"Эвристики аудита смарт-контрактов"

Эври́стика — научная область, изучающая специфику созидательной деятельности. В когнитивистике и поведенческой экономике эвристикой часто называется отдельный мыслительный прием, который может приводить к ошибкам.

"Данный репозиторий содержит некоторые эвристики, которые можно использовать при аудите смарт-контрактов для поиска уязвимостей/обычных "подводных камней". Целью данного репозитория является не перечисление конкретных уязвимостей (для этого уже существует множество отличных ресурсов, например, отчеты о предыдущих аудитах или реестр SWC), а общие эвристики для поиска "подводных камней", с которыми я часто сталкиваюсь во время аудита и которые могут быть применены ко многим проектам.

Примечание: Это общие эвристики/обычные "подводные камни", и их нельзя слепо применять к кодовой базе для поиска уязвимостей. Вы всегда должны хорошо понимать кодовую базу, чтобы судить, является ли что-то действительно уязвимостью в данном конкретном контексте. Однако эти эвристики могут помочь получить идеи для поиска уязвимостей во время аудита кода." -автор

https://github.com/OpenCoreCH/smart-contract-auditing-heuristics

Прошло первое полугодие, поэтому у нас есть ряд отчетов о состоянии безопасности DeFi

Общая сумма потерянных активов уменьшилась по сравнению с аналогичным периодом прошлого года. От 2 миллиардов долларов в первом полугодии 2022 года до менее 1 миллиарда долларов в первом полугодии 2023 года. Что имеет смысл, учитывая, что мы находимся на медвежьем рынке. Однако количество зарегистрированных инцидентов увеличилось, а это означает, что не только хакеры стали более опытными, но и возможности обнаружения компрометации.

Глобальный отчет по безопасности Web3 за первое полугодие 2023

Отчет Slowmist о безопасности блокчейна и борьбе с отмыванием денег за полугодие 2023 года .

Отчет DeFi Rekt: потеря более 204 млн долларов во втором квартале 2023 года

Статистика краж NFT за июнь (осторожно twitter!)

Meduza Stealer: что это такое и как это работает?

Uptycs обсуждает «комплексный» менеджер паролей и похититель криптовалютных кошельков

https://www.uptycs.com/blog/what-is-meduza-stealer-and-how-does-it-work

Секреты успешного поиска ошибок: советы профессионалов от immunefi и whitehats

Узнайте о секретах профессиональных хакеров White Hat и их уникальном подходе к программам вознаграждения за ошибки.
Узнайте об эффективных стратегиях ведения переговоров, избегайте распространенных ошибок, снижающих размер выплат, и поймите, каких границ должны придерживаться проекты. Узнайте, как выбрать подходящий проект, а также о том, как Immunefi помогает "белым хакерам" получать вознаграждение.

https://www.youtube.com/watch?v=7g7H1HxV8RI

Solidity Audit Report Generator - это расширение VS Code, которое автоматически генерирует отчеты по аудиту на основе шаблонов конкурсов, ChatGPT и // @audit комментариев

https://github.com/aviggiano/solidity-audit-report-generator

New wiki !

Коллеги из MetaLamp
недавно открыли базу знаний, которая родилась в ходе решения реальных задач на проектах.

Она есть на русском и английском языках
https://github.com/fullstack-development/blockchain-wiki-en — англ
https://github.com/fullstack-development/blockchain-wiki — на русском

А так же выпустили серию wiki-статей, где их разработчики рассказывают подробнее о том, как работают DEX, какие у них есть особенности и что нужно знать о работе с ними.

Они опубликовали уже 2 статьи из цикла: про AMM и Orderbook.

Также у них есть карта развития по web3 для менеджеров

Masamune — это утилита поиска, которая позволяет вам искать уязвимости безопасности смарт-контрактов из тщательно подобранного списка источников.

Введите любой термин, выберите подходящее из появившегося списка ниже и вас перенесет на страницу с описанием уязвимости.

В настоящее время утилита работает со следующими источниками данных:

1. Code4rena findings.
2. Immunefi bugfixes.
3, DeFi Hacks Analysis.
4. Zellic audits.
5. yAudit findings.
6. Различные Gitbooks такие как Layer Zero Docs, Curve Finance Docs, MEV Wiki, etc

Есть возможность создания пользовательского парсера.
После выхода из бета-версии можно будет выполнять более сложные поисковые запросы, а также получать более контекстно-зависимые результаты поиска.

