Por qué los hallazgos de baja gravedad dicen más sobre su auditoría que los errores críticos Muchas empresas de auditoría centran su discurso de venta en el número de máximos encontrados, como si este número no fuera sólo ruido sin introducir el contexto: auditorías anteriores, revisión por pares, niveles de cobertura de pruebas, complejidad del código, recuento de líneas y muchas otras métricas. Es la forma más baja de venta, no diferente de comparar, por ejemplo, la calidad de las unidades USB por su longitud en milímetros. Para mostrar una alternativa, primero debemos afirmar la exactitud de varias afirmaciones de apoyo: - La probabilidad de inyección accidental de errores no tiene sesgo hacia mayores impactos (los desarrolladores no son más imprudentes en el código de alto riesgo, generalmente lo contrario). - Las mismas metodologías integrales que se utilizan para descubrir fallas de varias gravedades también descubrirían problemas de alta gravedad (lo contrario no se sostiene). - Hay requisitos mucho más altos para que un error aleatorio califique como de alta gravedad (a menudo estaría bloqueado detrás de condiciones inalcanzables o tocaría funcionalidades no críticas). - De estadísticas básicas: una mayor frecuencia de muestreo se correlaciona con una menor desviación/varianza esperada y, por lo tanto, una medición más precisa. Definamos un informe de auditoría como el resultado de muestrear la calidad de una base de código. Deducimos que el número verdadero esperado (sin errores) de máximos es mucho menor que el de mínimos, y la desviación esperada alrededor de él es mucho mayor (debido a una muestra más pequeña). En otras palabras, el número de máximos nos dice muy poco sobre el número de máximos perdidos. Así que, sorprendentemente, un informe de 1 máximo, 10 mínimos es más tranquilizador que un informe de 10 máximos, 1 mínimo, en igualdad de condiciones. Aunque, de hecho, la gran mayoría de los vendedores preferirían mostrar este último como una indicación de calidad. El punto es que una métrica de alta frecuencia es una mejor herramienta para medir los resultados de baja frecuencia. Constructores de Web3, la próxima vez que las empresas les agiten sus recuentos de Crit/High y X miles de millones de $ de línea asegurada, sabrán dónde concentrarse para buscar la verdadera señal. Los auditores de Web3 reconocen que no existe una fórmula secreta coherente para encontrar todos los máximos sin buscar también los mínimos -cada mínimo que no se investiga a fondo es un máximo potencial- y prestan la mejor atención posible a cada línea. Tu cliente te lo agradecerá. La baja gravedad se define como errores concretos de codificación que no dan lugar a impactos de mayor nivel. No incluye el formato, las prácticas recomendadas ni los hallazgos de relleno.

Un crítico en git lanzado ayer que puede ser desencadenado por el clon de git de un repositorio no confiable. Ese es el vector de sueños para pwn auditores y robar sus recompensas / dinero de auditoría. ¡Aplique parches a sus sistemas antes de cotizar nuevos clientes! Y espere visitantes en su bandeja de entrada en las próximas semanas...

Resulta que puedes obtener recompensas de 5 higos en concursos sin descubrir ningún problema, solo se necesita un cerebro semifuncional. En el concurso OP Fault Proofs de marzo de 2024, los desarrolladores solucionaron un problema crítico un día antes de que comenzara, pero no lo fusionaron. 🔗 Con solo mirar el registro de confirmación público, obtienes una puntuación alta 🔗 🔗 Terminó siendo una recompensa de $ 16680: Es solo uno de los muchos trucos para encontrar errores dentro del alcance sin buscarlos realmente. Siempre trata de trabajar de manera inteligente, no duro.

