Important Finds:
База данных с анализом уязвимостей из более ста взломов.
(By SunSec, Sm4rty and more)
Запись разговора в твиттере с аудиторами, разработчиками и криптоэнтузиастами о тактике превентивной безопасности/профилактике угроз
Разбор 50 Defi взломов в период с 2016 по 2022г
Энтузиасты создали сайт Langchain, где опытные кодеры делятся своими промтами для нейросетей.
Удобно рассортировано по кейсам и используемым моделям, чтобы вы могли быстро найти решение для своей задачи.
Research:
Схемы кражи ключей Ethereum
Объяснение ERC, написанное Эндрю Хонгом, которое посвящено популярным стандартам Ethereum с точки зрения аналитики данных. Часть 1 / 2
Типичные уязвимости в протоколах AMM
Вознаграждение за обнаружение ошибок Aave v3 (Обзор)
Часть 1 / 2 / 3
Руководство инженера по окончательности блокчейна
Security:
l Отчет GCHQ - (о вредоносном ПО Infamous Chisel, который нацелен на экосистему Android с целью кражи закрытых ключей и других конфиденциальных данных из криптовалютных кошельков Binance, Coinbase, Trust, а также из социальных сетей и браузерных приложений)
ll Эволюция пространства безопасности Web3: гонки ботов и многое другое
Security News:
l - Мошенники MetaMask захватывают правительственные веб-сайты, чтобы нацелиться на криптоинвесторов MetaMask
ll - Сотни тысяч людей были проданы в качестве онлайн-мошенников в Юго-Восточной Азии, говорится в докладе ООН
Tools:
Version Detector - библиотека для определения версий EVM во время выполнения
Cryogen - инструмент управления наборами данных блокчейна
Rivet - кошелек Web3 от Paradigm, ориентированный на разработчиков
База данных с анализом уязвимостей из более ста взломов.
(By SunSec, Sm4rty and more)
Запись разговора в твиттере с аудиторами, разработчиками и криптоэнтузиастами о тактике превентивной безопасности/профилактике угроз
Разбор 50 Defi взломов в период с 2016 по 2022г
Энтузиасты создали сайт Langchain, где опытные кодеры делятся своими промтами для нейросетей.
Удобно рассортировано по кейсам и используемым моделям, чтобы вы могли быстро найти решение для своей задачи.
Research:
Схемы кражи ключей Ethereum
Объяснение ERC, написанное Эндрю Хонгом, которое посвящено популярным стандартам Ethereum с точки зрения аналитики данных. Часть 1 / 2
Типичные уязвимости в протоколах AMM
Вознаграждение за обнаружение ошибок Aave v3 (Обзор)
Часть 1 / 2 / 3
Руководство инженера по окончательности блокчейна
Security:
l Отчет GCHQ - (о вредоносном ПО Infamous Chisel, который нацелен на экосистему Android с целью кражи закрытых ключей и других конфиденциальных данных из криптовалютных кошельков Binance, Coinbase, Trust, а также из социальных сетей и браузерных приложений)
ll Эволюция пространства безопасности Web3: гонки ботов и многое другое
Security News:
l - Мошенники MetaMask захватывают правительственные веб-сайты, чтобы нацелиться на криптоинвесторов MetaMask
ll - Сотни тысяч людей были проданы в качестве онлайн-мошенников в Юго-Восточной Азии, говорится в докладе ООН
Tools:
Version Detector - библиотека для определения версий EVM во время выполнения
Cryogen - инструмент управления наборами данных блокчейна
Rivet - кошелек Web3 от Paradigm, ориентированный на разработчиков
web3sec on Notion
DeFi Hacks Analysis - Root Cause Analysis | Notion
Co-authors: SunSec, cylzxje, Sm4rty, gbaleee, Alice, tamjid0x01, Spark, KKontheway, jes16jupyter, 0x4c, Raphina, Louis, bshyuunn, chessmine.
504 incidents included.
DeFiHackLabs: Reproduce DeFi hacked incidents using Foundry.
DeFiVulnLabs: To learn common…
504 incidents included.
DeFiHackLabs: Reproduce DeFi hacked incidents using Foundry.
DeFiVulnLabs: To learn common…
🔥9❤2👍1
Похоже, что с каждым кварталом зарплаты в вакансиях для аудиторов будут нехило расти.
О веселом:
То Бутерин меняет сим-карту и его твиттер аккаунт взламывают, а фанатов скамят на более полумиллиона долларов, то хакают правительственные сайты и пытаются через них воровать крипту
Активная северокорейская кампания, нацеленная на исследователей безопасности, обнаружена группой анализа угроз (TAG)
Не открытие, что большая часть ВВП Северной Кореи - это черные деньги. С 2021 года стало известно что северокорейские хакеры, обученные по последним канонам, воруют криптовалюту в огромном кол-ве. (За последние пять лет 2 миллирда долларов) Примечательно то, что северокорейские хакеры взломали российскую компанию «НПО Машиностроения» производящую гиперзвуковые ракеты 7 августа 2023. Однако почти через месяц Россию посетил Ким Чен Ын. Уникальные и крупные игроки однако... К слову, разработчиков Tornado Cash обвиняли в помощи отмывания черного корейского миллиарда долларов.
Корейцы снова в сети.
Бельгийские власти обвинили владельца лондонского финтех-бизнеса в использовании Binance для отмывания сотен миллионов евро в биткойны в пользу преступников, в том числе бельгийского наркобарона, известного как «резчик пальцев», и бразильского наркобарона, эквивалентного Пабло Эскобару.
