETHOnline (ETHGlobal)

27–29 октября — Фестиваль ETH Miami + хакатон

28–30 октября — Хакатон ETH в Лиссабоне

13-19 ноября — Devconnect (Стамбул)

17-19 ноября — ETHGlobal (Стамбул)

Blend: протокол

Как построить протокол кредитования, который поддерживает произвольный залог, не имеет оракулов и не имеет истечения срока действия?

Протокол P2P Lending, который безжалостно вычитает все, что не является необходимым. Никаких оракулов, никаких экспираций.

Подробнее:

https://www.paradigm.xyz/2023/05/blend

Руководство по нетворкингу и бот который превращает любое изображение в NFT?

- Поиск влиятельных людей
- Инструменты для расширения сети контактов
-Типы людей в компании, на которых следует обратить внимание
-Бот который превратит любое ваше изображение в NFT
-Многое другое

Soon

Возвращаемся через бэкдор в строй киберпартизанов!

Накопилось очень много полезного материала в процессе ресерча за последнее время.
Погружайся!

Часть l (Практика, обучение)
Некоторые слова выделены подчеркиванием-ссылкой на статью с объяснением термина.

Состязайся:
- Практикуйтесь во взломе смарт-контрактов
- Головоломки от RareSkills
- Задача по усилению CTF

CMИ:
- Аудит смарт-контрактов c 0xWeiss (Security Researcher, Smart Contract Auditor) - где он поделился своим процессом аудита и анализом кода
- Все о смарт-контрактах и аудите DApp Оливер из »Zellic« объяснил весь процесс аудита контрактов / DApp от начала разработки проекта до завершения аудита и решения проблем.
- Как не быть взломанным и другие извлеченные уроки безопасности. В этой беседе Рияз и Насс , ранее отвечавшие за онлайн-безопасность в криптовалюте a16z (венчурный фонд, инвестирующий в крипто- и web3-стартапы), расскажут об уроках, полученных в дикой природе, типах атак, целостном понимании угроз и о том, как не стать жертвой взлома.

Инструменты:

- Загрузка любого контракта в визуальный код в вашем браузере!
Просто скопируйте любую ссылку с etherscan и редактируйте добавив deth.net (инструкция в посте)

-Инструмент кодирования ABIEncoding (Когда вы хотите проверить код смарт-контракта Solidity на EtherScan, BscScan, PolygonScan и т.д. или вручную провести транзакцию для вызова метода вашего контракта, вам необходимо специальным образом закодировать входные аргументы.
ABI Encoding поможет вам закодировать эти аргументы)

-Function Selector Miner - быстрый майнер селектора функций, написанный на Rust

- Инструмент сравнения контрактов (Очень удобный вид отчета)

-Contract-diff.xyz помогает находить различия в разветвлениях контрактов с помощью SimHashes

-Function Selector Miner - быстрый майнер селектора функций, написанный на Rust

- Nocturne: ваш путь к личным транзакциям
(Nocturne позволяет пользователям отправлять или получать активы из внешних учетных записей (EOA) и контрактов на частные скрытые адреса. Это сохраняет личность пользователя и баланс активов в секрете. Пользователи могут доказать, что они владеют этими активами (которые скрыты), не раскрывая никакой личной информации.)

Часть ll

Здесь собраны исследования и плоды стараний web3 энтузиастов за последнюю неделю

-Поймай меня, если сможешь! "Изучая крайние случаи try/catch в Solidity, я изучал абстракцию учетных записей."

-6 ошибок безопасности мостов Web3

-Как найти XSS-уязвимости в торговых площадках NFT - by immunefi

-Контрольный список аудита смарт-контрактов (Довольно обширный репозиторий)

-Список взломов аппаратных кошельков (содержит взломы начиная с 2014 года)

Советую все это проанализировать, многое вы найдете полезным для своей деятельности.
В этих двух постах куча полезного материала пропущенного мной через себя.

Solodit - Репозиторий отчетов об аудите смарт-контрактов

Нашел комплексный инструмент для аудиторов смарт-контрактов, предоставляет аудиторам мощный ресурс для улучшения их процессов аудита.

Так же прикрепляю статью на медиуме для изучения под названием "Solodit - швейцарский нож для аудиторов"

-Изучение Solodit'a

OSWAR — открытый стандартный справочник по атакам Web3

Включает в себя множество атак с описанием и возможными способами защиты.

