Mengapa Temuan Tingkat Keparahan Rendah Mengatakan Lebih Banyak Tentang Audit Anda Daripada Bug Kritis Banyak perusahaan audit memfokuskan promosi penjualan mereka pada jumlah Tertinggi yang ditemukan seolah-olah angka ini bukan hanya kebisingan tanpa memasukkan konteks: audit sebelumnya, tinjauan sejawat, tingkat cakupan pengujian, kompleksitas kode, jumlah baris, dan banyak metrik lainnya. Ini adalah bentuk penjualan terendah, tidak berbeda dengan membandingkan misalnya kualitas drive USB dengan panjangnya dalam milimeter. Untuk menunjukkan alternatif, pertama-tama kita harus menegaskan kebenaran beberapa klaim pendukung: - Probabilitas injeksi bug yang tidak disengaja tidak memiliki bias terhadap dampak yang lebih tinggi (pengembang tidak lebih sembrono dalam kode berisiko tinggi, biasanya sebaliknya). - Metodologi komprehensif yang sama yang digunakan untuk menemukan kelemahan dengan berbagai tingkat keparahan juga akan menemukan masalah tingkat keparahan tinggi (sebaliknya tidak berlaku). - Ada persyaratan yang jauh lebih tinggi agar bug acak memenuhi syarat sebagai tingkat keparahan tinggi (seringkali akan dijaga di belakang kondisi yang tidak dapat dijangkau, atau menyentuh fungsionalitas non-kritis). - Dari statistik dasar: laju pengambilan sampel yang lebih tinggi berkorelasi dengan deviasi/varians yang diharapkan lebih rendah dan dengan demikian pengukuran yang lebih akurat. Mari kita definisikan laporan audit sebagai hasil pengambilan sampel kualitas basis kode. Kami menyimpulkan bahwa jumlah Tertinggi yang diharapkan jauh lebih rendah daripada Terendah, dan penyimpangan yang diharapkan di sekitarnya jauh lebih tinggi (karena sampel yang lebih kecil). Dengan kata lain, jumlah Tertinggi memberi tahu kita sangat sedikit tentang jumlah tertinggi yang terlewatkan. Jadi mengejutkan, laporan 1 Tinggi, 10 Terendah lebih meyakinkan daripada laporan 10 Tertinggi, 1 Rendah semua yang lain sama. Meskipun sebenarnya sebagian besar penjual lebih suka menunjukkan yang terakhir sebagai indikasi kualitas. Intinya adalah bahwa metrik frekuensi tinggi adalah alat yang lebih baik untuk mengukur hasil frekuensi rendah. Pembuat Web3, lain kali perusahaan melambaikan tangan kepada Anda hitungan Crit / High dan X miliar $ garis yang diamankan, Anda tahu di mana harus fokus untuk mencari sinyal yang sebenarnya. Auditor Web3, kenali tidak ada formula rahasia yang konsisten untuk menemukan semua Tertinggi tanpa juga mencari Rendah - setiap Rendah yang tidak sepenuhnya diselidiki adalah potensi Tinggi - dan berikan perhatian terbaik Anda pada setiap baris. Klien Anda akan berterima kasih untuk itu. Tingkat keparahan rendah didefinisikan sebagai kesalahan pengkodean konkret yang tidak menghasilkan dampak tingkat yang lebih tinggi. Tidak termasuk pemformatan, praktik terbaik, dan temuan pengisi.

Sebuah kritis di git yang dirilis kemarin yang dapat dipicu oleh git clone dari repo yang tidak tepercaya. Itulah vektor impian untuk pwn auditor dan mencuri bounty / uang audit mereka. Tambal sistem Anda sebelum mengutip klien baru! Dan mengharapkan pengunjung di kotak masuk Anda dalam beberapa minggu mendatang...

Ternyata Anda dapat mencetak hadiah 5 buah ara dalam kontes tanpa benar-benar menemukan masalah apa pun, hanya diperlukan otak semi-fungsional. Dalam kontes OP Fault Proofs Maret 2024, pengembang memperbaiki masalah kritis sehari sebelum dimulai, tetapi tidak menggabungkannya. 🔗 Hanya dengan melihat log penerapan publik, Anda mendapat skor tinggi 🔗 🔗 Akhirnya menjadi hadiah $16680: Ini hanya salah satu dari banyak trik untuk menemukan bug dalam lingkup tanpa benar-benar mencarinya. Selalu berusaha untuk bekerja cerdas, bukan keras.