К слову о баг баунти. Вот вам целый список случаев ,когда крупные компании кидали гениальных ребят нашедших дыры и могли спасти компанию от банкротства, но в замен получили лишь пару баксов, либо ничего. Здесь самый крупный случай оценивается в 500k $. В списке содержатся так же ссылки на статьи, в которых ребята рассказывают подробно об этих ситуациях.
О веселом:
То Бутерин меняет сим-карту и его твиттер аккаунт взламывают, а фанатов скамят на более полумиллиона долларов, то хакают правительственные сайты и пытаются через них воровать крипту
Активная северокорейская кампания, нацеленная на исследователей безопасности, обнаружена группой анализа угроз (TAG)
Не открытие, что большая часть ВВП Северной Кореи - это черные деньги. С 2021 года стало известно что северокорейские хакеры, обученные по последним канонам, воруют криптовалюту в огромном кол-ве. (За последние пять лет 2 миллирда долларов) Примечательно то, что северокорейские хакеры взломали российскую компанию «НПО Машиностроения» производящую гиперзвуковые ракеты 7 августа 2023. Однако почти через месяц Россию посетил Ким Чен Ын. Уникальные и крупные игроки однако... К слову, разработчиков Tornado Cash обвиняли в помощи отмывания черного корейского миллиарда долларов.
Корейцы снова в сети.
Бельгийские власти обвинили владельца лондонского финтех-бизнеса в использовании Binance для отмывания сотен миллионов евро в биткойны в пользу преступников, в том числе бельгийского наркобарона, известного как «резчик пальцев», и бразильского наркобарона, эквивалентного Пабло Эскобару.
К слову о баг баунти. Вот вам целый список случаев ,когда крупные компании кидали гениальных ребят нашедших дыры и могли спасти компанию от банкротства, но в замен получили лишь пару баксов, либо ничего. Здесь самый крупный случай оценивается в 500k $. В списке содержатся так же ссылки на статьи, в которых ребята рассказывают подробно об этих ситуациях.
Google
Active North Korean campaign targeting security researchers
Threat Analysis Group shares findings on a new campaign by North Korean actors targeting security researchers.
❤3
Обновляемый контрольный список аудита контрактов by pashov
X (formerly Twitter)
pashov (@pashovkrum) on X
Been deep-diving into smart contract upgradeability lately, it's a complex matter.
Here is a quick checklist I made for a client - it's by no means complete, but serves as as good starting point.
Here is a quick checklist I made for a client - it's by no means complete, but serves as as good starting point.
👨💻3
Security:
1 Коллекция баз данных, отслеживающих мошенничество с Web3
2 Rekt исследует широкий спектр методов, используемых мошенниками для фишинга как отдельных лиц, так и проектов с целью кражи миллионов
3 Что такое атаки по отравлению адресов в криптовалюте и как их избежать?
Mass media:
1 Интервью с Хари – соучредителем Spearbit и Cantina
2 Как отмыть 600 миллионов долларов в Интернете (Эпизод посвящен компромиссу Axie Infinity и ответственному за него государству-изгою)
+ P.s ( link )
Research:
1 Как создать план реагирования на инциденты безопасности Web3
2 Поиск ошибок: Поиск и сообщение об ошибке в Premia Finance на сумму $3 млн.
3 От программных ошибок до многомиллионных мошенничеств: анализ токенов-лазеек на децентрализованных биржах
4 Повышение безопасности блокчейна с помощью ERC-7512: стандарт для представления аудита смарт-контрактов в сети
5 Как идентифицировать и защититься от атак маршрутизации на сеть Lightning
6 Сборник обзоров безопасности ZK
7 Аудит схемы: действительно ли избыточные ограничения избыточны?
8 Безопасная интеграция с LayerZero
9 Как стать аудитором номер 1 в Web3
1 Коллекция баз данных, отслеживающих мошенничество с Web3
2 Rekt исследует широкий спектр методов, используемых мошенниками для фишинга как отдельных лиц, так и проектов с целью кражи миллионов
3 Что такое атаки по отравлению адресов в криптовалюте и как их избежать?
Mass media:
1 Интервью с Хари – соучредителем Spearbit и Cantina
2 Как отмыть 600 миллионов долларов в Интернете (Эпизод посвящен компромиссу Axie Infinity и ответственному за него государству-изгою)
+ P.s ( link )
Research:
1 Как создать план реагирования на инциденты безопасности Web3
2 Поиск ошибок: Поиск и сообщение об ошибке в Premia Finance на сумму $3 млн.
3 От программных ошибок до многомиллионных мошенничеств: анализ токенов-лазеек на децентрализованных биржах
4 Повышение безопасности блокчейна с помощью ERC-7512: стандарт для представления аудита смарт-контрактов в сети
5 Как идентифицировать и защититься от атак маршрутизации на сеть Lightning
6 Сборник обзоров безопасности ZK
7 Аудит схемы: действительно ли избыточные ограничения избыточны?
8 Безопасная интеграция с LayerZero
9 Как стать аудитором номер 1 в Web3
GitHub
GitHub - LSRFinance/awesome-web3-rug-check: Curated list of rug checkers, token security scanners, contract vulnerability audit…
Curated list of rug checkers, token security scanners, contract vulnerability audit tools, etc. - LSRFinance/awesome-web3-rug-check
👍8❤2
Security / Audit
1 Руководство по безопасности NoBULLSH*TNoBULLSH*T Security Guide от Composable Security. Энциклопедия средств управления безопасностью для проектов web3, включая такие темы, как моделирование угроз, программы безопасности, работа с аудитами и вознаграждениями за ошибки и т. д
2 Рекордные 7 миллиардов долларов в криптовалюте, отмытые через кросс-чейн-сервисы
3 GMX предоставила коллайдеру награду за обнаружение ошибок в миллион долларов; Последствия ошибки
4 Ретроспективный анализ уязвимости в виде комиссии за ликвидацию в бессрочном протоколе
5 Ошибки округления для аудиторов
Research:
1 Заимствование Ethereum: сравнение эволюции архитектуры MakerDAO, Yield, Aave, Compound и Euler
2 Тепловая карта переводов Ethereum — наблюдайте за скрытыми закономерностями в передаче токенов
3 Анализ Ethereum с помощью Cryo
4 Руководство MoonMath
5 Учебное пособие по языку Circcom с пошаговым руководством
Reports:
1 Крипто-убытки в третьем квартале 2023 года по данным Immunefi
2 Hack3d — Ежеквартальный отчет по безопасности Web3 — издание
3 Методы уклонения от Web3 — отчет Forta о непрерывном мониторинге
Tools
1 ScopeScope — расширение VSCode для тестирования и взаимодействия со смарт-контрактами на блокчейне Ethereum. Он создает среду, подобную Remix, используя Foundry в качестве бэкэнда.
