Snowden Web3 pinned «Взломы (к предыдущему посту) до 87млн$ Материал для анализа + сам эксплойт Indexed Finance Дата: Date:16 ноября 2023 г. Вектор эксплойта:: Управление Governance Влияние: :нет, неудачная попытка Цепочка:Ethereum Индикаторы Ethereum: 0xdf0b30404ecbf0fd…»
Сборник новых статей для обучения и аналитики
Обучение и практика:
1 Введение в фаззинг
2 Руководство по Solana для аналитиков Ethereum
3 Ecosystem Explorer — изучение протоколов работоспособности межцепочек и мер их безопасности
4 Летальная интеграция: уязвимости в хуках из-за рискованных взаимодействий
5 Практика безопасности веб-кошелька от Джейдена-Судо
(содержит список распространенных ошибок кошелька Web3, включая демонстрации PoC.)
6 Список аудита безопасности блокчейна от 0xNazgul
(содержит хороший каталог аудиторских компаний и других ресурсов.)
Аналитика
1 База данных исследований Lazarus/Bluenoroff, Согласно исследованию Тэя, by tayvano.
2 Эксплойт на миллиард долларов: сбор закрытых ключей валидаторов с помощью атак Web2
3 Ликвидации в Aave
4 Эвристика для обнаружения транзакций CoinJoin в блокчейне Биткойн
Обучение и практика:
1 Введение в фаззинг
2 Руководство по Solana для аналитиков Ethereum
3 Ecosystem Explorer — изучение протоколов работоспособности межцепочек и мер их безопасности
4 Летальная интеграция: уязвимости в хуках из-за рискованных взаимодействий
5 Практика безопасности веб-кошелька от Джейдена-Судо
(содержит список распространенных ошибок кошелька Web3, включая демонстрации PoC.)
6 Список аудита безопасности блокчейна от 0xNazgul
(содержит хороший каталог аудиторских компаний и других ресурсов.)
Аналитика
1 База данных исследований Lazarus/Bluenoroff, Согласно исследованию Тэя, by tayvano.
2 Эксплойт на миллиард долларов: сбор закрытых ключей валидаторов с помощью атак Web2
3 Ликвидации в Aave
4 Эвристика для обнаружения транзакций CoinJoin в блокчейне Биткойн
Substack
Introduction to fuzzing
In this article, we will dive into the fascinating realm of fuzzing. In order to understand it and before setting up our tests in Foundry we will learn what is the core concept of fuzzing.
👍6
Подборка новых инструментов за последнее время
1 Wake — это среда разработки и тестирования Solidity на основе Python со встроенными детекторами уязвимостей
2 Vulcan — среда разработки для проектов Foundry с упором на опыт разработчиков и удобство чтения.
3 Восстановление средств с помощью инструмента HackedWalletRecovery
4 Бесплатное извлечение исторических данных из блокчейна с помощью узлов Cryo + Merkle Reth
5 Impersonator Iframe — компонент iframe, который позволяет открывать децентрализованные приложения с любым олицетворенным адресом Ethereum
6 Anvil-web3 -Легко взаимодействовать и создавать цепочки anvil из Python
1 Wake — это среда разработки и тестирования Solidity на основе Python со встроенными детекторами уязвимостей
2 Vulcan — среда разработки для проектов Foundry с упором на опыт разработчиков и удобство чтения.
3 Восстановление средств с помощью инструмента HackedWalletRecovery
4 Бесплатное извлечение исторических данных из блокчейна с помощью узлов Cryo + Merkle Reth
5 Impersonator Iframe — компонент iframe, который позволяет открывать децентрализованные приложения с любым олицетворенным адресом Ethereum
6 Anvil-web3 -Легко взаимодействовать и создавать цепочки anvil из Python
GitHub
GitHub - Ackee-Blockchain/wake: Wake is a Python-based Solidity development and fuzz testing framework with built-in vulnerability…
Wake is a Python-based Solidity development and fuzz testing framework with built-in vulnerability detectors for building secure Ethereum dApps. - Ackee-Blockchain/wake
🔥4🕊1
Инструмент для визуализации смарт-контрактов:
https://github.com/forefy/eburger
Функции:
- График потока вызовов, вдохновленный соглашениями об именах Solidity
- Ищите конкретные сегменты и выделяйте их по параметру, функции, контракту и т. д.
