Warum niedrigschwellige Befunde mehr über Ihr Audit aussagen als kritische Fehler Viele Prüfungsfirmen konzentrieren sich in ihrem Verkaufsargument auf die Anzahl der gefundenen Hochrisiken, als ob diese Zahl ohne Kontext wie frühere Audits, Peer-Reviews, Testabdeckungsgrade, Codekomplexität, Zeilenanzahl und viele andere Metriken nicht nur Lärm wäre. Es ist die niedrigste Form des Verkaufs, nicht anders als den USB-Stick-Qualität beispielsweise anhand ihrer Länge in Millimetern zu vergleichen. Um eine Alternative aufzuzeigen, müssen wir zunächst die Richtigkeit mehrerer unterstützender Behauptungen bestätigen: - Die Wahrscheinlichkeit einer versehentlichen Fehlerinjektion hat keine Tendenz zu höheren Auswirkungen (Entwickler sind in hochriskantem Code nicht nachlässiger, meist das Gegenteil). - Die gleichen umfassenden Methoden, die verwendet werden, um Mängel unterschiedlicher Schwere zu entdecken, würden auch hochgradige Probleme entdecken (das Gegenteil gilt nicht). - Es gibt viel höhere Anforderungen, damit ein zufälliger Fehler als hochgradig qualifiziert wird (oft wäre er hinter unerreichbaren Bedingungen oder berührt nicht-kritische Funktionalitäten gesperrt). - Aus der grundlegenden Statistik: Eine höhere Stichprobenrate korreliert mit einer niedrigeren erwarteten Abweichung/Varianz und somit einer genaueren Messung. Lassen Sie uns einen Prüfungsbericht als das Ergebnis der Stichprobenentnahme der Qualität eines Codes definieren. Wir schließen daraus, dass die erwartete wahre (keine Auslassungen) Anzahl der Hochrisiken viel niedriger ist als die der Niedrigrisiken, und die erwartete Abweichung darum viel höher ist (aufgrund der kleineren Stichprobe). Mit anderen Worten, die Anzahl der Hochrisiken sagt uns sehr wenig über die Anzahl der verpassten Hochrisiken aus. Überraschenderweise ist ein Bericht mit 1 Hochrisiko und 10 Niedrigrisiken beruhigender als ein Bericht mit 10 Hochrisiken und 1 Niedrigrisiko, alles andere gleich. Obwohl in der Tat die überwiegende Mehrheit der Verkäufer es vorziehen würde, letzteres als Indikator für Qualität zu zeigen. Der Punkt ist, dass eine hochfrequente Metrik ein besseres Werkzeug ist, um niedrigfrequente Ergebnisse zu messen. Web3-Entwickler, das nächste Mal, wenn Firmen Ihnen ihre Krit/Hohe Zählungen und X Milliarden $ gesicherte Linie vorzeigen, wissen Sie, wo Sie sich konzentrieren müssen, um nach echtem Signal zu suchen. Web3-Prüfer, erkennen Sie, dass es keine konsistente geheime Formel gibt, um alle Hochrisiken zu finden, ohne auch nach den Niedrigrisiken zu suchen - jedes Niedrigrisiko, das nicht vollständig untersucht wird, ist ein potenzielles Hochrisiko - und schenken Sie jeder einzelnen Zeile Ihre beste Aufmerksamkeit. Ihr Kunde wird Ihnen dafür danken. Niedrigschwellig wird definiert als konkrete Programmierfehler, die nicht zu höheren Auswirkungen führen. Beinhaltet keine Formatierung, bewährte Praktiken und Füllfunde.

Ein kritisches Problem in Git wurde gestern veröffentlicht, das durch das Klonen eines nicht vertrauenswürdigen Repos ausgelöst werden kann. Das ist der Traumvektor, um Auditoren zu übernehmen und ihre Prämien / Auditgelder zu stehlen. Patchen Sie Ihre Systeme, bevor Sie neue Kunden anfragen! Und erwarten Sie in den kommenden Wochen Besucher in Ihrem Posteingang...