2 Швейцарский нож — панель инструментов EVM.
1 Руководство по безопасности NoBULLSH*TNoBULLSH*T Security Guide от Composable Security. Энциклопедия средств управления безопасностью для проектов web3, включая такие темы, как моделирование угроз, программы безопасности, работа с аудитами и вознаграждениями за ошибки и т. д
2 Рекордные 7 миллиардов долларов в криптовалюте, отмытые через кросс-чейн-сервисы
3 GMX предоставила коллайдеру награду за обнаружение ошибок в миллион долларов; Последствия ошибки
4 Ретроспективный анализ уязвимости в виде комиссии за ликвидацию в бессрочном протоколе
5 Ошибки округления для аудиторов
Research:
1 Заимствование Ethereum: сравнение эволюции архитектуры MakerDAO, Yield, Aave, Compound и Euler
2 Тепловая карта переводов Ethereum — наблюдайте за скрытыми закономерностями в передаче токенов
3 Анализ Ethereum с помощью Cryo
4 Руководство MoonMath
5 Учебное пособие по языку Circcom с пошаговым руководством
Reports:
1 Крипто-убытки в третьем квартале 2023 года по данным Immunefi
2 Hack3d — Ежеквартальный отчет по безопасности Web3 — издание
3 Методы уклонения от Web3 — отчет Forta о непрерывном мониторинге
Tools
1 ScopeScope — расширение VSCode для тестирования и взаимодействия со смарт-контрактами на блокчейне Ethereum. Он создает среду, подобную Remix, используя Foundry в качестве бэкэнда.
2 Швейцарский нож — панель инструментов EVM.
www.elliptic.co
$7 billion in crypto laundered through cross-chain services
Utilizing our Holistic-enabled blockchain analytics capabilities, we reveal in our new “State of Cross-chain Crime” report the full extent of this growing threat.
🕊5❤3🫡2
Подготавливая новую сводку, которая должна выйти сегодня, не могу не составить отдельный пост с исследованиями, отчетами и созданными решениями для проблем от зарубежных гиков, которые я нашел за последнее время.
Давно слежу за трудами определенных ребят из Китая, учащихся в передовых технологических университетов, которые в своих исследованиях подробно описывают мельчайшие детали, например, в протоколах. На данный момент за их плечами очень много революционных открытий. К слову, еще летом они выпустили исследования по обнаружению уязвимостей манипулирования ценами в протоколах Defi. Материал этих непризнанных гениев на данный момент имеет всего лишь 250 скачиваний в цену за документ в 15 баксов. Наблюдая за Эйнштейнами, не выходящими из занавеса андеграунда, решаю поделиться некоторыми документами от них и их коллег здесь.
Давно слежу за трудами определенных ребят из Китая, учащихся в передовых технологических университетов, которые в своих исследованиях подробно описывают мельчайшие детали, например, в протоколах. На данный момент за их плечами очень много революционных открытий. К слову, еще летом они выпустили исследования по обнаружению уязвимостей манипулирования ценами в протоколах Defi. Материал этих непризнанных гениев на данный момент имеет всего лишь 250 скачиваний в цену за документ в 15 баксов. Наблюдая за Эйнштейнами, не выходящими из занавеса андеграунда, решаю поделиться некоторыми документами от них и их коллег здесь.
❤6👍1
1. DeFiWarder: защита приложений DeFi от уязвимостей утечки токенов. (Запись разговора с презентацией)
2 BSHUNTER: Обнаружение и отслеживание дефектов биткойн-скриптов (Первые кто исследовал дефекты биткойн-скриптов)
3 Ваш эксплойт— мой: мгновенный синтез смарт-контракта контратаки
4 Panda: Анализ безопасности смарт-контакта
5 Автоматизированное создание описаний, ориентированных на безопасность для байт-кода смарт-контракта
6 Confusum Contractum: Запутанные уязвимости заместителя в смарт-контрактах.
7 Обнаружение уязвимостей в смарт-контактах на основе большой языковой модели
8 Маяк обнаружения повторного входа для смарт-контрактов
9 К пониманию и характеристике мошенничества с арбитражными ботами в дикой природе
2 BSHUNTER: Обнаружение и отслеживание дефектов биткойн-скриптов (Первые кто исследовал дефекты биткойн-скриптов)
3 Ваш эксплойт— мой: мгновенный синтез смарт-контракта контратаки
4 Panda: Анализ безопасности смарт-контакта
5 Автоматизированное создание описаний, ориентированных на безопасность для байт-кода смарт-контракта
6 Confusum Contractum: Запутанные уязвимости заместителя в смарт-контрактах.
7 Обнаружение уязвимостей в смарт-контактах на основе большой языковой модели
8 Маяк обнаружения повторного входа для смарт-контрактов
9 К пониманию и характеристике мошенничества с арбитражными ботами в дикой природе
conf.researchr.org
DeFiWarder: Protecting DeFi Apps from Token Leaking Vulnerabilities (ASE 2023 - Research Papers) - ASE 2023
Welcome to the website of the 38th IEEE/ACM International Conference on Automated Software Engineering (ASE 2023).