Decidí probar Cantina en octubre pasado, 8 meses después los resultados finalmente están disponibles... Decenas de hallazgos en solitario en la 1ª auditoría de Java y superar a los mejores hermanos de la tabla de clasificación de Cantina por 3-7x se siente bastante bien, no voy a mentir. Es una lástima que la experiencia posterior a la auditoría haya sido tan terrible que juré no volver nunca más a esa plataforma. *Advertencia de diatriba justificada* - Tiempo de resolución de 8 meses, al momento de escribir este artículo: la recompensa aún no se ha enviado. - Decenas de horas dedicadas a escalar y defender las presentaciones de veredictos erróneos. - Conté ~ 104 errores de juicio (duplicados incorrectos, inválidos claros, gravedad incorrecta) que se han corregido. Más que no lo han hecho. - Pérdida de valor de ~$110,000 debido a que la resolución tardó 7 meses más de lo que debería y el token OP se desplomó hasta ~50 centavos. Claro, cuando se compite en botes de concurso que no son USD, las fluctuaciones son un riesgo aceptado. Pero 8 meses en los que los jueces eran incompetentes y no podían concluir un concurso no era parte de mi modelo de amenazas. Durante los días de evaluación de C4, procesaría completamente 1000 hallazgos en menos de una semana (solo), OP-Java tenía 360 y varios jueces. No es de extrañar que Cantina nunca anunciara en las redes sociales los resultados, a diferencia de otros 5 concursos que se completaron esta semana, ciertamente no podía ser el caso de que quisieran evitar la mala prensa o resaltar el dominio de TrustSec, ¿verdad? Es una lástima que tengamos que seguir hablando de las malas prácticas de las plataformas de recompensas en lugar de de los errores críticos, pero no hay otra opción que hacer que todos se responsabilicen. En breve se publicará una publicación de desglose técnico sin quejas sobre los hallazgos en solitario.

Imagina un mundo en el que decir que no se debe abusar de los investigadores es una opinión controvertida. Eso es lo que sucede cuando una empresa con efectivo ilimitado aparece y compra su camino hacia el dominio del mercado. Deshacerse de los investigadores con políticas extractivas se convierte simplemente en el nuevo equilibrio de Nash

Cada día que pasa se nos hace más claro que @cantinaxyz es una entidad extractiva y un negativo neto para el espacio. Una semana pasada @jack__sanford artículo asesino sobre las innumerables deficiencias del concurso de Cork y ningún indicio de una respuesta pronto. Con la cantidad de atención que recibió ese artículo, si pudieran montar una defensa, ciertamente lo harían, es decir, el silencio es una admisión de culpa. Esta semana, nuestra presentación de recompensas de Cantina, que acordaron muestra una pérdida limitada de fondos para un operador de blockchain con alta probabilidad, resuelta en mediación a baja gravedad. Después de haber leído 10 de los informes de Spearbit/Cantina y 100 de las reseñas de recompensas, las pérdidas monetarias de cualquier cantidad nunca están por debajo del impacto medio, por lo que están transmitiendo claramente la perspectiva del patrocinador en una mentalidad clásica de "el cliente siempre tiene la razón", como siempre lo hacen. De hecho, ni siquiera se esconden haciéndolo. Según sus propios documentos, adoptan por defecto la perspectiva del cliente. Supongo que solo en los casos más atroces rechazan la opinión del cliente. ¿Y qué pasa si el cliente simplemente ignora su mediación? En cualquier otra plataforma (por ejemplo, @immunefi) con la que hemos trabajado, no respetar la mediación es motivo de expulsión inmediata del cliente. En Cantina, el cliente tiene un límite de 5 estafas de recompensas por año. Sí, has leído bien. También hemos descubierto recientemente que su programa de becas tiene una cláusula de exclusividad muy agresiva. Los becarios no pueden enviar nada a otras plataformas de recompensas, ni notificar directamente a los proyectos, incluso si hay millones de dólares en riesgo. En cambio, este conocimiento altamente sensible y crítico en el tiempo tiene que ser compartido con Cantina, quien decide cómo proceder. Ellos son los jefes, ellos toman las decisiones, se inclinan o se van. Tenemos más ejemplos de manejo escandaloso en Cantina, pero los dejaremos para otro día. Por ahora, queremos crear conciencia, al igual que otros miembros líderes de la comunidad, de que los auditores deben votar con los pies cuando se trata de dónde pasan su precioso tiempo cazando. Una plataforma de seguridad que pierde su equilibrio y favorece a los proyectos sobre los cazadores de recompensas socava todo el proceso de sombrero blanco y alienta a los investigadores a ganarse su valía a través de medios menos éticos. Trabajemos como comunidad para fortalecer las organizaciones de alta integridad, transparentes y netamente positivas frente a los matones de la industria. La afirmación anterior es la opinión personal de los miembros de la junta directiva de TrustSec y debe interpretarse como tal.

