OpenZeppelin выпустил дайджест об уязвимостях январь-март 2023г.

Включает в себя: описание и анализ

"Ежеквартальное воспоминание о наиболее важных ошибках, выявленных в ежемесячных дайджестах. Цель этого поста — поделиться знаниями и повысить осведомленность о недавних взломах и раскрытии уязвимостей. Он формируется путем краудсорсинга и содержит ценные внешние исследования. Это лучшие отзывы некоторых наших аудиторов безопасности, поэтому, если вы хотите узнать больше о последних атаках и ошибках в сфере криптобезопасности, читайте ниже!"

https://blog.openzeppelin.com/the-notorious-b-u-g-digests-january-march-2023

Как работают протоколы кредитования?
Концепции кредитования Defi

Кредитные протоколы DeFi относятся к децентрализованным финансовым платформам, которые позволяют кредитовать и брать взаймы цифровые активы без необходимости в посредниках, таких как традиционные банки.

"В постах обсуждается как работают протоколы кредитования DeFi — их ключевые компоненты, формулы и варианты использования. При этом мы подчеркнем, как, несмотря на различные и творческие номенклатуры, протоколы имеют тенденцию к повторному использованию, повторению и совместному использованию основных концепций. Одной из таких общих реализаций, о которой мы подробно пишем в этом сообщении блога, является использование токенов ERC20 для представления доли пользователя в кредитных пулах. Мы начнем с выделения уникальных концептуальных элементов этих протоколов и предоставления технических концепций, чтобы понять, как они работают." - автор

Часть 1 : Кредитование и заимствование

Часть 2 : Ликвидация

Часть 3: Вознаграждения

Провел занимательные сутки изучая исследования ребят из Штатов, Европы, Китая и Кореи.

В своих информированиях они подробно описывают проблемы и уязвимости блокчейна, предлагая свое решение в виде разработанных ими инструментов.

Все файлы я перевел для вас на русский язык. Однако, оглавления ниже содержат в себе ссылки по которым вы попадете на оригинальный документ:

SoK: атаки на децентрализованные финансы
- Технический университет Мюнхена

Clockwork Finance: автоматизированный анализ экономической безопасности в смарт-контрактах
-Корнельский университет (Нью-йорк)

-Разделение Эфириума без его затмения
Network and Distributed System Security (Сан-Диего)

-Tyr: Поиск ошибок сбоя консенсуса в блокчейне
Система с дивергентной моделью поведения
-Университет Tsinghua (Китай)

Loki: реализация протоколов консенсуса блокчейна
-Университет электронных наук и технологий (Китай)

BlockScope: Обнаружение и расследование распространенных
уязвимостей в форкнутых блокчейн-проектах
Сингапурский университет менеджмента (Сингапур)

Список наград за ошибки найденные сообществом от immunefi за последнее время

С полным описанием проблем от 1$ до 10млн$

https://github.com/sayan011/Immunefi-bug-bounty-writeups-list?utm_source=substack&utm_medium=email

Типичные уязвимости в протоколах LSD (Liquid Staking Derivatives)

https://blog.decurity.io/typical-vulnerabilities-in-lsd-protocols-e52ffe4ee175

"Эвристики аудита смарт-контрактов"

Эври́стика — научная область, изучающая специфику созидательной деятельности. В когнитивистике и поведенческой экономике эвристикой часто называется отдельный мыслительный прием, который может приводить к ошибкам.

"Данный репозиторий содержит некоторые эвристики, которые можно использовать при аудите смарт-контрактов для поиска уязвимостей/обычных "подводных камней". Целью данного репозитория является не перечисление конкретных уязвимостей (для этого уже существует множество отличных ресурсов, например, отчеты о предыдущих аудитах или реестр SWC), а общие эвристики для поиска "подводных камней", с которыми я часто сталкиваюсь во время аудита и которые могут быть применены ко многим проектам.

Примечание: Это общие эвристики/обычные "подводные камни", и их нельзя слепо применять к кодовой базе для поиска уязвимостей. Вы всегда должны хорошо понимать кодовую базу, чтобы судить, является ли что-то действительно уязвимостью в данном конкретном контексте. Однако эти эвристики могут помочь получить идеи для поиска уязвимостей во время аудита кода." -автор

https://github.com/OpenCoreCH/smart-contract-auditing-heuristics

Прошло первое полугодие, поэтому у нас есть ряд отчетов о состоянии безопасности DeFi

Общая сумма потерянных активов уменьшилась по сравнению с аналогичным периодом прошлого года. От 2 миллиардов долларов в первом полугодии 2022 года до менее 1 миллиарда долларов в первом полугодии 2023 года. Что имеет смысл, учитывая, что мы находимся на медвежьем рынке. Однако количество зарегистрированных инцидентов увеличилось, а это означает, что не только хакеры стали более опытными, но и возможности обнаружения компрометации.

