Por qué los hallazgos de baja gravedad dicen más sobre tu auditoría que los errores críticos Muchas firmas de auditoría centran su discurso de ventas en el número de hallazgos altos, como si este número no fuera más que ruido sin tener en cuenta el contexto: auditorías anteriores, revisión por pares, niveles de cobertura de pruebas, complejidad del código, recuento de líneas y muchas otras métricas. Es la forma más baja de venta, no diferente de comparar, por ejemplo, la calidad de una unidad USB por su longitud en milímetros. Para mostrar una alternativa, primero debemos afirmar la corrección de varias afirmaciones de apoyo: - La probabilidad de inyección accidental de errores no tiene sesgo hacia impactos más altos (los desarrolladores no son más imprudentes en código de alto riesgo, generalmente es lo contrario). - Las mismas metodologías integrales utilizadas para descubrir fallas de diversas severidades también descubrirían problemas de alta severidad (lo contrario no se sostiene). - Hay requisitos mucho más altos para que un error aleatorio califique como de alta severidad (a menudo estaría condicionado a situaciones inalcanzables o tocaría funcionalidades no críticas). - Desde estadísticas básicas: una mayor tasa de muestreo se correlaciona con una menor desviación/varianza esperada y, por lo tanto, una medición más precisa. Definamos un informe de auditoría como el resultado de muestrear la calidad de una base de código. Deducimos que el número verdadero esperado (sin omisiones) de hallazgos altos es mucho menor que el de hallazgos bajos, y la desviación esperada alrededor de él es mucho mayor (debido a un tamaño de muestra más pequeño). En otras palabras, el número de hallazgos altos nos dice muy poco sobre el número de altos omitidos. Así que, sorprendentemente, un informe de 1 alto y 10 bajos es más tranquilizador que un informe de 10 altos y 1 bajo, todo lo demás siendo igual. Aunque, de hecho, la gran mayoría de los vendedores preferirían mostrar lo último como una indicación de calidad. El punto es que una métrica de alta frecuencia es una mejor herramienta para medir resultados de baja frecuencia. Constructores de Web3, la próxima vez que las firmas te muestren sus conteos de críticos/altos y X miles de millones de $ asegurados, sabes dónde enfocarte para buscar la verdadera señal. Auditores de Web3, reconoce que no hay una fórmula secreta consistente para encontrar todos los altos sin también buscar los bajos: cada bajo no investigado a fondo es un alto potencial, y presta la mejor atención a cada línea. Tu cliente te lo agradecerá. La baja gravedad se define como errores de codificación concretos que no resultan en impactos de mayor nivel. No incluye formato, mejores prácticas y hallazgos de relleno.

Una vulnerabilidad crítica en git se lanzó ayer que puede ser activada por git clone de un repositorio no confiable. Ese es el vector ideal para comprometer a los auditores y robar sus recompensas / dinero de auditoría. ¡Parchea tus sistemas antes de cotizar a nuevos clientes! Y espera visitantes en tu bandeja de entrada en las próximas semanas...

Resulta que puedes conseguir recompensas de 5 cifras en concursos sin descubrir realmente ningún problema, solo se necesita un cerebro semi-funcional. En el concurso de Pruebas de Fallos de OP de marzo de 2024, los desarrolladores arreglaron un problema crítico un día antes de que comenzara, pero no lo fusionaron. 🔗 Solo con mirar el registro de commits público puedes conseguir un alto 🔗 🔗 Terminó siendo una recompensa de $16680: Es solo uno de los muchos trucos para encontrar errores dentro del alcance sin buscarlos realmente. Siempre intenta trabajar de manera inteligente, no dura.