Es stellt sich heraus, dass man in Wettbewerben 5-stellige Prämien erzielen kann, ohne tatsächlich irgendwelche Probleme zu entdecken, man braucht nur ein halbwegs funktionierendes Gehirn. Im OP Fault Proofs Wettbewerb im März 2024 haben die Entwickler ein kritisches Problem einen Tag bevor er begann behoben, aber nicht zusammengeführt. 🔗 Wenn man sich nur das öffentliche Commit-Protokoll ansieht, erzielt man eine hohe 🔗 🔗 Am Ende war es eine Prämie von 16.680 $: Es ist nur einer von vielen Tricks, um im Geltungsbereich liegende Bugs zu finden, ohne tatsächlich nach ihnen zu suchen. Versuche immer, smart zu arbeiten, nicht hart.

Habe beschlossen, Cantina letzten Oktober auszuprobieren, 8 Monate später sind die Ergebnisse endlich da... Zehntausende von Einzelbefunden im ersten Java-Audit und die besten Cantina-Leaderboard-Bros um das 3- bis 7-fache zu übertreffen, fühlt sich ziemlich gut an, um ehrlich zu sein. Es ist schade, dass die Erfahrung nach dem Audit so schrecklich war, dass ich geschworen habe, nie wieder zu dieser Plattform zurückzukehren. *Warnung vor gerechtfertigtem Rant* - 8 Monate Bearbeitungszeit, zum Zeitpunkt des Schreibens - Belohnung wurde immer noch nicht gesendet. - Zehntausende von Stunden damit verbracht, Einreichungen gegen falsche Urteile zu eskalieren und zu verteidigen. - Zählte ~ 104 Bewertungsfehler (falsche Duplikate, klare Ungültigkeiten, falsche Schweregrade), die korrigiert wurden. Mehr, die es nicht wurden. - Wertverlust von ~$110.000 aufgrund der Tatsache, dass die Lösung 7 Monate länger dauerte als sie sollte und der OP-Token auf ~50 Cent gefallen ist. Sicher, wenn man in nicht-USD-Wettbewerben antritt, sind Schwankungen der Preispots ein akzeptiertes Risiko. Aber 8 Monate lang inkompetente Richter, die nicht in der Lage waren, einen Wettbewerb abzuschließen, gehörten nicht zu meinem Bedrohungsmodell. Während der C4-Bewertungstage würde ich 1000 Befunde in weniger als einer Woche (allein) vollständig bearbeiten, OP-Java hatte 360 und mehrere Richter. Es überrascht nicht, dass Cantina die Ergebnisse nicht in den sozialen Medien angekündigt hat, im Gegensatz zu 5 anderen Wettbewerben, die diese Woche abgeschlossen wurden. Es könnte sicherlich nicht der Fall sein, dass sie schlechte Presse oder die Dominanz von TrustSec vermeiden wollten, oder? Es ist schade, dass wir weiterhin über Missstände auf Belohnungsplattformen diskutieren müssen, anstatt über kritische Fehler, aber es gibt keine andere Wahl, als alle zur Verantwortung zu ziehen. Ein rantfreier technischer Analysebeitrag für die Einzelbefunde wird in Kürze folgen.

Stell dir eine Welt vor, in der zu sagen, dass Forscher nicht missbraucht werden sollten, eine umstrittene Meinung ist.. Das passiert, wenn ein Unternehmen mit unbegrenztem Kapital auftaucht und sich seinen Weg zur Marktbeherrschung kauft. Das Abwerten von Forschern mit ausbeuterischen Richtlinien wird einfach zum neuen Nash-Gleichgewicht.

