Секреты успешного поиска ошибок: советы профессионалов от immunefi и whitehats

Узнайте о секретах профессиональных хакеров White Hat и их уникальном подходе к программам вознаграждения за ошибки.
Узнайте об эффективных стратегиях ведения переговоров, избегайте распространенных ошибок, снижающих размер выплат, и поймите, каких границ должны придерживаться проекты. Узнайте, как выбрать подходящий проект, а также о том, как Immunefi помогает "белым хакерам" получать вознаграждение.

https://www.youtube.com/watch?v=7g7H1HxV8RI

Solidity Audit Report Generator - это расширение VS Code, которое автоматически генерирует отчеты по аудиту на основе шаблонов конкурсов, ChatGPT и // @audit комментариев

https://github.com/aviggiano/solidity-audit-report-generator

New wiki !

Коллеги из MetaLamp
недавно открыли базу знаний, которая родилась в ходе решения реальных задач на проектах.

Она есть на русском и английском языках
https://github.com/fullstack-development/blockchain-wiki-en — англ
https://github.com/fullstack-development/blockchain-wiki — на русском

А так же выпустили серию wiki-статей, где их разработчики рассказывают подробнее о том, как работают DEX, какие у них есть особенности и что нужно знать о работе с ними.

Они опубликовали уже 2 статьи из цикла: про AMM и Orderbook.

Также у них есть карта развития по web3 для менеджеров

Masamune — это утилита поиска, которая позволяет вам искать уязвимости безопасности смарт-контрактов из тщательно подобранного списка источников.

Введите любой термин, выберите подходящее из появившегося списка ниже и вас перенесет на страницу с описанием уязвимости.

В настоящее время утилита работает со следующими источниками данных:

1. Code4rena findings.
2. Immunefi bugfixes.
3, DeFi Hacks Analysis.
4. Zellic audits.
5. yAudit findings.
6. Различные Gitbooks такие как Layer Zero Docs, Curve Finance Docs, MEV Wiki, etc

Есть возможность создания пользовательского парсера.
После выхода из бета-версии можно будет выполнять более сложные поисковые запросы, а также получать более контекстно-зависимые результаты поиска.

GitHub
Twitter

Отчет о крипто-потерях за август 2023 год от immunefi

Important Finds:

База данных с анализом уязвимостей из более ста взломов.
(By SunSec, Sm4rty and more)

Запись разговора в твиттере с аудиторами, разработчиками и криптоэнтузиастами о тактике превентивной безопасности/профилактике угроз

Разбор 50 Defi взломов в период с 2016 по 2022г

Энтузиасты создали сайт Langchain, где опытные кодеры делятся своими промтами для нейросетей.
Удобно рассортировано по кейсам и используемым моделям, чтобы вы могли быстро найти решение для своей задачи.

Research:

Схемы кражи ключей Ethereum

Объяснение ERC, написанное Эндрю Хонгом, которое посвящено популярным стандартам Ethereum с точки зрения аналитики данных. Часть 1 / 2

Типичные уязвимости в протоколах AMM

Вознаграждение за обнаружение ошибок Aave v3 (Обзор)
Часть 1 / 2 / 3

Руководство инженера по окончательности блокчейна

Security:

l Отчет GCHQ - (о вредоносном ПО Infamous Chisel, который нацелен на экосистему Android с целью кражи закрытых ключей и других конфиденциальных данных из криптовалютных кошельков Binance, Coinbase, Trust, а также из социальных сетей и браузерных приложений)

ll Эволюция пространства безопасности Web3: гонки ботов и многое другое

Security News:

l - Мошенники MetaMask захватывают правительственные веб-сайты, чтобы нацелиться на криптоинвесторов MetaMask

ll - Сотни тысяч людей были проданы в качестве онлайн-мошенников в Юго-Восточной Азии, говорится в докладе ООН

Tools:

Version Detector - библиотека для определения версий EVM во время выполнения

Cryogen - инструмент управления наборами данных блокчейна

Rivet - кошелек Web3 от Paradigm, ориентированный на разработчиков

Похоже, что с каждым кварталом зарплаты в вакансиях для аудиторов будут нехило расти.
О веселом:

То Бутерин меняет сим-карту и его твиттер аккаунт взламывают, а фанатов скамят на более полумиллиона долларов, то хакают правительственные сайты и пытаются через них воровать крипту
Активная северокорейская кампания, нацеленная на исследователей безопасности, обнаружена группой анализа угроз (TAG)
Не открытие, что большая часть ВВП Северной Кореи - это черные деньги. С 2021 года стало известно что северокорейские хакеры, обученные по последним канонам, воруют криптовалюту в огромном кол-ве. (За последние пять лет 2 миллирда долларов) Примечательно то, что северокорейские хакеры взломали российскую компанию «НПО Машиностроения» производящую гиперзвуковые ракеты 7 августа 2023. Однако почти через месяц Россию посетил Ким Чен Ын. Уникальные и крупные игроки однако... К слову, разработчиков Tornado Cash обвиняли в помощи отмывания черного корейского миллиарда долларов.
Корейцы снова в сети.

Бельгийские власти обвинили владельца лондонского финтех-бизнеса в использовании Binance для отмывания сотен миллионов евро в биткойны в пользу преступников, в том числе бельгийского наркобарона, известного как «резчик пальцев», и бразильского наркобарона, эквивалентного Пабло Эскобару.

К слову о баг баунти. Вот вам целый список случаев ,когда крупные компании кидали гениальных ребят нашедших дыры и могли спасти компанию от банкротства, но в замен получили лишь пару баксов, либо ничего. Здесь самый крупный случай оценивается в 500k $. В списке содержатся так же ссылки на статьи, в которых ребята рассказывают подробно об этих ситуациях.

Обновляемый контрольный список аудита контрактов by pashov

Security:

1 Коллекция баз данных, отслеживающих мошенничество с Web3

2 Rekt исследует широкий спектр методов, используемых мошенниками для фишинга как отдельных лиц, так и проектов с целью кражи миллионов

3 Что такое атаки по отравлению адресов в криптовалюте и как их избежать?

Mass media:

1 Интервью с Хари – соучредителем Spearbit и Cantina

2 Как отмыть 600 миллионов долларов в Интернете (Эпизод посвящен компромиссу Axie Infinity и ответственному за него государству-изгою)

+ P.s ( link )

Research:

1 Как создать план реагирования на инциденты безопасности Web3

2 Поиск ошибок: Поиск и сообщение об ошибке в Premia Finance на сумму $3 млн.

3 От программных ошибок до многомиллионных мошенничеств: анализ токенов-лазеек на децентрализованных биржах

4 Повышение безопасности блокчейна с помощью ERC-7512: стандарт для представления аудита смарт-контрактов в сети

5 Как идентифицировать и защититься от атак маршрутизации на сеть Lightning

6 Сборник обзоров безопасности ZK

7 Аудит схемы: действительно ли избыточные ограничения избыточны?

8 Безопасная интеграция с LayerZero

9 Как стать аудитором номер 1 в Web3

Security / Audit

1 Руководство по безопасности NoBULLSH*TNoBULLSH*T Security Guide от Composable Security. Энциклопедия средств управления безопасностью для проектов web3, включая такие темы, как моделирование угроз, программы безопасности, работа с аудитами и вознаграждениями за ошибки и т. д

2 Рекордные 7 миллиардов долларов в криптовалюте, отмытые через кросс-чейн-сервисы

3 GMX предоставила коллайдеру награду за обнаружение ошибок в миллион долларов; Последствия ошибки

4 Ретроспективный анализ уязвимости в виде комиссии за ликвидацию в бессрочном протоколе

5 Ошибки округления для аудиторов

Research:

1 Заимствование Ethereum: сравнение эволюции архитектуры MakerDAO, Yield, Aave, Compound и Euler

2 Тепловая карта переводов Ethereum — наблюдайте за скрытыми закономерностями в передаче токенов

3 Анализ Ethereum с помощью Cryo

4 Руководство MoonMath

5 Учебное пособие по языку Circcom с пошаговым руководством

Reports:

1 Крипто-убытки в третьем квартале 2023 года по данным Immunefi

2 Hack3d — Ежеквартальный отчет по безопасности Web3 — издание

3 Методы уклонения от Web3 — отчет Forta о непрерывном мониторинге

Tools

1 ScopeScope — расширение VSCode для тестирования и взаимодействия со смарт-контрактами на блокчейне Ethereum. Он создает среду, подобную Remix, используя Foundry в качестве бэкэнда.