- Расширенный контроль над макетом графика
- Просматривайте только код, относящийся к контракту, а не все библиотеки мира.
- Так же есть сообщество и бесплатная поддержка через Discord
https://github.com/forefy/eburger
Функции:
- График потока вызовов, вдохновленный соглашениями об именах Solidity
- Ищите конкретные сегменты и выделяйте их по параметру, функции, контракту и т. д.
- Расширенный контроль над макетом графика
- Просматривайте только код, относящийся к контракту, а не все библиотеки мира.
- Так же есть сообщество и бесплатная поддержка через Discord
🫡2
Создание инвариантных тестов для смарт-контракта
Инвариантное тестирование в смарт-контрактах заключается в неоднократном опробовании различных комбинаций действий, чтобы убедиться, что контракт всегда соответствует своим основным правилам, даже в необычных или неожиданных ситуациях
https://allthingsfuzzy.substack.com/p/creating-invariant-tests-for-an-amm
Инвариантное тестирование в смарт-контрактах заключается в неоднократном опробовании различных комбинаций действий, чтобы убедиться, что контракт всегда соответствует своим основным правилам, даже в необычных или неожиданных ситуациях
https://allthingsfuzzy.substack.com/p/creating-invariant-tests-for-an-amm
Substack
Creating Invariant Tests for an AMM Smart Contract
Invariant testing in smart contracts is about repeatedly trying out different combinations of actions to make sure the contract always follows its core rules, even in unusual or unexpected situations.
👍4
Запустили Cyfrin Updraft!
Это бесплатный обучающий курс по безопасности от Патрика Коллинза, Тинчо, JohnnyTime, Оуэна Турма, Пашова и многих других.
Подать заявку на ранний доступ вы можете, нажав на ссылку выше, или поддержать меня, отправив заявку по моей реферальной ссылке тут
Это бесплатный обучающий курс по безопасности от Патрика Коллинза, Тинчо, JohnnyTime, Оуэна Турма, Пашова и многих других.
Подать заявку на ранний доступ вы можете, нажав на ссылку выше, или поддержать меня, отправив заявку по моей реферальной ссылке тут
❤3🔥2
От Google к X Ads: отслеживание следа крипто-кошелька на 58 миллионов долларов
P.s с наступающим :3
Спасибо вам ❤️
P.s с наступающим :3
Спасибо вам ❤️
Scam Sniffer
From Google to X Ads: Tracing the Crypto Wallet Drainer's $58 Million Trail - Scam Sniffer
Overview Wallet Drainers have seen tremendous success over the past year. Phishing scammers have used these Drainers through various means such as phishing ads, supply chain attacks, Discord phishing, Twitter spam comments and mentions, Airdrop Phishing,…
❤2👍2
Путь к освоению безопасности смарт-контрактов стал проще
Погрузитесь в коллективное хранилище ресурсов по безопасности (статей, видео, инструментов, твитов и т. д.) от ведущих аудиторов и компаний. SmartSecHub — это открытая платформа, обогащенная вкладом сообщества. Изучайте разнообразные темы, учитесь у экспертов и вносите свой вклад в растущую базу знаний.
Добавлена реакция.
Теперь можно смеяться )
P.s всем выжившим первого числа салют !
Погрузитесь в коллективное хранилище ресурсов по безопасности (статей, видео, инструментов, твитов и т. д.) от ведущих аудиторов и компаний. SmartSecHub — это открытая платформа, обогащенная вкладом сообщества. Изучайте разнообразные темы, учитесь у экспертов и вносите свой вклад в растущую базу знаний.
Добавлена реакция.
Теперь можно смеяться )
P.s всем выжившим первого числа салют !
😁5❤3👍1🫡1
ChainLight Web3 Security Post Mortem 2023 (Protected).pdf
12.5 MB
Делюсь документом с ограниченным доступом от ChainLight
Взлом Web3 : Post-Mortem
Пароль: duediligence
Включает в себя более ста разборов кейсов со взломом множества компаний.
Эксплойты, ущербы от каждого типа инцидента + цепочки, лежащие в основе возникновения инцидентов.