Меня зацепил этот справочник тем, что помимо hard skills тут сущесвтует и описание soft skills.

К примеру тут описывается социальная инженерия и влияние на ваши учетные записи посредствам:

-Подмены личности
-Кражи аккаунта биржи
-Кражи учетных данных в социальных сетях
-Кражи закрытого ключа

Что такое «атака 51%»?

«Атака 51%» — это атака на сеть блокчейн. Это происходит, когда злоумышленник получает контроль над более чем 51% скорости хеширования сети, что позволяет ему добавлять новые блоки в цепочку быстрее, чем остальная часть сети. Это может привести к тому, что злоумышленник сможет отменить транзакции, дважды потратить монеты и потенциально получить контроль над сетью. Злоумышленник может эффективно получить контроль над сетью, создав более длинную цепочку, которая сделает предыдущие транзакции недействительными. Атака 51% также снижает целостность блокчейна и, следовательно, также может быть отнесена к категории «Воздействие».

Валидаторы или майнеры в сети блокчейна соревнуются за добавление новых блоков в цепочку, решая сложные криптографические головоломки. Первый валидатор, решивший головоломку и добавивший блок в цепочку, получает вознаграждение в виде криптовалюты.

Валидаторы или майнеры отвечают за проверку и добавление новых блоков. Если злоумышленник получает контроль над большей частью вычислительной мощности сети, он может отменить предыдущие транзакции и дважды потратить монеты. Это может привести к потере доверия к сети и значительному финансовому ущербу для пользователей.

Исследователь Ethereum, который участвовал в изменении консенсуса ETH 2.0 рассказывает об оптимизации "атаки 51%":

https://www.youtube.com/watch?v=o8Mg4hzJaFg

OpenZeppelin выпустил дайджест об уязвимостях январь-март 2023г.

Включает в себя: описание и анализ

"Ежеквартальное воспоминание о наиболее важных ошибках, выявленных в ежемесячных дайджестах. Цель этого поста — поделиться знаниями и повысить осведомленность о недавних взломах и раскрытии уязвимостей. Он формируется путем краудсорсинга и содержит ценные внешние исследования. Это лучшие отзывы некоторых наших аудиторов безопасности, поэтому, если вы хотите узнать больше о последних атаках и ошибках в сфере криптобезопасности, читайте ниже!"

https://blog.openzeppelin.com/the-notorious-b-u-g-digests-january-march-2023

Как работают протоколы кредитования?
Концепции кредитования Defi

Кредитные протоколы DeFi относятся к децентрализованным финансовым платформам, которые позволяют кредитовать и брать взаймы цифровые активы без необходимости в посредниках, таких как традиционные банки.

"В постах обсуждается как работают протоколы кредитования DeFi — их ключевые компоненты, формулы и варианты использования. При этом мы подчеркнем, как, несмотря на различные и творческие номенклатуры, протоколы имеют тенденцию к повторному использованию, повторению и совместному использованию основных концепций. Одной из таких общих реализаций, о которой мы подробно пишем в этом сообщении блога, является использование токенов ERC20 для представления доли пользователя в кредитных пулах. Мы начнем с выделения уникальных концептуальных элементов этих протоколов и предоставления технических концепций, чтобы понять, как они работают." - автор

Часть 1 : Кредитование и заимствование

Часть 2 : Ликвидация

Часть 3: Вознаграждения

Провел занимательные сутки изучая исследования ребят из Штатов, Европы, Китая и Кореи.

В своих информированиях они подробно описывают проблемы и уязвимости блокчейна, предлагая свое решение в виде разработанных ими инструментов.

Все файлы я перевел для вас на русский язык. Однако, оглавления ниже содержат в себе ссылки по которым вы попадете на оригинальный документ:

SoK: атаки на децентрализованные финансы
- Технический университет Мюнхена

Clockwork Finance: автоматизированный анализ экономической безопасности в смарт-контрактах
-Корнельский университет (Нью-йорк)

-Разделение Эфириума без его затмения
Network and Distributed System Security (Сан-Диего)

-Tyr: Поиск ошибок сбоя консенсуса в блокчейне
Система с дивергентной моделью поведения
-Университет Tsinghua (Китай)

Loki: реализация протоколов консенсуса блокчейна
-Университет электронных наук и технологий (Китай)

BlockScope: Обнаружение и расследование распространенных
уязвимостей в форкнутых блокчейн-проектах
Сингапурский университет менеджмента (Сингапур)