База данных "ошибки и лучшие практики безопасности", которая насчитывает 101 пример.

Исследования:

Справочник по кризисным ситуациям: взлом смарт-контрактов (от команды SEAL)

Извлечение данных блокчейна с помощью Cryo

Иследование угроз безопасности в новом механизме перехвата Uniswap v4

Решение на основе глубокого обучения для обнаружения уязвимостей смарт-контрактов

Оптимизация газа в Solidity: стратегии экономически эффективных смарт-контрактов (by hacken)

+Документы:

Защита невидимого: исследование конфиденциальности данных в протоколах

На пути к более сильным блокчейнам: безопасность от лобовых атак

DRAINCLoG: обнаружение мошеннических учетных записей с незаконно полученными NFT с использованием классификаторов, полученных на графах

Истинное происхождение хаков — основные уязвимости Web3 (by immunefi)

Инструменты

EVM Hound от g00dv1n - это минималистичная библиотека Rust для извлечения всех потенциальных селекторов функций из байт-кода EVM без исходного кода.

Roundme - от crytic — это анализатор округлений, управляемый человеком. Он помогает своему оператору определить, следует ли округлять арифметическую операцию в большую или меньшую сторону

Компании CeFi и DeFi потеряли в общей сложности 160 миллионов долларов

Начнем с CeFi. Lazarus, очевидно, глубоко заимствовал деньги в экосистеме Джастина Сана, продолжая опустошать кошельки. Heco Bridge и HTX (ex Huobi) Exchange потеряли более 108 миллионов долларов из-за кражи закрытого ключа, как и в случае взлома Poloniex на 130 миллионов долларов, произошедшего три недели назад. И это не причудливые компромиссы Web3, а старые добрые хаки инфраструктуры Web2.

Во втором посте я прикреплю данные для анализа взломов + сам эксплойт

Что касается DeFi, компрометация KyberSwap привела к убыткам почти в 49 миллионов долларов. Компрометация представляет собой интересный пример из-за сложности эксплойта, многочисленных надежных проверок и отчетов об ошибках, в которых упущена уязвимость, а также общей зрелости скомпрометированного протокола. Сторона хакеров еще более интересна, поскольку чаевые в размере 2 миллионов долларов злоумышленникам Indexed Finance ясно указывают на то, что они придерживаются одной и той же парадигмы «кодекс – это закон» или, по их собственным словам "Might makes Right " (сильное делает правое)

Еще одной тревожной тенденцией является рост атак на правительственные структуры, в том числе со стороны некоторых субъектов, связанных с КНДР. Только компания Indexed Finance дважды пострадала: одна попытка была осуществлена ​​с участием северокорейского актера, а другая – со стороны подражателя, ведущего интенсивные переговоры о «награде»

Другие новости: Inferno Drainer завершает работу вслед за своим предшественником Monkey Drainer.

Статьи к данному посту:

Корейские правительственные чиновники стали объектом нападения крипто-хакеров-журналистов

Inferno Drainer объявляет о закрытии

Взломы (к предыдущему посту) до 87млн$
Материал для анализа + сам эксплойт


Indexed Finance
Дата: Date:16 ноября 2023 г.
Вектор эксплойта:: Управление Governance
Влияние: :нет, неудачная попытка
Цепочка:Ethereum

Индикаторы
Ethereum: 0xdf0b30404ecbf0fd6905d7722f76b0a9d3da6e14 (КНДР)

Рекомендации:

https://twitter.com/zachxbt/status/1726002049123340666
https://twitter.com/functi0nZer0/status/1725922016484597975
https://www.tally.xyz/gov/indexed/proposal/24?chart=0

Signata
Дата: : 20 ноября 2023 г.
Вектор эксплойта: управление Governance
Влияние: нет, неудачная попытка
Цепочка: :Ethereum

