Proč zjištění s nízkou závažností vypovídají o vašem auditu více než kritické chyby Mnoho auditorských firem zaměřuje svou prodejní prezentaci na počet nalezených maxim, jako by toto číslo nebylo jen šumem bez zapojení do kontextu: předchozí audity, peer review, úrovně pokrytí testů, složitost kódu, počet řádků a mnoho dalších metrik. Je to nejnižší forma prodeje, neliší se od porovnávání například kvality USB disků podle jejich délky v milimetrech. Abychom ukázali alternativu, musíme nejprve tvrdit správnost několika podpůrných tvrzení: - Pravděpodobnost náhodného vložení chyby nemá žádný sklon k vyšším dopadům (vývojáři nejsou lehkomyslnější v kódu s vysokými sázkami, obvykle naopak). - Stejné komplexní metodiky, které se používají k odhalování nedostatků různé závažnosti, by také odhalily problémy s vysokou závažností (opak neplatí). - Existují mnohem vyšší požadavky na to, aby se náhodná chyba kvalifikovala jako vysoce závažná (často by byla uzavřena za nedosažitelnými podmínkami nebo by se dotkla nekritických funkcí). - Ze základních statistik: vyšší vzorkovací frekvence koreluje s nižší očekávanou odchylkou/rozptylem a tím i s přesnějším měřením. Definujme zprávu o auditu jako výsledek vzorkování kvality kódové základny. Odvodili jsme, že očekávaný skutečný počet maxim (bez chyb) je mnohem nižší než minima a očekávaná odchylka kolem něj je mnohem vyšší (kvůli menšímu vzorku). Jinými slovy, počet maxim nám říká jen velmi málo o počtu zmeškaných maxim. Takže překvapivě je zpráva 1 High, 10 Lows více uklidňující než zpráva 10 Highs, 1 Low hlásí, že vše ostatní je stejné. I když ve skutečnosti by drtivá většina obchodníků raději ukazovala to druhé jako známku kvality. Jde o to, že vysokofrekvenční metrika je lepším nástrojem pro měření nízkofrekvenčních výsledků. Tvůrci Web3, až vám příště firmy zamávají svými Crit/High počty a X miliardami $ zajištěných linek, víte, na co se zaměřit při hledání skutečného signálu. Auditoři Web3, uvědomují si, že neexistuje žádný konzistentní tajný vzorec pro nalezení všech Výšin, aniž byste zároveň hledali Maxima - každé Minimum, které není plně prozkoumáno, je potenciální Vysoké - a věnujte maximální pozornost každé jednotlivé linii. Váš klient vám za to poděkuje. Nízká závažnost je definována jako konkrétní chyby v kódování, které nevedou k dopadům na vyšší úrovni. Nezahrnuje formátování, osvědčené postupy a zjištění výplně.

Kritický v gitu vydaný včera, který může být spuštěn klonem git nedůvěryhodného repo. To je vysněný vektor pro auditory pwn a krádež jejich odměn / peněz na audit. Záplatujte své systémy před nabídkou nových klientů! A v následujících týdnech očekávejte návštěvy ve své e-mailové schránce...

Ukázalo se, že v soutěžích můžete získat 5-fíkové odměny, aniž byste skutečně objevili nějaké problémy, stačí jen polofunkční mozek. V soutěži OP Fault Proofs v březnu 2024 vývojáři opravili kritický problém den před jejím zahájením, ale nezačlenili jej. 🔗 Pouhým pohledem na veřejný záznam commitů získáte vysoké skóre 🔗 🔗 Nakonec to byla odměna 16680 $: Je to jen jeden z mnoha triků, jak najít chyby v rozsahu, aniž byste je skutečně hledali. Vždy se snažte pracovat chytře, ne tvrdě.