The ASE conference is the premier research forum for Automated Software Engineering. Each year, it brings together researchers and practitioners…
The ASE conference is the premier research forum for Automated Software Engineering. Each year, it brings together researchers and practitioners…
❤6
News:
От светских хакеров к национальной угрозе: взлет и падение цифровых бандитов «ACG»
(ACG — это группа предполагаемых хакеров, которые, по мнению ФБР, несут ответственность за волну краж биткойнов и других преступлений.)
Внутри сети отмывания денег в обмен на биткойны стоимостью 30 миллионов долларов в самом сердце Нью-Йорка
(В течение многих лет банда, действующая в Нью-Йорке, предлагала услугу «наличные за биткойны», которая принесла не менее 30 миллионов долларов, при этом мужчины стояли на углах улиц с пластиковыми пакетами для покупок, полными денег, проезжающими мимо пикапами и сотнями тысяч долларов. Cогласно протоколам суда)
Mass Media:
Аудит с Кристианом Апостолом (начальником отдела безопасности
code4rena) состоящий из 3 частей, в процессе которого он поднял 11 вопросов высокого риска и поделился ценным контентом, который вы сможете применить в своих следующих аудитах.
Часть 1 / 2 / 3
Research:
Бесплатный курс по безопасности Web3 (База, которая подойдет для самых начинающих)
Каковы общие характеристики недавних атак на Web3 и как проекты могут избежать этих проблем?
Технологии конфиденциальности криптовалют: кольцевые подписи Борромео
Использование EC-восстановления для эффективных кольцевых сигнатур Борромео
Обновляемые смарт-контракты (USC): изучение концепции и рисков безопасности
Обзор профилактического исправления после сообщения о критической ошибке от баг-баунтера. (Включает в себя описание потенциального сценария эксплойта и конкретные действия, которые были предприняты безопасниками компании для его предотвращения.
CSPRNG: как правильно генерировать случайные числа
Обзор исправления ошибки округления балансировщика
Не ваша ошибка стандартного вывода - RCE в Cosmos SDK
Tikuna: система мониторинга сетевой безопасности блокчейна Ethereum
Картирование преступной среды Defi: картина, основанная на фактических данных
Tools:
CallthisCallthis — создайте транзакцию и отправьте ее как ссылку для выполнения кем-то другим
В Slither 0.10.0 добавлена поддержка Vyper и дополнительные детекторы.
От светских хакеров к национальной угрозе: взлет и падение цифровых бандитов «ACG»
(ACG — это группа предполагаемых хакеров, которые, по мнению ФБР, несут ответственность за волну краж биткойнов и других преступлений.)
Внутри сети отмывания денег в обмен на биткойны стоимостью 30 миллионов долларов в самом сердце Нью-Йорка
(В течение многих лет банда, действующая в Нью-Йорке, предлагала услугу «наличные за биткойны», которая принесла не менее 30 миллионов долларов, при этом мужчины стояли на углах улиц с пластиковыми пакетами для покупок, полными денег, проезжающими мимо пикапами и сотнями тысяч долларов. Cогласно протоколам суда)
Mass Media:
Аудит с Кристианом Апостолом (начальником отдела безопасности
code4rena) состоящий из 3 частей, в процессе которого он поднял 11 вопросов высокого риска и поделился ценным контентом, который вы сможете применить в своих следующих аудитах.
Часть 1 / 2 / 3
Research:
Бесплатный курс по безопасности Web3 (База, которая подойдет для самых начинающих)
Каковы общие характеристики недавних атак на Web3 и как проекты могут избежать этих проблем?
Технологии конфиденциальности криптовалют: кольцевые подписи Борромео
Использование EC-восстановления для эффективных кольцевых сигнатур Борромео
Обновляемые смарт-контракты (USC): изучение концепции и рисков безопасности
Обзор профилактического исправления после сообщения о критической ошибке от баг-баунтера. (Включает в себя описание потенциального сценария эксплойта и конкретные действия, которые были предприняты безопасниками компании для его предотвращения.
CSPRNG: как правильно генерировать случайные числа
Обзор исправления ошибки округления балансировщика
Обзор исправления ошибок Sui при временном полном отключении сети Не ваша ошибка стандартного вывода - RCE в Cosmos SDK
Tikuna: система мониторинга сетевой безопасности блокчейна Ethereum
Картирование преступной среды Defi: картина, основанная на фактических данных
Tools:
CallthisCallthis — создайте транзакцию и отправьте ее как ссылку для выполнения кем-то другим
В Slither 0.10.0 добавлена поддержка Vyper и дополнительные детекторы.
404 Media
From High Life Hackers to National Menace: The Rise and Fall of Digital Bandits 'ACG'
Hackers 'ACG' popped champagne and bought sports cars. Then the group and its associates ushered in a bold new era of crime where anything is possible.
👍8❤1
Gaslite Splitter: высокоэффективный смарт-контракт для разделения платежей ERC20 и ETH.
https://github.com/PopPunkLLC/gaslite-core/blob/main/src/GasliteSplitter.sol?utm_source=substack&utm_medium=email
Twitter
https://github.com/PopPunkLLC/gaslite-core/blob/main/src/GasliteSplitter.sol?utm_source=substack&utm_medium=email
GitHub
gaslite-core/src/GasliteSplitter.sol at main · PopPunkLLC/gaslite-core
Gaslite's Highly Optimized Smart Contracts. Contribute to PopPunkLLC/gaslite-core development by creating an account on GitHub.