Индикаторы:
Ethereum: 0x849635d7ea4c145dc214bfcfa48704ce9de090c5 Ethereum: 0x849635d7ea4c145dc214bfcfa48704ce9de090c5
Ethereum: 0x1efaf213d7ca09e2b5ed837b0f9c9e43f32e9e12 Ethereum: 0x1efaf213d7ca09e2b5ed837b0f9c9e43f32e9e12
Ethereum: 0xc9ddd242356190d8e7f19107 49b44830a1468423Ethereum: 0xc9ddd242356190d8e7f1910749b44830a1468423

Использованная литература:

https://twitter.com/Phalcon_xyz/status/1726790219221930286

Indexed Finance
Дата: 21 ноября 2023 г.
Вектор эксплойта: влияние на управление Governance
Влияние :10 000 долларов США (выкуп)
Цепочка: Ethereum

Индикаторы:
Ethereum 0x284d72effa0a1a6e4801a682c464908c5716d697
Ethereum: 0x4515957daf1c5a1cd2e24d000e909a0ff6be1975

Использованная литература:

https://twitter.com/functi0nZer0/status/1728473843054903622
https://twitter.com/ndxfi/status/1727501640045936954
https://www.tally.xyz/gov/indexed/proposal/27

Exzo Finance
Дата: Date:21 ноября 2023
Вектор эксплойта: украденные закрытые ключи
Влияние: 470 000 $
Цепочка: :Ethereum

Индикаторы:
Ethereum: 0x034b84a81a11af02282c646e956143f6036c34e6

Использованная литература:

https://twitter.com/Exzo_Network/status/1726680105915765211
https://twitter.com/Exzo_Network/status/1727032638479765866
https://etherscan.io/idm?addresses=0x3160ef53c7b5968f6a3eed0c3659b982603e0622,0x1816687a332a3d0583ea06f725e90dd724b0aff7&type=1

Heco Bridge Finance
Дата: :22 ноября 2023 г.
Вектор эксплойта: украденные закрытые ключи Stolen Private Keys
Влияние: : 86 600 000 $
Цепочка: :Heco, Ethereum

Индикаторы:
Ethereum: 0xfc146d1caf6ba1d1ce6dcb5b35dcbf895f50b0c4
Ethereum: 0xe47e6da16bb83eb0fd26b3f29b15ce8fab089b9e

Использованная литература:

https://twitter.com/CyversAlerts/status/1727276003196600539
https://hacken.io/insights/heco-bridge-hack-explained/
https://twitter.com/hackenclub/status/1727291161981993093
https://twitter.com/PeckShieldAlert/status/1727286692489679360
https://olympixai.medium.com/heco-bridge-hack-anaлиз-64cffda76684

Сам эксплойт:

https://etherscan.io/address/0xfc146d1caf6ba1d1ce6dcb5b35dcbf895f50b0c4

P.s был в отпуске, сажусь работать над материалом

Сборник новых статей для обучения и аналитики

Обучение и практика:

1 Введение в фаззинг

2 Руководство по Solana для аналитиков Ethereum

3 Ecosystem Explorer — изучение протоколов работоспособности межцепочек и мер их безопасности

4 Летальная интеграция: уязвимости в хуках из-за рискованных взаимодействий

5 Практика безопасности веб-кошелька от Джейдена-Судо
(содержит список распространенных ошибок кошелька Web3, включая демонстрации PoC.)

6 Список аудита безопасности блокчейна от 0xNazgul
(содержит хороший каталог аудиторских компаний и других ресурсов.)

Аналитика

1 База данных исследований Lazarus/Bluenoroff, Согласно исследованию Тэя, by tayvano.

2 Эксплойт на миллиард долларов: сбор закрытых ключей валидаторов с помощью атак Web2

3 Ликвидации в Aave

4 Эвристика для обнаружения транзакций CoinJoin в блокчейне Биткойн

Подборка новых инструментов за последнее время

1 Wake — это среда разработки и тестирования Solidity на основе Python со встроенными детекторами уязвимостей

2 Vulcan — среда разработки для проектов Foundry с упором на опыт разработчиков и удобство чтения.

3 Восстановление средств с помощью инструмента HackedWalletRecovery

4 Бесплатное извлечение исторических данных из блокчейна с помощью узлов Cryo + Merkle Reth

5 Impersonator Iframe — компонент iframe, который позволяет открывать децентрализованные приложения с любым олицетворенным адресом Ethereum

6 Anvil-web3 -Легко взаимодействовать и создавать цепочки anvil из Python

Инструмент для визуализации смарт-контрактов:

https://github.com/forefy/eburger

Функции:

- График потока вызовов, вдохновленный соглашениями об именах Solidity

- Ищите конкретные сегменты и выделяйте их по параметру, функции, контракту и т. д.