Jeden Tag wird uns immer klarer, dass @cantinaxyz eine ausbeuterische Entität ist und einen Netto-Negativbeitrag für den Raum leistet. Eine Woche nach dem großartigen Artikel von @jack__sanford über die unzähligen Mängel des Cork-Wettbewerbs und keine Spur einer baldigen Antwort. Angesichts der Aufmerksamkeit, die dieser Artikel erhalten hat, würden sie sicherlich eine Verteidigung aufbauen, wenn sie könnten, also ist Schweigen ein Schuldeingeständnis. In dieser Woche wurde unser Cantina-Bounty-Einreichung, die sie zugestimmt haben, zeigt einen begrenzten Verlust von Mitteln für einen Blockchain-Betreiber mit hoher Wahrscheinlichkeit, in der Mediation auf niedrige Schweregrad entschieden. Nachdem ich Dutzende von Spearbit/Cantina-Berichten und Hunderte von Bounty-Beschreibungen gelesen habe, ist ein monetärer Verlust jeglicher Höhe niemals unter mittlerem Einfluss, also geben sie eindeutig die Perspektive des Sponsors in einer klassischen "Der Kunde hat immer recht"-Mentalität wieder, wie sie es immer tun. Tatsächlich verstecken sie es nicht einmal. Laut ihren eigenen Dokumenten gehen sie standardmäßig von der Perspektive des Kunden aus. Ich schätze, nur in den eklatantesten Fällen lehnen sie die Sichtweise des Kunden ab. Und was, wenn der Kunde einfach ihre Mediation ignoriert? Auf jeder anderen Plattform (z.B. @immunefi), mit der wir gearbeitet haben, ist die Missachtung der Mediation ein Grund für die sofortige Entfernung des Kunden. Bei Cantina hat der Kunde eine Erlaubnis von 5 Bounty-Betrügereien pro Jahr. Ja, das haben Sie richtig gelesen. Wir haben auch kürzlich festgestellt, dass ihr Fellowship-Programm eine äußerst aggressive Exklusivitätsklausel hat. Fellows dürfen nichts an andere Bounty-Plattformen einreichen oder Projekte direkt benachrichtigen, selbst wenn Millionen von Dollar auf dem Spiel stehen. Stattdessen muss dieses hochsensible und zeitkritische Wissen mit Cantina geteilt werden, die entscheidet, wie weiter verfahren wird. Sie sind der Boss, sie geben den Ton an, unterwerft euch oder geht. Wir haben weitere Beispiele für empörende Handhabungen bei Cantina, aber die lassen wir für einen anderen Tag. Für jetzt wollen wir das Bewusstsein schärfen, wie andere führende Mitglieder der Gemeinschaft, dass Auditoren mit ihren Füßen abstimmen sollten, wenn es darum geht, wo sie ihre kostbare Zeit mit der Jagd verbringen. Eine Sicherheitsplattform, die ihr Gleichgewicht verliert und Projekte über Bounty-Jäger bevorzugt, untergräbt den gesamten White-Hat-Prozess und ermutigt Forscher, ihren Wert auf weniger ethische Weise zu verdienen! Lassen Sie uns als Gemeinschaft zusammenarbeiten, um Organisationen mit hoher Integrität, Transparenz und netto positiven Auswirkungen über Branchenbullys zu stärken. Die obige Aussage ist die persönliche Meinung der Mitglieder der Geschäftsführung von TrustSec und sollte als solche interpretiert werden.

- Halte die zustandsverändernden LoC unter 500 - Verwende das ++counter-Muster für Mapping-Schlüssel - Unterstütze keine nativen Token - Halte die Zustandsmaschine über Zustands-Enums in offener Sicht - 1:1 Test/LoC-Verhältnis - Formatiere jede Codezeile mit einem Lineal Sieh mal, das Spiel zu gewinnen ist gar nicht so schwer

Als Veteran der Branche der Prüfungswettbewerbe werde ich Ihnen erzählen, wie solche Geschäfte zustande kommen. > Seien Sie protokollarisch mit Geld und führen Sie 3+ kollaborative Audits durch > Seien Sie sich bewusst, dass die Codebasis wahrscheinlich keine signifikanten Fehler aufweist > der Community, Investoren und anderen Stakeholdern signalisieren möchten, dass Ihnen die Sicherheit am Herzen liegt. > haben nicht die Absicht, noch mehr Geld für Sicherheit auszugeben > "Contest"-Plattform hat eine Lösung > Veranstalten Sie einen Teppichwettbewerb, bei dem garantiert wird, dass die High-/Crit-Pots nicht freigeschaltet werden. > Machen Sie den Med-Topf super klein > Wenn High gefunden wird, dann spielen Sie die Sumission herunter, sonst ist der Kunde unzufrieden (erinnern Sie sich an Euler?) > Sowohl die "Contest"-Plattform als auch Sie erhalten kostenloses Marketing > SRs robust, aber es ist Ihnen egal > Wiederholen Sie dies, aber machen Sie die Ankündigung des nächsten Teppichwettbewerbs noch optimistischer.