Взлом Web3 : Post-Mortem
Пароль: duediligence
Включает в себя более ста разборов кейсов со взломом множества компаний.
Эксплойты, ущербы от каждого типа инцидента + цепочки, лежащие в основе возникновения инцидентов.
🔥13
По традиции делюсь сводкой из руководств и документов.
Тенденции кибербезопасности на 2024 год, роадмап по солане, инструменты и многое другое.
Так же здесь собраны отчеты за прошедший год от множества компаний которые вы можете использовать для анализа.
Начнем с отчетов:
1 Глобальная статистика безопасности Web3 и анализ борьбы с отмыванием денег за 2023 год проведенная Beosin
2 Отчет De.Fi Rekt: Потери криптовалюты за 2023 год
3 Hack3d: отчет о безопасности Web3 за 2023 год
4 Годовой отчет по безопасности блокчейна и борьбе с отмыванием денег за 2023 год от slowmist
5 Ежегодный отчет о безопасности Web3 за 2023 год от QuillAudits
К руководствам:
1 Руководство по безопасности DeFi
2 Roadmap безопасности dApp Solana
3 Изучение Соланы: комплексное руководство по учетным записям, токенам, транзакциям и обеспечению безопасности активов
4 Кураторский список ссылок на экосистему Cosmos с упором на ее аспект безопасности.
5 Криптографическая асимметрия и как отключить мост Cosmos-Ethereum
6 Курс программирования EVM & Yul от deliriusz
Часть 1 , 2 , 3
Материалы для входа в 2024 и другое:
1 Тенденции кибербезопасности 2024
Immunefi & Zellic подкаст (Осторожно! Твиттер!)
2 Инструменты и советы по работе с данными Web3 — Ежегодное руководство на 2024 год. Индексаторы, механизмы запросов, преобразования данных и ZK реверс ETL - ключевые компоненты, которые вам необходимо понимать для навигации по криптографическим данным.
3 Перемотка аудитов смарт-контрактов за 2023 год от участников и победителей различных конкурсов.
4 Анализ хищений посредством санкционированных вредоносных контрактов
Новая площадка:
0xHacked0xHacked - Здесь «белые шляпы» могут предоставить доказательства использования эксплойта, чтобы потребовать вознаграждение за обнаружение ошибок, не раскрывая деталей с помощью доказательства с нулевым разглашением
Тенденции кибербезопасности на 2024 год, роадмап по солане, инструменты и многое другое.
Так же здесь собраны отчеты за прошедший год от множества компаний которые вы можете использовать для анализа.
Начнем с отчетов:
1 Глобальная статистика безопасности Web3 и анализ борьбы с отмыванием денег за 2023 год проведенная Beosin
2 Отчет De.Fi Rekt: Потери криптовалюты за 2023 год
3 Hack3d: отчет о безопасности Web3 за 2023 год
4 Годовой отчет по безопасности блокчейна и борьбе с отмыванием денег за 2023 год от slowmist
5 Ежегодный отчет о безопасности Web3 за 2023 год от QuillAudits
К руководствам:
1 Руководство по безопасности DeFi
2 Roadmap безопасности dApp Solana
3 Изучение Соланы: комплексное руководство по учетным записям, токенам, транзакциям и обеспечению безопасности активов
4 Кураторский список ссылок на экосистему Cosmos с упором на ее аспект безопасности.
5 Криптографическая асимметрия и как отключить мост Cosmos-Ethereum
6 Курс программирования EVM & Yul от deliriusz
Часть 1 , 2 , 3
Материалы для входа в 2024 и другое:
1 Тенденции кибербезопасности 2024
Immunefi & Zellic подкаст (Осторожно! Твиттер!)
2 Инструменты и советы по работе с данными Web3 — Ежегодное руководство на 2024 год. Индексаторы, механизмы запросов, преобразования данных и ZK реверс ETL - ключевые компоненты, которые вам необходимо понимать для навигации по криптографическим данным.
3 Перемотка аудитов смарт-контрактов за 2023 год от участников и победителей различных конкурсов.