- Mantener la LoC de cambio de estado por debajo de 500 - Usar el patrón de contador ++ para mapear teclas - No son compatibles con tokens nativos - Mantener la máquina de estado a la vista abierta a través de enumeraciones de estado - Relación 1:1 test/LoC - Formatear cada línea de código con una regla Mira, ganar el juego no es tan difícil

Como veterano de la industria de los concursos de auditoría, le diré cómo se hacen acuerdos como estos. > Sé protocolario con el dinero y haz 3+ auditorías colaborativas > Ten en cuenta que es probable que el código base no tenga errores significativos > Quiere indicar a la comunidad, a los inversores y a otras partes interesadas que le importa la seguridad. > No tengo intención de gastar más dinero en seguridad > plataforma de "Concursos" tiene solución > Organiza un concurso de alfombras para garantizar que los botes High/Crit no se desbloqueen. > Haz que la maceta Med sea súper pequeña > Si se encuentra High, entonces minimice la sumisión, de lo contrario, el cliente no está contento (¿recuerda a Euler?) > Tanto la plataforma de "Concurso" como el marketing gratuito > SR son resistentes, pero no te importa > Repite, pero haz que el anuncio del próximo concurso de alfombras sea aún más optimista.

Advertencia ⚠️: No es un nuevo artículo de recompensa A todos los auditores nos gusta centrarnos en los críticos jugosos y mantener el trabajo no tecnológico al mínimo. ¿A quién le importa el papeleo y las reuniones cuando acabas de encontrar una forma novedosa de vaciar un contrato DeFi? Pero todas las cosas deben hacerse con moderación, y con demasiada frecuencia vemos que los investigadores independientes escatiman por completo en conseguir que se firme incluso un acuerdo básico con el cliente. Esto fue algo que también hicimos en los primeros meses de TrustSec: conectarnos con un cliente en TG / discord, discutir el equipo, el precio y el cronograma, y simplemente comenzar. Se sintió suave y sin fricciones, entonces, ¿cuál es el problema? Como con muchas cosas, funciona bien hasta que deja de funcionar. Cuando gestionas 50+ auditorías al año, empiezas a encontrarte con casos extremos. Y cuando lo haces, tener las cosas claras con anticipación evita una tonelada de fricción en puntos potencialmente sensibles en el cronograma de la auditoría. Verás, el punto de un acuerdo de servicios no es que se pueda litigar en un tribunal a miles de millas de tu ubicación actual. Claro, en el peor de los casos, puede ser. Pero sobre todo se hace para alinear las expectativas de ambas partes, una forma de obligar a las dos partes a hablar sobre detalles que de otro modo no lo harían. Estos son solo algunos escenarios que han surgido y que deben controlarse explícitamente: - El cliente no está listo con la confirmación final antes de la fecha de inicio. - Por razones imprevistas, uno o más auditores no están disponibles para parte o la totalidad del período de auditoría. - El alcance final requiere un tiempo de revisión más largo, lo que aumenta los costos. - Debate sobre qué herramienta y formato se utiliza para contar el SLOC final. - El cliente presenta una nueva funcionalidad para su revisión en la auditoría de corrección. - Solicitar que el pago se envíe solo después de la entrega del informe. - El cliente desea cancelar la auditoría con solo 24 horas de anticipación. - El cliente desea enviar el pago en su cadena de bloques preferida. - Objeciones sobre la publicación del informe después de un período de espera aceptable. Además de dejar claro cómo manejar estos escenarios, un acuerdo también proporciona a los auditores una protección crítica: - Renuncia a cualquier responsabilidad por errores y exploits perdidos. - Mantiene los derechos de propiedad intelectual sobre las herramientas, ataca los conceptos desarrollados durante la auditoría (en la medida en que la ley lo permita). - Organiza los pagos iniciales, las tarifas de cancelación, etc. - Cumple con los requisitos de diligencia debida, KYB y marco legal. Esto es relevante para los requisitos fiscales, de cumplimiento y de origen de fondos. Por esas razones, rápidamente nos dimos cuenta de que vale la pena dedicar un poco de tiempo extra antes de reservar las cosas, y animamos a todos los auditores que dirigen un negocio legítimo a hacer lo mismo.

A finales de 2024, TrustSec descubrió un error de consenso en @OPLabsPBC cliente de Optimism. En el peor de los casos, el nodo de operación tendría una vista incorrecta del estado L2, lo que provocaría una división de la cadena de otros clientes. Por nuestra investigación, OP Labs nos premió generosamente con una recompensa de 7,5 mil dólares. ¡Echa un vistazo a todos los detalles en el artículo técnico a continuación!