👍2
Paradigm CTF успешно завершилась.
Тройку лидеров возглавили: Offside_Labs kalos_security и ChainLight_io, которые поделились своими отчетами.
На конференции Breakpoint также было представлено несколько презентаций, связанных с безопасностью, которые приведены ниже, чтобы сэкономить ваше время.
Отчеты парадигмы от : ChainLight / KALOS / fuzznalnd / minaminao / rkm0959 / jade / Ashiq / Aviksaikat
Подробно описанные решения команды Kiln и Inspex в двух частях: первая / вторая
В этой статье обсуждается задача парадигмы, которая включала понимание алгоритма хаффа и EVM для истощения баланса контракта SimpleBank.
ЧАСТЬ ll - Переговоры по безопасности Breakpoint 2023 (Youtube)
Breakpoint : - Аудиторская комиссия
Breakpoint : - Назад в будущее: какие ошибки можно ожидать в вашем проекте
Breakpoint : Хорошее, плохое и уязвимое: преодоление распространенных ошибок в Solana
Breakpoint : Фаззинг, формальные методы и потеря средств
Breakpoint : Поиск потерянных средств в потоке транзакций Solana
Breakpoint : Как использовать искусственный интеллект для повышения безопасности смарт-контрактов
Ближайшие мероприятия по взлому:
TrustX 2023 - 13-14 ноября
BlazCTF - 1 декабря
Тройку лидеров возглавили: Offside_Labs kalos_security и ChainLight_io, которые поделились своими отчетами.
На конференции Breakpoint также было представлено несколько презентаций, связанных с безопасностью, которые приведены ниже, чтобы сэкономить ваше время.
Отчеты парадигмы от : ChainLight / KALOS / fuzznalnd / minaminao / rkm0959 / jade / Ashiq / Aviksaikat
Подробно описанные решения команды Kiln и Inspex в двух частях: первая / вторая
В этой статье обсуждается задача парадигмы, которая включала понимание алгоритма хаффа и EVM для истощения баланса контракта SimpleBank.
ЧАСТЬ ll - Переговоры по безопасности Breakpoint 2023 (Youtube)
Breakpoint : - Аудиторская комиссия
Breakpoint : - Назад в будущее: какие ошибки можно ожидать в вашем проекте
Breakpoint : Хорошее, плохое и уязвимое: преодоление распространенных ошибок в Solana
Breakpoint : Фаззинг, формальные методы и потеря средств
Breakpoint : Поиск потерянных средств в потоке транзакций Solana
Breakpoint : Как использовать искусственный интеллект для повышения безопасности смарт-контрактов
Ближайшие мероприятия по взлому:
TrustX 2023 - 13-14 ноября
BlazCTF - 1 декабря
GitHub
publications/ctf-writeups/paradigm2023 at main · chainlight-io/publications
Contribute to chainlight-io/publications development by creating an account on GitHub.
Исследования:
Справочник по кризисным ситуациям: взлом смарт-контрактов (от команды SEAL)
Извлечение данных блокчейна с помощью Cryo
Иследование угроз безопасности в новом механизме перехвата Uniswap v4
Решение на основе глубокого обучения для обнаружения уязвимостей смарт-контрактов
Оптимизация газа в Solidity: стратегии экономически эффективных смарт-контрактов (by hacken)
+Документы:
Защита невидимого: исследование конфиденциальности данных в протоколах
На пути к более сильным блокчейнам: безопасность от лобовых атак
DRAINCLoG: обнаружение мошеннических учетных записей с незаконно полученными NFT с использованием классификаторов, полученных на графах
Истинное происхождение хаков — основные уязвимости Web3 (by immunefi)
Инструменты
EVM Hound от g00dv1n - это минималистичная библиотека Rust для извлечения всех потенциальных селекторов функций из байт-кода EVM без исходного кода.
Roundme - от crytic — это анализатор округлений, управляемый человеком. Он помогает своему оператору определить, следует ли округлять арифметическую операцию в большую или меньшую сторону
Справочник по кризисным ситуациям: взлом смарт-контрактов (от команды SEAL)
Извлечение данных блокчейна с помощью Cryo
Иследование угроз безопасности в новом механизме перехвата Uniswap v4
Решение на основе глубокого обучения для обнаружения уязвимостей смарт-контрактов
Оптимизация газа в Solidity: стратегии экономически эффективных смарт-контрактов (by hacken)
+Документы:
Защита невидимого: исследование конфиденциальности данных в протоколах
На пути к более сильным блокчейнам: безопасность от лобовых атак
DRAINCLoG: обнаружение мошеннических учетных записей с незаконно полученными NFT с использованием классификаторов, полученных на графах
Истинное происхождение хаков — основные уязвимости Web3 (by immunefi)
Инструменты
EVM Hound от g00dv1n - это минималистичная библиотека Rust для извлечения всех потенциальных селекторов функций из байт-кода EVM без исходного кода.
Roundme - от crytic — это анализатор округлений, управляемый человеком. Он помогает своему оператору определить, следует ли округлять арифметическую операцию в большую или меньшую сторону
Google Docs
[Template] Smart Contract Hack
Crisis Handbook - Smart Contract Hack Actions Checklist Perform Immediately Perform in Parallel by Role Information Gathering Issue Denoscription Events Timeline Transactions Involved Affected Addresses Funds Movement Attacker Information Post Incident Actions…
👍6❤2
Компании CeFi и DeFi потеряли в общей сложности 160 миллионов долларов
Начнем с CeFi. Lazarus, очевидно, глубоко заимствовал деньги в экосистеме Джастина Сана, продолжая опустошать кошельки. Heco Bridge и HTX (ex Huobi) Exchange потеряли более 108 миллионов долларов из-за кражи закрытого ключа, как и в случае взлома Poloniex на 130 миллионов долларов, произошедшего три недели назад. И это не причудливые компромиссы Web3, а старые добрые хаки инфраструктуры Web2.