4 Анализ хищений посредством санкционированных вредоносных контрактов
Новая площадка:
0xHacked0xHacked - Здесь «белые шляпы» могут предоставить доказательства использования эксплойта, чтобы потребовать вознаграждение за обнаружение ошибок, не раскрывая деталей с помощью доказательства с нулевым разглашением
De.Fi Blog
De.Fi Rekt Report: Crypto Losses reach $1.95b in 2023
In 2023, the DeFi industry experienced significant setbacks, with a total loss of $2 Billion.
🫡4❤1
Good morning, gentlemen aristocrats. 🫡
Для аналитики :
1 Панель мониторинга инцидентов безопасности (превышающие 100k$) С адресами, цепочками, уязвимостями и датой
2 Отчет о криптопреступлениях за 2024 год от Chainalysis
Руководства и исследования:
1 D.U.C.K — База знаний, которая предоставляет систему реагирования на риски и инциденты с открытым исходным кодом для операторов узлов Lido (beta version)
2 Подробное исследование потенциала улучшения смарт-контрактов с использованием модели GPT-4
3 Глобальное исследование:"Latency is Money: Timing Games"
Предполагаемая аудитория: исследователи и стейкеры Ethereum. Вы понимаете цепочку поставок MEV, имеете базовое представление о фазах слота и хорошо знакомы с ролями, которые играют строители, реле и пропперы. Вы знаете, что такое тайминговые игры, и разбираетесь в негативных внешних эффектах, которые они вызывают для сети.
4 Лучшие практики безопасности смарт-контрактов Solana от SlowMist
5 Uniswap v3: интересный обзор от NicaN0r
6 «Обнаружение Auxdatas в байт-коде»
7 ERC404: Экспериментальный полувзаимозаменяемый стандарт от Three Sigma , который охватывает функциональность токена и проблемы безопасности.
СМИ:
Web3 Security в 2024 году X Space (при участии pashov, juliettech, bytes032, nisedo)
Слушаем и практикуем:
Выступление «Освоение фаззинга» и соотвествуюший репозиторий, содержащий примеры фаззинга Foundry и Echidna.
Инструменты:
1 Key by TrueBlocks - получите полный исторический список появлений (номер блока, идентификатор транзакции) для любого адреса Ethereum.
2 Libmev - MEV-транзакция и обозреватель блоков.
3 Fuzz-utils - автоматизированный инструмент для создания модульных тестов Foundry на основе ошибочных свойств фаззера смарт-контрактов с помощью Crytic.
Для аналитики :
1 Панель мониторинга инцидентов безопасности (превышающие 100k$) С адресами, цепочками, уязвимостями и датой
2 Отчет о криптопреступлениях за 2024 год от Chainalysis
Руководства и исследования:
1 D.U.C.K — База знаний, которая предоставляет систему реагирования на риски и инциденты с открытым исходным кодом для операторов узлов Lido (beta version)
2 Подробное исследование потенциала улучшения смарт-контрактов с использованием модели GPT-4
3 Глобальное исследование:"Latency is Money: Timing Games"
Предполагаемая аудитория: исследователи и стейкеры Ethereum. Вы понимаете цепочку поставок MEV, имеете базовое представление о фазах слота и хорошо знакомы с ролями, которые играют строители, реле и пропперы. Вы знаете, что такое тайминговые игры, и разбираетесь в негативных внешних эффектах, которые они вызывают для сети.
4 Лучшие практики безопасности смарт-контрактов Solana от SlowMist
5 Uniswap v3: интересный обзор от NicaN0r
6 «Обнаружение Auxdatas в байт-коде»
7 ERC404: Экспериментальный полувзаимозаменяемый стандарт от Three Sigma , который охватывает функциональность токена и проблемы безопасности.
СМИ:
Web3 Security в 2024 году X Space (при участии pashov, juliettech, bytes032, nisedo)
Слушаем и практикуем:
Выступление «Освоение фаззинга» и соотвествуюший репозиторий, содержащий примеры фаззинга Foundry и Echidna.
Инструменты:
1 Key by TrueBlocks - получите полный исторический список появлений (номер блока, идентификатор транзакции) для любого адреса Ethereum.
2 Libmev - MEV-транзакция и обозреватель блоков.
3 Fuzz-utils - автоматизированный инструмент для создания модульных тестов Foundry на основе ошибочных свойств фаззера смарт-контрактов с помощью Crytic.