GitHub
Twitter

Отчет о крипто-потерях за август 2023 год от immunefi

Important Finds:

База данных с анализом уязвимостей из более ста взломов.
(By SunSec, Sm4rty and more)

Запись разговора в твиттере с аудиторами, разработчиками и криптоэнтузиастами о тактике превентивной безопасности/профилактике угроз

Разбор 50 Defi взломов в период с 2016 по 2022г

Энтузиасты создали сайт Langchain, где опытные кодеры делятся своими промтами для нейросетей.
Удобно рассортировано по кейсам и используемым моделям, чтобы вы могли быстро найти решение для своей задачи.

Research:

Схемы кражи ключей Ethereum

Объяснение ERC, написанное Эндрю Хонгом, которое посвящено популярным стандартам Ethereum с точки зрения аналитики данных. Часть 1 / 2

Типичные уязвимости в протоколах AMM

Вознаграждение за обнаружение ошибок Aave v3 (Обзор)
Часть 1 / 2 / 3

Руководство инженера по окончательности блокчейна

Security:

l Отчет GCHQ - (о вредоносном ПО Infamous Chisel, который нацелен на экосистему Android с целью кражи закрытых ключей и других конфиденциальных данных из криптовалютных кошельков Binance, Coinbase, Trust, а также из социальных сетей и браузерных приложений)

ll Эволюция пространства безопасности Web3: гонки ботов и многое другое

Security News:

l - Мошенники MetaMask захватывают правительственные веб-сайты, чтобы нацелиться на криптоинвесторов MetaMask

ll - Сотни тысяч людей были проданы в качестве онлайн-мошенников в Юго-Восточной Азии, говорится в докладе ООН

Tools:

Version Detector - библиотека для определения версий EVM во время выполнения

Cryogen - инструмент управления наборами данных блокчейна

Rivet - кошелек Web3 от Paradigm, ориентированный на разработчиков

Похоже, что с каждым кварталом зарплаты в вакансиях для аудиторов будут нехило расти.
О веселом:

То Бутерин меняет сим-карту и его твиттер аккаунт взламывают, а фанатов скамят на более полумиллиона долларов, то хакают правительственные сайты и пытаются через них воровать крипту
Активная северокорейская кампания, нацеленная на исследователей безопасности, обнаружена группой анализа угроз (TAG)
Не открытие, что большая часть ВВП Северной Кореи - это черные деньги. С 2021 года стало известно что северокорейские хакеры, обученные по последним канонам, воруют криптовалюту в огромном кол-ве. (За последние пять лет 2 миллирда долларов) Примечательно то, что северокорейские хакеры взломали российскую компанию «НПО Машиностроения» производящую гиперзвуковые ракеты 7 августа 2023. Однако почти через месяц Россию посетил Ким Чен Ын. Уникальные и крупные игроки однако... К слову, разработчиков Tornado Cash обвиняли в помощи отмывания черного корейского миллиарда долларов.
Корейцы снова в сети.

Бельгийские власти обвинили владельца лондонского финтех-бизнеса в использовании Binance для отмывания сотен миллионов евро в биткойны в пользу преступников, в том числе бельгийского наркобарона, известного как «резчик пальцев», и бразильского наркобарона, эквивалентного Пабло Эскобару.

К слову о баг баунти. Вот вам целый список случаев ,когда крупные компании кидали гениальных ребят нашедших дыры и могли спасти компанию от банкротства, но в замен получили лишь пару баксов, либо ничего. Здесь самый крупный случай оценивается в 500k $. В списке содержатся так же ссылки на статьи, в которых ребята рассказывают подробно об этих ситуациях.

Обновляемый контрольный список аудита контрактов by pashov

Security:

1 Коллекция баз данных, отслеживающих мошенничество с Web3

2 Rekt исследует широкий спектр методов, используемых мошенниками для фишинга как отдельных лиц, так и проектов с целью кражи миллионов

3 Что такое атаки по отравлению адресов в криптовалюте и как их избежать?

Mass media:

1 Интервью с Хари – соучредителем Spearbit и Cantina

2 Как отмыть 600 миллионов долларов в Интернете (Эпизод посвящен компромиссу Axie Infinity и ответственному за него государству-изгою)

+ P.s ( link )

Research:

1 Как создать план реагирования на инциденты безопасности Web3

2 Поиск ошибок: Поиск и сообщение об ошибке в Premia Finance на сумму $3 млн.