2 Швейцарский нож — панель инструментов EVM.

Подготавливая новую сводку, которая должна выйти сегодня, не могу не составить отдельный пост с исследованиями, отчетами и созданными решениями для проблем от зарубежных гиков, которые я нашел за последнее время.

Давно слежу за трудами определенных ребят из Китая, учащихся в передовых технологических университетов, которые в своих исследованиях подробно описывают мельчайшие детали, например, в протоколах. На данный момент за их плечами очень много революционных открытий. К слову, еще летом они выпустили исследования по обнаружению уязвимостей манипулирования ценами в протоколах Defi. Материал этих непризнанных гениев на данный момент имеет всего лишь 250 скачиваний в цену за документ в 15 баксов. Наблюдая за Эйнштейнами, не выходящими из занавеса андеграунда, решаю поделиться некоторыми документами от них и их коллег здесь.

1. DeFiWarder: защита приложений DeFi от уязвимостей утечки токенов. (Запись разговора с презентацией)

2 BSHUNTER: Обнаружение и отслеживание дефектов биткойн-скриптов (Первые кто исследовал дефекты биткойн-скриптов)

3 Ваш эксплойт— мой: мгновенный синтез смарт-контракта контратаки

4 Panda: Анализ безопасности смарт-контакта

5 Автоматизированное создание описаний, ориентированных на безопасность для байт-кода смарт-контракта

6 Confusum Contractum: Запутанные уязвимости заместителя в смарт-контрактах.

7 Обнаружение уязвимостей в смарт-контактах на основе большой языковой модели

8 Маяк обнаружения повторного входа для смарт-контрактов

9 К пониманию и характеристике мошенничества с арбитражными ботами в дикой природе

News:

От светских хакеров к национальной угрозе: взлет и падение цифровых бандитов «ACG»
(ACG — это группа предполагаемых хакеров, которые, по мнению ФБР, несут ответственность за волну краж биткойнов и других преступлений.)

Внутри сети отмывания денег в обмен на биткойны стоимостью 30 миллионов долларов в самом сердце Нью-Йорка
(В течение многих лет банда, действующая в Нью-Йорке, предлагала услугу «наличные за биткойны», которая принесла не менее 30 миллионов долларов, при этом мужчины стояли на углах улиц с пластиковыми пакетами для покупок, полными денег, проезжающими мимо пикапами и сотнями тысяч долларов. Cогласно протоколам суда)

Mass Media:

Аудит с Кристианом Апостолом (начальником отдела безопасности
code4rena) состоящий из 3 частей, в процессе которого он поднял 11 вопросов высокого риска и поделился ценным контентом, который вы сможете применить в своих следующих аудитах.

Часть 1 / 2 / 3

Research:

Бесплатный курс по безопасности Web3 (База, которая подойдет для самых начинающих)

Каковы общие характеристики недавних атак на Web3 и как проекты могут избежать этих проблем?

Технологии конфиденциальности криптовалют: кольцевые подписи Борромео

Использование EC-восстановления для эффективных кольцевых сигнатур Борромео

Обновляемые смарт-контракты (USC): изучение концепции и рисков безопасности

Обзор профилактического исправления после сообщения о критической ошибке от баг-баунтера. (Включает в себя описание потенциального сценария эксплойта и конкретные действия, которые были предприняты безопасниками компании для его предотвращения.

CSPRNG: как правильно генерировать случайные числа

Обзор исправления ошибки округления балансировщика

Обзор исправления ошибок Sui при временном полном отключении сети

Не ваша ошибка стандартного вывода - RCE в Cosmos SDK

Tikuna: система мониторинга сетевой безопасности блокчейна Ethereum

Картирование преступной среды Defi: картина, основанная на фактических данных


Tools:

CallthisCallthis — создайте транзакцию и отправьте ее как ссылку для выполнения кем-то другим

В Slither 0.10.0 добавлена ​​поддержка Vyper и дополнительные детекторы.