Blocksec
Security Incidents | Phalcon Explorer
Security suite for Protocols, Developers, LPs, & Traders - safeguarding your blockchain journey
🔥6👍1
🫡🎩
Руководства и исследования:
1 Обзор инструментов аудита смарт-контрактов: плюсы, минусы и необходимость ручных проверок
2 Поддерживаемая сообществом коллекция ошибок, уязвимостей и эксплойтов в приложениях, использующих криптографию ZK.
3 Открытый набор данных, содержащий проблемы аудита смарт-контрактов из различных источников
4 Как безопасно перевести невостребованные токены из взломанного кошелька
5 Обучение путем взлома: практический пример LayerZero
Часть 1 , 2 , 3 ( by Trust Security. )
6 Все о Uniswap (репозиторий GitHub)
7 Отчет ФБР об интернет-преступлениях за 2023 год указывает на рост мошенничества с инвестициями в криптовалюту на миллиард долларов. Эта цифра, вероятно, резко возрастет, когда мы вступим в бычий рынок
Инструменты
1 Glider: революция в аудите и анализе безопасности Web3
2 Онлайн-кодировщик ABI
3 BALLS - DSL для генерации оптимального байт-кода
4 lazy-etherscanlazy-etherscan — простой пользовательский интерфейс терминала для Ethereum Blockchain Explorer
5 Репозиторий Gaslite CoreGaslite Core Repository — гипероптимизированные смарт-контракты от PopPunk для повседневного использования
6 Riverguard: ловля потерь средств в потоке транзакций
Руководства и исследования:
1 Обзор инструментов аудита смарт-контрактов: плюсы, минусы и необходимость ручных проверок
2 Поддерживаемая сообществом коллекция ошибок, уязвимостей и эксплойтов в приложениях, использующих криптографию ZK.
3 Открытый набор данных, содержащий проблемы аудита смарт-контрактов из различных источников
4 Как безопасно перевести невостребованные токены из взломанного кошелька
5 Обучение путем взлома: практический пример LayerZero
Часть 1 , 2 , 3 ( by Trust Security. )
6 Все о Uniswap (репозиторий GitHub)
7 Отчет ФБР об интернет-преступлениях за 2023 год указывает на рост мошенничества с инвестициями в криптовалюту на миллиард долларов. Эта цифра, вероятно, резко возрастет, когда мы вступим в бычий рынок
Инструменты
1 Glider: революция в аудите и анализе безопасности Web3
2 Онлайн-кодировщик ABI
3 BALLS - DSL для генерации оптимального байт-кода
4 lazy-etherscanlazy-etherscan — простой пользовательский интерфейс терминала для Ethereum Blockchain Explorer
5 Репозиторий Gaslite CoreGaslite Core Repository — гипероптимизированные смарт-контракты от PopPunk для повседневного использования
6 Riverguard: ловля потерь средств в потоке транзакций
Hacken
Smart Contract Auditing Tools Reviewed: Pros, Cons, And The Need For Manual Checks
As a blockchain auditor with the lowest post-audit exploit rate on the market, we at Hacken want to offer our expert review of smart contract auditing tools to help Web3 developers deploy more secure code.
🫡4👍1
Tweak - позволяет пользователям/разработчикам изменять код ончейн-контракта, сохраняя состояние ончейна нетронутым. Допускаются практически любые изменения при условии сохранения схемы хранения
GitHub
foundry/TWEAK.md at tweak · MEDGA-eth/foundry
Foundry is a blazing fast, portable and modular toolkit for Ethereum application development written in Rust. - MEDGA-eth/foundry
👍6
BugBounty Companion от tintinweb.
Компаньон BugBounty, который проверяет кодовые базы Bug Bounty с высоким вознаграждением от Immunefi/code4rena
(используйте на свой страх и риск)
Компаньон BugBounty, который проверяет кодовые базы Bug Bounty с высоким вознаграждением от Immunefi/code4rena
(используйте на свой страх и риск)
GitHub
GitHub - tintinweb/bugbounty-companion: A BugBounty companion that checks out high-reward yielding bug bounty code-bases from …
A BugBounty companion that checks out high-reward yielding bug bounty code-bases from Immunefi/code4rena 🙌 (use at own risk) - tintinweb/bugbounty-companion
👨💻2👍1
Immunefi-terminal - единственный терминал для поиска крипто-ошибок, который вам когда-либо понадобится.