Memutuskan untuk mencoba Cantina Oktober lalu, 8 bulan kemudian hasilnya akhirnya keluar... Puluhan temuan solo dalam audit Java ke-1 dan mengungguli saudara papan peringkat Cantina teratas dengan 3-7x terasa cukup bagus, tidak akan berbohong. Sangat disayangkan pengalaman pasca-audit begitu mengerikan sehingga saya bersumpah untuk tidak pernah kembali ke platform itu. *peringatan kata-kata kasar yang dibenarkan* - Waktu resolusi 8 bulan, saat penulisan - bounty masih belum dikirim. - Puluhan jam dihabiskan untuk meningkatkan dan membela pengajuan dari putusan yang salah. - Menghitung ~ 104 kesalahan penilaian (penipuan yang salah, tidak valid yang jelas, tingkat keparahan yang salah) yang telah diperbaiki. Lebih banyak yang belum. - Kehilangan nilai ~$110.000 karena resolusi memakan waktu 7 bulan lebih lama dari yang seharusnya dan token OP turun menjadi ~50 sen. Tentu, ketika bersaing dalam kontes kontes non-USD, fluktuasi adalah risiko yang diterima. Tapi 8 bulan juri menjadi tidak kompeten dan tidak dapat menyelesaikan kontes bukanlah bagian dari model ancaman saya. Selama hari-hari penjurian C4 saya akan sepenuhnya memproses 1000 temuan dalam waktu kurang dari seminggu (solo), OP-Java memiliki 360 dan beberapa juri. Tidak mengherankan jika Cantina tidak pernah mengumumkan hasil di media sosial tidak seperti 5 kontes lain yang selesai minggu ini, tentu saja tidak mungkin mereka ingin menghindari pers yang buruk atau menyoroti dominasi TrustSec, bukan? Sangat disayangkan bahwa kita harus terus mendiskusikan malpraktik platform hadiah alih-alih bug kritis, tetapi tidak ada pilihan lain selain membuat semua orang bertanggung jawab. Postingan rincian teknis bebas kata-kata kasar untuk penemuan solo akan segera hadir.

Bayangkan dunia di mana mengatakan peneliti tidak boleh disalahgunakan adalah pengambilan kontroversial. Itulah yang terjadi ketika sebuah perusahaan dengan uang tunai tak terbatas muncul dan membeli jalannya ke dominasi pasar. Dumping pada peneliti dengan kebijakan ekstraktif hanya menjadi keseimbangan Nash yang baru

Setiap hari yang berlalu, menjadi semakin jelas bagi kita bahwa @cantinaxyz adalah entitas ekstraktif dan negatif bersih bagi ruang. Seminggu yang lalu @jack__sanford bagian pembunuh tentang kekurangan kontes Cork yang tak terhitung jumlahnya dan tidak ada tanda-tanda tanggapan segera. Dengan jumlah perhatian yang diterima artikel itu, jika mereka bisa melakukan pembelaan, mereka pasti akan melakukannya, alias diam adalah pengakuan bersalah. Minggu ini pengajuan hadiah Cantina kami, yang mereka sepakati menunjukkan kehilangan dana yang dibatasi untuk operator blockchain dengan kemungkinan tinggi, diselesaikan dalam mediasi untuk tingkat keparahan rendah. Setelah membaca 10-an laporan Spearbit/Cantina dan 100-an tulisan hadiah, kerugian moneter dalam jumlah berapa pun tidak pernah di bawah dampak Sedang, jadi mereka dengan jelas menyampaikan perspektif sponsor dalam mentalitas klasik "klien selalu benar", seperti yang selalu mereka lakukan. Faktanya, mereka bahkan tidak bersembunyi melakukannya. Dengan dokumen mereka sendiri, mereka Default ke Perspektif Klien. Saya kira hanya dalam kasus yang paling mengerikan mereka menolak pendapat klien. Dan bagaimana jika klien mengabaikan mediasi mereka? Di platform lain (misalnya @immunefi) yang pernah kami ajak bekerja sama, tidak menghormati mediasi adalah alasan untuk segera menghapus klien. Di Cantina, klien memiliki tunjangan 5 penipuan hadiah per tahun. Ya, Anda membacanya dengan benar. Kami juga baru-baru ini menemukan bahwa program Fellowship mereka memiliki klausul eksklusivitas yang sangat agresif. Fellows tidak dapat mengirimkan apa pun ke platform bounty lain, atau memberi tahu proyek secara langsung, bahkan jika jutaan dolar berisiko. Sebaliknya, pengetahuan yang sangat sensitif dan kritis waktu ini harus dibagikan dengan Cantina, yang memutuskan bagaimana melanjutkan. Mereka adalah bos, mereka mengambil keputusan, membungkuk atau meninggalkan mentalitas. Kami memiliki lebih banyak contoh penanganan yang keterlaluan di Cantina, tetapi akan membiarkannya untuk hari lain. Untuk saat ini, kami ingin meningkatkan kesadaran, seperti anggota komunitas terkemuka lainnya, bahwa auditor harus memilih dengan kaki mereka ketika datang ke tempat mereka menghabiskan waktu berharga mereka untuk berburu. Platform keamanan yang kehilangan keseimbangan dan lebih menyukai proyek daripada pemburu hadiah merusak seluruh proses topi putih dan mendorong peneliti untuk mendapatkan nilai mereka melalui cara yang kurang etis! Mari bekerja sebagai komunitas untuk memperkuat organisasi berintegritas tinggi, transparan, dan positif bersih atas pengganggu industri. Pernyataan di atas adalah pendapat pribadi dari anggota direktur TrustSec dan harus ditafsirkan seperti itu.