3 От программных ошибок до многомиллионных мошенничеств: анализ токенов-лазеек на децентрализованных биржах

4 Повышение безопасности блокчейна с помощью ERC-7512: стандарт для представления аудита смарт-контрактов в сети

5 Как идентифицировать и защититься от атак маршрутизации на сеть Lightning

6 Сборник обзоров безопасности ZK

7 Аудит схемы: действительно ли избыточные ограничения избыточны?

8 Безопасная интеграция с LayerZero

9 Как стать аудитором номер 1 в Web3

Security / Audit

1 Руководство по безопасности NoBULLSH*TNoBULLSH*T Security Guide от Composable Security. Энциклопедия средств управления безопасностью для проектов web3, включая такие темы, как моделирование угроз, программы безопасности, работа с аудитами и вознаграждениями за ошибки и т. д

2 Рекордные 7 миллиардов долларов в криптовалюте, отмытые через кросс-чейн-сервисы

3 GMX предоставила коллайдеру награду за обнаружение ошибок в миллион долларов; Последствия ошибки

4 Ретроспективный анализ уязвимости в виде комиссии за ликвидацию в бессрочном протоколе

5 Ошибки округления для аудиторов

Research:

1 Заимствование Ethereum: сравнение эволюции архитектуры MakerDAO, Yield, Aave, Compound и Euler

2 Тепловая карта переводов Ethereum — наблюдайте за скрытыми закономерностями в передаче токенов

3 Анализ Ethereum с помощью Cryo

4 Руководство MoonMath

5 Учебное пособие по языку Circcom с пошаговым руководством

Reports:

1 Крипто-убытки в третьем квартале 2023 года по данным Immunefi

2 Hack3d — Ежеквартальный отчет по безопасности Web3 — издание

3 Методы уклонения от Web3 — отчет Forta о непрерывном мониторинге

Tools

1 ScopeScope — расширение VSCode для тестирования и взаимодействия со смарт-контрактами на блокчейне Ethereum. Он создает среду, подобную Remix, используя Foundry в качестве бэкэнда.

2 Швейцарский нож — панель инструментов EVM.

Подготавливая новую сводку, которая должна выйти сегодня, не могу не составить отдельный пост с исследованиями, отчетами и созданными решениями для проблем от зарубежных гиков, которые я нашел за последнее время.

Давно слежу за трудами определенных ребят из Китая, учащихся в передовых технологических университетов, которые в своих исследованиях подробно описывают мельчайшие детали, например, в протоколах. На данный момент за их плечами очень много революционных открытий. К слову, еще летом они выпустили исследования по обнаружению уязвимостей манипулирования ценами в протоколах Defi. Материал этих непризнанных гениев на данный момент имеет всего лишь 250 скачиваний в цену за документ в 15 баксов. Наблюдая за Эйнштейнами, не выходящими из занавеса андеграунда, решаю поделиться некоторыми документами от них и их коллег здесь.

1. DeFiWarder: защита приложений DeFi от уязвимостей утечки токенов. (Запись разговора с презентацией)

2 BSHUNTER: Обнаружение и отслеживание дефектов биткойн-скриптов (Первые кто исследовал дефекты биткойн-скриптов)

3 Ваш эксплойт— мой: мгновенный синтез смарт-контракта контратаки

4 Panda: Анализ безопасности смарт-контакта

5 Автоматизированное создание описаний, ориентированных на безопасность для байт-кода смарт-контракта

6 Confusum Contractum: Запутанные уязвимости заместителя в смарт-контрактах.

7 Обнаружение уязвимостей в смарт-контактах на основе большой языковой модели

8 Маяк обнаружения повторного входа для смарт-контрактов

9 К пониманию и характеристике мошенничества с арбитражными ботами в дикой природе

News:

От светских хакеров к национальной угрозе: взлет и падение цифровых бандитов «ACG»
(ACG — это группа предполагаемых хакеров, которые, по мнению ФБР, несут ответственность за волну краж биткойнов и других преступлений.)

Внутри сети отмывания денег в обмен на биткойны стоимостью 30 миллионов долларов в самом сердце Нью-Йорка
(В течение многих лет банда, действующая в Нью-Йорке, предлагала услугу «наличные за биткойны», которая принесла не менее 30 миллионов долларов, при этом мужчины стояли на углах улиц с пластиковыми пакетами для покупок, полными денег, проезжающими мимо пикапами и сотнями тысяч долларов. Cогласно протоколам суда)

Mass Media:

Аудит с Кристианом Апостолом (начальником отдела безопасности
code4rena) состоящий из 3 частей, в процессе которого он поднял 11 вопросов высокого риска и поделился ценным контентом, который вы сможете применить в своих следующих аудитах.