Во втором посте я прикреплю данные для анализа взломов + сам эксплойт
Что касается DeFi, компрометация KyberSwap привела к убыткам почти в 49 миллионов долларов. Компрометация представляет собой интересный пример из-за сложности эксплойта, многочисленных надежных проверок и отчетов об ошибках, в которых упущена уязвимость, а также общей зрелости скомпрометированного протокола. Сторона хакеров еще более интересна, поскольку чаевые в размере 2 миллионов долларов злоумышленникам Indexed Finance ясно указывают на то, что они придерживаются одной и той же парадигмы «кодекс – это закон» или, по их собственным словам "Might makes Right " (сильное делает правое)
Еще одной тревожной тенденцией является рост атак на правительственные структуры, в том числе со стороны некоторых субъектов, связанных с КНДР. Только компания Indexed Finance дважды пострадала: одна попытка была осуществлена с участием северокорейского актера, а другая – со стороны подражателя, ведущего интенсивные переговоры о «награде»
Другие новости: Inferno Drainer завершает работу вслед за своим предшественником Monkey Drainer.
Статьи к данному посту:
Корейские правительственные чиновники стали объектом нападения крипто-хакеров-журналистов
Inferno Drainer объявляет о закрытии
Начнем с CeFi. Lazarus, очевидно, глубоко заимствовал деньги в экосистеме Джастина Сана, продолжая опустошать кошельки. Heco Bridge и HTX (ex Huobi) Exchange потеряли более 108 миллионов долларов из-за кражи закрытого ключа, как и в случае взлома Poloniex на 130 миллионов долларов, произошедшего три недели назад. И это не причудливые компромиссы Web3, а старые добрые хаки инфраструктуры Web2.
Во втором посте я прикреплю данные для анализа взломов + сам эксплойт
Что касается DeFi, компрометация KyberSwap привела к убыткам почти в 49 миллионов долларов. Компрометация представляет собой интересный пример из-за сложности эксплойта, многочисленных надежных проверок и отчетов об ошибках, в которых упущена уязвимость, а также общей зрелости скомпрометированного протокола. Сторона хакеров еще более интересна, поскольку чаевые в размере 2 миллионов долларов злоумышленникам Indexed Finance ясно указывают на то, что они придерживаются одной и той же парадигмы «кодекс – это закон» или, по их собственным словам "Might makes Right " (сильное делает правое)
Еще одной тревожной тенденцией является рост атак на правительственные структуры, в том числе со стороны некоторых субъектов, связанных с КНДР. Только компания Indexed Finance дважды пострадала: одна попытка была осуществлена с участием северокорейского актера, а другая – со стороны подражателя, ведущего интенсивные переговоры о «награде»
Другие новости: Inferno Drainer завершает работу вслед за своим предшественником Monkey Drainer.
Статьи к данному посту:
Корейские правительственные чиновники стали объектом нападения крипто-хакеров-журналистов
Inferno Drainer объявляет о закрытии
Protos
Korean gov’t officials targeted by North’s ‘journalist’ crypto hackers
North Korean hackers reportedly posed as South Korean journalists and government bodies in an attempt to steal crypto.
❤4
Взломы (к предыдущему посту) до 87млн$
Материал для анализа + сам эксплойт
Indexed Finance
Дата: Date:16 ноября 2023 г.
Вектор эксплойта:: Управление Governance
Влияние: :нет, неудачная попытка
Цепочка:Ethereum
Индикаторы
Ethereum: 0xdf0b30404ecbf0fd6905d7722f76b0a9d3da6e14 (КНДР)
Рекомендации:
https://twitter.com/zachxbt/status/1726002049123340666
https://twitter.com/functi0nZer0/status/1725922016484597975
https://www.tally.xyz/gov/indexed/proposal/24?chart=0
Signata
Дата: : 20 ноября 2023 г.
Вектор эксплойта: управление Governance
Влияние: нет, неудачная попытка
Цепочка: :Ethereum
Индикаторы:
Ethereum: 0x849635d7ea4c145dc214bfcfa48704ce9de090c5 Ethereum: 0x849635d7ea4c145dc214bfcfa48704ce9de090c5
Ethereum: 0x1efaf213d7ca09e2b5ed837b0f9c9e43f32e9e12 Ethereum: 0x1efaf213d7ca09e2b5ed837b0f9c9e43f32e9e12
Ethereum: 0xc9ddd242356190d8e7f19107 49b44830a1468423Ethereum: 0xc9ddd242356190d8e7f1910749b44830a1468423
Использованная литература:
https://twitter.com/Phalcon_xyz/status/1726790219221930286
Indexed Finance
Дата: 21 ноября 2023 г.
Вектор эксплойта: влияние на управление Governance
Влияние :10 000 долларов США (выкуп)
Цепочка: Ethereum
Индикаторы:
Ethereum 0x284d72effa0a1a6e4801a682c464908c5716d697
Ethereum: 0x4515957daf1c5a1cd2e24d000e909a0ff6be1975
Использованная литература:
https://twitter.com/functi0nZer0/status/1728473843054903622
https://twitter.com/ndxfi/status/1727501640045936954
https://www.tally.xyz/gov/indexed/proposal/27
Exzo Finance
Дата: Date:21 ноября 2023
Вектор эксплойта: украденные закрытые ключи
Влияние: 470 000 $
Цепочка: :Ethereum
Индикаторы:
Ethereum: 0x034b84a81a11af02282c646e956143f6036c34e6
Использованная литература:
https://twitter.com/Exzo_Network/status/1726680105915765211
https://twitter.com/Exzo_Network/status/1727032638479765866
https://etherscan.io/idm?addresses=0x3160ef53c7b5968f6a3eed0c3659b982603e0622,0x1816687a332a3d0583ea06f725e90dd724b0aff7&type=1
Heco Bridge Finance
Дата: :22 ноября 2023 г.