- Расширенный контроль над макетом графика

- Просматривайте только код, относящийся к контракту, а не все библиотеки мира.

- Так же есть сообщество и бесплатная поддержка через Discord

Создание инвариантных тестов для смарт-контракта

Инвариантное тестирование в смарт-контрактах заключается в неоднократном опробовании различных комбинаций действий, чтобы убедиться, что контракт всегда соответствует своим основным правилам, даже в необычных или неожиданных ситуациях

https://allthingsfuzzy.substack.com/p/creating-invariant-tests-for-an-amm

Запустили Cyfrin Updraft!

Это бесплатный обучающий курс по безопасности от Патрика Коллинза, Тинчо, JohnnyTime, Оуэна Турма, Пашова и многих других.

Подать заявку на ранний доступ вы можете, нажав на ссылку выше, или поддержать меня, отправив заявку по моей реферальной ссылке тут

От Google к X Ads: отслеживание следа крипто-кошелька на 58 миллионов долларов

P.s с наступающим :3
Спасибо вам ❤️

Путь к освоению безопасности смарт-контрактов стал проще

Погрузитесь в коллективное хранилище ресурсов по безопасности (статей, видео, инструментов, твитов и т. д.) от ведущих аудиторов и компаний. SmartSecHub — это открытая платформа, обогащенная вкладом сообщества. Изучайте разнообразные темы, учитесь у экспертов и вносите свой вклад в растущую базу знаний.

Добавлена реакция.
Теперь можно смеяться )

P.s всем выжившим первого числа салют !

Делюсь документом с ограниченным доступом от ChainLight

Взлом Web3 : Post-Mortem
Пароль: duediligence

Включает в себя более ста разборов кейсов со взломом множества компаний.

Эксплойты, ущербы от каждого типа инцидента + цепочки, лежащие в основе возникновения инцидентов.

По традиции делюсь сводкой из руководств и документов.

Тенденции кибербезопасности на 2024 год, роадмап по солане, инструменты и многое другое.

Так же здесь собраны отчеты за прошедший год от множества компаний которые вы можете использовать для анализа.


Начнем с отчетов:

1 Глобальная статистика безопасности Web3 и анализ борьбы с отмыванием денег за 2023 год проведенная Beosin

2 Отчет De.Fi Rekt: Потери криптовалюты за 2023 год

3 Hack3d: отчет о безопасности Web3 за 2023 год

4 Годовой отчет по безопасности блокчейна и борьбе с отмыванием денег за 2023 год от slowmist

5 Ежегодный отчет о безопасности Web3 за 2023 год от QuillAudits

К руководствам:

1 Руководство по безопасности DeFi

2 Roadmap безопасности dApp Solana

3 Изучение Соланы: комплексное руководство по учетным записям, токенам, транзакциям и обеспечению безопасности активов

4 Кураторский список ссылок на экосистему Cosmos с упором на ее аспект безопасности.

5 Криптографическая асимметрия и как отключить мост Cosmos-Ethereum

6 Курс программирования EVM & Yul от deliriusz

Часть 1 , 2 , 3


Материалы для входа в 2024 и другое:

1 Тенденции кибербезопасности 2024
Immunefi & Zellic подкаст (Осторожно! Твиттер!)

2 Инструменты и советы по работе с данными Web3 — Ежегодное руководство на 2024 год. Индексаторы, механизмы запросов, преобразования данных и ZK реверс ETL - ключевые компоненты, которые вам необходимо понимать для навигации по криптографическим данным.

3 Перемотка аудитов смарт-контрактов за 2023 год от участников и победителей различных конкурсов.