Decidí probar Cantina el octubre pasado, 8 meses después los resultados finalmente están aquí... Decenas de hallazgos en la primera auditoría de Java y superando a los mejores hermanos del ranking de Cantina por 3-7x se siente bastante bien, no voy a mentir. Es una pena que la experiencia post-auditoría haya sido tan terrible que prometí no volver a esa plataforma. *advertencia de desahogo justificado* - 8 meses de tiempo de resolución, al momento de escribir - la recompensa aún no ha sido enviada. - Decenas de horas gastadas escalando y defendiendo presentaciones de veredictos erróneos. - Conté ~ 104 errores de juicio (duplicados incorrectos, claramente inválidos, gravedad incorrecta) que han sido corregidos. Más que no. - Pérdida de valor de ~$110,000 debido a que la resolución tardó 7 meses más de lo que debería y el token OP se desplomó a ~50 centavos. Claro, cuando compites en botes de concursos no en USD, las fluctuaciones son un riesgo aceptado. Pero 8 meses de jueces incompetentes y no poder cerrar un concurso no era parte de mi modelo de amenaza. Durante los días de juicio de C4 procesaba completamente 1000 hallazgos en menos de una semana (solo), OP-Java tuvo 360 y múltiples jueces. No es sorprendente que Cantina nunca anunciara en redes sociales los resultados, a diferencia de otros 5 concursos que se completaron esta semana, ciertamente no podría ser el caso de que quisieran evitar una mala prensa o resaltar el dominio de TrustSec, ¿verdad? Es una pena que tengamos que seguir discutiendo las malas prácticas de las plataformas de recompensas en lugar de errores críticos, pero no hay otra opción excepto mantener a todos responsables. Pronto vendrá una publicación técnica sin desahogos sobre los hallazgos en solitario.

Imagina un mundo donde decir que los investigadores no deberían ser abusados es una opinión controvertida.. Eso es lo que sucede cuando una empresa con dinero ilimitado aparece y compra su camino hacia la dominancia en el mercado. Despreciar a los investigadores con políticas extractivas simplemente se convierte en el nuevo equilibrio de Nash.

Cada día que pasa se vuelve cada vez más claro para nosotros que @cantinaxyz es una entidad extractiva y un neto negativo para el espacio. Una semana después del artículo impactante de @jack__sanford sobre las innumerables deficiencias del concurso Cork y sin indicios de respuesta pronto. Con la cantidad de atención que recibió ese artículo, si pudieran montar una defensa, ciertamente lo harían, es decir, el silencio es una admisión de culpabilidad. Esta semana, nuestra presentación de recompensa de Cantina, que acordaron muestra una pérdida de fondos limitada para un operador de blockchain con alta probabilidad, se resolvió en mediación con baja severidad. Habiendo leído decenas de informes de Spearbit/Cantina y cientos de descripciones de recompensas, la pérdida monetaria de cualquier cantidad nunca es inferior a un impacto medio, por lo que claramente están transmitiendo la perspectiva del patrocinador con una mentalidad clásica de "el cliente siempre tiene razón", como siempre lo hacen. De hecho, ni siquiera ocultan hacerlo. Según sus propios documentos, se ajustan a la Perspectiva del Cliente. Supongo que solo en los casos más egregios rechazan la opinión del cliente. ¿Y si el cliente simplemente ignora su mediación? En cualquier otra plataforma (por ejemplo, @immunefi) con la que hemos trabajado, no respetar la mediación es motivo para la eliminación inmediata del cliente. En Cantina, el cliente tiene un límite de 5 estafas de recompensas por año. Sí, leíste bien. También hemos descubierto recientemente que su programa de Fellowship tiene una cláusula de exclusividad altamente agresiva. Los Fellows no pueden presentar nada a otras plataformas de recompensas, ni notificar proyectos directamente, incluso si millones de dólares están en riesgo. En cambio, este conocimiento altamente sensible y crítico en tiempo debe ser compartido con Cantina, que decide cómo proceder. Ellos son los jefes, ellos toman las decisiones, mentalidad de someterse o irse. Tenemos más ejemplos de un manejo escandaloso en Cantina, pero dejaremos esos para otro día. Por ahora, queremos crear conciencia, como otros miembros destacados de la comunidad, de que los auditores deberían votar con sus pies cuando se trata de dónde pasan su valioso tiempo cazando. ¡Una plataforma de seguridad que pierde su equilibrio y favorece a los proyectos sobre los cazadores de recompensas socava todo el proceso de sombrero blanco y anima a los investigadores a ganar su valor a través de medios menos éticos! Trabajemos como comunidad para fortalecer organizaciones de alta integridad, transparentes y netamente positivas sobre los matones de la industria. La declaración anterior es la opinión personal de los miembros de la dirección de TrustSec y debe interpretarse como tal.