- Pertahankan LoC yang mengubah status di bawah 500 - Gunakan pola ++counter untuk memetakan kunci - tidak mendukung token asli - Jaga Mesin Status dalam tampilan terbuka melalui Enum Status - Rasio uji 1:1/LoC - Format setiap baris kode dengan penggaris Lihat, memenangkan pertandingan tidak terlalu sulit

Sebagai veteran industri kontes audit, saya akan memberi tahu Anda bagaimana kesepakatan seperti ini dibuat. > Jadilah protokol dengan uang dan lakukan 3+ audit kolaboratif > Ketahuilah bahwa basis kode mungkin tidak memiliki bug yang signifikan > Ingin memberi sinyal kepada masyarakat, investor, dan pemangku kepentingan lainnya bahwa Anda peduli dengan keamanan > Tidak berniat menghabiskan uang lagi untuk keamanan Platform "Kontes" > memiliki solusi > Siapkan kontes karpet yang menjamin pot Tinggi/Kritik tidak akan dibuka > Jadikan pot Med super kecil > Jika High ditemukan maka meremehkan sumisi jika tidak, klien tidak senang (ingat Euler?) > Platform "Kontes" dan Anda mendapatkan pemasaran gratis > SR kokoh tetapi Anda tidak peduli > Ulangi tetapi buat pengumuman kontes karpet berikutnya lebih bullish.

Peringatan ⚠️ : Bukan tulisan bounty baru Kami semua auditor suka fokus pada kritik yang menarik dan meminimalkan pekerjaan non-teknologi. Siapa yang peduli dengan dokumen dan rapat ketika Anda baru saja menemukan cara baru untuk menguras kontrak DeFi? Tetapi semua hal harus dilakukan dalam jumlah sedang, dan terlalu sering kita melihat peneliti independen benar-benar berhemat untuk mendapatkan perjanjian dasar yang ditandatangani dengan klien. Ini adalah sesuatu yang juga kami lakukan di bulan-bulan pertama TrustSec - terhubung dengan klien di TG / perselisihan, mendiskusikan tim, harga dan jadwal, dan baru saja memulai. Terasa halus dan tanpa gesekan, jadi apa masalahnya? Seperti banyak hal, itu bekerja dengan baik sampai tidak. Saat Anda mengelola 50+ audit setahun, Anda mulai mengalami kasus tepi. Dan ketika Anda melakukannya, menyelesaikan hal-hal sebelumnya menghindari banyak gesekan pada titik-titik yang berpotensi sensitif dalam linimasa audit. Lihat, inti dari perjanjian layanan bukanlah bahwa perjanjian tersebut dapat diajukan di pengadilan ribuan mil dari lokasi Anda saat ini. Tentu, dalam kasus terburuk, itu mungkin bisa. Tapi sebagian besar dilakukan untuk menyelaraskan harapan dari kedua belah pihak, cara untuk memaksa kedua belah pihak untuk membicarakan detail yang tidak akan mereka lakukan. Berikut adalah beberapa skenario yang muncul, dan harus ditangani secara eksplisit: - Klien tidak siap dengan penerapan akhir sebelum tanggal mulai. - Untuk alasan yang tidak terduga, satu atau beberapa auditor tidak tersedia untuk sebagian atau seluruh periode audit. - Cakupan akhir membutuhkan waktu peninjauan yang lebih lama, meningkatkan biaya. - Memperdebatkan alat dan pemformatan mana yang digunakan untuk menghitung SLOC akhir. - Klien memperkenalkan fungsionalitas baru untuk ditinjau dalam audit perbaikan. - Meminta pembayaran dikirim hanya setelah pengiriman laporan. - Klien ingin membatalkan audit hanya dengan pemberitahuan 24 jam sebelumnya. - Klien ingin mengirim pembayaran di blockchain pilihan mereka. - Keberatan tentang laporan yang diterbitkan setelah masa tunggu yang dapat diterima. Selain memperjelas cara menangani skenario ini, perjanjian juga memberikan perlindungan penting kepada auditor: - Melepaskan tanggung jawab apa pun atas bug & eksploitasi yang terlewatkan. - Mempertahankan hak IP pada alat, konsep serangan yang dikembangkan selama audit (sejauh undang-undang mengizinkan). - Mengatur uang muka, biaya pembatalan dan sebagainya. - Memenuhi persyaratan uji tuntas, KYB dan kerangka hukum. Ini relevan untuk persyaratan perpajakan, kepatuhan, dan sumber dana. Untuk alasan tersebut, kami dengan cepat menemukan bahwa menghabiskan sedikit waktu ekstra sebelum memesan barang sangat berharga, dan kami mendorong setiap auditor yang menjalankan bisnis yang sah untuk melakukan hal yang sama.

Pada akhir 2024, TrustSec menemukan bug konsensus di klien Optimism @OPLabsPBC. Dalam kasus terburuk, op-node akan memiliki pandangan yang salah tentang status L2, menyebabkan pemisahan rantai dari klien lain. Untuk penelitian kami, OP Labs dengan murah hati memberi kami hadiah $7.5k. Lihat semua detail dalam tulisan teknis di bawah ini!