Защита Web3 — анализ безопасности за третий квартал 2023 by Hacken

Gaslite Splitter: высокоэффективный смарт-контракт для разделения платежей ERC20 и ETH.

https://github.com/PopPunkLLC/gaslite-core/blob/main/src/GasliteSplitter.sol?utm_source=substack&utm_medium=email

Twitter

Paradigm CTF успешно завершилась.
Тройку лидеров возглавили: Offside_Labs kalos_security и ChainLight_io, которые поделились своими отчетами.
На конференции Breakpoint также было представлено несколько презентаций, связанных с безопасностью, которые приведены ниже, чтобы сэкономить ваше время.

Отчеты парадигмы от : ChainLight / KALOS / fuzznalnd / minaminao / rkm0959 / jade / Ashiq / Aviksaikat

Подробно описанные решения команды Kiln и Inspex в двух частях: первая / вторая

В этой статье обсуждается задача парадигмы, которая включала понимание алгоритма хаффа и EVM для истощения баланса контракта SimpleBank.

ЧАСТЬ ll - Переговоры по безопасности Breakpoint 2023 (Youtube)

Breakpoint : - Аудиторская комиссия

Breakpoint : - Назад в будущее: какие ошибки можно ожидать в вашем проекте

Breakpoint : Хорошее, плохое и уязвимое: преодоление распространенных ошибок в Solana

Breakpoint : Фаззинг, формальные методы и потеря средств

Breakpoint : Поиск потерянных средств в потоке транзакций Solana

Breakpoint : Как использовать искусственный интеллект для повышения безопасности смарт-контрактов

Ближайшие мероприятия по взлому:

TrustX 2023 - 13-14 ноября

BlazCTF - 1 декабря

База данных "ошибки и лучшие практики безопасности", которая насчитывает 101 пример.

Исследования:

Справочник по кризисным ситуациям: взлом смарт-контрактов (от команды SEAL)

Извлечение данных блокчейна с помощью Cryo

Иследование угроз безопасности в новом механизме перехвата Uniswap v4

Решение на основе глубокого обучения для обнаружения уязвимостей смарт-контрактов

Оптимизация газа в Solidity: стратегии экономически эффективных смарт-контрактов (by hacken)

+Документы:

Защита невидимого: исследование конфиденциальности данных в протоколах

На пути к более сильным блокчейнам: безопасность от лобовых атак

DRAINCLoG: обнаружение мошеннических учетных записей с незаконно полученными NFT с использованием классификаторов, полученных на графах

Истинное происхождение хаков — основные уязвимости Web3 (by immunefi)

Инструменты

EVM Hound от g00dv1n - это минималистичная библиотека Rust для извлечения всех потенциальных селекторов функций из байт-кода EVM без исходного кода.

Roundme - от crytic — это анализатор округлений, управляемый человеком. Он помогает своему оператору определить, следует ли округлять арифметическую операцию в большую или меньшую сторону

Компании CeFi и DeFi потеряли в общей сложности 160 миллионов долларов

Начнем с CeFi. Lazarus, очевидно, глубоко заимствовал деньги в экосистеме Джастина Сана, продолжая опустошать кошельки. Heco Bridge и HTX (ex Huobi) Exchange потеряли более 108 миллионов долларов из-за кражи закрытого ключа, как и в случае взлома Poloniex на 130 миллионов долларов, произошедшего три недели назад. И это не причудливые компромиссы Web3, а старые добрые хаки инфраструктуры Web2.

Во втором посте я прикреплю данные для анализа взломов + сам эксплойт

Что касается DeFi, компрометация KyberSwap привела к убыткам почти в 49 миллионов долларов. Компрометация представляет собой интересный пример из-за сложности эксплойта, многочисленных надежных проверок и отчетов об ошибках, в которых упущена уязвимость, а также общей зрелости скомпрометированного протокола. Сторона хакеров еще более интересна, поскольку чаевые в размере 2 миллионов долларов злоумышленникам Indexed Finance ясно указывают на то, что они придерживаются одной и той же парадигмы «кодекс – это закон» или, по их собственным словам "Might makes Right " (сильное делает правое)

Еще одной тревожной тенденцией является рост атак на правительственные структуры, в том числе со стороны некоторых субъектов, связанных с КНДР. Только компания Indexed Finance дважды пострадала: одна попытка была осуществлена ​​с участием северокорейского актера, а другая – со стороны подражателя, ведущего интенсивные переговоры о «награде»

Другие новости: Inferno Drainer завершает работу вслед за своим предшественником Monkey Drainer.