Часть 1 / 2 / 3

Research:

Бесплатный курс по безопасности Web3 (База, которая подойдет для самых начинающих)

Каковы общие характеристики недавних атак на Web3 и как проекты могут избежать этих проблем?

Технологии конфиденциальности криптовалют: кольцевые подписи Борромео

Использование EC-восстановления для эффективных кольцевых сигнатур Борромео

Обновляемые смарт-контракты (USC): изучение концепции и рисков безопасности

Обзор профилактического исправления после сообщения о критической ошибке от баг-баунтера. (Включает в себя описание потенциального сценария эксплойта и конкретные действия, которые были предприняты безопасниками компании для его предотвращения.

CSPRNG: как правильно генерировать случайные числа

Обзор исправления ошибки округления балансировщика

Обзор исправления ошибок Sui при временном полном отключении сети

Не ваша ошибка стандартного вывода - RCE в Cosmos SDK

Tikuna: система мониторинга сетевой безопасности блокчейна Ethereum

Картирование преступной среды Defi: картина, основанная на фактических данных


Tools:

CallthisCallthis — создайте транзакцию и отправьте ее как ссылку для выполнения кем-то другим

В Slither 0.10.0 добавлена ​​поддержка Vyper и дополнительные детекторы.

Защита Web3 — анализ безопасности за третий квартал 2023 by Hacken

Gaslite Splitter: высокоэффективный смарт-контракт для разделения платежей ERC20 и ETH.

https://github.com/PopPunkLLC/gaslite-core/blob/main/src/GasliteSplitter.sol?utm_source=substack&utm_medium=email

Twitter

Paradigm CTF успешно завершилась.
Тройку лидеров возглавили: Offside_Labs kalos_security и ChainLight_io, которые поделились своими отчетами.
На конференции Breakpoint также было представлено несколько презентаций, связанных с безопасностью, которые приведены ниже, чтобы сэкономить ваше время.

Отчеты парадигмы от : ChainLight / KALOS / fuzznalnd / minaminao / rkm0959 / jade / Ashiq / Aviksaikat

Подробно описанные решения команды Kiln и Inspex в двух частях: первая / вторая

В этой статье обсуждается задача парадигмы, которая включала понимание алгоритма хаффа и EVM для истощения баланса контракта SimpleBank.

ЧАСТЬ ll - Переговоры по безопасности Breakpoint 2023 (Youtube)

Breakpoint : - Аудиторская комиссия

Breakpoint : - Назад в будущее: какие ошибки можно ожидать в вашем проекте

Breakpoint : Хорошее, плохое и уязвимое: преодоление распространенных ошибок в Solana

Breakpoint : Фаззинг, формальные методы и потеря средств

Breakpoint : Поиск потерянных средств в потоке транзакций Solana

Breakpoint : Как использовать искусственный интеллект для повышения безопасности смарт-контрактов

Ближайшие мероприятия по взлому:

TrustX 2023 - 13-14 ноября

BlazCTF - 1 декабря

База данных "ошибки и лучшие практики безопасности", которая насчитывает 101 пример.

Исследования:

Справочник по кризисным ситуациям: взлом смарт-контрактов (от команды SEAL)

Извлечение данных блокчейна с помощью Cryo

Иследование угроз безопасности в новом механизме перехвата Uniswap v4

Решение на основе глубокого обучения для обнаружения уязвимостей смарт-контрактов

Оптимизация газа в Solidity: стратегии экономически эффективных смарт-контрактов (by hacken)

+Документы:

Защита невидимого: исследование конфиденциальности данных в протоколах

На пути к более сильным блокчейнам: безопасность от лобовых атак

DRAINCLoG: обнаружение мошеннических учетных записей с незаконно полученными NFT с использованием классификаторов, полученных на графах

Истинное происхождение хаков — основные уязвимости Web3 (by immunefi)

Инструменты

EVM Hound от g00dv1n - это минималистичная библиотека Rust для извлечения всех потенциальных селекторов функций из байт-кода EVM без исходного кода.

Roundme - от crytic — это анализатор округлений, управляемый человеком. Он помогает своему оператору определить, следует ли округлять арифметическую операцию в большую или меньшую сторону