1 Используйте Datasette, чтобы просмотреть все доступные награды за обнаружение ошибок на Immunefi.
2 Создавайте сложные SQL-запросы с помощью своего личного хранилища данных об обнаружении ошибок.
3 Получайте обновления от Immunefi для любого проекта.
4 Найдите репозитории и адреса в цепочке, которые вы хотите проверить.
5 Беспроблемная загрузка любого исходного кода из любой программы поиска ошибок.
6 Гарантированная компиляция целей в цепочке с исправленной Crytic-compile.
1 Используйте Datasette, чтобы просмотреть все доступные награды за обнаружение ошибок на Immunefi.
2 Создавайте сложные SQL-запросы с помощью своего личного хранилища данных об обнаружении ошибок.
3 Получайте обновления от Immunefi для любого проекта.
4 Найдите репозитории и адреса в цепочке, которые вы хотите проверить.
5 Беспроблемная загрузка любого исходного кода из любой программы поиска ошибок.
6 Гарантированная компиляция целей в цепочке с исправленной Crytic-compile.
❤6
Живая ветка об известных #malware, замаскированных под программное обеспечение для встреч, web3-игры и т. д., нацеленных на нашу криптоэкосистему
https://twitter.com/d0wnlore/status/1793848775733379535
https://twitter.com/d0wnlore/status/1793848775733379535
X (formerly Twitter)
D Ø W N L O R E (@d0wnlore) on X
🚨🧵 A live thread on known #malware disguised as meeting software, web3 games, etc. that are targeting our crypto ecosystem.
Each post has the X account name + screenshot, defanged URLs and @virustotal results.
Bookmark, Repost and DYOR so you don’t become…
Each post has the X account name + screenshot, defanged URLs and @virustotal results.
Bookmark, Repost and DYOR so you don’t become…
Современные протоколы кредитования DeFi, как это сделано на примерах:
Euler V2 - представляет модульную конструкцию, включая Euler Vault Kit (EVK), позволяющую разработчикам настраивать кредитование. проекты хранилищ и Ethereum Vault Connector (EVC), инструмент для подключения хранилищ ERC-4626 к различным смарт-контрактам.
Curve LlamaLend — это набор кредитных рынков, работающих с CrvUSD в качестве стейблкоина
Это очень интересный протокол кредитования, построенный на основе стейблкоина CrvUSD и использующий его основной компонент: AMM. К особенностям CrvUSD относятся интригующая математическая модель и механика стабилизации, которая работает с ценовыми диапазонами (аналогично тикам, используемым в Uniswap V3), но по-другому. Кроме того, CrvUSD использует мягкую ликвидацию, которая работает совершенно иначе, чем традиционная ликвидация. Протокол разработан в основном на Vyper, наряду со многими другими примечательными функциями.
В дополнение :
Уязвимые места протоколов кредитования
Euler V2 , Curve LlamaLend:Euler V2 - представляет модульную конструкцию, включая Euler Vault Kit (EVK), позволяющую разработчикам настраивать кредитование. проекты хранилищ и Ethereum Vault Connector (EVC), инструмент для подключения хранилищ ERC-4626 к различным смарт-контрактам.
Curve LlamaLend — это набор кредитных рынков, работающих с CrvUSD в качестве стейблкоина
Это очень интересный протокол кредитования, построенный на основе стейблкоина CrvUSD и использующий его основной компонент: AMM. К особенностям CrvUSD относятся интригующая математическая модель и механика стабилизации, которая работает с ценовыми диапазонами (аналогично тикам, используемым в Uniswap V3), но по-другому. Кроме того, CrvUSD использует мягкую ликвидацию, которая работает совершенно иначе, чем традиционная ликвидация. Протокол разработан в основном на Vyper, наряду со многими другими примечательными функциями.
В дополнение :
Уязвимые места протоколов кредитования
mixbytes.io
Modern DeFi Lending Protocols, how it's made: Euler V2
The first article in the series on modern lending protocols focuses on the technical design, key features, and implementation of the Euler V2 protocol.
👍4