Вектор эксплойта: украденные закрытые ключи Stolen Private Keys
Влияние: : 86 600 000 $
Цепочка: :Heco, Ethereum
Индикаторы:
Ethereum: 0xfc146d1caf6ba1d1ce6dcb5b35dcbf895f50b0c4
Ethereum: 0xe47e6da16bb83eb0fd26b3f29b15ce8fab089b9e
Использованная литература:
https://twitter.com/CyversAlerts/status/1727276003196600539
https://hacken.io/insights/heco-bridge-hack-explained/
https://twitter.com/hackenclub/status/1727291161981993093
https://twitter.com/PeckShieldAlert/status/1727286692489679360
https://olympixai.medium.com/heco-bridge-hack-anaлиз-64cffda76684
Сам эксплойт:
https://etherscan.io/address/0xfc146d1caf6ba1d1ce6dcb5b35dcbf895f50b0c4
P.s был в отпуске, сажусь работать над материалом
Материал для анализа + сам эксплойт
Indexed Finance
Дата: Date:16 ноября 2023 г.
Вектор эксплойта:: Управление Governance
Влияние: :нет, неудачная попытка
Цепочка:Ethereum
Индикаторы
Ethereum: 0xdf0b30404ecbf0fd6905d7722f76b0a9d3da6e14 (КНДР)
Рекомендации:
https://twitter.com/zachxbt/status/1726002049123340666
https://twitter.com/functi0nZer0/status/1725922016484597975
https://www.tally.xyz/gov/indexed/proposal/24?chart=0
Signata
Дата: : 20 ноября 2023 г.
Вектор эксплойта: управление Governance
Влияние: нет, неудачная попытка
Цепочка: :Ethereum
Индикаторы:
Ethereum: 0x849635d7ea4c145dc214bfcfa48704ce9de090c5 Ethereum: 0x849635d7ea4c145dc214bfcfa48704ce9de090c5
Ethereum: 0x1efaf213d7ca09e2b5ed837b0f9c9e43f32e9e12 Ethereum: 0x1efaf213d7ca09e2b5ed837b0f9c9e43f32e9e12
Ethereum: 0xc9ddd242356190d8e7f19107 49b44830a1468423Ethereum: 0xc9ddd242356190d8e7f1910749b44830a1468423
Использованная литература:
https://twitter.com/Phalcon_xyz/status/1726790219221930286
Indexed Finance
Дата: 21 ноября 2023 г.
Вектор эксплойта: влияние на управление Governance
Влияние :10 000 долларов США (выкуп)
Цепочка: Ethereum
Индикаторы:
Ethereum 0x284d72effa0a1a6e4801a682c464908c5716d697
Ethereum: 0x4515957daf1c5a1cd2e24d000e909a0ff6be1975
Использованная литература:
https://twitter.com/functi0nZer0/status/1728473843054903622
https://twitter.com/ndxfi/status/1727501640045936954
https://www.tally.xyz/gov/indexed/proposal/27
Exzo Finance
Дата: Date:21 ноября 2023
Вектор эксплойта: украденные закрытые ключи
Влияние: 470 000 $
Цепочка: :Ethereum
Индикаторы:
Ethereum: 0x034b84a81a11af02282c646e956143f6036c34e6
Использованная литература:
https://twitter.com/Exzo_Network/status/1726680105915765211
https://twitter.com/Exzo_Network/status/1727032638479765866
https://etherscan.io/idm?addresses=0x3160ef53c7b5968f6a3eed0c3659b982603e0622,0x1816687a332a3d0583ea06f725e90dd724b0aff7&type=1
Heco Bridge Finance
Дата: :22 ноября 2023 г.
Вектор эксплойта: украденные закрытые ключи Stolen Private Keys
Влияние: : 86 600 000 $
Цепочка: :Heco, Ethereum
Индикаторы:
Ethereum: 0xfc146d1caf6ba1d1ce6dcb5b35dcbf895f50b0c4
Ethereum: 0xe47e6da16bb83eb0fd26b3f29b15ce8fab089b9e
Использованная литература:
https://twitter.com/CyversAlerts/status/1727276003196600539
https://hacken.io/insights/heco-bridge-hack-explained/
https://twitter.com/hackenclub/status/1727291161981993093
https://twitter.com/PeckShieldAlert/status/1727286692489679360
https://olympixai.medium.com/heco-bridge-hack-anaлиз-64cffda76684
Сам эксплойт:
https://etherscan.io/address/0xfc146d1caf6ba1d1ce6dcb5b35dcbf895f50b0c4
P.s был в отпуске, сажусь работать над материалом
❤7
Snowden Web3 pinned «Взломы (к предыдущему посту) до 87млн$ Материал для анализа + сам эксплойт Indexed Finance Дата: Date:16 ноября 2023 г. Вектор эксплойта:: Управление Governance Влияние: :нет, неудачная попытка Цепочка:Ethereum Индикаторы Ethereum: 0xdf0b30404ecbf0fd…»
Сборник новых статей для обучения и аналитики
Обучение и практика:
1 Введение в фаззинг
2 Руководство по Solana для аналитиков Ethereum
3 Ecosystem Explorer — изучение протоколов работоспособности межцепочек и мер их безопасности
4 Летальная интеграция: уязвимости в хуках из-за рискованных взаимодействий
5 Практика безопасности веб-кошелька от Джейдена-Судо
(содержит список распространенных ошибок кошелька Web3, включая демонстрации PoC.)