Rozhodl jsem se vyzkoušet Cantinu loni v říjnu, o 8 měsíců později jsou výsledky konečně venku ... Desítky sólových zjištění v 1st Java auditu a překonání top Cantina žebříčku bros 3-7x je docela dobrý, nebudu lhát. Je škoda, že zkušenost po auditu byla tak hrozná, že jsem se zařekl, že se na tuto platformu už nikdy nevrátím. *oprávněné varování před chvástáním* - 8 měsíců na řešení, v době psaní tohoto článku - odměna stále nebyla odeslána. - Desítky hodin strávených eskalací a obhajobou podání před špatnými verdikty. - Napočítalo se ~ 104 chyb v posuzování (nešpatní podvodníci, jasní invalidé, špatná závažnost), které byly opraveny. Více, které ne. - Ztráta hodnoty ve výši ~ 110 000 $ v důsledku řešení trvajícího o 7 měsíců déle, než by mělo, a OP token se propadl na ~50 centů. Jistě, při soutěžení v jiných soutěžích než USD jsou kolísání potů akceptovaným rizikem. Ale 8 měsíců, kdy byli porotci nekompetentní a nebyli schopni soutěž ukončit, nebylo součástí mého modelu hrozeb. Během hodnotících dnů C4 jsem plně zpracoval 1000 nálezů za méně než týden (sólo), OP-Java měl 360 a více rozhodčích. Není žádným překvapením, že Cantina nikdy neoznámila na sociálních sítích výsledky na rozdíl od 5 jiných soutěží, které skončily tento týden, určitě to nemohlo být tak, že by se chtěli vyhnout špatnému tisku nebo zdůraznění dominance TrustSec, že? Je škoda, že musíme pokračovat v diskusi o nekalých praktikách odměnných platforem místo o kritických chybách, ale nezbývá nám nic jiného, než všechny pohnat k odpovědnosti. Technický rozbor sólových objevů bez řečnění bude brzy zveřejněn.

Představte si svět, kde tvrzení, že výzkumníci by neměli být zneužíváni, je kontroverzní názor. To se stane, když se objeví firma s neomezenou hotovostí a koupí si cestu k dominanci na trhu. Házení na výzkumníky s extraktivní politikou se jednoduše stává novou Nashovou rovnováhou

S každým dalším dnem je nám stále jasnější, že @cantinaxyz je extraktivní entita a čistý negativ prostoru. Uplynulý týden @jack__sanford zabijácký článek o nesčetných nedostatcích soutěže v Corku a žádný náznak brzké reakce. S množstvím pozornosti, které se tomuto článku dostalo, pokud by se mohli bránit, určitě by to udělali, aka mlčení je přiznáním viny. Tento týden naše podání odměny v Cantině, na kterém se shodli, ukazuje omezenou ztrátu finančních prostředků pro provozovatele blockchainu s vysokou pravděpodobností, vyřešeno v mediaci s nízkou závažností. Po přečtení 10 zpráv Spearbit/Cantina a 100 zápisů odměn není peněžní ztráta v jakékoli výši nikdy nižší než střední dopad, takže jasně předávají pohled sponzora v klasické mentalitě "klient má vždy pravdu", jako vždy. Ve skutečnosti se při tom ani neskrývají. Podle svých vlastních dokumentů se ve výchozím nastavení nastaví na perspektivu klienta. Domnívám se, že pouze v těch nejkřiklavějších případech odmítnou klientův názor. A co když klient svou mediaci jednoduše ignoruje? Na jakékoli jiné platformě (např. @immunefi), se kterou jsme pracovali, je nerespektování mediace důvodem k okamžitému vyloučení klienta. Na Cantině má klient povolenku 5 podvodů s odměnami ročně. Ano, čtete správně. Nedávno jsme také zjistili, že jejich program Fellowship má velmi agresivní klauzuli o exkluzivitě. Stipendisté nemohou nic předkládat jiným odměnným platformám ani přímo informovat projekty, i když jsou ohroženy miliony dolarů. Místo toho se o tyto vysoce citlivé a časově kritické znalosti musí podělit s Cantinou, která rozhoduje o dalším postupu. Oni jsou šéfové, rozhodují, sklánějí se nebo opouštějí mentalitu. Máme více příkladů nehorázného zacházení s Cantinou, ale ty si necháme na jindy. Prozatím chceme zvýšit povědomí, stejně jako ostatní přední členové komunity, že auditoři by měli hlasovat nohama, pokud jde o to, kde tráví svůj drahocenný čas lovem. Bezpečnostní platforma, která ztrácí rovnováhu a upřednostňuje projekty před lovci odměn, podkopává celý proces white-hat a povzbuzuje výzkumníky, aby si vydělávali na své méně etickými prostředky! Pracujme jako komunita na posílení vysoce integrovaných, transparentních a čistých pozitivních organizací nad průmyslovými šikanujícími. Výše uvedené prohlášení je osobním názorem členů vedení společnosti TrustSec a mělo by být jako takové interpretováno.