Статьи к данному посту:

Корейские правительственные чиновники стали объектом нападения крипто-хакеров-журналистов

Inferno Drainer объявляет о закрытии

Взломы (к предыдущему посту) до 87млн$
Материал для анализа + сам эксплойт


Indexed Finance
Дата: Date:16 ноября 2023 г.
Вектор эксплойта:: Управление Governance
Влияние: :нет, неудачная попытка
Цепочка:Ethereum

Индикаторы
Ethereum: 0xdf0b30404ecbf0fd6905d7722f76b0a9d3da6e14 (КНДР)

Рекомендации:

https://twitter.com/zachxbt/status/1726002049123340666
https://twitter.com/functi0nZer0/status/1725922016484597975
https://www.tally.xyz/gov/indexed/proposal/24?chart=0

Signata
Дата: : 20 ноября 2023 г.
Вектор эксплойта: управление Governance
Влияние: нет, неудачная попытка
Цепочка: :Ethereum

Индикаторы:
Ethereum: 0x849635d7ea4c145dc214bfcfa48704ce9de090c5 Ethereum: 0x849635d7ea4c145dc214bfcfa48704ce9de090c5
Ethereum: 0x1efaf213d7ca09e2b5ed837b0f9c9e43f32e9e12 Ethereum: 0x1efaf213d7ca09e2b5ed837b0f9c9e43f32e9e12
Ethereum: 0xc9ddd242356190d8e7f19107 49b44830a1468423Ethereum: 0xc9ddd242356190d8e7f1910749b44830a1468423

Использованная литература:

https://twitter.com/Phalcon_xyz/status/1726790219221930286

Indexed Finance
Дата: 21 ноября 2023 г.
Вектор эксплойта: влияние на управление Governance
Влияние :10 000 долларов США (выкуп)
Цепочка: Ethereum

Индикаторы:
Ethereum 0x284d72effa0a1a6e4801a682c464908c5716d697
Ethereum: 0x4515957daf1c5a1cd2e24d000e909a0ff6be1975

Использованная литература:

https://twitter.com/functi0nZer0/status/1728473843054903622
https://twitter.com/ndxfi/status/1727501640045936954
https://www.tally.xyz/gov/indexed/proposal/27

Exzo Finance
Дата: Date:21 ноября 2023
Вектор эксплойта: украденные закрытые ключи
Влияние: 470 000 $
Цепочка: :Ethereum

Индикаторы:
Ethereum: 0x034b84a81a11af02282c646e956143f6036c34e6

Использованная литература:

https://twitter.com/Exzo_Network/status/1726680105915765211
https://twitter.com/Exzo_Network/status/1727032638479765866
https://etherscan.io/idm?addresses=0x3160ef53c7b5968f6a3eed0c3659b982603e0622,0x1816687a332a3d0583ea06f725e90dd724b0aff7&type=1

Heco Bridge Finance
Дата: :22 ноября 2023 г.
Вектор эксплойта: украденные закрытые ключи Stolen Private Keys
Влияние: : 86 600 000 $
Цепочка: :Heco, Ethereum

Индикаторы:
Ethereum: 0xfc146d1caf6ba1d1ce6dcb5b35dcbf895f50b0c4
Ethereum: 0xe47e6da16bb83eb0fd26b3f29b15ce8fab089b9e

Использованная литература:

https://twitter.com/CyversAlerts/status/1727276003196600539
https://hacken.io/insights/heco-bridge-hack-explained/
https://twitter.com/hackenclub/status/1727291161981993093
https://twitter.com/PeckShieldAlert/status/1727286692489679360
https://olympixai.medium.com/heco-bridge-hack-anaлиз-64cffda76684

Сам эксплойт:

https://etherscan.io/address/0xfc146d1caf6ba1d1ce6dcb5b35dcbf895f50b0c4

P.s был в отпуске, сажусь работать над материалом