4 Анализ хищений посредством санкционированных вредоносных контрактов

Новая площадка:

0xHacked0xHacked - Здесь «белые шляпы» могут предоставить доказательства использования эксплойта, чтобы потребовать вознаграждение за обнаружение ошибок, не раскрывая деталей с помощью доказательства с нулевым разглашением

Good morning, gentlemen aristocrats. 🫡

Для аналитики :

1 Панель мониторинга инцидентов безопасности (превышающие 100k$) С адресами, цепочками, уязвимостями и датой

2 Отчет о криптопреступлениях за 2024 год от Chainalysis

Руководства и исследования:

1 D.U.C.K — База знаний, которая предоставляет систему реагирования на риски и инциденты с открытым исходным кодом для операторов узлов Lido (beta version)

2 Подробное исследование потенциала улучшения смарт-контрактов с использованием модели GPT-4

3 Глобальное исследование:"Latency is Money: Timing Games"

Предполагаемая аудитория: исследователи и стейкеры Ethereum. Вы понимаете цепочку поставок MEV, имеете базовое представление о фазах слота и хорошо знакомы с ролями, которые играют строители, реле и пропперы. Вы знаете, что такое тайминговые игры, и разбираетесь в негативных внешних эффектах, которые они вызывают для сети.

4 Лучшие практики безопасности смарт-контрактов Solana от SlowMist

5 Uniswap v3: интересный обзор от NicaN0r

6 «Обнаружение Auxdatas в байт-коде»

7 ERC404: Экспериментальный полувзаимозаменяемый стандарт от Three Sigma , который охватывает функциональность токена и проблемы безопасности.

СМИ:

Web3 Security в 2024 году X Space (при участии pashov, juliettech, bytes032, nisedo)

Слушаем и практикуем:

Выступление «Освоение фаззинга» и соотвествуюший репозиторий, содержащий примеры фаззинга Foundry и Echidna.

Инструменты:

1 Key by TrueBlocks - получите полный исторический список появлений (номер блока, идентификатор транзакции) для любого адреса Ethereum.

2 Libmev - MEV-транзакция и обозреватель блоков.

3 Fuzz-utils - автоматизированный инструмент для создания модульных тестов Foundry на основе ошибочных свойств фаззера смарт-контрактов с помощью Crytic.

🫡🎩

Руководства и исследования:

1 Обзор инструментов аудита смарт-контрактов: плюсы, минусы и необходимость ручных проверок

2 Поддерживаемая сообществом коллекция ошибок, уязвимостей и эксплойтов в приложениях, использующих криптографию ZK.

3 Открытый набор данных, содержащий проблемы аудита смарт-контрактов из различных источников

4 Как безопасно перевести невостребованные токены из взломанного кошелька

5 Обучение путем взлома: практический пример LayerZero
Часть 1 , 2 , 3 ( by Trust Security. )

6 Все о Uniswap (репозиторий GitHub)

7 Отчет ФБР об интернет-преступлениях за 2023 год указывает на рост мошенничества с инвестициями в криптовалюту на миллиард долларов. Эта цифра, вероятно, резко возрастет, когда мы вступим в бычий рынок

Инструменты

1 Glider: революция в аудите и анализе безопасности Web3

2 Онлайн-кодировщик ABI

3 BALLS - DSL для генерации оптимального байт-кода

4 lazy-etherscanlazy-etherscan — простой пользовательский интерфейс терминала для Ethereum Blockchain Explorer

5 Репозиторий Gaslite CoreGaslite Core Repository — гипероптимизированные смарт-контракты от PopPunk для повседневного использования

6 Riverguard: ловля потерь средств в потоке транзакций

Tweak - позволяет пользователям/разработчикам изменять код ончейн-контракта, сохраняя состояние ончейна нетронутым. Допускаются практически любые изменения при условии сохранения схемы хранения

Оценка и тестирование лучших протоколов DeFi (+выводы)

BugBounty Companion от tintinweb.

Компаньон BugBounty, который проверяет кодовые базы Bug Bounty с высоким вознаграждением от Immunefi/code4rena

(используйте на свой страх и риск)