6 Список аудита безопасности блокчейна от 0xNazgul
(содержит хороший каталог аудиторских компаний и других ресурсов.)
Аналитика
1 База данных исследований Lazarus/Bluenoroff, Согласно исследованию Тэя, by tayvano.
2 Эксплойт на миллиард долларов: сбор закрытых ключей валидаторов с помощью атак Web2
3 Ликвидации в Aave
4 Эвристика для обнаружения транзакций CoinJoin в блокчейне Биткойн
Обучение и практика:
1 Введение в фаззинг
2 Руководство по Solana для аналитиков Ethereum
3 Ecosystem Explorer — изучение протоколов работоспособности межцепочек и мер их безопасности
4 Летальная интеграция: уязвимости в хуках из-за рискованных взаимодействий
5 Практика безопасности веб-кошелька от Джейдена-Судо
(содержит список распространенных ошибок кошелька Web3, включая демонстрации PoC.)
6 Список аудита безопасности блокчейна от 0xNazgul
(содержит хороший каталог аудиторских компаний и других ресурсов.)
Аналитика
1 База данных исследований Lazarus/Bluenoroff, Согласно исследованию Тэя, by tayvano.
2 Эксплойт на миллиард долларов: сбор закрытых ключей валидаторов с помощью атак Web2
3 Ликвидации в Aave
4 Эвристика для обнаружения транзакций CoinJoin в блокчейне Биткойн
Substack
Introduction to fuzzing
In this article, we will dive into the fascinating realm of fuzzing. In order to understand it and before setting up our tests in Foundry we will learn what is the core concept of fuzzing.
👍6
Подборка новых инструментов за последнее время
1 Wake — это среда разработки и тестирования Solidity на основе Python со встроенными детекторами уязвимостей
2 Vulcan — среда разработки для проектов Foundry с упором на опыт разработчиков и удобство чтения.
3 Восстановление средств с помощью инструмента HackedWalletRecovery
4 Бесплатное извлечение исторических данных из блокчейна с помощью узлов Cryo + Merkle Reth
5 Impersonator Iframe — компонент iframe, который позволяет открывать децентрализованные приложения с любым олицетворенным адресом Ethereum
6 Anvil-web3 -Легко взаимодействовать и создавать цепочки anvil из Python
1 Wake — это среда разработки и тестирования Solidity на основе Python со встроенными детекторами уязвимостей
2 Vulcan — среда разработки для проектов Foundry с упором на опыт разработчиков и удобство чтения.
3 Восстановление средств с помощью инструмента HackedWalletRecovery
4 Бесплатное извлечение исторических данных из блокчейна с помощью узлов Cryo + Merkle Reth
5 Impersonator Iframe — компонент iframe, который позволяет открывать децентрализованные приложения с любым олицетворенным адресом Ethereum
6 Anvil-web3 -Легко взаимодействовать и создавать цепочки anvil из Python
GitHub
GitHub - Ackee-Blockchain/wake: Wake is a Python-based Solidity development and fuzz testing framework with built-in vulnerability…
Wake is a Python-based Solidity development and fuzz testing framework with built-in vulnerability detectors for building secure Ethereum dApps. - Ackee-Blockchain/wake
🔥4🕊1
Инструмент для визуализации смарт-контрактов:
https://github.com/forefy/eburger
Функции:
- График потока вызовов, вдохновленный соглашениями об именах Solidity
- Ищите конкретные сегменты и выделяйте их по параметру, функции, контракту и т. д.
- Расширенный контроль над макетом графика
- Просматривайте только код, относящийся к контракту, а не все библиотеки мира.
- Так же есть сообщество и бесплатная поддержка через Discord
https://github.com/forefy/eburger
Функции:
- График потока вызовов, вдохновленный соглашениями об именах Solidity
- Ищите конкретные сегменты и выделяйте их по параметру, функции, контракту и т. д.
- Расширенный контроль над макетом графика
- Просматривайте только код, относящийся к контракту, а не все библиотеки мира.
- Так же есть сообщество и бесплатная поддержка через Discord
🫡2
Создание инвариантных тестов для смарт-контракта
Инвариантное тестирование в смарт-контрактах заключается в неоднократном опробовании различных комбинаций действий, чтобы убедиться, что контракт всегда соответствует своим основным правилам, даже в необычных или неожиданных ситуациях
https://allthingsfuzzy.substack.com/p/creating-invariant-tests-for-an-amm
Инвариантное тестирование в смарт-контрактах заключается в неоднократном опробовании различных комбинаций действий, чтобы убедиться, что контракт всегда соответствует своим основным правилам, даже в необычных или неожиданных ситуациях
https://allthingsfuzzy.substack.com/p/creating-invariant-tests-for-an-amm
Substack
Creating Invariant Tests for an AMM Smart Contract
Invariant testing in smart contracts is about repeatedly trying out different combinations of actions to make sure the contract always follows its core rules, even in unusual or unexpected situations.
👍4
Запустили Cyfrin Updraft!
Это бесплатный обучающий курс по безопасности от Патрика Коллинза, Тинчо, JohnnyTime, Оуэна Турма, Пашова и многих других.
Подать заявку на ранний доступ вы можете, нажав на ссылку выше, или поддержать меня, отправив заявку по моей реферальной ссылке тут
Это бесплатный обучающий курс по безопасности от Патрика Коллинза, Тинчо, JohnnyTime, Оуэна Турма, Пашова и многих других.
Подать заявку на ранний доступ вы можете, нажав на ссылку выше, или поддержать меня, отправив заявку по моей реферальной ссылке тут
❤3🔥2