- Udržujte LoC měnící stav pod 500 - použít vzor ++counter pro mapování klíčů - nepodporují nativní tokeny - Udržujte stavový stroj v otevřeném zobrazení pomocí stavových výčtů - Poměr test/LoC 1:1 - formátovat každý řádek kódu pomocí pravítka Vidíš, vyhrát hru není tak těžké

Jako veterán v odvětví auditorských soutěží vám řeknu, jak se takové obchody uzavírají. > Buďte protokolární s penězi a provádějte 3+ společné audity > Uvědomte si, že základ kódu pravděpodobně neobsahuje významné chyby > Chcete dát najevo komunitě, investorům a dalším zainteresovaným stranám, že vám záleží na bezpečnosti > Nemám v úmyslu utrácet další peníze za bezpečnost > platforma "Soutěž" má řešení > Uspořádejte soutěž v koberci, která zaručí, že se neodemknou poty High/Crit > Udělejte hrnec Med super malý > Pokud High našel, pak zlehčovat prominutí, jinak klient nespokojený (pamatujete na Eulera?) > obou "Soutěž" platformy a získáte marketing zdarma > SR robustní, ale je vám to jedno > Opakujte, ale udělejte další oznámení o kobercové soutěži ještě více býčí.

Varování ⚠️ : Nejedná se o nový zápis odměny My auditoři se všichni rádi soustředíme na šťavnaté kritiky a udržujeme netechnickou práci na minimu. Koho zajímá papírování a schůzky, když jste právě našli nový způsob, jak vypustit smlouvu DeFi? Ale všechny věci by měly být dělány s mírou a příliš často vidíme, že nezávislí výzkumníci zcela šetří na tom, aby s klientem podepsali i základní smlouvu. To bylo něco, co jsme dělali i v prvních měsících TrustSec - spojit se s klientem na TG / discordu, prodiskutovat tým, cenu a časovou osu a prostě začít. Cítil se hladký a bez tření, tak v čem je problém? Stejně jako u mnoha věcí, funguje dobře, dokud nefunguje. Když zvládnete 50+ auditů ročně, začnete narážet na okrajové případy. A když to uděláte, když si věci vyjasníte předem, vyhnete se spoustě třecích ploch v potenciálně citlivých bodech časové osy auditu. Víte, smyslem smlouvy o službách není to, že může být vedena u soudu tisíce mil od vašeho současného místa. Jistě, v nejhorším případě to tak možná může být. Ale většinou se to dělá proto, aby se sladila očekávání z obou stran, což je způsob, jak donutit obě strany, aby mluvily o detailech, které by jinak nemluvily. Zde je jen několik scénářů, které se objevily a měly by být explicitně zpracovány: - Klient není připraven s konečným potvrzením před datem zahájení. - Z nepředvídaných důvodů není jeden nebo více auditorů k dispozici pro část nebo celé okno auditu. - Konečný rozsah vyžaduje delší dobu kontroly, což zvyšuje náklady. - Debata o tom, který nástroj a formátování se použije pro výpočet finálního SLOC. - Klient zavádí nové funkcionality ke kontrole v rámci opravného auditu. - Žádost o zaslání platby až po doručení reportu. - Klient si přeje zrušit audit pouze 24 hodin předem. - Klient si přeje poslat platbu na svůj preferovaný blockchain. - Námitky proti zveřejnění zprávy po přijatelné čekací době. Kromě toho, že je jasné, jak s těmito scénáři zacházet, dohoda také poskytuje auditorům kritickou ochranu: - Zříká se jakékoli odpovědnosti za zmeškané chyby a exploity. - Udržuje práva duševního vlastnictví na nástroje, koncepty útoků vyvinuté během auditu (v rozsahu povoleném zákonem). - Zajišťuje zálohy, storno poplatky a podobně. - Splňuje požadavky na due diligence, KYB a právní rámec. To je důležité pro požadavky na zdanění, dodržování předpisů a zdroj finančních prostředků. Z těchto důvodů jsme rychle zjistili, že strávit trochu času navíc, než si něco zarezervujete, se vyplatí, a doporučujeme každému auditorovi, který provozuje legitimní firmu, aby udělal totéž.

Koncem roku 2024 objevila společnost TrustSec v klientovi @OPLabsPBC Optimism chybu konsensu. V nejhorším případě by op-node měl špatný pohled na stav L2, což by způsobilo rozdělení řetězce od ostatních klientů. Za náš výzkum nám OP Labs velkoryse udělily odměnu 7,5 tisíce dolarů. Podívejte se na všechny podrobnosti v technickém zápisu níže!