- Mantén el LoC que cambia el estado por debajo de 500 - usa el patrón ++counter para mapear claves - no soportes tokens nativos - mantén la máquina de estados en vista abierta a través de enums de estado - relación 1:1 entre pruebas/LoC - formatea cada línea de código con una regla Mira, ganar el juego no es tan difícil

Como veterano de la industria de los concursos de auditoría, le diré cómo se hacen acuerdos como estos. > Sé protocolario con el dinero y haz 3+ auditorías colaborativas > Ten en cuenta que es probable que el código base no tenga errores significativos > Quiere indicar a la comunidad, a los inversores y a otras partes interesadas que le importa la seguridad. > No tengo intención de gastar más dinero en seguridad > plataforma de "Concursos" tiene solución > Organiza un concurso de alfombras para garantizar que los botes High/Crit no se desbloqueen. > Haz que la maceta Med sea súper pequeña > Si se encuentra High, entonces minimice la sumisión, de lo contrario, el cliente no está contento (¿recuerda a Euler?) > Tanto la plataforma de "Concurso" como el marketing gratuito > SR son resistentes, pero no te importa > Repite, pero haz que el anuncio del próximo concurso de alfombras sea aún más optimista.

Advertencia ⚠️: No es un nuevo artículo de recompensa A todos los auditores nos gusta centrarnos en los críticos jugosos y mantener el trabajo no tecnológico al mínimo. ¿A quién le importa el papeleo y las reuniones cuando acabas de encontrar una forma novedosa de vaciar un contrato DeFi? Pero todas las cosas deben hacerse con moderación, y con demasiada frecuencia vemos que los investigadores independientes escatiman por completo en conseguir que se firme incluso un acuerdo básico con el cliente. Esto fue algo que también hicimos en los primeros meses de TrustSec: conectarnos con un cliente en TG / discord, discutir el equipo, el precio y el cronograma, y simplemente comenzar. Se sintió suave y sin fricciones, entonces, ¿cuál es el problema? Como con muchas cosas, funciona bien hasta que deja de funcionar. Cuando gestionas 50+ auditorías al año, empiezas a encontrarte con casos extremos. Y cuando lo haces, tener las cosas claras con anticipación evita una tonelada de fricción en puntos potencialmente sensibles en el cronograma de la auditoría. Verás, el punto de un acuerdo de servicios no es que se pueda litigar en un tribunal a miles de millas de tu ubicación actual. Claro, en el peor de los casos, puede ser. Pero sobre todo se hace para alinear las expectativas de ambas partes, una forma de obligar a las dos partes a hablar sobre detalles que de otro modo no lo harían. Estos son solo algunos escenarios que han surgido y que deben controlarse explícitamente: - El cliente no está listo con la confirmación final antes de la fecha de inicio. - Por razones imprevistas, uno o más auditores no están disponibles para parte o la totalidad del período de auditoría. - El alcance final requiere un tiempo de revisión más largo, lo que aumenta los costos. - Debate sobre qué herramienta y formato se utiliza para contar el SLOC final. - El cliente presenta una nueva funcionalidad para su revisión en la auditoría de corrección. - Solicitar que el pago se envíe solo después de la entrega del informe. - El cliente desea cancelar la auditoría con solo 24 horas de anticipación. - El cliente desea enviar el pago en su cadena de bloques preferida. - Objeciones sobre la publicación del informe después de un período de espera aceptable. Además de dejar claro cómo manejar estos escenarios, un acuerdo también proporciona a los auditores una protección crítica: - Renuncia a cualquier responsabilidad por errores y exploits perdidos. - Mantiene los derechos de propiedad intelectual sobre las herramientas, ataca los conceptos desarrollados durante la auditoría (en la medida en que la ley lo permita). - Organiza los pagos iniciales, las tarifas de cancelación, etc. - Cumple con los requisitos de diligencia debida, KYB y marco legal. Esto es relevante para los requisitos fiscales, de cumplimiento y de origen de fondos. Por esas razones, rápidamente nos dimos cuenta de que vale la pena dedicar un poco de tiempo extra antes de reservar las cosas, y animamos a todos los auditores que dirigen un negocio legítimo a hacer lo mismo.

A finales de 2024, TrustSec descubrió un error de consenso en @OPLabsPBC cliente de Optimism. En el peor de los casos, el nodo de operación tendría una vista incorrecta del estado L2, lo que provocaría una división de la cadena de otros clientes. Por nuestra investigación, OP Labs nos premió generosamente con una recompensa de 7,5 mil dólares. ¡Echa un vistazo a todos los detalles en el artículo técnico a continuación!