Глобальный отчет по безопасности Web3 за первое полугодие 2023

Отчет Slowmist о безопасности блокчейна и борьбе с отмыванием денег за полугодие 2023 года .

Отчет DeFi Rekt: потеря более 204 млн долларов во втором квартале 2023 года

Статистика краж NFT за июнь (осторожно twitter!)

Meduza Stealer: что это такое и как это работает?

Uptycs обсуждает «комплексный» менеджер паролей и похититель криптовалютных кошельков

https://www.uptycs.com/blog/what-is-meduza-stealer-and-how-does-it-work

Секреты успешного поиска ошибок: советы профессионалов от immunefi и whitehats

Узнайте о секретах профессиональных хакеров White Hat и их уникальном подходе к программам вознаграждения за ошибки.
Узнайте об эффективных стратегиях ведения переговоров, избегайте распространенных ошибок, снижающих размер выплат, и поймите, каких границ должны придерживаться проекты. Узнайте, как выбрать подходящий проект, а также о том, как Immunefi помогает "белым хакерам" получать вознаграждение.

https://www.youtube.com/watch?v=7g7H1HxV8RI

Solidity Audit Report Generator - это расширение VS Code, которое автоматически генерирует отчеты по аудиту на основе шаблонов конкурсов, ChatGPT и // @audit комментариев

https://github.com/aviggiano/solidity-audit-report-generator

New wiki !

Коллеги из MetaLamp
недавно открыли базу знаний, которая родилась в ходе решения реальных задач на проектах.

Она есть на русском и английском языках
https://github.com/fullstack-development/blockchain-wiki-en — англ
https://github.com/fullstack-development/blockchain-wiki — на русском

А так же выпустили серию wiki-статей, где их разработчики рассказывают подробнее о том, как работают DEX, какие у них есть особенности и что нужно знать о работе с ними.

Они опубликовали уже 2 статьи из цикла: про AMM и Orderbook.

Также у них есть карта развития по web3 для менеджеров

Masamune — это утилита поиска, которая позволяет вам искать уязвимости безопасности смарт-контрактов из тщательно подобранного списка источников.

Введите любой термин, выберите подходящее из появившегося списка ниже и вас перенесет на страницу с описанием уязвимости.

В настоящее время утилита работает со следующими источниками данных:

1. Code4rena findings.
2. Immunefi bugfixes.
3, DeFi Hacks Analysis.
4. Zellic audits.
5. yAudit findings.
6. Различные Gitbooks такие как Layer Zero Docs, Curve Finance Docs, MEV Wiki, etc

Есть возможность создания пользовательского парсера.
После выхода из бета-версии можно будет выполнять более сложные поисковые запросы, а также получать более контекстно-зависимые результаты поиска.

GitHub
Twitter

Отчет о крипто-потерях за август 2023 год от immunefi

Important Finds:

База данных с анализом уязвимостей из более ста взломов.
(By SunSec, Sm4rty and more)

Запись разговора в твиттере с аудиторами, разработчиками и криптоэнтузиастами о тактике превентивной безопасности/профилактике угроз

Разбор 50 Defi взломов в период с 2016 по 2022г

Энтузиасты создали сайт Langchain, где опытные кодеры делятся своими промтами для нейросетей.
Удобно рассортировано по кейсам и используемым моделям, чтобы вы могли быстро найти решение для своей задачи.

Research:

Схемы кражи ключей Ethereum

Объяснение ERC, написанное Эндрю Хонгом, которое посвящено популярным стандартам Ethereum с точки зрения аналитики данных. Часть 1 / 2

Типичные уязвимости в протоколах AMM

Вознаграждение за обнаружение ошибок Aave v3 (Обзор)
Часть 1 / 2 / 3

Руководство инженера по окончательности блокчейна

Security:

l Отчет GCHQ - (о вредоносном ПО Infamous Chisel, который нацелен на экосистему Android с целью кражи закрытых ключей и других конфиденциальных данных из криптовалютных кошельков Binance, Coinbase, Trust, а также из социальных сетей и браузерных приложений)

ll Эволюция пространства безопасности Web3: гонки ботов и многое другое

Security News:

l - Мошенники MetaMask захватывают правительственные веб-сайты, чтобы нацелиться на криптоинвесторов MetaMask

ll - Сотни тысяч людей были проданы в качестве онлайн-мошенников в Юго-Восточной Азии, говорится в докладе ООН

Tools:

Version Detector - библиотека для определения версий EVM во время выполнения

Cryogen - инструмент управления наборами данных блокчейна

Rivet - кошелек Web3 от Paradigm, ориентированный на разработчиков