Warnung ⚠️: Kein neuer Bounty-Bericht Wir Auditoren konzentrieren uns alle gerne auf die saftigen Kritikpunkte und beschränken die nicht-technische Arbeit auf ein Minimum. Wen interessieren schon Papierkram und Meetings, wenn Sie gerade einen neuen Weg gefunden haben, einen DeFi-Vertrag zu entleeren? Aber alle Dinge sollten in Maßen geschehen, und allzu oft sehen wir, dass unabhängige Forscher völlig daran sparen, auch nur eine grundlegende Vereinbarung mit dem Kunden zu unterzeichnen. Das war etwas, was wir auch in den ersten Monaten von TrustSec getan haben - uns mit einem Kunden auf TG / Discord verbinden, Team, Preis und Zeitplan besprechen und einfach loslegen. Fühlte sich glatt und reibungsfrei an, was ist also das Problem? Wie bei vielen Dingen funktioniert es gut, bis es nicht mehr funktioniert. Wenn Sie 50+ Audits pro Jahr verwalten, stoßen Sie auf Grenzfälle. Und wenn Sie dies tun, vermeiden Sie durch eine frühzeitige Klärung der Dinge eine Menge Reibungsverluste an potenziell sensiblen Punkten im Audit-Zeitplan. Sehen Sie, der Sinn eines Dienstleistungsvertrags besteht nicht darin, dass er vor einem Gericht verhandelt werden kann, das Tausende von Kilometern von Ihrem aktuellen Standort entfernt ist. Klar, im schlimmsten Fall kann es das sein. Aber vor allem geschieht dies, um die Erwartungen beider Seiten zu wecken, um zwei Seiten zu zwingen, über Details zu sprechen, die sie sonst nicht sprechen würden. Hier sind nur einige Szenarien, die aufgetreten sind und explizit behandelt werden sollten: - Der Client ist nicht bereit für den endgültigen Commit vor dem Startdatum. - Aus unvorhergesehenen Gründen stehen ein oder mehrere Auditoren für einen Teil oder das gesamte Auditfenster nicht zur Verfügung. - Der endgültige Umfang erfordert eine längere Überprüfungszeit, was die Kosten erhöht. - Diskutieren Sie, welches Werkzeug und welche Formatierung verwendet wird, um den endgültigen SLOC zu zählen. - Der Client führt neue Funktionen für die Überprüfung im Fix-Audit ein. - Bitte, dass die Zahlung erst nach Zustellung des Berichts gesendet wird. - Der Kunde möchte das Audit mit nur 24 Stunden Vorlaufzeit absagen. - Der Kunde möchte Zahlungen über seine bevorzugte Blockchain senden. - Einwände gegen die Veröffentlichung des Berichts nach einer akzeptablen Wartezeit. Eine Vereinbarung macht nicht nur deutlich, wie mit diesen Szenarien umzugehen ist, sondern bietet den Prüfern auch einen entscheidenden Schutz: - Lehnt jegliche Verantwortung für übersehene Bugs und Exploits ab. - Wahrung von Schutzrechten an Tools, Angriffskonzepten, die im Rahmen der Prüfung entwickelt wurden (soweit gesetzlich zulässig). - Arrangiert Anzahlungen, Stornogebühren und so weiter. - Erfüllt die Anforderungen an die Sorgfaltspflicht, KYB und den rechtlichen Rahmen. Dies ist relevant für die Besteuerung, die Einhaltung von Vorschriften und die Herkunft der Mittel. Aus diesen Gründen haben wir schnell festgestellt, dass es sich lohnt, ein wenig mehr Zeit zu investieren, bevor man Dinge bucht, und wir ermutigen jeden Prüfer, der ein seriöses Unternehmen führt, dasselbe zu tun.

Ende 2024 entdeckte TrustSec einen Konsensfehler in @OPLabsPBC Optimism-Client. Im schlimmsten Fall hätte der op-node eine falsche Sicht auf den L2-Zustand, was zu einer Kettenaufteilung von anderen Clients führen würde. Für unsere Forschung hat uns OP Labs großzügig mit einem Kopfgeld von 7,5.000 US-Dollar belohnt. Schauen Sie sich alle Details in der technischen Beschreibung unten an!